前 言
随着Internet的迅速发展,信息安全问题面临新的挑战。电力系统信息安全问题已威胁到电力系统的安全、稳定、经济、优质运行,影响着“数字电力系统”的实现进程。研究电力系统信息安全问题、开发相应的应用系统、制定电力系统信息遭受外部攻击时的防范与系统恢复措施等信息安全战略是当前信息化工作的重要内容。电力系统信息安全已经成为电力企业生产、经营和管理的重要组成部分。
近年来,随着我国电力系统走向市场步伐的加快,国家电力工业体制开始向市场转变,各级供电企业纷纷建立信息系统和基于Internet的管理应用,以提高劳动生产率,提高管理水平,加强信息反馈,提高决策的科学性和准确性,提高企业的综合竞争力。但是,电力企业网络的发展,也面临日益突出的信息系统安全问题。在电力企业的综合信息管理系统中,必须从网络、操作系统、应用程序和业务需求等各方面来保证系统的安全。
多层保护:实现电力系统无忧运行
华工安鼎应用信息系统本部集成了最先进的系统安全技术和产品,提出了一整套先进、完整、实用,完全满足电力行业需求的系统安全解决方案,主要包括网络安全方案,数据安全方案,容错技术方案和病毒防范方案等。
网络层安全方案
华工安鼎应用信息系统本部在网络层采用了防火墙技术。由于电力企业对于数据的实时性要求较高,数据的传输量也较大,因此对于电力网络的性能有很高的要求。另外,电力企业涉及到电网供电,其安全性也必须得到切实保证,目前大多数的电力企业均已不同程度地使用了网络安全技术和产品来进行保护。华工安鼎应用信息系统本部为电力系统提供的网络安全层解决方案具备易用性和易管理性和良好的扩展性等特点,不但适应网络层安全技术未来发展的需求,而且还能保证电力企业现有的投资不被浪费。
应用层安全方案
在网络的应用层上,华工安鼎应用信息系统本部对电力行业系统安全解决方案采用了严格的身份认证,不同粒度的访问控制,数据完整性、保密性和非否认性检测以及安全审计记录等技术。其中身份认证可以支持基于对称密钥的Kerberos V5和基于公钥的X.509证书等在内的各种身份认证技术。而不同粒度的访问控制则可以根据不同网络应用提供文件、页面或端口级的访问控制。而在数据完整性、保密性和非否认性检测中,采用了高强度加密算法,数字签名、时间戳和会话密钥等技术。该网络安全解决方案的另一个突出优点是除了能进行入侵检测和漏洞扫描外,还能无缝地集成到第三方应用系统的安全机制中,做到统一管理。
数据安全及容错方案
对于企业来说,最珍贵的不是计算机、硬盘、CPU和显示器等硬件设备,而是存储在存储介质中的数据信息。因此对于一个信息管理系统来说,数据备份和容错方案是必不可少的。华工安鼎应用信息系统本部对电力行业系统安全解决方案的数据备份采用软、硬结合的全面解决方案,包括磁带机、备份管理软件和存储区域网络在内的各种技术,具有可靠性高、速度快、性能价格比高等特点。先进的系统体系结构,使其可以支持包括SAN在内的各种网络备份技术;支持各种主流计算机操作系统、各种操作系统文件、各种主流数据库系统;支持非结构化数据(如Lotus Notes)的数据备份、系统在线数据备份和完全、增量和差分等各种备份策略,备份过程中,支持各种数据校验技术。另外,华工安鼎应用信息系统本部的电力行业系统安全解决方案的数据备份还提供了先进的备份管理功能,实现备份、恢复智能化和操作故障的自动提示。其具有的可扩展性,可根据电力企业业务的扩大,平滑扩展,保护已有投资。关于容错,该解决方案中的容错方案可实行实时监控,能自动后援切换,支持双机热备份和双机互备援等各种规划方式,具有伸缩能力强,对现有系统影响小,管理简单方便等特点。
病毒防范方案
针对在Internet上,病毒肆虐,企业信息系统每天都有面临预测的可能,华工安鼎应用信息系统本部对电力行业系统安全解决方案提供了病毒防范方案,其技术特点是:企业级网络防毒;病毒库网络自动更新;管理简单有效。
