华工安鼎电力行业信息安全解决方案(1)

来源：vlan9收集 作者： 出处：巧巧读书 2005-12-01 进入讨论组

• 关 键 词：
• sql server
• microsoft
• oracle 8i
• 网络安全解决方案
• 信息安全解决方案

上一页 1 2 3 下一页 

　

　数据安全及容错方案

对于企业来说，最珍贵的不是计算机、硬盘、CPU和显示器等硬件设备，而是存储在存储介质中的数据信息。因此对于一个信息管理系统来说，数据备份和容错方案是必不可少的。华工安鼎应用信息系统本部对电力行业系统安全解决方案的数据备份采用软、硬结合的全面解决方案，包括磁带机、备份管理软件和存储区域网络在内的各种技术，具有可靠性高、速度快、性能价格比高等特点。先进的系统体系结构，使其可以支持包括SAN在内的各种网络备份技术;支持各种主流计算机操作系统、各种操作系统文件、各种主流数据库系统;支持非结构化数据(如Lotus Notes)的数据备份、系统在线数据备份和完全、增量和差分等各种备份策略，备份过程中，支持各种数据校验技术。另外，华工安鼎应用信息系统本部的电力行业系统安全解决方案的数据备份还提供了先进的备份管理功能，实现备份、恢复智能化和操作故障的自动提示。其具有的可扩展性，可根据电力企业业务的扩大，平滑扩展，保护已有投资。关于容错，该解决方案中的容错方案可实行实时监控，能自动后援切换，支持双机热备份和双机互备援等各种规划方式，具有伸缩能力强，对现有系统影响小，管理简单方便等特点。

病毒防范方案针对在Internet上，病毒肆虐，企业信息系统每天都有面临预测的可能，华工安鼎应用信息系统本部对电力行业系统安全解决方案提供了病毒防范方案，其技术特点是:企业级网络防毒;病毒库网络自动更新;管理简单有效。

第一部分基本解决方案

第一道安全屏障网络防火墙系统防火墙通过网络地址转换(NAT)功能来隐藏内部网络的IP地址;通过其动态访问过滤功能动态检查流经的IP数据包，根据设定的规则决定数据包是否可以通过，并将不合法的数据包过滤掉;通过其URL地址限定功能限制对某些站点的访问，防止内部网络对外部网络进行不安全的访问。

第二道安全屏障网络防毒系统网络防毒系统可以采用C/S模式，在网络防毒服务器中安装杀毒软件服务器端程序，并通过Internet利用LiveUpdate功能，从免疫中心实时获取最新的病毒码信息。服务器和网络工作站都安装客户端软件，利用从服务器端获取的病毒码信息对本地工作站进行病毒扫描，并对发现的病毒采取相应措施进行清除。客户端根据需要可用三种方式进行病毒扫描:实时扫描、预置扫描和人工扫描。由于病毒扫描可能带来服务器性能上的降低，因此可采用预置扫描方式，将扫描时间设定在服务器访问率最低的夜间。网络工作站可根据各自需要，选择合适的方式进行病毒扫描。

第三道安全屏障入侵检测系统安全漏洞扫描入侵检测系统是专门针对黑客攻击行为而研制的网络安全产品。国际上先进的分布式入侵检测构架，可最大限度地、全天候地实施监控，提供企业级的安全检测手段。在事后分析的时候，可以清楚地界定责任人和责任事件，为网络管理人员提供强有力的保障。

入侵检测系统采用攻击防卫技术，具有高可靠性、高识别率、规则更新迅速等特点。系统具有强大的功能、方便友好的管理机制，可广泛应用于电力行业各单位。

漏洞检测和安全风险评估技术，因其可预知主体受攻击的可能性和具体的指证将要发生的行为和产生的后果，而受到网络安全业界的重视。这一技术的应用可帮助识别检测对象的系统资源，分析这一资源被攻击的可能指数，了解支撑系统本身的脆弱性，评估所有存在的安全风险。

