多措并舉 安全防護
信息安全以業(yè)務應用系統(tǒng)和計算機網絡的安全防護為主。其中,計算機網絡的安全防護是對外部入侵和內部泄漏的最底層的硬防護,只有合理部署,才能達到較高的安全防護水平。根據網絡傳輸OSI七層模型,采取多種防護措施,以最常見的方式達到較高的安全防護水平是企業(yè)網絡構建的目標,安全防護以國產設備為首選。
1.分區(qū)控制,信息隔離
生產控制區(qū)為最高安全級別的區(qū)域。該區(qū)與上級調度系統(tǒng)通過防火墻和縱向加密裝置通信,與管理信息系統(tǒng)通過單向傳輸裝置與管理信息網絡相連。
網絡結構圖
服務器區(qū)為信息安全的重點防護區(qū)。鏈路上除串接單獨的防火墻外,還通過服務交換機的上聯口做鏡像,接入入侵檢測設備。
內部網一區(qū)和內部網二區(qū)通過VPN、防火墻隔離,為終端用戶的接入區(qū)域。一區(qū)為可以直接訪問內部信息系統(tǒng)服務器的企業(yè)員工用戶,二區(qū)為協作單位用戶,可以通過VPN訪問相關信息。
2.監(jiān)控上網,網關殺毒
置于互聯網接入端的上網行為管理設備是信息安全的第一道防線。以網關模式布置,串接于出口鏈路中的上網行為管理設備,實現對互聯網訪問行為的全面管理。
部分上網行為管理設備還集成網關殺毒功能。基于應用類型、網站類別、文件類型、用戶/用戶組、時間段等的管理設備,對企業(yè)內部網絡用戶上網行為的記錄和審計、帶寬的分配、病毒木馬的過濾等,有效防止內網泄密、過濾掛馬網站的訪問、封堵不良網站等,從源頭上切斷病毒、木馬的潛入。通過帶寬分配策略限制P2P、在線視頻、大文件下載等不良應用所占用的帶寬,甚至完全封堵與工作無關的應用。同時,利用上網行為管理通知和日志,及時把使用中的主動泄密、被動泄密行為,做到事前防范、事中告警、事后追蹤等多方面防范泄密,保護企業(yè)信息資產安全,降低網絡風險,并滿足公安機關對企業(yè)網絡行為記錄的相關要求,規(guī)避可能的法律風險。
3.雙層防護,過濾攔截
防火墻是保護內部網免受非法用戶侵入的基本設備,通過設置防火墻的服務訪問規(guī)則、驗證工具、包過濾和應用網關等,最大限度地阻止網絡中的黑客攻擊。
內部用戶網一區(qū)、二區(qū)之間主要以應用層的攔截為主,有效隔離木馬程序的侵入。結合VPN的應用,可靈活配置二區(qū)用戶訪問內部相關信息,提高外網發(fā)布應用服務器的安全性。
服務器區(qū)增加一臺主要以網絡層過濾為主,通過來源IP地址、來源端口號、目的IP地址或端口號、服務類型以及通信協議、TTL值、來源的網域名稱或網段等屬性進行過濾攔截,進一步加強對服務器的安全防護。
4.單向隔離,鏡像查詢
生產控制區(qū)通過單向傳輸隔離以輪流傳遞數據、中斷插入事件的方式,發(fā)送信息到管理信息實時數據服務器,供相關管理人員查詢信息。
生產控制區(qū)到管理信息網絡的傳輸數據傳輸使用電力專用的CDT規(guī)約,生產控制區(qū)數據線只接發(fā)送線,接收數據線完全斷開,不可能接收管理信息網絡的任何數據,從硬件上保證兩個系統(tǒng)的完全隔離,完全符合電力系統(tǒng)二次安全防護的要求,又滿足管理用戶查詢遠程實時生產數據需求。
5.隔離用戶,增加共享
利用三層交換機VLAN以及二層交換機的端口隔離,有助于控制流量、減少設備投資、簡化網絡管理、提高網絡的安全性。
用戶區(qū)所有交換機PC端口均設置隔離,需要共享打印機的部門購置打印服務器接入公共端口,既滿足共享打印的需求,又避免網內用戶使用嗅探工具、ARP攻擊、蠕蟲病毒攻擊等對其它用戶影響,惡意用戶無法獲得其它用戶的通信信息,信息安全風險大幅度降低,同時把廣播域劃分到最小,提高網絡響應速度,有效降低數據流量,延長設備的壽命,特別是低端網絡設備使用周期明顯增加。
用戶端口隔離對個別應用帶來影響,如無法滿用戶間的資源共享足,需增加共享資源服務器,解決無安全管理需求的信息資源交換平臺,增加桌面管理系統(tǒng)監(jiān)控、管理用戶資源。
6.在線監(jiān)控,入侵檢測
網絡分析儀或網管系統(tǒng),利用簡單網絡管理協議(SNMP)去調用交換機的MIB信息庫,在線監(jiān)測每臺交換機端口上流量的質量,實施諸如監(jiān)測交換機端口統(tǒng)計并掌握其趨勢的策略以及使用,清晰地掌握交換機的詳細情況和端口統(tǒng)計信息,還可根據安全策略直接關閉相應的交換機端口,徹底隔離故障或危險源。
對于重點防護區(qū)的服務器區(qū),通過鏡像數據進行入侵檢測,以便及時發(fā)現網絡或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象,在網絡系統(tǒng)受到危害之前攔截和響應入侵,保障數據安全。
7.容災備份,演練驗證
本地備份、異地備份是防止存儲設備硬件故障、火災及自然災害導致數據損壞的保障措施。在線備份與離線備份相結合,運行維護人員經常演練驗證備份數據的完整可用,是信息安全的日常保障工作;關鍵網絡設備的分布式冗余配置,是網絡系統(tǒng)容災的重要組成部分。
責任編輯:黎陽錦
-
發(fā)電電力輔助服務營銷決策模型
2019-06-24電力輔助服務營銷 -
繞過安卓SSL驗證證書的四種方式
-
網絡何以可能
2017-02-24網絡