供電企業(yè)網(wǎng)絡(luò)信息安全應(yīng)用

2013-12-24 11:41:57 電力信息化　點擊量：評論 (0)

　　隨著國網(wǎng)公司SG186工程的實施和信息化建設(shè)逐步深入，遼寧電力公司統(tǒng)一信息化平臺進(jìn)程不斷推進(jìn)，盤錦供電公司的信息化建設(shè)也得到了快速發(fā)展。集中化、網(wǎng)絡(luò)化已經(jīng)成為信息建設(shè)發(fā)展大趨勢，尤其省級數(shù)據(jù)大集中以

　　隨著國網(wǎng)公司“SG186”工程的實施和信息化建設(shè)逐步深入，遼寧電力公司統(tǒng)一信息化平臺進(jìn)程不斷推進(jìn)，盤錦供電公司的信息化建設(shè)也得到了快速發(fā)展。集中化、網(wǎng)絡(luò)化已經(jīng)成為信息建設(shè)發(fā)展大趨勢，尤其省級數(shù)據(jù)大集中以后，各種日常工作對信息網(wǎng)絡(luò)系統(tǒng)的依賴性日益增強(qiáng)，信息網(wǎng)絡(luò)系統(tǒng)運(yùn)維工作更凸顯重要和急迫。

　　盤錦供電公司（以下簡稱公司）全面貫徹落實國家電網(wǎng)公司、遼寧省電力公司有關(guān)信息安全工作規(guī)定，結(jié)合公司信息系統(tǒng)安全現(xiàn)狀，在風(fēng)險評估的基礎(chǔ)上精心設(shè)計信息安全整體防護(hù)體系，堅持“安全第一、預(yù)防為主、綜合防治”的信息安全原則，成立信息安全領(lǐng)導(dǎo)小組，優(yōu)化專業(yè)管理流程，按照省公司統(tǒng)一部署，建立兩級三線運(yùn)維支持體系，實施雙網(wǎng)雙機(jī)、分區(qū)分域、等級保護(hù)、橫向隔離、縱向認(rèn)證、信息設(shè)備安全加固、統(tǒng)一安全策略等防護(hù)措施，管控結(jié)合，分步實施，有效降低了信息安全面臨的風(fēng)險，提高信息安全整體防護(hù)能力，確保全公司信息系統(tǒng)安全穩(wěn)定運(yùn)行，并創(chuàng)造性地提出了“行為管理+策略控制+終端管理”的安全保障體系思想。

行為管理

　　員工是安全的主體，管理是安全的靈魂，技術(shù)是安全的手段。只有將有效的安全管理實踐自始至終貫徹落實于全員信息安全當(dāng)中，網(wǎng)絡(luò)安全的長期性和穩(wěn)定性才能有所保證。

　　堅持不懈地加強(qiáng)信息人員的安全教育，保持信息人員特別是網(wǎng)絡(luò)管理人員和安全管理人員的相對穩(wěn)定，防止網(wǎng)絡(luò)機(jī)密泄露，尤其要注意人員調(diào)離時的網(wǎng)絡(luò)機(jī)密的泄露。教育員工對各類密碼進(jìn)行妥善管理，杜絕默認(rèn)密碼、出廠密碼、無密碼，不使用容易猜測的密碼。在企業(yè)網(wǎng)絡(luò)中建立集中管理的數(shù)據(jù)存儲機(jī)制，配合以相關(guān)安全權(quán)限管理制度的嚴(yán)格執(zhí)行，在存儲介質(zhì)使用的管理上，實行嚴(yán)格的管控，定期備份各類工作專用信息數(shù)據(jù)，專人專用，備份品專門集中存放，由最低限度的經(jīng)過安全培訓(xùn)和安全審查的人員負(fù)責(zé)監(jiān)護(hù)管理。

　　公司網(wǎng)絡(luò)安全的最終目標(biāo)就是建設(shè)安全、高效的企業(yè)信息網(wǎng)，通過網(wǎng)絡(luò)的安全配置，硬件防火墻及IDS、IPS的策略配置，安全漏洞掃描、網(wǎng)上行為審計系統(tǒng)應(yīng)用，對網(wǎng)絡(luò)的出入口進(jìn)行嚴(yán)格控制，對網(wǎng)絡(luò)中的服務(wù)器、網(wǎng)絡(luò)設(shè)備進(jìn)行定期掃描和定期檢測、分析，發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)漏洞和隱患，并進(jìn)行整改，有效地防止外部惡意攻擊和內(nèi)部數(shù)據(jù)泄露，做到網(wǎng)絡(luò)堅強(qiáng)、策略得當(dāng)、信息保密、數(shù)據(jù)完整、接入控制。

