刍议电力信息网络安全防护技术.docVIP

刍议电力信息网络安全防护技术 　　摘 要：随着电力企业信息化的深入与发展，信息安全防护将进一步加强。电力信息网作为信息传输的载体，将结合省电网公司推进的信息安全等级保护建设要求，深入实施信息网络安全防护技术。文章主要介绍市级电力企业信息网络安全技术的应用，通过电力企业管理信息网络的分区分域、边界防护及网络安全配置等防护技术的实施部署，深入研究市级电力企业的信息网络安全防护工作，推进信息系统安全等级保护体系建设。 关键词：边界防护；安全域划分；入侵检测；等级保护 中图分类号： TM247 文献标识码： A 文章编号： 0 引言 随着电网公司SG186工程的实施和信息化建设的逐步推进，重要应用系统已集中部署到省公司，市级电力企业将主要负责数据采集和网络实时传输工作，信息网络的安全稳定性将直接影响信息系统的安全、可靠。电力企业通过网络分区分域、边界防护、规范安全配置及部署网络监测防护等手段，建立信息网络安全防护体系，提高了信息安全运行水平。 1 企业信息网分区分域 1.1 信息网络分区 电力企业信息网络分为信息外网区和信息内网区。结合资金、通道资源等因素考虑，省、地、县信息广域骨干网将做内外网逻辑隔离，全部骨干网节点上投运具备MPLS-VPN功能的高端路由器设备，信息外网以信息内网为承载网，开通MPLS-VPN通道到各地、县本地网接入点，地、县本地局域网以物理隔离方式分别组建信息内网和信息外网实现内外网隔离。 1.2 安全域建设 网络安全的基本策略是进行安全区域划分，根据信息业务安全等级差异可划分不同安全等级的区域，实现对安全风险的有效隔离。市级电力企业主要的营销管理系统、生产管理系统、协同办公系统等已全部集中部署在省公司，因此在市公司中，系统均为二级系统。根据网络安全域与网络功能区相匹配的原则，信息内网安全域可划分为系统服务器域和内网终端域两个，并通过防火墙实现安全风险隔离。信息外网因没有对外业务应用系统，全部为外网终端，因此外网只有外网终端域。信息内网网络示意图如图1所示: 图1 信息内网网络示意图 2 网络边界防护 边界防护是指网络区域间和区域内所有网络流量必须在明确的策略允许下进行传输，数据流进行严格的控制，包括数据流的源和目的地址，控制精度达到端口级，默认拒绝所有不确定的数据流。边界的隔离防护功能可以从物理上实现，也可在网络层和系统层实现。市级电力企业信息内外网实现物理隔离方式，信息内网不存在第三方边界，信息内网的网络边界根据区域网络数据流向划分为纵向边界、横向边界和终端接入边界。划分示意图如图2所示。 图2 边界划分示意图 2.1 纵向边界防护 市级信息网络纵向边界分为上联省公司边界和下联县级公司边界两部分，边界划分和隔离方式基本相同，采用BGP协议划分不同的自治系统域网络边界，以口字形方式双机冗余连接，部署防火墙做网络边界隔离，通过防火墙的访问控制策略实现数据流的纵向访问控制防护。 2.2 横向边界防护 市级信息网络横向边界分为安全域间边界防护和网段间防护。安全域边界防护采用防火墙作边界安全策略配置，实现服务器域和内网终端域间的安全访问控制；网段间防护包括服务器网段VLAN划分和内网终端域网段VLAN划分，通过在网络设备层上配置详细的VLAN访问控制策略实现网段间的边界防护。 2.3 终端接入边界防护 终端接入边界防护主要是计算机终端和接入层交换机的安全接入控制，包括设备接入许可控制和外联阻断。设备接入控制采用网络层的IP-MAC地址绑定功能做接入许可控制，并在网络设备端作端口访问控制策略；外联阻断控制是部署终端管理系统实时对设备外联进行检测，如有连接外网可主动发起阻断操作并告警，通过应用系统层做边界接入防护。 3 规范网络安全配置 网络安全威胁是实际存在的，网络本身的安全性配置是网络系统的安全基础，可最大程度地降低网络层的攻击威胁。如何正确有效地启用各类网络安全配置是网络日常维护深入的重点。网络设备安全配置总体包括网络服务、网络协议和网络访问控制三方面。以cisco网络设备为例，列举以下安全配置： 4 网络安全监测防护 4.1 网络管理系统 网管系统可对网络设备进行远程管理和状态监控，实现对网络内所有网络设备的告警监测和故障定位，使用运行管理功能能提供网络故障预警、故障定位。同时能确定网络设备CPU、内存的负荷、站点的可到达性、网络链路流量、传输速率、带宽利用率、时延、丢包等。并发现系统的物理连接和系统配置的问题，进而优化网络性能、提高网络运行效益。是网络管理员管理网络的重要手段。 4.2 入侵检测系统 人侵检测系统能提供安全审计、监视、攻击识别和防攻击等多项功能