电力信息系统等级保护安全策略探究.docVIP

电力信息系统等级保护安全策略探究 　　摘 要：随着社会的不断发展，电力信息系统也在不断地发展，越来越受到电力部门的重视。该课题的目标为解决电力工程安全体系建设中所面临的问题。通过阅读该课题可以理解信息安全建设的层次及过程，有效地将信息安全总体方案进行贯彻执行 关键词：电力 信息安全防护 等级保护 安全域 中图分类号：TP309 文献标识码：A 文章编号：1674-098X（2016）12（b）-0055-03 为深化电力信息化工程安全防护体系建设，落实工程安全防护总体方案，制定此操作指引，为电力信息化依据总体方案开展信息安全建设提供参考 1 安全域划分设计 依据国家电网公司安全分区、分级、分域及分层防护的原则，首先，各单位网络分为管理信息大区与生产控制大区；其次，管理信息大区按照双网隔离方案又分为信息内网与信息外网。电力工程安全防护总体方案的设计作用范围为信息内网和信息外网的一体化平台以及八大业务应用相关系统，在进行安全防护建设之前，应首先实现对信息系统的安全域划分 对于一体化平台与八大业务应用安全域划分依据总体方案中定义的“二级系统统一成域，三级系统独立分域”的方法进行，信息内网的系统基本上可分为：（1）ERP系统域；（2）电力市场交易系统域；（3）财务（资金）管理系统域；（4）办公自动化系统域（总部）；（5）营销管理系统域；（6）二级系统域；（7）桌面终端域。信息外网的系统可分为：（1）外网应用系统域；（2）桌面终端域 安全域的具体实现可采用物理防火墙隔离、虚拟防火墙隔离或Vlan隔离等形式。基本实现目标为划分各域网络边界并进行访问控制 进行安全域划分后，国家电网公司总部、网省、地市所划分出的安全域与数量如表1所示 2 安全域的实现设计 安全域实现方式以划分逻辑区域为目标，旨在实现各安全区域的逻辑隔离，明确边界以对各安全域分别防护，并且进行域间边界控制，安全域的实体展现为一个或多个物理网络或逻辑网段的集合。对安全域的划分手段可以参考采用如下方式（以下方式可能出现技术重叠，以最终实现网络分域并可进行访问控制为目标） 2.1 防火墙安全隔离 可采用双接口或多接口防火墙进行边界隔离，在每两个安全域的边界部署双接口防火墙，或是采用多接口防火墙的每个接口分别与不同的安全域连接以进行访问控制 2.2 虚拟防火墙隔离 采用虚拟防火墙实现各安全域边界隔离，虚拟防火墙可以将一台防火墙在逻辑上划分成多台虚拟的防火墙，每个虚拟防火墙系统都可以被看成是一台完全独立的防火墙设备，可拥有独立的系统资源、管理员、安全策略、用户认证数据库等。在该方案中，可以实现为每个安全域建立独立的虚拟防火墙进行边界安全防护 2.3 三层交换机Vlan隔离 采用三层交换机为各安全域划分Vlan，采用交换机访问控制列表或防火墙模块进行安全域间访问控制 2.4 二层交换机Vlan隔离 在二层交换机上为各安全域划分Vlan，采用Trunk与路由器或防火墙连接，在上联的路由器或防火墙上进行访问控制 对于一个应用的子系统跨越多个物理环境如设备机房所带来的分域问题，由于安全域为逻辑区域，可以将一个公司层面上的多个物理网络或子网归属于同一安全域进行安全体系建设 3 明确所要防护的对象 在进行安全防护体系建设之前，首先需明确所要防护的对象，将所要防护的对象对应至整体信息网络环境与相应的安全域中，设计所保护域的边界、网络、主机及应用 （1）边界安全防护。针对信息内外网第三方边界、纵向上下级单位边界以及横向域间边界进行安全防护 ①信息外网第三方边界为国家电网公司信息外网与互联网的网络边界 ②信息内网第三方边界为国家电网公司信息内网与其他利益相关方（如银行、代收机构）间的网络边界 ③信息内外网边界为信息内网与信息外网间的边界，采用逻辑强隔离装置进行隔离 ④纵向上下级单位安全边界包括国家电网总部与各网省分司间、各网省公司与地市公司间、地市与县级单位间的网络边界 ⑤横向域间边界指划分出的各安全域之间的边界，如营销管理系统域与ERP系统域之间的边界属于横向边界 在进行边界安全防护之前，首先应当制定出边界清单，对各网络边界进行登记 （2）网络环境安全防护。包括所要防护的基础网络及安全域范围内的网络设备和安全设备 （3）主机系统安全防护。包括承载所防护的安全域中的应用系统的操作系统、数据库的安全防护 （4）业务应用安全防护。包括应用系统及通过用户接口、数据接口所传输数据的安全防护 4 可共用的安全防护措施设计 划分安全域防护带来的成本增加主要为网络边界隔离设备的投入和网络安全防护设备的投入 （1）逻辑隔离设备的成本。如，防火墙、路由器等成本。针对逻