電力行業(yè)信息安全網(wǎng)絡(luò)構(gòu)建原則
在國家和行業(yè)幾個紅頭文件下發(fā)之后,電力企業(yè)的信息化建設(shè)和規(guī)劃正在緊鑼密鼓進(jìn)行,雙網(wǎng)隔離早已成為電力企業(yè)信息安全的必修課。雙網(wǎng)隔離技術(shù)在一定程度上解決了電力企業(yè)信息化建設(shè)的困境,滿足了當(dāng)前安全需要。通過雙網(wǎng)隔離這樣的辦法,盡量減少互聯(lián)互通,減少接觸面,杜絕多出口多互連所帶來的業(yè)務(wù)是否需要上網(wǎng)界定不清無法控制問題,而且互聯(lián)互通程度越高,對人員、管理、運(yùn)維要求也越高。今天,日趨完善的網(wǎng)絡(luò)隔離產(chǎn)品已成為網(wǎng)絡(luò)信息安全體系中不可缺少的重要環(huán)節(jié),是防范非法入侵、阻擋網(wǎng)絡(luò)攻擊、防止內(nèi)部信息泄密的一種簡單而有效的手段。
安全隔離網(wǎng)閘是采用雙主機(jī)+物理隔離開關(guān)的硬件結(jié)構(gòu),結(jié)合高強(qiáng)度的網(wǎng)絡(luò)協(xié)議分析和控制的軟件系統(tǒng),共同構(gòu)建一個在網(wǎng)絡(luò)邊界處隔離網(wǎng)絡(luò)已知和未知攻擊行為的高端網(wǎng)絡(luò)安全設(shè)備。簡單的說,安全隔離網(wǎng)閘是一套雙主機(jī)系統(tǒng),兩個主機(jī)之間是永遠(yuǎn)斷開的,以達(dá)到物理隔離的目的,雙主機(jī)之間的信息交換是通過借助拷貝、鏡像、反射等第三方非網(wǎng)絡(luò)方式來完成的。當(dāng)數(shù)據(jù)需要從外網(wǎng)下載到內(nèi)網(wǎng),或者和內(nèi)網(wǎng)通訊時,安全隔離網(wǎng)閘在內(nèi)外網(wǎng)之間扮演著一種類似“信息渡船”的角色。信息技術(shù)是動態(tài)發(fā)展的,“道高一尺,魔高一丈”,安全不是絕對化的。
作者所在企業(yè)的雙網(wǎng)隔離方案是集團(tuán)本部和分公司分別部署安全隔離網(wǎng)閘,三級單位及電廠的內(nèi)外網(wǎng)實(shí)現(xiàn)完全的物理隔離。每個三級單位及電廠均有專線通道到分公司,每個分公司又有專線通道到集團(tuán)本部構(gòu)成整個集團(tuán)內(nèi)網(wǎng),大集中方式部署在集團(tuán)內(nèi)網(wǎng)的應(yīng)用系統(tǒng)正常情況下均通過集團(tuán)安全隔離網(wǎng)閘實(shí)現(xiàn)內(nèi)外網(wǎng)安全訪問和數(shù)據(jù)擺渡,分公司部署的應(yīng)用系統(tǒng)均從分公司安全隔離網(wǎng)閘實(shí)現(xiàn)內(nèi)外網(wǎng)安全訪問和數(shù)據(jù)擺渡,三級單位原則上不允許部署單獨(dú)的應(yīng)用系統(tǒng),現(xiàn)有系統(tǒng)將逐步集中到分公司層面,三級單位及電廠嚴(yán)禁內(nèi)外網(wǎng)互聯(lián)互通。這樣就形成了兩個網(wǎng)絡(luò),雙網(wǎng)(內(nèi)外網(wǎng))共存,內(nèi)網(wǎng)作為集團(tuán)企業(yè)內(nèi)部各業(yè)務(wù)應(yīng)用系統(tǒng)信息網(wǎng)絡(luò)基礎(chǔ)平臺,外網(wǎng)各單位分別與Internet國際互聯(lián)網(wǎng)互連。其實(shí)作者認(rèn)為外網(wǎng)也同樣應(yīng)該減少局域網(wǎng)與互聯(lián)網(wǎng)的互聯(lián)互通,因?yàn)槿藛T編制等原因,實(shí)際上各單位的信息網(wǎng)絡(luò)管理和維護(hù)水平和領(lǐng)導(dǎo)重視程度都不一樣,參差不齊。
