电力企业信息安全网络建设原则与实践.docVIP

电力企业信息安全网络建设原则与实践 　　【摘要】信息安全已经成为电力企业网络建设的必修课，坚持以“双网隔离、分区分域防护、应用虚拟化接入、积极管控”为原则构建的信息网络平台，可以更好地保证企业信息网络安全、可靠、高效的运行，为实现电力智能企业的宏伟目标打好坚实基础。 　　【关键词】信息安全双网隔离分区分域安全接入积极管控 　　在信息化时代，网络空间承载着国家政治、经济、文化和军事发展与安全的重荷，网络空间存在的黑客攻击、网络犯罪和网络恐怖主义事件层出不穷，网络空间安全已上升到国家安全战略的层面，美国政府于2011年5月16日发布的《网络空间国际战略》引起世界各国瞩目，向我们传递了许多新的信息，值得认真思考和研究，同时也为中国与时俱进地提升网络安全战略地位，转换网络安全建设思维，增强国家网络安全利益的护持力度提出参考和要求。本文在遵循国家信息安全等级保护政策、标准及电力行业相关要求下，结合作者所在单位的信息安全网络建设实际情况，探讨如何建设安全、可靠、高效的电力企业信息安全网络。 　　一、双网隔离原则 　　随着电力企业信息化建设不断推进，现在许多企业都建设了自己的网络系统，是以企业门户、办公自动化、电子商务、HR人力资源系统、财务一体化、营销、生产管理、ERP内部运行管理系统等，极大的提高了办公效率，实现信息的实时传输和信息共享。通过与Internet国际互联网相连，方便员工查找相关的技术资料，及时了解和掌握最新咨询。由于信息技术的发展又不断推动现代办公逐渐走向信息化、智能化、移动化，宽带技术的增强、无线网络的普及，促使移动办公得到飞速发展，传统的办公室随之拓宽领域，办公不再拘泥于办公室，无处不在的网络使随时随地进行办公成为可能，移动办公使办公效率大大提高，突破了时间与空间的局限。但是在给我们带来极大便利的同时也带来了严重的安全问题，尤其是病毒破坏、黑客入侵，甚至系统内部的泄密，信息化条件下各种网络的普及，为黑客提供了展示其娴熟技法的空间和舞台，它能在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息。众所周知，国际互联网是以国际化、开放和互联为特点的，而安全度和开放度永远是一对矛盾。虽然，目前可以利用防火墙、防毒墙、代理服务器、入侵检测等技术手段来抵御来自互联网的非法入侵，但至今这些技术手段都还存在许多漏洞，还不能很好地解决信息的安全问题。在现在国际互联网网络不可掌控的情况下，当今信息安全问题已经上升到国家安全层面，全球都很重视，信息网络安全面临“外侵内泄”的情况下，用类似“惹不起，躲得起”的智慧，推导出留得青山在，以退为进的柔性曲线安全策略，双网隔离的解决方案。 　　在国家和行业几个红头文件下发之后，电力企业的信息化建设和规划正在紧锣密鼓进行，双网隔离早已成为电力企业信息安全的必修课。双网隔离技术在一定程度上解决了电力企业信息化建设的困境，满足了当前安全需要。通过双网隔离这样的办法，尽量减少互联互通，减少接触面，杜绝多出口多互连所带来的业务是否需要上网界定不清无法控制问题，而且互联互通程度越高，对人员、管理、运维要求也越高。今天，日趋完善的网络隔离产品已成为网络信息安全体系中不可缺少的重要环节，是防范非法入侵、阻挡网络攻击、防止内部信息泄密的一种简单而有效的手段。安全隔离网闸是采用双主机+物理隔离开关的硬件结构，结合高强度的网络协议分析和控制的软件系统，共同构建一个在网络边界处隔离网络已知和未知攻击行为的高端网络安全设备。简单的说，安全隔离网闸是一套双主机系统，两个主机之间是永远断开的，以达到物理隔离的目的，双主机之间的信息交换是通过借助拷贝、镜像、反射等第三方非网络方式来完成的。当数据需要从外网下载到内网，或者和内网通讯时，安全隔离网闸在内外网之间扮演着一种类似“信息渡船”的角色。信息技术是动态发展的，“道高一尺，魔高一丈”，安全不是绝对化的。 　　作者所在企业的双网隔离方案是集团本部和分公司分别部署安全隔离网闸，三级单位及电厂的内外网实现完全的物理隔离。每个三级单位及电厂均有专线通道到分公司，每个分公司又有专线通道到集团本部构成整个集团内网，大集中方式部署在集团内网的应用系统正常情况下均通过集团安全隔离网闸实现内外网安全访问和数据摆渡，分公司部署的应用系统均从分公司安全隔离网闸实现内外网安全访问和数据摆渡，三级单位原则上不允许部署单独的应用系统，现有系统将逐步集中到分公司层面，三级单位及电厂严禁内外网互联互通。这样就形成了两个网络，双网（内外网）共存，内网作为集团企业内部各业务应用系统信息网络基础平台，外网各单位分别与Internet国际互联网互连。其实作者认为外网也同样应该减少局域网与互联网的互联互通，因为人员编制等原因，实际上各单位的信息网络管理和维护水平和领导重视程度都不一样，参差不齐