电力行业解决方案

    [晴 June 16, 2008 01:24 | by ]
来源:信息安全网

电力行业特点

  电力行业是国民经济的基础产业,是一切电子设备正常运行的基础,保证持续、高效的电力供应是关系到国计民生的大事,也是电力部门工作注目的焦点。 电力行业与其他行业相比具有分散控制、统一联合运行的特点。系统的运行涉及到发电厂、变电站、调度中心;发、输、配电系统一体化,系统中包括了各种独立系统和联合电网的控制保护技术、通信技术、运行管理技术等。电力行业的信息化从 60-70年代开始的电厂自动化监控开始,到现在已经有30多年。与当时相比,从网络化,数据管理,MIS的应用等方面,电力行业企业信息化不断成熟与完善。但是,与国际电力企业相比,我国信息化水平还存在很大差距,在建设信息化过程中还走了不少弯路,存在一些问题。随着电力行业的不断发展,电力的关键业务不断增长,因此信息化应用也不断增强,网络系统中的应用越来越多。同时,随着Internet技术的发展,建立在Internet架构上的跨地区、全行业系统内部信息网开始逐步建立,网上应用着各种电力业务及办公系统。显而易见,电力信息网络系统的网络安全问题愈来愈显得重要。

•  电力行业现状及安全威胁

  电力系统信息安全是电力系统安全运行和对社会可靠供电的保障,结合电力工业特点,电力工业信息网络系统和电力运行实时控制系统,分析电力系统信息安全存在的问题,电力系统信息没有建立安全体系,只是购买了防病毒软件和防火墙,有的网络连防火墙也没有,没有对网络安全做统一长远的归划。网络中有许多的安全隐患,主要包括以下几个方面:

•  机及信息网络安全意识亟待提高

  传统的电力行业发展重基本建设,轻信息安全。网络结构不太合理,缺乏网络安全观念,不能满足信息安全的要求。在信息安全方面缺少系统的网络安全体系,缺少有关信息安全的管理手段和防范措施、故障恢复方法和策略以及网络实时安全监视手段。

•  缺乏统一的信息安全管理规范

  对电力行业来说,生产设备自动化程度高,不间断的生产方式,全网的协同调度,这些特殊的需要都要求其必须有统一的信息安全管理模式。

•  网络之间缺乏安全隔离

  SCADA(实时采集与监控系统)、EMS(配电管理系统)、OA、MIS等不同安全等级的网络不恰当地连接在一起,造成信息的非授权访问、机密信息泄露、病毒和黑客攻击横行,甚至导致网络瘫痪,影响正常生产和办公。

•  对网络内部的安全威胁缺乏防护、监控和审计机制

•  急需建立同电力行业特点相适应的整体的网络安全体系。

•  电力行业典型拓扑结构

Highslide JS


以上现有网络结构存在以下问题:

•  数据中心作为电厂的数据命脉,关系着整个业务流程的正常进行,所以在保证网络性能的同时,应该兼顾该区域的安全性给予特殊保护。

•  对于外部服务器,和内部数据服务器没有区分其安全要求级别,划分区域,实施针对性的安全保护功能。

•  SCADA/EMS、DMIS、MIS等不同安全等级的网络不恰当地连接在一起,造成信息的非授权访问、机密信息泄露、病毒和黑客攻击横行,甚至导致网络瘫痪,影响正常生产和办公。

•  内部各子网之间没有实时保护,无法防范来自于内部的攻击,或者由于内部人员错误操作等带来的危害。

•  近年来对于电力行业的非法访问攻击数量成线性递增趋势,现有网络没有建立完善的监控体系和入侵检测系统,防范并记录来自于外部和内部的攻击。

•  内部网络各子网都没有实现病毒防御,单一的数据中心查毒服务器,无法保证整个网络免疫病毒传播。

•  Pix520完全可以胜任对于内部外部网络之间的访问控制和边界防御工作,但是无法对网络内部进行防御。Pix防火墙可能无法检测部分高级Dos攻击.无法完成对病毒的拦截,尤其对基于电子邮件传播的病毒无法成功遏制其传播。


•  没有单独的数据冗余备份服务器,当数据服务器出现问题时,无法及时恢复数据,保障整体工作的正常进行。

  根据以上的分析,可以清楚地看到电力行业的整体网络结构存在着重大的安全隐患,这一问题必须加以重视,解决这些安全漏洞问题应该刻不容缓。

•  整体设计要求

1、大幅度地提高整体网络信息的安全性和保密性;

2、保持网络原有的性能特点,即对网络的协议和传输具有很好的透明性;

3、易于操作、维护,并便于自动化管理,而不增加或少增加附加操作;

4、尽量不影响原网络拓扑结构,便于系统及系统功能的扩展;

5、充分考虑到安全保密系统具有较好的性能价格比,一次性投资,可以长期使用;

6、不拘一格地选用差异优势的产品;

7、安全与密码产品具有合法性,并便于安全管理单位与密码管理单位的检查与监督。

•  整体设计分析

1 、依据电厂网络整体结构和目前运营模式,我们采用“纵深防御”的设计的理念,将从六个层次来进行分析,从而实现了整体部署。

•  物理安全层:解决信息系统的设备、线路在物理上的安全。措施包括机房环境、电源保障、防火防盗防雷、机房屏蔽、设备干扰防窃听、链路加密等。

•  网络安全层:解决网络平台的安全问题。安全措施包括硬件防火墙、因特网访问控制管理 IAM、防病毒网关、基于网络的实时入侵检测系统NIDS等。

•  主机安全层:解决系统平台的安全问题。安全措施包括对主机操作系统的安全配置、安全漏洞扫描和评估、网络防病毒体系、网站监控与恢复系统、存储管理等。

•  应用安全层:解决应用平台的安全问题。信息的安全常常归结为应用的安全,目前在电力行业的应用主要有服务器 /客户机(C/S)结构和浏览器/WWW服务器/数据库(B/W/D)结构的应用,很多应用系统在开发的时候并没有太多考虑安全实现的细节,各个应用系统的安全防范措施也不能保证一致,这就给应用系统的安全带来隐患。应用层安全措施包括加强应用系统自身的安全控制、采用第三方应用安全服务平台等。

•  安全管理层:加强员工安全意识,从行政管理方面加强信息网的安全,包括安全管理的原则和相关制度等。

•  安全服务层:主要从安全评估、安全策略、规则的制定,安全系统维护、安全培训和应急安全服务方面进行考虑。

2 、不同网段的安全分析

  电力行业的网络一般都被划分为若干个 VLAN,系统将每个子网又划分为若干网段,包括系统用网段,固定IP地址段,动态IP地址池等部分。

  电力行业的网络环境复杂,多个子网并存,尽管这这些子网在不同网段,而各个子网之间的安全级别要求是完全不同的。但由于一些工作需要,这两个网络互访时有发生,这样一来,客观上造成了网络安全的漏洞。 一旦安全级别较低的子网的安全受到威胁,则将影响到安全级别较高子网的安全。 水桶原理告诉我们,系统的安全指数取决于其最薄弱点。

3、不同区域安全设计分析

•  与 外部 联结的安全性

•  单位 内部网络的安全性

内部 各单位网络之间的安全性
InfoSecurity | Comments(0) | Trackbacks(0) | Reads(6185)
Add a comment
Emots
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
Enable HTML
Enable UBB
Enable Emots
Hidden
Nickname   Password   Optional
Site URI   Email   [Register]
               

Security code Case insensitive