电力企业网络安全技术与应用.docVIP

电力企业网络安全技术与应用 【摘 要】结合国网咸阳供电公司实际情况，探讨电力信息网络安全技术与应用，安全技术通过加密U盘、隔离、入侵检测、防毒防漏洞、防火墙、MPLS VPN等阐述安全技术与实际应用。 【关键词】网络安全；信息安全； 安全隔离；MPLS-VPN 1 引言 随着技术的不发展网络安全面临越来越多的挑战；从U盘到病毒、漏洞；从蠕虫到非法入侵等等电力信息网络面临各种各样的威胁。本文主要阐述电力信息网络安全的技术手段在实际工作中的应用。 2 电力企业信息安全技术手段 2.1 安全U盘 广泛使用安全U盘对文件加密、信息摘要和访问控制等安全措施，来实现文件存储和传输的保密和完整性要求，并实现对文件访问的控制。通过安全U盘对数据加密、信息摘要和数字签名等安全措施对通信过程中的信息进行保护，实现数据在通信中的保密、完整和不可抵赖性安全要求。即使安全U盘丢失都不会造成公司信息的泄露。 2.2 网络隐患扫描 通过我局统一网管平台对网络隐患扫描系统能够扫描网络范围内的所有支持TCP/IP协议的设备，扫描的对象包括扫描多种操作系统，扫描网络设备包括：服务器、工作站、防火墙、路由器、路由交换机等。在进行扫描时，可以从网络中不同的位置对网络设备进行扫描。扫描结束后生成详细的安全评估报告，采用报表和图形的形式对扫描结果进行分析，可以方便直观地对用户进行安全性能评估和检查。此项工作也可在防火墙的管理界面里监控；也可采用第三方的网管软件管理。 2.3 入侵检测 入侵检测系统是专门针对黑客攻击行为而研制的网络安全产品。国际上先进的分布式入侵检测构架，可最大限度地、全天候地实施监控，提供企业级的安全检测手段。在事后分析的时候，可以清楚地界定责任人和责任事件，为网络管理人员提供强有力的保障。入侵检测系统采用攻击防卫技术，具有高可靠性、高识别率、规则更新迅速等特点。系统具有强大的功能、方便友好的管理机制，可广泛应用于电力行业各单位。此设备与防火墙联动有效防止黑客等网络攻击。 2.4 网络防病毒放漏洞 此类设备以我局应用趋势防毒软件为例，趋势软件可以采用C/S模式，在网络防毒服务器中安装杀毒软件服务器端程序，以服务器作为网络的核心，通过派发的形式对整个网络部署查、杀毒，服务器通过Internet利用LiveUpdate（在线升级）功能，从免疫中心实时获取最新的病毒码信息和操作系统漏洞补丁信息，及时更新病毒代码库和系统漏洞补丁信息。为保护整个电力信息网络免受病毒侵害，保证网络系统中信息的可用性，应构建从主机到服务器的完善的防病毒体系。服务器和网络工作站都安装客户端软件，利用从服务器端获取的病毒码信息对本地工作站进行病毒扫描，并对发现的病毒采取相应措施进行清除。同时拒绝不安装客户端软件、有系统漏洞的用户接入信息网。客户端根据需要可用三种方式进行病毒扫描：实时扫描、预置扫描和人工扫描。由于病毒扫描可能带来服务器性能上的降低，因此可采用预置扫描方式，将扫描时间设定在服务器访问率最低的夜间。网络工作站可根据各自需要，选择合适的方式进行病毒扫描。客户端采用登录网络自动安装方式，确保每一台上网的计算机都安装并启动病毒防火墙。同时要注意，选择的网络防病毒软件应能够适应各种系统平台，各种数据库平台，各种应用软件。 2.5 物理隔离 主要用于电力信息网的内外网之间的隔离。并严格遵守“上网不涉密，涉密不上网”原则。使用隔离机或隔离卡等设备隔离信息内网计算机与信息外网计算机；物理隔离做到企业内网计算机与上外网计算机分开使用。 2.6 防火墙安全网关 此类设备以防火墙为代表。防火墙是企业信息网络的第一道屏障，这里的外网包括到不同层次的电力网、其他信息网如政府网和银行网络、internet，所有的访问都将通过防火墙进行，不允许任何绕过防火墙的连接。DMZ停火区放置了企业对外提供各项服务的服务器，即能够保证提供正常的服务，又能够有效地保护服务器不受攻击。要正确设置防火墙的访问策略，遵循“缺省全部关闭，按需求开通的原则”，拒绝除明确许可外的任何服务，也即是拒绝一切未予准许的服务。与Internet连接的防火墙的访问策略中，必须禁止Rlogin，NNTP，Finger，Gopher，RSH，NFS等危险服务，也必须禁止Telnet，Terminal Server等远程管理服务。 2.7 虚拟专用网络 数据安全传输： 采用MPLS-VPN 技术对网络信息进行加密、信息摘要和访问控制等安全措施，来实现文件存储和传输的保密和完整性要求，并实现对文件访问的控制。对通信安全，采用数据加密、信息摘要和数字签名等安全措施对通信过程中的信息进行保护，实现数据在通信中的保密、完整和不可抵赖性安全要求。对远程接入安全，通过VPN技术，提高时的信息（如电子公文，MAIL等等）在传输过程中的保密性和安全性。 3