　　實施信息內(nèi)外網(wǎng)邊界安全監(jiān)測系統(tǒng)（SMS），通過部署在信息外網(wǎng)各個Internet出口處的日志采集層軟件，將各種網(wǎng)絡(luò)出口以及信息外網(wǎng)各邊界處的各類安全設(shè)備的日志進(jìn)行統(tǒng)一采集，并經(jīng)過日志預(yù)處理上傳到公司總部開展相關(guān)分析。同時以網(wǎng)省公司（直屬單位）為基本單元，每個單位部署一套實時展現(xiàn)與分析工具，實現(xiàn)對各種安全日志事件的分層分析即：告警統(tǒng)計、實時監(jiān)測、事件查詢、統(tǒng)計分析、流量分析、設(shè)備管理、系統(tǒng)管理等。

　　通過集中注冊管理平臺,對USB存儲設(shè)備作嚴(yán)格的設(shè)備介質(zhì)自由身份認(rèn)證，數(shù)據(jù)加密等一系列防護(hù)操作，避免了工作人員隨意使用USB硬盤、U盤，實現(xiàn)了對內(nèi)網(wǎng)移動介質(zhì)的日常安全管理。通過對移動介質(zhì)的有效管理，完全實現(xiàn)了移動存儲設(shè)備全生命周期管理、合法與非法設(shè)備的有效區(qū)分、設(shè)備的訪問機(jī)制控制、數(shù)據(jù)加密保護(hù)、設(shè)備使用日志審計、分權(quán)限管理、通信及日志文件加密、客戶端保護(hù)機(jī)制等功能。

策略控制
　　在網(wǎng)絡(luò)邊界上，信息內(nèi)網(wǎng)不同安全域之間均部署防火墻，強(qiáng)化訪問控制策略，僅開放必要的服務(wù)端口。信息外網(wǎng)與局域網(wǎng)之間完全隔離，互聯(lián)網(wǎng)間邊界安全防護(hù)措施的部署和策略配置情況是:部署防火墻、客戶端認(rèn)證系統(tǒng)、內(nèi)外網(wǎng)均部署補(bǔ)丁分發(fā)和防病毒系統(tǒng)如圖1所示。

　　在網(wǎng)絡(luò)內(nèi)部，按照等級保護(hù)的原則根據(jù)業(yè)務(wù)系統(tǒng)的重要程度化分成若干個安全域，并有選擇性地進(jìn)行深度防護(hù)。電力二次系統(tǒng)分為生產(chǎn)控制I區(qū)、II區(qū)和管理信息大區(qū)III區(qū)。管理大區(qū)分為內(nèi)網(wǎng)和外網(wǎng)，內(nèi)外系統(tǒng)物理隔離。其中，信息內(nèi)網(wǎng)有財務(wù)（資金）管理系統(tǒng)域、營銷管理系統(tǒng)域、辦公自動化系統(tǒng)域、ERP系統(tǒng)域、二級系統(tǒng)域、內(nèi)網(wǎng)桌面終端域；信息外網(wǎng)有外網(wǎng)桌面終端域。從邊界、網(wǎng)絡(luò)、主機(jī)及應(yīng)用四個層次設(shè)計安全防護(hù)，制訂了《盤錦供電公司信息安全總體防護(hù)方案》。財務(wù)系統(tǒng)通過前置防火墻進(jìn)行安全防護(hù)；互聯(lián)網(wǎng)出口配置防火墻進(jìn)行邊界防護(hù)；業(yè)務(wù)系統(tǒng)通過VLAN，訪問控制策略進(jìn)行防護(hù)；生產(chǎn)控制大區(qū)的I區(qū)、II區(qū)與管理信息大區(qū)的III區(qū)間用物理隔離；管理信息系統(tǒng)的調(diào)度邊界部署防火墻如圖2所示。

　　公司針對內(nèi)部Intranet特點，選用企業(yè)級防火墻NetScreen100建立網(wǎng)絡(luò)防火墻系統(tǒng)。在公司的網(wǎng)絡(luò)中通過設(shè)置交換機(jī)或路由策略劃分VLAN技術(shù)建立服務(wù)區(qū)、非服務(wù)區(qū)、辦公區(qū)及生活區(qū)，同時使用網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）技術(shù)將受保護(hù)區(qū)域的網(wǎng)絡(luò)和IP地址進(jìn)行屏蔽。

　　公司選用Symantec企業(yè)級防毒軟件Norton AntiVirus2011建立了網(wǎng)絡(luò)防毒系統(tǒng)。通過多平臺工作站和服務(wù)器的病毒碼信息集中部署和產(chǎn)品更新，大幅度降低了部署更新的成本，并簡化了企業(yè)服務(wù)器層次規(guī)劃和創(chuàng)建。在該系統(tǒng)中，管理員從一個集中控制臺設(shè)置管理策略，對基于Windows 2000和Windows XP的工作站以及基于Windows NT/Windows 2000 Server和NetWare服務(wù)器進(jìn)行更新和配置。所有客戶機(jī)均可鎖定設(shè)置以防用戶修改，也可在管理平臺上對客戶機(jī)進(jìn)行配置并進(jìn)行監(jiān)控。一旦檢測到病毒，該系統(tǒng)將自動修復(fù)并通過控制臺向管理員發(fā)出報警。在該系統(tǒng)中，管理員只需在NAV2011的安裝過程中運(yùn)行Live并設(shè)置好其自動運(yùn)行的時間。在以后的運(yùn)行過程中，當(dāng)滿足設(shè)定的時間條件時，Live會自動運(yùn)行并進(jìn)行病毒碼信息更新如圖3所示。

