电力行业特点
电力行业国民济基础产业切电子设备正常运行基础保证持续高效电力供应关系国计民生事电力部门工作注目焦点 电力行业行业相具分散控制统联合运行特点系统运行涉发电厂变电站调度中心发输配电系统体化系统中包括种独立系统联合电网控制保护技术通信技术运行理技术等 着电力行业断发展电力关键业务断增长信息化应断增强网络系统中应越越时着Internet技术发展建立Internet架构跨区全行业系统部信息网开始逐步建立网应着种电力业务办公系统时电力信息网络系统网络安全问题愈愈显重
二网络安全分析安全需求
1网络拓扑结构
电力行业信息网拓扑结构逻辑星型+树状结构干网区域网省网区网四级组成级网络设分级网络中心节点级网络级网络中心中心节点级网网络中心该级网干节点呈星型连接网络节点间信息交换原通中心节点级信息网级信息网接入网区域网第级接入网省网第二级接入网区网第三级接入网县级网第四级接入网级局域户理区域接入级接入网络漫游户接入网络辖区域网节点进入干网级网络中心负责相应职范围网络理控制提供基网络功网络增值服务负责理运行干网国家国际联网电力行业信息网总连接枢纽级信息中心电力系统全行业提供信息服务
2网络安全分析
般说电力网络系统中安全防护包括两方面:网络系统中存储传输信息数二网络系统中类设备样保证生产营业务正常运行时防止信息数非授权访问者窃取篡改破坏
物理层安全风险:
物理层安全指种服务器路器交换机工作站等硬件设备通信链路安全风险源:水灾火灾雷击等然灾害破坏误操作外界电磁干扰设备固弱点缺陷等等
网络层安全风险:
整电力系统网络中安全程度安全角度划分网络安全区域:总公司局域网角度言总公司网络网拨号户分公司电厂网络Internet等外网分公司电厂网络角度言身作部网络总公司网络省电力局网络等外网开放网络容易受外网种攻击威胁入侵者利种工具扫描网络系统中存安全漏洞通攻击程序网络进行恶意攻击样危害造成网络瘫痪系统拒绝服务信息窃取篡改等等
系统安全风险:
电力系统网络中包含设备类服务器路器交换机系统服务器操作系统数库系统应系统系统少存着种样门漏洞重安全隐患旦利攻击带估量损失 网络通讯TCPIP协议缺乏相应安全机制中某协议存定安全漏洞恶意攻击者利安全漏洞直接攻击设备修改配置影响网络正常运行网络中断设备跳板继续攻击部网络资源 类操作系统(UNIXWINDOWS NT等)数库言中存量已知未知漏洞国际安全组织已发布量安全漏洞中漏洞导致入侵者获理员权限漏洞实施拒绝服务攻击
服务器系统安全问题会导致系统受列威胁:利脆弱基口令身份鉴机制进行入侵入侵够访问服务器网络服务器配置错误会入侵者利扫描器发现形成系统入侵服务器软件操作系统漏洞缺陷会入侵者利服务器进行入侵拒绝服务攻击 威胁造成危害:服务器性降服务终止(拒绝服务攻击)入侵者获控制服务器力入侵者利力破坏服务器数资源利占领机器具资源攻击机器(利嗅探器获入侵服务器网段系统通信信息直接试图访问目标系统便隐藏攻击源作攻击引擎形成目标分布式攻击)操作系统数库系统应系统文件遭破坏系统中重敏感数信息窃取篡改安装系统门
网络病毒安全威胁:
计算机病毒指种附加目标机系统文件程序破坏性设备中具危险性导致服务拒绝破坏数甚计算机系统完全瘫痪病毒释放网络环境时法预测扩散力极具危险性病毒会突破系统访问控制系统造成破坏造成机器死机信息泄漏文件丢失等威胁
3网络安全需求
根电力系统网络拓扑结构实际应分析电力系统网络安全需求:
·配备防火墙系统实现电力公司外部网络连接访问控制
·作防火墙补充须部关键业务网段配备入侵检测系统防备部攻击外部通防火墙攻击
·配备安全评估系统定期电力网络系统进行扫描动发现安全漏洞时修补
·采全网统网络防病毒系统保护网络中类服务器工作站等受病毒干扰文件破坏保证系统性
·关键业务信息跨区传输采VPN产品进行加密保证传输程中信息安全
·网络设备服务器等理员身份认证采诸令牌口令增强身份认证系统
·配备灾难恢复系统防备意外发生
·建立完善网络安全理制度防止出现安全隐患 三安全解决方案
1总体设计思路原
基访问控制身份鉴安全审计方面采合理技术手段
·防火墙产品划分网络区域需保护区域进行网络层访问控制
·正确系统中已安全机制系统通常包含基安全机制身份认证访问控制审计功正确安全功减少系统利漏洞
·采专产品强化系统中安全构成威胁薄弱环节(包括防病毒)
·必效监控审查机制保证安全机制效性安全策略正确性
·定期审查
·持续监控部署必技术产品安全机制失效灾难情况采取正确时效措施
·时报警争取理技术员时介入
·入侵正进行时动通员干预终止威胁系统安全行动
·系统遭破坏短时间回复系统运行2网络安全产品部署
(1)防火墙配置:
作保护电力系统部网免遭外部攻击效措施分电力系统级部网外部广域网间放置防火墙通设置效安全策略做电力系统部网访问控制改变原网络拓扑结构保证通讯速度受较影响配置基状态检测包滤技术流滤技术防火墙硬件防火墙系统
(2)入侵监测系统配置:
防范电力系统部网络攻击外部透防火墙攻击作防火墙补充须电力系统部网重网段配备入侵检测系统通网络行监视识网络入侵行
·实时监视网络正进行通信数流分析网络通讯会话轨迹反映出外网联接状态
·通置已知网络攻击模式数库够根网络数流网络通讯情况查询网络事件进行相应响应
·根发生网络安全事件启配置报警方式Email声音报警等
·提供网络数流量统计功够记录网络通信数包统计结果提供数表图形两种显示结果事分析提供
·默认预设网络安全事件保障客户基安全需
·提供全面容恢复支持种常协议
·支持分布式结构安装型网络物理子网中台理器理台服务器达分布安装全网监控集中理 (3)信息传输加密产品配置:
保护数信息发起端接收端传输程安全性级网络配备防火墙系统边界路器间配备网络层加密机网络层加密设备实现网关网关加密解密重传输数网点需配备台网络层加密机利加密技术安全认证机制保护信息网络传输机密性真实性完整性性
·高加密强度安全隧道认证通信双方身份实现基应访问控制
·详细日志审计记录处理次通信服务进行详细记录
·提供穿越防火墙VPN应模式直连方式通认证数直接传送机应程序
·第三方认证产品集成提供更强身份认证访问控制功
(4)防病毒系统
企业系统中操作系统UNIX操作系统WINDOWS操作系统防止病毒侵害根操作系统类型配备相应防病毒系统支持UNIX操作系统防病毒
软件支持WINDOWS NTWINDOWS 9598防病毒软件通软件具实时检测功达防范病毒侵害目推荐选Symantec公司防病毒系统
文档香网(httpswwwxiangdangnet)户传
《香当网》用户分享的内容,不代表《香当网》观点或立场,请自行判断内容的真实性和可靠性!
该内容是文档的文本内容,更好的格式请下载文档