紅帆科技電力行業(yè)網(wǎng)絡(luò)安全解決方案

2013-10-10 15:22:23 EP電力信息化網(wǎng)　點擊量：評論 (0)

電力行業(yè)是國民經(jīng)濟的基礎(chǔ)產(chǎn)業(yè)。

進行入侵或拒絕服務(wù)攻擊。這些威脅可造成的危害有：使服務(wù)器性能下降，服務(wù)終止（拒絕服務(wù)攻擊），或入侵者獲得控制服務(wù)器的能力，入侵者有可能利用這個能力破壞服務(wù)器上的數(shù)據(jù)和其他資源，利用被占領(lǐng)的機器所具有的資源攻擊其他機器（如利用嗅探器獲得入侵與服務(wù)器同一網(wǎng)段的其他系統(tǒng)的通信信息；直接試圖訪問其他目標系統(tǒng)以便隱藏攻擊來源；作為一個攻擊引擎形成對其他目標的分布式攻擊），操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應用系統(tǒng)及其他文件遭到破壞，系統(tǒng)中的重要/敏感數(shù)據(jù)信息被竊取、篡改；安裝系統(tǒng)后門。

　　網(wǎng)絡(luò)病毒的安全威脅：

　　計算機病毒是指一種能使自己附加到目標機系統(tǒng)的文件上的程序。它在所有破壞性設(shè)備中最具危險性，可以導致服務(wù)拒絕、破壞數(shù)據(jù)，甚至使計算機系統(tǒng)完全癱瘓。當病毒被釋放到網(wǎng)絡(luò)環(huán)境時，其無法預測的擴散能力使它極具危險性。病毒會突破系統(tǒng)的訪問控制，對系統(tǒng)造成破壞，可能造成機器死機、信息泄漏、文件丟失等威脅。

　　3、網(wǎng)絡(luò)安全的需求

　　根據(jù)電力系統(tǒng)的網(wǎng)絡(luò)拓撲結(jié)構(gòu)及實際應用，我們分析電力系統(tǒng)的網(wǎng)絡(luò)安全需求是：

　　·配備防火墻系統(tǒng)以實現(xiàn)各地電力公司與外部網(wǎng)絡(luò)的連接的訪問控制。

　　·作為防火墻的補充，須在內(nèi)部關(guān)鍵業(yè)務(wù)網(wǎng)段配備入侵檢測系統(tǒng)，以防備來自內(nèi)部的攻擊及外部通過防火墻的攻擊。

　　·配備安全評估系統(tǒng)，定期對電力網(wǎng)絡(luò)系統(tǒng)進行掃描，主動發(fā)現(xiàn)安全漏洞，及時修補。

　　·采用全網(wǎng)統(tǒng)一的網(wǎng)絡(luò)防病毒系統(tǒng)，保護網(wǎng)絡(luò)中的各類服務(wù)器、工作站等不受病毒的干擾和對其上文件的破壞，以保證系統(tǒng)的可用性。

　　·對關(guān)鍵業(yè)務(wù)信息跨地區(qū)的傳輸，采用VPN產(chǎn)品進行加密，保證傳輸過程中的信息安全。

　　·對于網(wǎng)絡(luò)設(shè)備、服務(wù)器等管理員的身份認證，采用諸如令牌口令的增強身份認證系統(tǒng)。

　　·配備災難恢復系統(tǒng)，防備意外的發(fā)生。

　　·建立完善的網(wǎng)絡(luò)安全管理制度，防止出現(xiàn)人為的安全隱患。

三、安全解決方案

　　1、總體設(shè)計思路和原則

　　在基本的訪問控制，身份鑒別和安全審計方面采用合理的技術(shù)手段

　　·使用防火墻產(chǎn)品劃分網(wǎng)絡(luò)區(qū)域，對需要保護的區(qū)域進行網(wǎng)絡(luò)層的訪問控制。

　　·正確使用系統(tǒng)中已有的安全機制，各系統(tǒng)通常包含了基本的安全機制，如身份認證、訪問控制和審計功能。正確的使用這些安全功能可以減少系統(tǒng)可被利用的漏洞。

　　·采用專用產(chǎn)品強化系統(tǒng)中對安全構(gòu)成威脅的薄弱環(huán)節(jié)（包括防病毒）。

　　·用必要和有效的監(jiān)控和審查機制保證安全機制的有效性，安全策略的正確性；

　　·定期審查

　　·持續(xù)監(jiān)控，部署必要的技術(shù)和產(chǎn)品在安全機制失效和災難的情況下采取正確，及時，有效的措施。

　　·及時報警，以爭取管理和技術(shù)人員的及時介入。

　　·在入侵正在進行時自動或通過人員干預終止威脅系統(tǒng)安全的行動。

　　·系統(tǒng)遭到破壞是在盡可能短的時間內(nèi)回復系統(tǒng)的運行。2、網(wǎng)絡(luò)安全產(chǎn)品的部署

　　(1)防火墻的配置：

　　作為保護電力系統(tǒng)內(nèi)部網(wǎng)免遭外部攻擊，最有效的措施就是分別在電力系統(tǒng)各級內(nèi)部網(wǎng)與外部廣域網(wǎng)之間放置防火墻，通過設(shè)置有效的安全策略，做到對電力系統(tǒng)內(nèi)部網(wǎng)的訪問控制。不改變原來網(wǎng)絡(luò)拓撲結(jié)構(gòu)，且保證通訊速度不受較大影響，可以配置使用基于狀態(tài)檢測包過濾技術(shù)上的流過濾技術(shù)的防火墻--硬件防火墻系統(tǒng)。

　　(2)入侵監(jiān)測系統(tǒng)的配置：

　　為了防范來自電力系統(tǒng)內(nèi)部網(wǎng)絡(luò)的攻擊，及來自外部透過防火墻的攻擊，作為防火墻的補充，須在電力系統(tǒng)內(nèi)部網(wǎng)各重要網(wǎng)段配備入侵檢測系統(tǒng)，通過對網(wǎng)絡(luò)行為的監(jiān)視，來識別網(wǎng)絡(luò)的入侵的行為。

　　·實時監(jiān)視網(wǎng)絡(luò)上正在進行通信的數(shù)據(jù)流，分析網(wǎng)絡(luò)通訊會話軌跡，反映出內(nèi)外網(wǎng)的聯(lián)接狀態(tài)；

　　·通過內(nèi)置已知網(wǎng)絡(luò)攻擊模式數(shù)據(jù)庫，能夠根據(jù)網(wǎng)絡(luò)數(shù)據(jù)流和網(wǎng)絡(luò)通訊的情況，查詢網(wǎng)絡(luò)事件，進行相應的響應；

　　·能根據(jù)所發(fā)生的網(wǎng)絡(luò)安全事件，啟用配置好的報警方式，比如Email、聲音報警等；

·提供網(wǎng)絡(luò)數(shù)據(jù)流量統(tǒng)計功能，能夠記錄網(wǎng)絡(luò)通信的所有數(shù)據(jù)包，對統(tǒng)計結(jié)果提供數(shù)表與圖形兩種顯示結(jié)果，為事后