电力网安全管理.docVIP

电力网安全管理 　　近几年，在“统一规划，分步实施”的原则下，某供电所先后投入了Norton防病毒系统、SUS系统等，以保障电力网的安全。 　　某市电业局下辖的供电所从1995年开始使用单机的电费结算系统开始，到现在，其企业信息网已经建成以千兆网为骨干、百兆到桌面的信息网络，网络已经深入到各级管理班组。 　　由于网络的互联互通，随之而来的是病毒等危害。2003年7月“红色代码”病毒和2004年3月“冲击波”病毒，对该供电所的计算机都有影响，先后有5台次的电脑感染病毒，对供电所的工作造成了一定的影响。由于供电所从1995年使用单机计算机应用系统时就比较重视数据保护等工作，再加上几年来电力营销、GIS、OA等应用系统先后投入，这两次病毒事件没有造成数据丢失等严重事故。 　　 　　内网安全解决方案 　　 　　信息安全涉及到信息的保密性、完整性、可用性、可控性。综合起来说，就是要保障电子信息的有效性。现在，在企业网安全中常用的技术有: 防病毒、防火墙、入侵检测、VPN(Virtual Private Network)、漏洞扫描、数据备份以及SUS系统――软件升级服务系统等。 　　该供电所上级单位的信息安全管理的总架构如图1所示。 　　 　　图1 信息安全管理总体架构 　　近几年，在“统一规划，分步实施”的原则下，供电所先后投入了Norton防病毒系统、SUS系统等，其上级单位还投入了防火墙系统、入侵检测系统（IDS）、漏洞扫描系统、网络隔离装置、数据备份系统、VPN系统等。 　　 　　1. 防火墙系统 　　供电所使用的主要有东软的NetEye防火墙和网核防火墙其架构如图2。根据应用系统重要程度等级的划分，制定了不同的策略。其运用了东软NetEye防火墙最主要和最核心的包过滤功能，对ICMP、UDP、TCP等常用的IP协议簇的协议进行了详细的处理。除此之外，对非IP协议也进行了处理，封闭了部分常见病毒和木马攻击的服务端口，如封闭了常见病毒一般使用的135～139端口。 　　 　　图2 防火墙系统架构 　　此外，供电所还启用了NAT（地址翻译功能）规则、地址绑定规则、多播规则、非IP规则、流量限制规则等。对远程访问服务器前的防火墙设置了能够访问的IP范围，并加强审计，防止远程访问帐号被盗用，危害整个信息网络。防火墙对该供电所整个网络的安全，对网络流量控制等起到了非常大的作用，提高了网络的可靠性。 　　 　　2．防病毒系统 　　供电所采用的是Symantec防病毒产品，提供全方位、多层次的、整体的网络防病毒解决方案，采用模块化（NAVEX）的升级方式，计算机在升级完最新的病毒定义码和扫描引擎后无需重新启动计算机。在其上级单位建有计算机防病毒服务器系统，实现统一集中的管理，如防病毒软件的安装、维护、病毒定义码和扫描引擎的更新升级、网络防病毒策略的配置、报警的集中管理、定时调度、隔离、实时扫描和监控等。 　　 　　3.VPN系统 　　在企业中，大家要常外出，有时文件不能及时批阅，不能访问企业网站，及时掌握企业信息。为此，该供电所上了VPN系统。系统技术结构如图3。 　　 　　图3 VPN系统架构 　　NetEye VPN 同时集成了防火墙和VPN的功能，具有NetEye防火墙先进的体系结构和可靠的安全性，可防御各种攻击，保护了VPN自身的安全性，具有与防火墙一致的身份验证机制，具有VPN产品数据传输的完整性和机密性。由密钥管理中心、VPN 网关、VPN 灵巧网关和VPN 移动客户端组成。VPN客户端可以与NetEye VPN网关建立加密的数据通道，进行安全的数据传输，身份验证可采用用户名/口令或者令牌，支持Radius协议与第三方认证服务器集成。 　　 　　4．数据备份系统 　　供电所的数据备份体系采用的是磁带库＋备份软件的模式进行数据备份，利用STK L/180磁带库和VERITAS备份软件，对于办公自动化系统，由于IBM AS/400的不开放性，采用的是STK+TSM+BRMS备份模式，TSM和BRMS是IBM公司的产品，BRMS能够实现对Domino数据库的在线备份。备份策略根据系统的不同有系统全备份、冷备份、增量备份、差量备份等。采用的是Lanfree备份方式，节省网络资源。在Veritas软件具有强大的报表功能，可以对备份任务、介质、磁带库、备份量等信息形成各种报表。 　　此外，在仍然有大量的文件和报告时候，供电所采用的数据备份方法是: 购买了一个NAS文件服务器，根据工作岗位和审批表，分配给员工大小不等的空间，供大家保存重要文件; 在办公计算机上划分分区，把重要文件放置在不同的硬盘上，很重要的文件，自己再拷贝到U盘上。由于电力紧缺，常发生停电现象，所以他们给每台计算机配置