电力企业管理信息系统提供外网应用的安全防护技术研究.pdfVIP

电力企业管理信息系统提供外网应用的安全防护技术研究 华能新能源股份有限公司云南分公司 王忠超周跃东 刘林辉 杨曦 常梦星 I摘要l按照电力监控系统安全防护要求，管理信息大区与外网边界需配置防火墙，随着国家信息安全重要性的不断 提升，在保障电力监控系统系统安全的同时，确保企业敏感信息不被泄露变得尤其重要，早期的防火墙配置方案已无法满足网 络信息安全防护要求，本文就如何提升管理信息大区与外网边界安全防护水平进行研究，为电力企业管理信息系统提供外网应 用提出可行方案。 I关键词】 电力企业 网络安全 管理信息系统 外网应用 引言 按照电力监控系统安全防护体系的结构基础，发电企业、电网企业内部基于计算机和网络技术的业务系 统，原则上划分为生产控制大区和管理信息大区。为满足企业生产管理需求，根据业务需在管理信息大区部 署包括生产管理、企业综合业务管理等系统，为不影响生产控制大区的安全，该系统与生产控制大区独立组 网。 随着生产管理信息化、移动化建设发展，为提高生产管理便捷性，部分应用系统需要通过互联网采集气 象数据、社会公开数据等信息，同时部分信息需要在互联网进行发布，用户通过互联网进行流程查看、审批， 访问内部特定资源，需要与互联网进行数据信息交互。内外网之间需要有严格的安全防护措施，防止内部网 络遭受来自外部互联网的网络攻击，部署在互联网上的外网应用也应具备防御来自互联网攻击的能力。 1．安全防护总体要求 根据《电力监控系统安全防护规定》的要求，电力监控系统安全防护总体方案的框架结构如图1所示。 生产控恻大区 管理信息大区 生产控制大区 管理信息大区 图1：电力监控系统安全防护总体方案的框架图 管理信息大区是指生产控制大区外的电力企业管理业务系统的集合，管理信息大区的传统典型业务包括 调度生产管理系统、行政电话网管系统、电力企业办公系统等，电力企业可以根据具体业务情况划分安全区， 237 万方数据 但不能影响生产控制大区的安全。生产控制大区与管理信息大区之间通过单向隔离装置进行物理隔离，管理 信息大区与外部共用互联网之间通过防火墙进行逻辑隔离。 2．优化方案 传统防火墙仅能对外部网络攻击进行简单防御，对用户访问进行有限控制，无法抵御针对应用的SQL注 入、网页篡改、网页挂马等各种拒绝服务攻击，存在应用服务宕机、数据泄露等风险，需在电力监控系统安 全防护方案的基础上，对方案进行优化，提升管理信息大区的安全防护能力。 2．1总体方案 2．1．1将管理信息系统部署于内网核心区，在外网服务区设立外网安全接入服务器，在内网核心区和外网 服务区之间部署安全隔离与信息交换设备(双向网闸)，采用物理隔离技术，切断所有的TcP／IP协议，阻断一 切来自外网服务区的攻击和威胁，通过双向网闸数据摆渡功能，实现内网核心区和外网服务区的数据交换， 保障内网核心区业务系统安全。 2．1．2在内网核心区和外网服务区物理隔离的基础之上，外网安全接入服务器实时调取内网核心区数据库 数据，从而面向互联网提供服务，当外网安全接入服务器遭受攻击后，也不会影响业务系统的正常运行和数 据安全。 2．1．3在内网核心区和外网服务区物理隔离的基础之上，在内网交换机与网闸之间部署内网防火墙，实现 访问内网业务时端口最小化控制以及入侵防御、防病毒检测等功能。 2．1．4在外网服务区和互联网之间部署外网防火墙和WEB应用安全防护系统(WAF防火墙)，外网防火墙 通过NAT地址转换，将内部网络地址进行隐藏，实现访问业务时端口最小化控制以及入侵防御、防病毒检测 注入、网页篡改、网页挂马等各种拒绝服务攻击。 2．1．5在内网交换机和外网服务交换机旁路部署流量分析、入侵检测和日志收集与分析系统，提供多视角 的检测发现能力，及时发现针对网络的重要资产实施的多种形式的定向高级攻击。通过在主机上部署终端威 胁防御系统，抵御网络攻击与渗透，保护重要资产信息与基础设施免遭窃取与破坏。 管理信息业务系统外网服务拓扑如图2所示。 l气；理信息业务系统外叫服务打i扑图