供电企业网络信息安全应用

2013-12-27 15:16:43 电力信息化　点击量：评论 (0)

　　随着国网公司SG186工程的实施和信息化建设逐步深入，辽宁电力公司统一信息化平台进程不断推进，盘锦供电公司的信息化建设也得到了快速发展。集中化、网络化已经成为信息建设发展大趋势，尤其省级数据大集中以

　　随着国网公司“SG186”工程的实施和信息化建设逐步深入，辽宁电力公司统一信息化平台进程不断推进，盘锦供电公司的信息化建设也得到了快速发展。集中化、网络化已经成为信息建设发展大趋势，尤其省级数据大集中以后，各种日常工作对信息网络系统的依赖性日益增强，信息网络系统运维工作更凸显重要和急迫。

　　盘锦供电公司（以下简称公司）全面贯彻落实国家电网公司、辽宁省电力公司有关信息安全工作规定，结合公司信息系统安全现状，在风险评估的基础上精心设计信息安全整体防护体系，坚持“安全第一、预防为主、综合防治”的信息安全原则，成立信息安全领导小组，优化专业管理流程，按照省公司统一部署，建立两级三线运维支持体系，实施双网双机、分区分域、等级保护、横向隔离、纵向认证、信息设备安全加固、统一安全策略等防护措施，管控结合，分步实施，有效降低了信息安全面临的风险，提高信息安全整体防护能力，确保全公司信息系统安全稳定运行，并创造性地提出了“行为管理+策略控制+终端管理”的安全保障体系思想。

行为管理

　　员工是安全的主体，管理是安全的灵魂，技术是安全的手段。只有将有效的安全管理实践自始至终贯彻落实于全员信息安全当中，网络安全的长期性和稳定性才能有所保证。

　　坚持不懈地加强信息人员的安全教育，保持信息人员特别是网络管理人员和安全管理人员的相对稳定，防止网络机密泄露，尤其要注意人员调离时的网络机密的泄露。教育员工对各类密码进行妥善管理，杜绝默认密码、出厂密码、无密码，不使用容易猜测的密码。在企业网络中建立集中管理的数据存储机制，配合以相关安全权限管理制度的严格执行，在存储介质使用的管理上，实行严格的管控，定期备份各类工作专用信息数据，专人专用，备份品专门集中存放，由最低限度的经过安全培训和安全审查的人员负责监护管理。

　　公司网络安全的最终目标就是建设安全、高效的企业信息网，通过网络的安全配置，硬件防火墙及IDS、IPS的策略配置，安全漏洞扫描、网上行为审计系统应用，对网络的出入口进行严格控制，对网络中的服务器、网络设备进行定期扫描和定期检测、分析，发现网络系统漏洞和隐患，并进行整改，有效地防止外部恶意攻击和内部数据泄露，做到网络坚强、策略得当、信息保密、数据完整、接入控制。

　　实施信息内外网边界安全监测系统（SMS），通过部署在信息外网各个Internet出口处的日志采集层软件，将各种网络出口以及信息外网各边界处的各类安全设备的日志进行统一采集，并经过日志预处理上传到公司总部开展相关分析。同时以网省公司（直属单位）为基本单元，每个单位部署一套实时展现与分析工具，实现对各种安全日志事件的分层分析即：告警统计、实时监测、事件查询、统计分析、流量分析、设备管理、系统管理等。

　　通过集中注册管理平台,对USB存储设备作严格的设备介质自由身份认证，数据加密等一系列防护操作，避免了工作人员随意使用USB硬盘、U盘，实现了对内网移动介质的日常安全管理。通过对移动介质的有效管理，完全实现了移动存储设备全生命周期管理、合法与非法设备的有效区分、设备的访问机制控制、数据加密保护、设备使用日志审计、分权限管理、通信及日志文件加密、客户端保护机制等功能。

策略控制
　　在网络边界上，信息内网不同安全域之间均部署防火墙，强化访问控制策略，仅开放必要的服务端口。信息外网与局域网之间完全隔离，互联网间边界安全防护措施的部署和策略配置情况是:部署防火墙、客户端认证系统、内外网均部署补丁分发和防病毒系统如图1所示。

