设为首页|收藏本站
管理商铺 发布产品 发布求购 寻找商机
本公司网站从今日起进入全面维护阶段,会出现网站或子页面打不开情况,望于谅解,感谢大家对电力114网支持
TOP
电力行业信息安全解决方案
[ 编辑:丽安 | 时间:2012-11-30 15:46:32 | 浏览:914次 | 来源: | 作者: ]
    一、电力行业特点
    电力行业是国民经济的基础产业,是一切电子设备正常运行的基础,保证持续、高效的电力供应是关系到国计民生的大事,也是电力部门工作注目的焦点。电力行业与其他行业相比具有分散控制、统一联合运行的特点。系统的运行涉及到发电厂、变电站、调度中心;发、输、配电系统一体化,系统中包括了各种独立系统和联合电网的控制保护技术、通信技术、运行管理技术等。电力行业的信息化从60-70年代开始的电厂自动化监控开始,到现在已经有30多年。与当时相比,从网络化,数据管理,MIS的应用等方面,电力行业企业信息化不断成熟与完善。但是,与国际电力企业相比,我国信息化水平还存在很大差距,在建设信息化过程中还走了不少弯路,存在一些问题。随着电力行业的不断发展,电力的关键业务不断增长,因此信息化应用也不断增强,网络系统中的应用越来越多。同时,随着Internet技术的发展,建立在Internet架构上的跨地区、全行业系统内部信息网开始逐步建立,网上应用着各种电力业务及办公系统。显而易见,电力信息网络系统的网络安全问题愈来愈显得重要。

    二、电力行业现状及安全威胁
    电力系统信息安全是电力系统安全运行和对社会可靠供电的保障,结合电力工业特点,电力工业信息网络系统和电力运行实时控制系统,分析电力系统信息安全存在的问题,电力系统信息没有建立安全体系,只是购买了防病毒软件和防火墙,有的网络连防火墙也没有,没有对网络安全做统一长远的归划。网络中有许多的安全隐患,主要包括以下几个方面:
    • 机及信息网络安全意识亟待提高
    传统的电力行业发展重基本建设,轻信息安全。网络结构不太合理,缺乏网络安全观念,不能满足信息安全的要求。在信息安全方面缺少系统的网络安全体系,缺少有关信息安全的管理手段和防范措施、故障恢复方法和策略以及网络实时安全监视手段。
    • 缺乏统一的信息安全管理规范
    对电力行业来说,生产设备自动化程度高,不间断的生产方式,全网的协同调度,这些特殊的需要都要求其必须有统一的信息安全管理模式。
    • 网络之间缺乏安全隔离
    SCADA(实时采集与监控系统)、EMS(配电管理系统)、OA、MIS等不同安全等级的网络不恰当地连接在一起,造成信息的非授权访问、机密信息泄露、病毒和黑客攻击横行,甚至导致网络瘫痪,影响正常生产和办公。
    • 对网络内部的安全威胁缺乏防护、监控和审计机制
    •  急需建立同电力行业特点相适应的整体的网络安全体系。

    三、电力行业典型拓扑结构


    以上现有网络结构存在以下问题:
    • 数据中心作为电厂的数据命脉,关系着整个业务流程的正常进行,所以在保证网络性能的同时,应该兼顾该区域的安全性给予特殊保护。
    • 对于外部服务器,和内部数据服务器没有区分其安全要求级别,划分区域,实施针对性的安全保护功能。
    •  SCADA/EMS、DMIS、MIS等不同安全等级的网络不恰当地连接在一起,造成信息的非授权访问、机密信息泄露、病毒和黑客攻击横行,甚至导致网络瘫痪,影响正常生产和办公。
    • 内部各子网之间没有实时保护,无法防范来自于内部的攻击,或者由于内部人员错误操作等带来的危害。
    • 近年来对于电力行业的非法访问攻击数量成线性递增趋势,现有网络没有建立完善的监控体系和入侵检测系统,防范并记录来自于外部和内部的攻击。
    • 内部网络各子网都没有实现病毒防御,单一的数据中心查毒服务器,无法保证整个网络免疫病毒传播。
    •  Pix520完全可以胜任对于内部外部网络之间的访问控制和边界防御工作,但是无法对网络内部进行防御。Pix防火墙可能无法检测部分高级Dos攻击.无法完成对病毒的拦截,尤其对基于电子邮件传播的病毒无法成功遏制其传播。
    • 没有单独的数据冗余备份服务器,当数据服务器出现问题时,无法及时恢复数据,保障整体工作的正常进行。
    根据以上的分析,可以清楚地看到电力行业的整体网络结构存在着重大的安全隐患,这一问题必须加以重视,解决这些安全漏洞问题应该刻不容缓。
       