漏洞扫描系统就是这一技术的实现，她包括了网络模拟攻击，漏洞检测，报告服务进程，提取对象信息，以及评测风险，提供安全建议和改进措施等功能，帮助用户控制可能发生的安全事件，最大可能的消除安全隐患。

第二部分增强解决方案

以上看到，该网络综合采用了各种网络安全技术，包括防火墙、入侵检测、安全漏洞扫描、网络防病毒等。在电力系统的一些网络中还采用VPN等技术。这些安全技术在一定程度上保护了网络、主机和系统服务免受来自外部的攻击和破坏，对病毒的危害也能够起到一定的防范效果。但是，这些安全措施在防范来自内部的攻击，保护应用系统和信息安全方面却无能为力。“后续的工作将是在逐步完善安全体系的基础上，把建设重点由以网络安全为主应用安全为辅转入以应用安全为主网络安全为辅的阶段。”一、信息安全隐患分析我们可以从信息在网络系统中的存储、处理、传输和用户对这些信息的访问活动等方面来分析这些信息潜在的安全威胁。

数据库数据和文件的明文存储:电力系统计算机网络中的信息一般存储在由数据库管理系统维护的数据库中或操作系统文件中。这些以明文形式存储的信息存在泄漏的可能，因为拿到存储介质的人可以读出这些信息;黑客可以绕过操作系统、数据库管理系统的控制获取这些信息;系统后门使软硬件系统制造商很容易得到这些信息…

信息的明文传输:现代应用系统一般采用C/S(客户/服务器)或B/S(浏览器/服务器)结构，都在网络上运行，所处理的信息也必须在网络主机间频繁传输。在电力行业的计算机网络系统中，信息传输基本上是明文方式。偶有采用SSL(安全套接字层)等加密传输的，但由于外国安全系统出口的限制，所能够用到的SSL是低安全级别的。这些明文或只受到低安全保护的信息在网络上传输，不具有信息安全所要求的保密、完整和发送方的不可抵赖性要求。

弱身份认证:电力行业应用系统基本上基于商用软硬件系统设计和开发，用户身份认证基本上采用基于口令的鉴别模式，而这种模式很容易被攻破。有的应用系统还使用自己的用户鉴别方法，将用户名、口令以及一些安全控制信息以明文的形式记录在数据库或文件中，这种脆弱的安全控制措施在操作人员计算机应用水平不断提高，信息敏感性不断增强的今天不能再用了。

二、安鼎信息安全增强解决方案

信息安全解决方案应该全面考虑信息存储、传输、处理和访问等各环节的安全要求，使信息安全方案没有攻击者可以利用的安全薄弱环节。

按照信息安全全面性要求原则，信息安全方案必须包括如下组成部分:

安全的身份认证:安全的身份认证是安全的第一步，不安全的身份认证可能造成用户假冒，使其它安全措施失去作用。

通信安全:采用数据加密、信息摘要和数字签名等安全措施对通信过程中的信息进行保护，实现数据在通信中的保密、完整和不可抵赖性安全要求。

文件安全:通过文件加密、信息摘要和访问控制等安全措施，来实现文件存储和传输的保密和完整性要求，并实现对文件访问的控制。

数据库安全:通过数据存储加密、完整性检验和访问控制来保证数据库数据的机密和完整性，并实现数据库数据的访问安全。

安全审计:通过记录审计信息来为信息安全问题的分析和处理提供线索。

安鼎公司针对信息安全的要求，结合自身技术特点开发出了有关身份认证、通信安全、文件安全、数据库安全等的信息安全产品，并在这些产品中集成了审计功能。

专题:http://www.qqread.com/net-case/f411296808.html 更多内容请看数字化校园网解决方案、路由安全配置专题、系统安全设置专题，或进入讨论组讨论。

上一页 1 2 3 下一页 

【收藏此文】【大 中 小】【打印】【关闭】

较早的文章：中国农业银行计算机安全体系解决方案

较新的文章：现代起亚集团采用Windchill PLM解决方案