　　在网络内部，按照等级保护的原则根据业务系统的重要程度化分成若干个安全域，并有选择性地进行深度防护。电力二次系统分为生产控制I区、II区和管理信息大区III区。管理大区分为内网和外网，内外系统物理隔离。其中，信息内网有财务（资金）管理系统域、营销管理系统域、办公自动化系统域、ERP系统域、二级系统域、内网桌面终端域；信息外网有外网桌面终端域。从边界、网络、主机及应用四个层次设计安全防护，制订了《盘锦供电公司信息安全总体防护方案》。财务系统通过前置防火墙进行安全防护；互联网出口配置防火墙进行边界防护；业务系统通过VLAN，访问控制策略进行防护；生产控制大区的I区、II区与管理信息大区的III区间用物理隔离；管理信息系统的调度边界部署防火墙如图2所示。

　　公司针对内部Intranet特点，选用企业级防火墙NetScreen100建立网络防火墙系统。在公司的网络中通过设置交换机或路由策略划分VLAN技术建立服务区、非服务区、办公区及生活区，同时使用网络地址转换（NAT）技术将受保护区域的网络和IP地址进行屏蔽。

　　公司选用Symantec企业级防毒软件Norton AntiVirus2011建立了网络防毒系统。通过多平台工作站和服务器的病毒码信息集中部署和产品更新，大幅度降低了部署更新的成本，并简化了企业服务器层次规划和创建。在该系统中，管理员从一个集中控制台设置管理策略，对基于Windows 2000和Windows XP的工作站以及基于Windows NT/Windows 2000 Server和NetWare服务器进行更新和配置。所有客户机均可锁定设置以防用户修改，也可在管理平台上对客户机进行配置并进行监控。一旦检测到病毒，该系统将自动修复并通过控制台向管理员发出报警。在该系统中，管理员只需在NAV2011的安装过程中运行Live并设置好其自动运行的时间。在以后的运行过程中，当满足设定的时间条件时，Live会自动运行并进行病毒码信息更新如图3所示。

终端管理
　　根据国网公司、省市公司要求公司做好桌面终端管理系统及移动存储介质管理系统的推广实施工作。截至2010年6月，计算机内网终端的560台，安装率达到100%。2011年3月开始在信息外网部署桌面终端标准化，计算机外网终端的325台，安装率达到100%。桌面终端标准化系统在公司的部署和实施，使公司的信息资源得到了更高效的利用，提高了企业局域网的安全管理，减轻了桌面终端运行维护人员的工作负担。

　　员工通过注册软件，填写本机信息，注册程序自动探测系统硬件信息，连同用户填写的信息一同上报区域管理器。用户将本机注册信息发送到区域管理器后，区域管理器自动将客户端驻留程序应用策略发送给用户，并自动更新。在推广应用桌面计算机安全管理系统后，可以实现本机硬件属性信息变化监视；对本机IP、MAC地址变化审计；本机系统补丁、软件安装、运行进程状况监测；探测本机是否有违规联网行为，在内网管理中心或外网报警平台报警；接受Web管理平台的管理命令；阻断本机违规外联行为；执行Web管理平台下发的各种策略操作如图4所示。

　　IMS信息监管平台采集网络设备、服务器、数据库、中间件等网元的实时运行状态信息进行统一汇总、整理、存放在网络管理数据库中，为系统运行分析模块提供数据支持。网管数据展示系统从数据库中读取数据进行展示，并将网管系统中产生的事件统一存放在事件管理数据库中。现共有60台网络设备、20台主机系统纳入统一监管平台如图5所示。

　　通过上述一系列信息安全理论和技术的运用、信息安全项目建设与实践，使公司信息安全防护能力和运行水平得到进一步提高。

　　建立企业信息系统安全长效机制不仅需要等级保护、风险控制、纵深防御等技术上的支持，同时也需要组织结构、人员、业务逻辑、法律规章等管理上的支持。公司强化运行管理，巩固安全成果，完善并应用信息运维综合监管系统，使管理与技术结合，有效地保护了内网信息资源，从根本上杜绝了来自外网的安全威胁，提高了网络的安全防护能力，对保障企业运营安全、降低企业运营风险、提升企业核心竞争力发挥了十分重大的作用。

点评
　　信息安全不为独行而创新，不为取宠而哗众，让安全设备、体系发挥实效，难在持久，贵在坚决，重在细节。而一切都要围绕业务需求之中心，管好人，用对策，把住关，这就是“行为管理+策略控制+终端管理”的要旨，万绿丛中一点红。