分區(qū)分域防護(hù)原則
劃分安全域是構(gòu)建企業(yè)信息安全網(wǎng)絡(luò)的基礎(chǔ),提高抗擊風(fēng)險能力,提高可靠性和可維護(hù)性。內(nèi)網(wǎng)具體劃分為網(wǎng)絡(luò)核心區(qū)域、各業(yè)務(wù)應(yīng)用服務(wù)器區(qū)域、桌面辦公區(qū)域、廣域網(wǎng)接入?yún)^(qū)域、測試服務(wù)器區(qū)域、集中管控服務(wù)器區(qū)域和與外網(wǎng)安全隔離區(qū)域。網(wǎng)絡(luò)核心區(qū)域是企業(yè)信息安全網(wǎng)絡(luò)的心臟,它負(fù)責(zé)全網(wǎng)的路由交換以及和不同區(qū)域的邊界防護(hù)。這個區(qū)域一般包括核心交換設(shè)備、核心防火墻以及主動防攻擊和流量控制設(shè)備等。
各業(yè)務(wù)應(yīng)用服務(wù)器區(qū)域是內(nèi)部各應(yīng)用管理系統(tǒng)所在區(qū)域,包括企業(yè)門戶、辦公自動化、電子商務(wù)、HR人力資源系統(tǒng)、財務(wù)一體化、營銷、生產(chǎn)管理、ERP等內(nèi)部管理信息系統(tǒng)。桌面辦公區(qū)域包括接入交換機(jī)和員工桌面終端。廣域網(wǎng)接入?yún)^(qū)域包含由公司總部到集團(tuán)總部乃至各所屬機(jī)構(gòu)的專線安全設(shè)備以及交換路由設(shè)備,是公司總部至各單位的通信命脈。測試服務(wù)器區(qū)域是供系統(tǒng)開發(fā)人員所訪問的未上線的開發(fā)系統(tǒng)所在區(qū)域。集中管控服務(wù)器區(qū)域是內(nèi)網(wǎng)輔助類服務(wù)器區(qū)域,這個區(qū)域一般包括DNS、DHCP、防病毒、桌面管理系統(tǒng)、網(wǎng)管系統(tǒng)、IT運(yùn)維管理平臺和安全運(yùn)維管理平臺SOC等。
內(nèi)外網(wǎng)安全隔離區(qū)域是用于內(nèi)網(wǎng)與外網(wǎng)擺渡的區(qū)域,是內(nèi)網(wǎng)與外網(wǎng)通信的唯一出口,其主要設(shè)備是安全隔離網(wǎng)閘。各安全域的信息系統(tǒng)之間邊界鮮明,為安全防護(hù)體系設(shè)計和層層遞進(jìn)、逐級深入的安全防護(hù)策略提供了必要條件。網(wǎng)絡(luò)核心區(qū)域是整體信息網(wǎng)絡(luò)的核心,所有其他區(qū)域均經(jīng)過核心區(qū)域進(jìn)行交互,這個區(qū)域理所當(dāng)然地成為各個區(qū)域的安全邊界。以核心服務(wù)器區(qū)域?yàn)槔途W(wǎng)絡(luò)核心區(qū)域中間部署安全設(shè)備,對過往的流量起到控制作用,以達(dá)到安全防護(hù)。再以廣域網(wǎng)接入?yún)^(qū)域?yàn)槔途W(wǎng)絡(luò)核心區(qū)域中間部署安全設(shè)備和主動防攻擊設(shè)備,達(dá)到更高層級的防護(hù)。
分區(qū)域防護(hù)的設(shè)置,將降低外界對信息系統(tǒng)的物理攻擊和網(wǎng)絡(luò)攻擊的危害性,以確保內(nèi)部各網(wǎng)絡(luò)應(yīng)用系統(tǒng)的安全。外網(wǎng)具體可劃分為網(wǎng)絡(luò)核心區(qū)域、服務(wù)器區(qū)域、桌面辦公區(qū)域、DMZ區(qū)域、與內(nèi)網(wǎng)安全隔離區(qū)域和與Internet國際互聯(lián)網(wǎng)接入?yún)^(qū)域。外網(wǎng)的服務(wù)器區(qū)域類似內(nèi)網(wǎng)的輔助類服務(wù)器區(qū)域。與內(nèi)網(wǎng)交互的安全隔離區(qū)域包括安全堡壘機(jī)系統(tǒng)、認(rèn)證系統(tǒng)、SSLVPN系統(tǒng)。DMZ區(qū)域是提供給互聯(lián)網(wǎng)用戶訪問的系統(tǒng),主要包括WWW、Email、外部DNS等服務(wù)器,DMZ區(qū)域的服務(wù)器禁止訪問其他區(qū)域,避免來自互聯(lián)網(wǎng)用戶攻擊或控制DMZ區(qū)服務(wù)器后影響或威脅其他區(qū)域。拓?fù)浣Y(jié)構(gòu)如下圖:
應(yīng)用虛擬化接入原則
雙網(wǎng)隔離方案的建設(shè)極大提高了內(nèi)部網(wǎng)絡(luò)的信息安全水平,卻又面臨一個新的問題,內(nèi)外網(wǎng)之間信息安全交互受到制約,保密性(Confidentiality)和可用性(Availabili-ty)矛盾日益凸出。一方面隨著雙網(wǎng)建設(shè)的不斷深入和推進(jìn),對信息系統(tǒng)的安全性要求越來越高;另一方面隨著公司信息化建設(shè)的不斷深入,投入的業(yè)務(wù)系統(tǒng)不斷增加,用戶業(yè)務(wù)快速發(fā)展,商務(wù)出行及會議等逐漸增多,導(dǎo)致公司員工無法遵循業(yè)務(wù)要求的標(biāo)準(zhǔn)化,流程化,及時地處理文件,從而使整個業(yè)務(wù)停滯不前,同時隨著集團(tuán)雙網(wǎng)改造和建設(shè)的不斷深入和推進(jìn),原有VPN移動辦公解決方案從安全和性能上都已經(jīng)不能滿足要求,限制了信息系統(tǒng)的效益,阻礙了業(yè)務(wù)的處理。
移動辦公也面臨著諸多方面的挑戰(zhàn),今天的信息安全已經(jīng)從最初的網(wǎng)絡(luò)安全逐漸向應(yīng)用安全、數(shù)據(jù)安全和系統(tǒng)安全的全面安全體系發(fā)展,從基礎(chǔ)安全向細(xì)粒度的高階安全發(fā)展。雙網(wǎng)改造后,如何在安全的前提下實(shí)現(xiàn)內(nèi)外網(wǎng)數(shù)據(jù)的交互和便捷的移動辦公應(yīng)用?如何對員工的訪問進(jìn)行有效地控制,實(shí)現(xiàn)便捷高效訪問被授權(quán)資源?如何防止內(nèi)部人員泄密或其他未授權(quán)人員直接接入內(nèi)部網(wǎng)絡(luò)導(dǎo)致的泄密等?作者所在企業(yè)選擇了經(jīng)過公安部、電監(jiān)會、國家信息中心等權(quán)威部門的論證和充分的調(diào)研可行的立體解決方案,采用虛擬化技術(shù)的安全堡壘平臺和SSLVPN設(shè)備,使用數(shù)字證書或UKEY登錄,徹底解決了雙網(wǎng)環(huán)境下跨網(wǎng)訪問、移動辦公的難題。
安全堡壘平臺將應(yīng)用虛擬化技術(shù)應(yīng)用于信息安全領(lǐng)域,將應(yīng)用100%在服務(wù)器運(yùn)行,沒有任何應(yīng)用組件運(yùn)行于客戶端環(huán)境,以虛擬的方式與客戶端交互,實(shí)現(xiàn)一種新型的數(shù)據(jù)不落地的傳輸模式。虛擬化技術(shù)分離應(yīng)用的表現(xiàn)與計算,實(shí)現(xiàn)虛擬應(yīng)用交互、本地化應(yīng)用體驗(yàn),客戶端與服務(wù)器之間只傳遞鍵盤、鼠標(biāo)和熒屏變化等交互信息,沒有實(shí)際的業(yè)務(wù)數(shù)據(jù)流到客戶端,客戶端看到的只是服務(wù)器上應(yīng)用運(yùn)行的顯示鏡像。安全堡壘平臺的整體安全體系,包括事前安全策略規(guī)劃、事中安全訪問控制和事后安全審計三個層次,可以實(shí)現(xiàn)多級的用戶管理和細(xì)粒度的用戶授權(quán),可以完成對用戶整個生命周期的監(jiān)控和管理,制定統(tǒng)一的、標(biāo)準(zhǔn)的用戶賬戶安全策略,捆綁具體用戶,對用戶、行為和資源進(jìn)行授權(quán),以達(dá)到對權(quán)限的細(xì)粒度控制,最大限度保護(hù)用戶資源的安全。可以記錄和查詢用戶何時、多長時間、從哪里訪問、訪問設(shè)備的信息等。