    四、整体设计要求
    1、大幅度地提高整体网络信息的安全性和保密性;
    2、保持网络原有的性能特点,即对网络的协议和传输具有很好的透明性;
    3、易于操作、维护,并便于自动化管理,而不增加或少增加附加操作;
    4、尽量不影响原网络拓扑结构,便于系统及系统功能的扩展;
    5、充分考虑到安全保密系统具有较好的性能价格比,一次性投资,可以长期使用;
    6、不拘一格地选用差异优势的产品;
    7、安全与密码产品具有合法性,并便于安全管理单位与密码管理单位的检查与监督。

    五、整体设计分析
    1、依据电厂网络整体结构和目前运营模式,我们采用“纵深防御”的设计的理念,将从六个层次来进行分析,从而实现了整体部署。
    • 物理安全层:解决信息系统的设备、线路在物理上的安全。措施包括机房环境、电源保障、防火防盗防雷、机房屏蔽、设备干扰防窃听、链路加密等。
    • 网络安全层:解决网络平台的安全问题。安全措施包括硬件防火墙、因特网访问控制管理IAM、防病毒网关、基于网络的实时入侵检测系统NIDS等。
    • 主机安全层:解决系统平台的安全问题。安全措施包括对主机操作系统的安全配置、安全漏洞扫描和评估、网络防病毒体系、网站监控与恢复系统、存储管理等。
    • 应用安全层:解决应用平台的安全问题。信息的安全常常归结为应用的安全,目前在电力行业的应用主要有服务器/客户机(C/S)结构和浏览器/WWW服务器/数据库(B/W/D)结构的应用,很多应用系统在开发的时候并没有太多考虑安全实现的细节,各个应用系统的安全防范措施也不能保证一致,这就给应用系统的安全带来隐患。应用层安全措施包括加强应用系统自身的安全控制、采用第三方应用安全服务平台等。
    • 安全管理层:加强员工安全意识,从行政管理方面加强信息网的安全,包括安全管理的原则和相关制度等。
    • 安全服务层:主要从安全评估、安全策略、规则的制定,安全系统维护、安全培训和应急安全服务方面进行考虑。
    2、不同网段的安全分析
    电力行业的网络一般都被划分为若干个VLAN,系统将每个子网又划分为若干网段,包括系统用网段,固定IP地址段,动态IP地址池等部分。
    电力行业的网络环境复杂,多个子网并存,尽管这这些子网在不同网段,而各个子网之间的安全级别要求是完全不同的。但由于一些工作需要,这两个网络互访时有发生,这样一来,客观上造成了网络安全的漏洞。一旦安全级别较低的子网的安全受到威胁,则将影响到安全级别较高子网的安全。水桶原理告诉我们,系统的安全指数取决于其最薄弱点。
    3、不同区域安全设计分析
    • 与外部联结的安全性
    • 单位内部网络的安全性
    内部各单位网络之间的安全性。
】 【打印】【繁体】 【投稿】 【关闭】【评论】 【返回顶部
关于电力114网 | 广告服务 | 会员服务 | 营销策略 | 欢迎合作 | 联系我们 | 帮助中心 | 相关声明 | 公司资质 | 网站导航

版权所有:电力114网 运营:深圳市锐能达电力技术有限公司 电力供求第一平台|中国电力行业整合传播及营销服务领导者
未经授权禁止转载、摘编、复制或建立镜像,如有违反,追究法律责任。 对本站有任何建议、意见或投诉,请点这里在线提交。
技术支持与报障:ruinengda@dianli114.com 0755-89342503 广告合作:0755-89342503、18676692291
粤ICP备13012353号 增值电信业务经营许可证:粤B2-20130674号

粤公网安备 44030702000458号


技术支持点击这里给我发消息 | 广告咨询点击这里给我发消息 | 会员咨询点击这里给我发消息