第一部分 基本解决方案
第一道安全屏障 网络防火墙系统
防火墙通过网络地址转换(NAT)功能来隐藏内部网络的IP地址; 通过其动态访问过滤功能动态检查流经的IP数据包,根据设定的规则决定数据包是否可以通过,并将不合法的数据包过滤掉;通过其URL地址限定功能限制对某些站点的访问,防止内部网络对外部网络进行不安全的访问。
第二道安全屏障 网络防毒系统
网络防毒系统可以采用C/S模式,在网络防毒服务器中安装杀毒软件服务器端程序,并通过Internet利用LiveUpdate功能,从免疫中心实时获取最新的病毒码信息。服务器和网络工作站都安装客户端软件,利用从服务器端获取的病毒码信息对本地工作站进行病毒扫描,并对发现的病毒采取相应措施进行清除。客户端根据需要可用三种方式进行病毒扫描:实时扫描、预置扫描和人工扫描。由于病毒扫描可能带来服务器性能上的降低,因此可采用预置扫描方式,将扫描时间设定在服务器访问率最低的夜间。网络工作站可根据各自需要,选择合适的方式进行病毒扫描。
第三道安全屏障 入侵检测系统 安全漏洞扫描
入侵检测系统是专门针对黑客攻击行为而研制的网络安全产品。国际上先进的分布式入侵检测构架,可最大限度地、全天候地实施监控,提供企业级的安全检测手段。在事后分析的时候,可以清楚地界定责任人和责任事件,为网络管理人员提供强有力的保障。
入侵检测系统采用攻击防卫技术,具有高可靠性、高识别率、规则更新迅速等特点。系统具有强大的功能、方便友好的管理机制,可广泛应用于电力行业各单位。
漏洞检测和安全风险评估技术,因其可预知主体受攻击的可能性和具体的指证将要发生的行为和产生的后果,而受到网络安全业界的重视。这一技术的应用可帮助识别检测对象的系统资源,分析这一资源被攻击的可能指数,了解支撑系统本身的脆弱性,评估所有存在的安全风险。
漏洞扫描系统就是这一技术的实现,她包括了网络模拟攻击,漏洞检测,报告服务进程,提取对象信息,以及评测风险,提供安全建议和改进措施等功能,帮助用户控制可能发生的安全事件,最大可能的消除安全隐患。
更多内容请看FreeBSD系统安全管理 Linux服务器的安全性能 MySQL安全专题,或进入讨论组讨论。
·路由安全配置专题 (11376篇文章)
·系统安全设置 (22639篇文章)
·配置安全的操作系统 (9392篇文章)
·打造安全服务器 (12814篇文章)
·大型实用解决方案专题 (5043篇文章)
·应用解决方案 (5043篇文章)
·中小型应用解决方案 (5043篇文章)
·多媒体应用解决方案 (5783篇文章)
·行业解决方案 (5043篇文章)
·局域网受到ARP欺骗攻击的解决办法 (20067次浏览)
·综合方法解决防制ARP欺骗问题 (10532次浏览)
·关于ARP病毒的本机检测方法和检测工具 (906次浏览)
·互联网发现计算机“ARP”病毒的新变种 (731次浏览)
·计算机网络安全隐患与防范策略的探讨 (228次浏览)
·应用安全与网络安全的完美结合-SSL VPN (216次浏览)
·十大网络工具帮你审核网络安全 (197次浏览)
·如何运用包过滤技术实现个人防火墙 (156次浏览)
·探讨防火墙维护与管理、技术发展趋势 (131次浏览)
·综合方法解决防制ARP欺骗问题 12-09
·实战:ARP攻击原理及解决方法 12-09
·面向中小型企业 思科PIX 515E防火墙 12-08
·网络监听的原理、实现技术与防范方法 12-08
·思科证实VoIP电话可被网络远程监听 12-07
·无线键盘可被监听 解密可获取输入数据 12-07
·Windows Shell硬件检测服务权限提升漏洞 12-07
·五大原则解决医院信息安全 12-06
·木马成为网络安全主要威胁 清除难度很大 12-01