還可以通過對用戶訪問的行為全程錄制,實(shí)現(xiàn)事后的審計與追溯。訪問控制策略是保護(hù)系統(tǒng)安全性的重要環(huán)節(jié),制定良好的訪問策略能夠更好的提高系統(tǒng)的安全性。最終用戶通過訪問SSLVPN設(shè)備,手機(jī)和平板電腦通過數(shù)字證書,筆記本電腦通過UKEY與安全堡壘平臺建立虛擬的專用VPN隧道加密,從而實(shí)現(xiàn)了4A(認(rèn)證Authentication、賬號Account、授權(quán)Authorization、審計Au-dit)的安全標(biāo)準(zhǔn)。
積極管控原則
隨著信息技術(shù)的快速發(fā)展,信息化建設(shè)的不斷提高,各種應(yīng)用系統(tǒng)逐漸上線運(yùn)行,各種業(yè)務(wù)也開始在網(wǎng)絡(luò)上開展起來,有些應(yīng)用已經(jīng)是在整個集團(tuán)正常運(yùn)行,同時網(wǎng)絡(luò)的擴(kuò)展也為病毒和木馬的傳播提供了便利的條件,各種極具破壞性的病毒在網(wǎng)絡(luò)中流竄,使網(wǎng)絡(luò)擁堵不堪,甚至癱瘓,也給一些不法分子和敵對國家獲取企業(yè)和國家機(jī)密信息和重要數(shù)據(jù)等信息提供了便利,所以健全的網(wǎng)絡(luò)建設(shè)和管理機(jī)制對維護(hù)企業(yè)和國家利益都有著重要意義,一旦網(wǎng)絡(luò)癱瘓或信息泄密,后果將不堪設(shè)想。因此信息安全的建設(shè)并沒有隨著雙網(wǎng)建設(shè)、分區(qū)防御的建設(shè)和應(yīng)用虛擬化移動辦公接入的建設(shè)而結(jié)束,反而對整體信息網(wǎng)絡(luò)的安全防護(hù)和監(jiān)督控制提出了更高的要求,必須要加強(qiáng)對信息安全的管理和控制,提高信息安全意識。
作者所在企業(yè)的信息網(wǎng)絡(luò)基礎(chǔ)平臺關(guān)鍵設(shè)備和鏈路通常采取雙機(jī)雙鏈路方式部署,實(shí)現(xiàn)負(fù)載均衡和單點(diǎn)失效保護(hù),利用可管理交換機(jī)、路由器、防火墻、防毒墻、上網(wǎng)行為管理、安全隔離網(wǎng)閘、堡壘機(jī)、統(tǒng)一認(rèn)證平臺、SSLVPN、IPS、IDS、WAF等網(wǎng)絡(luò)產(chǎn)品構(gòu)建安全高效的信息網(wǎng)絡(luò)基礎(chǔ)架構(gòu)平臺,在設(shè)備選型時盡可能考慮廠家異構(gòu)和產(chǎn)品異構(gòu),安全設(shè)備必須是國產(chǎn)自主知識產(chǎn)權(quán)產(chǎn)品,盡可能的規(guī)避由于產(chǎn)品和設(shè)備選型帶來的安全風(fēng)險。通過部署網(wǎng)管系統(tǒng)、IT運(yùn)維管理平臺和安全運(yùn)維管理平臺SOC,既滿足了信息安全運(yùn)維管理的需要,同時也能滿足國資委信息化檢查和數(shù)據(jù)收集報送的需要。
采取細(xì)分VLAN來減少網(wǎng)絡(luò)病毒影響的范圍,防止類似ARP泛洪攻擊,利用DHCP服務(wù)器綁定MAC地址方法管理客戶端IP地址,使用桌面安全管理系統(tǒng)有效管理和控制客戶端,包括安全接入控制、安全策略管理、U盤等移動存儲管理、資產(chǎn)管理、軟件分發(fā)、補(bǔ)丁管理、員工行為等管理。網(wǎng)絡(luò)管理人員在上述系統(tǒng)的輔助下及時對實(shí)時運(yùn)行的網(wǎng)絡(luò)進(jìn)行分析和管控,預(yù)判故障和攻擊行為,實(shí)行主動防御、及時處理,將這些對智能電網(wǎng)建設(shè)和運(yùn)行中可能發(fā)生的不安全因素,消滅在萌芽狀態(tài)之中。