終端管理
　　根據(jù)國網(wǎng)公司、省市公司要求公司做好桌面終端管理系統(tǒng)及移動存儲介質(zhì)管理系統(tǒng)的推廣實施工作。截至2010年6月，計算機(jī)內(nèi)網(wǎng)終端的560臺，安裝率達(dá)到100%。2011年3月開始在信息外網(wǎng)部署桌面終端標(biāo)準(zhǔn)化，計算機(jī)外網(wǎng)終端的325臺，安裝率達(dá)到100%。桌面終端標(biāo)準(zhǔn)化系統(tǒng)在公司的部署和實施，使公司的信息資源得到了更高效的利用，提高了企業(yè)局域網(wǎng)的安全管理，減輕了桌面終端運(yùn)行維護(hù)人員的工作負(fù)擔(dān)。

　　員工通過注冊軟件，填寫本機(jī)信息，注冊程序自動探測系統(tǒng)硬件信息，連同用戶填寫的信息一同上報區(qū)域管理器。用戶將本機(jī)注冊信息發(fā)送到區(qū)域管理器后，區(qū)域管理器自動將客戶端駐留程序應(yīng)用策略發(fā)送給用戶，并自動更新。在推廣應(yīng)用桌面計算機(jī)安全管理系統(tǒng)后，可以實現(xiàn)本機(jī)硬件屬性信息變化監(jiān)視；對本機(jī)IP、MAC地址變化審計；本機(jī)系統(tǒng)補(bǔ)丁、軟件安裝、運(yùn)行進(jìn)程狀況監(jiān)測；探測本機(jī)是否有違規(guī)聯(lián)網(wǎng)行為，在內(nèi)網(wǎng)管理中心或外網(wǎng)報警平臺報警；接受Web管理平臺的管理命令；阻斷本機(jī)違規(guī)外聯(lián)行為；執(zhí)行Web管理平臺下發(fā)的各種策略操作如圖4所示。

　　IMS信息監(jiān)管平臺采集網(wǎng)絡(luò)設(shè)備、服務(wù)器、數(shù)據(jù)庫、中間件等網(wǎng)元的實時運(yùn)行狀態(tài)信息進(jìn)行統(tǒng)一匯總、整理、存放在網(wǎng)絡(luò)管理數(shù)據(jù)庫中，為系統(tǒng)運(yùn)行分析模塊提供數(shù)據(jù)支持。網(wǎng)管數(shù)據(jù)展示系統(tǒng)從數(shù)據(jù)庫中讀取數(shù)據(jù)進(jìn)行展示，并將網(wǎng)管系統(tǒng)中產(chǎn)生的事件統(tǒng)一存放在事件管理數(shù)據(jù)庫中。現(xiàn)共有60臺網(wǎng)絡(luò)設(shè)備、20臺主機(jī)系統(tǒng)納入統(tǒng)一監(jiān)管平臺如圖5所示。

　　通過上述一系列信息安全理論和技術(shù)的運(yùn)用、信息安全項目建設(shè)與實踐，使公司信息安全防護(hù)能力和運(yùn)行水平得到進(jìn)一步提高。

　　建立企業(yè)信息系統(tǒng)安全長效機(jī)制不僅需要等級保護(hù)、風(fēng)險控制、縱深防御等技術(shù)上的支持，同時也需要組織結(jié)構(gòu)、人員、業(yè)務(wù)邏輯、法律規(guī)章等管理上的支持。公司強(qiáng)化運(yùn)行管理，鞏固安全成果，完善并應(yīng)用信息運(yùn)維綜合監(jiān)管系統(tǒng)，使管理與技術(shù)結(jié)合，有效地保護(hù)了內(nèi)網(wǎng)信息資源，從根本上杜絕了來自外網(wǎng)的安全威脅，提高了網(wǎng)絡(luò)的安全防護(hù)能力，對保障企業(yè)運(yùn)營安全、降低企業(yè)運(yùn)營風(fēng)險、提升企業(yè)核心競爭力發(fā)揮了十分重大的作用。

點評
　　信息安全不為獨行而創(chuàng)新，不為取寵而嘩眾，讓安全設(shè)備、體系發(fā)揮實效，難在持久，貴在堅決，重在細(xì)節(jié)。而一切都要圍繞業(yè)務(wù)需求之中心，管好人，用對策，把住關(guān)，這就是“行為管理+策略控制+終端管理”的要旨，萬綠叢中一點紅。

責(zé)任編輯：和碩涵

免責(zé)聲明：本文僅代表作者個人觀點，與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實，對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾，請讀者僅作參考，并請自行核實相關(guān)內(nèi)容。

我要收藏

個贊