1内网管控在电力二次系统安全防护建设中的实践.pdf

亿仕内网安全管控系统 + 亿仕安全优盘 内网管控在电力二次系统安全防护建设中的实践 电力二次系统安全防护建设的背景 电力行业作为国家的重点支柱行业，涉及到整个国家的经济发展和社会稳定，在整个国 民经济体系中具有举足轻重的作用。近年来我国电力行业的信息化进程发展迅速，尤其是近 期,国家电网公司以 1 号文件的形式公布了今后 10 年的“坚强智能电网”的建设规划，规划 提出,到2020年,我国将基本建成“坚强智能电网”。电力行业信息化已经从大规模建设阶段 进入“建设与应用并重，着力深化应用”的新阶段。目前，国家电网公司已实现了总部、网 省纵向贯通，相关业务横向集成，构建起全球规模最大、用户数最多的企业级信息网络。信 息网络在国家电网公司发展中的作用变得日益重要，在这种形势下，信息安全问题也日益成 为大家关注的焦点。 06年，电监会印发了34号文件《电力二次系统安全防护总体方案》，确定了电力二次系 统安全防护体系的总体框架，细化了电子二次系统安全防护总体原则，指出需要对电力二次 系统整体安全保障进行全面的建设，抵御黑客、病毒、恶意代码等各种形式的攻击，防止电 力二次系统的崩溃或瘫痪以及由此导致的发电厂一次系统事故。 为满足电监会34号文件要求，大多数电力企业在信息安全建设过程中，都把二次系统的 安全防护作为重中之重。但是我们考察的很多企业，虽然非常重视二次系统的安全防护，但 在安全防护改造工程中，没有从本质上理解总体方案，导致很多安全防护建设做的不够深入。 为此一定要理解电监会05年提出的5号令《电力二次系统安全防护规定》里的十六字方针， 即 “安全分区、网络专用、横向隔离、纵向认证”。 电力行业网络环境与用户需求 图：二次系统横向分区结构 1 亿仕内网安全管控系统 + 亿仕安全优盘 上图是典型的二次系统横向分区结构和初步的安全防护措施，生产控制区和管理信息区 之间采用专用安全隔离设备进行隔离，大区内部则采用防火墙进行逻辑隔离，并且部署了入 侵检测、病毒防护、漏洞扫描等安全检测设备。初步的安全防护措施更加注重网络边界的安 全，而容易忽视内网的安全，尤其是管理信息区办公内网的安全。电力行业的内网结构复杂、 应用系统众多，网络和应用系统的运维消耗了管理人员相当的精力。然而，根据统计发现， 企业内网和应用系统发生故障的原因很少是由于网络设备和应用系统自身的问题，更多的是 因为企业内网的其它安全因素导致，如病毒爆发、资源滥用、恶意接入、用户误操作等。而 这些安全因素，则几乎全部来源于用户终端计算机。因此，企业内网和应用系统的维护管理 不是独立的，应该从内网安全管理的全局出发，从事故发生的根源开始，对内网安全进行通 盘考虑。 当前电力行业内网安全管理面临不少问题，这些问题可以分为如下几类： 1) 终端计算机的接入控制 电力行业企业一般来说都属于大中型企业，内网计算机数量众多。管理人员很难统计内 网计算机的确切数量，也无法区分哪些是内网授权使用的计算机，哪些是外来的非授权使用 的计算机。这种状况下，很难控制外来人员的计算机的随意接入，这就很容易导致企业内网 机密信息的泄漏，往往等泄密事件发生了，却还无法判断到底是哪一个环节出了差错。另外， 对于内网授权使用的计算机，如果其中任何一台感染了病毒和木马，管理人员也无法及时定 位和自动阻断该计算机的破坏行为。在实际情况中，管理人员往往需要花费很长的时间才能 判断和定位该计算机，然后再通过手动的方式断网。对安全强度差的终端计算机缺乏有效的 安全状态检测和内网接入控制，是IT管理人员比较头疼的问题之一。 2) 移动存储介质的安全问题 多样化的U盘、移动硬盘、手机/MP3/MP4、CF/MD/SD卡、数码相机以及各类Flash Disk 等移动存储介质容量越来越大，体积越来越小，携带使用方便，这类移动存储设备为信息传 递带来便捷的同时，也给企业内网信息安全带来严重的隐患，包括移动存储导致信息泄漏、 交叉使用、病毒木马传播等。目前绝大部分普通 U 盘基本没有安全措施，无法提供硬件级加 密、安全审计、口令