大亚湾核电站企业网安全体系规划和建设.pdfVIP

2005年全国发电企业信息化技术研讨会论文集 大亚湾核电站企业网安全体系 规划与建设 叶志强吴挺春增军包立新 陈双平 邓兆海徐宏文赵志中 张勇 (大亚湾核电运营管理有限责任公司信息技术中心) 摘要： 本文全面细致的描述了大亚湾核电站近二十年来建立的基于多种规范、多项技术的立体化，主 动式的企业网安全体系． 关键词：安全防火墙入侵检测网络监控方病毒CA证书 大亚湾核电站是我国大陆第一座大型商用核电站，到目前已成功实现安全运行超过十周年。按 照国务院确定的“以核养核，滚动发展”方针，继大亚湾核电站投产后，目前已在广东地区兴建的第 二座大型商用核电站——岭澳核电站一期。目前岭澳核电站二期也己开始建设。随着大亚湾地区核 电站的陆续建设，支持电厂运行，建设的计算机网络，信息系统的建设也越来越完善，规模也越来越大。 随之也需要一个完善的安全体系来保证网络，信息系统的安全。大亚湾核电站企业网的安全体系经过 将近20年的建设，目前己建立基于多种规范、多项技术的立体化、主动式的企业网安全体系。 大亚湾核电站企业网安全规划参照国家相关法规和信息安全管理国际标准标准如ISO17799以 及BS7799进行，从可实施性、可管理性、可扩展性、综合完备性、系统均衡性等方面综合考虑设 计实施。作为全方位的、整体的网络安全防范体系也是分层次的，不同层次反映了不同的安全问题， 根据网络的应用现状情况和网络的结构，大亚湾核电站安全防范体系的范围划分为物理安全、外部 网安全、内部网安全、广域网安全、Intemet安全、应用安全等几方面。下面从这几方面进行简单描 述。 1物理安全 该层次的安全包括通信线路的安全，物理设备的安全，机房的安全等。物理层的安全主要体现 在通信线路的可靠性(线路备份、网管软件、传输介质)，软硬件设备安全性(替换设备、拆卸设备、 增加设备)，设备的备份，防灾害能力、防干扰能力，设备的运行环境(温度、湿度、烟尘)，不间 断电源保障，等等。 大亚湾目前有完善的超过200条的各种光缆系统，主要楼宇，楼层内部都有冗余光缆，保证了通 信线路的冗余安全。核心交换机之间至少双链路互联。核心交换机及主要服务器平常通过机柜加锁 2005年全国发电企业信息化技术研讨会论文集 的方式进行物理防护，避免不必要的物理误操作。 物理安全最重要的一点是机房安全管理。大亚湾主要机房都部署有统一的机房监控系统和门径 系统。同时《主机房管理规定》对机房安全的内容提出明确规定。 2外部网的安全 整个大亚湾地区各电站／公司采用统一的Internet出口及统一的外网安全系统。 安全系统构建以防火墙为核心的安全体系，通过防火墙和IDS等相关安全体系相联合，充分发 挥各自的长处，协同配合，实现防火墙和IDS、防病毒系统实现联(互)动，建立一个有效的安全 防范体系。充分发挥各专业厂商的技术优势，形成有机的整体安全性。 2．1 防火墙及入侵检测系统 Firewall．1 大亚湾核电站Internet防火墙系统采用集成了目前世界上最先进的CheckPointNGAI 防火墙软件的电信级NokiaIP530网络安全平台。在防火墙内部，配置NokiaIP 380及相关一整套安 氏入侵检测安全系统，对网络、服务器进行实施安全检测，一旦发现入侵，系统可以马上切断用户 进程，和做出各种安全反应。 2．2邮件系统防病毒及反垃圾邮件 防DoS攻击等复合保护，并且实现了自动安全升级，系统时时处在晟佳防御状态。 2．3代理服务器 eServer 代理服务器采用IBM X255双机，代理软件采用Microsoft1SA2000 ISAServer2000是Windows2000 Server平台上同时具有防火墙与网站缓存的服务器软件。大亚湾核 电站代理服务器系统1SA2000通过定义不同的策略，对不同用户进行基于AD帐号等方式的不同授 权。