隨著企業(yè)網(wǎng)絡(luò)建設(shè)規(guī)模的不斷擴(kuò)大及上網(wǎng)人員用戶的增加,不可避免帶來泄密隱患。企業(yè)必須正視現(xiàn)實(shí),處理好安全與應(yīng)用方便性之間的關(guān)系,提高認(rèn)識,高度重視信息網(wǎng)絡(luò)安全問題。對于因特網(wǎng)的弊端,不能矯枉過正,不能因?yàn)橐蛱鼐W(wǎng)對企業(yè)信息安全形成了巨大威脅,就強(qiáng)制要求所有單位和用戶斷開與因特網(wǎng)的連接,這樣無異于“因噎廢食”。在當(dāng)前“雙網(wǎng)隔離”不失為一種有效的解決方案,然后通過安全分區(qū)域防護(hù),部署相應(yīng)安全產(chǎn)品和系統(tǒng)保證各業(yè)務(wù)應(yīng)用系統(tǒng)和各種客戶端在授權(quán)模式下,都能安全訪問所需業(yè)務(wù)并實(shí)現(xiàn)事后追蹤審計。
當(dāng)然雙網(wǎng)隔離的應(yīng)用不但沒有降低對管理的要求,反而帶來新的管理問題,對管理要求日漸提升。我們要以“三分技術(shù)、七分管理”作為信息安全管理基本原則,其中最重要的還是人,我們不要太崇拜技術(shù),人的安全意識提高才是最重要的,現(xiàn)在很多信息網(wǎng)絡(luò)基礎(chǔ)平臺建設(shè)很全面,安全制度制定得也很完善,但在執(zhí)行過程中,常常被打破,被忽視,現(xiàn)在其實(shí)缺乏的不是技術(shù),很多時候欠缺的是一個完善的體系化的管理機(jī)制。
作者:李正忠 單位:云南華能瀾滄江水電有限公司
責(zé)任編輯:電力交易小郭
-
現(xiàn)貨模式下谷電用戶價值再評估
2020-10-10電力現(xiàn)貨市場,電力交易,電力用戶 -
PPT | 高校綜合能源服務(wù)有哪些解決方案?
2020-10-09綜合能源服務(wù),清潔供熱,多能互補(bǔ) -
深度文章 | “十三五”以來電力消費(fèi)增長原因分析及中長期展望
2020-09-27電力需求,用電量,全社會用電量
-
PPT | 高校綜合能源服務(wù)有哪些解決方案?
2020-10-09綜合能源服務(wù),清潔供熱,多能互補(bǔ) -
深度文章 | “十三五”以來電力消費(fèi)增長原因分析及中長期展望
2020-09-27電力需求,用電量,全社會用電量 -
我國電力改革涉及的電價問題
-
電化學(xué)儲能應(yīng)用現(xiàn)狀及對策研究
2019-08-14電化學(xué)儲能應(yīng)用 -
《能源監(jiān)測與評價》——能源系統(tǒng)工程之預(yù)測和規(guī)劃
-
《能源監(jiān)測與評價》——能源系統(tǒng)工程之基本方法
-
貴州職稱論文發(fā)表選擇泛亞,論文發(fā)表有保障
2019-02-20貴州職稱論文發(fā)表 -
《電力設(shè)備管理》雜志首屆全國電力工業(yè) 特約專家征文
2019-01-05電力設(shè)備管理雜志 -
國內(nèi)首座蜂窩型集束煤倉管理創(chuàng)新與實(shí)踐
-
人力資源和社會保障部:電線電纜制造工國家職業(yè)技能標(biāo)準(zhǔn)
-
人力資源和社會保障部:變壓器互感器制造工國家職業(yè)技能標(biāo)準(zhǔn)
-
《低壓微電網(wǎng)并網(wǎng)一體化裝置技術(shù)規(guī)范》T/CEC 150
2019-01-02低壓微電網(wǎng)技術(shù)規(guī)范
-
現(xiàn)貨模式下谷電用戶價值再評估
2020-10-10電力現(xiàn)貨市場,電力交易,電力用戶 -
建議收藏 | 中國電價全景圖
2020-09-16電價,全景圖,電力 -
一張圖讀懂我國銷售電價附加
2020-03-05銷售電價附加