前言隨著internet的迅速發展,資訊保安問題面臨新的挑戰。電力系統資訊保安問題已威脅到電力系統的安全、穩定、經濟、優質執行,影響著「數字電力系統」的實現程序。研究電力系統資訊保安問題、開發相應的應用系統、制定電力系統資訊遭受外部攻擊時的防範與系統恢復措施等資訊保安戰略是當前資訊化工作的重要內容。
電力系統資訊保安已經成為電力企業生產、經營和管理的重要組成部分。
近年來,隨著我國電力系統走向市場步伐的加快,國家電力工業體制開始向市場轉變,各級供電企業紛紛建立資訊系統和基於internet的管理應用,以提高勞動生產率,提高管理水平,加強資訊反饋,提高決策的科學性和準確性,提高企業的綜合競爭力。但是,電力企業網路的發展,也面臨日益突出的資訊系統安全問題。在電力企業的綜合資訊管理系統中,必須從網路、作業系統、應用程式和業務需求等各方面來保證系統的安全。
華工安鼎:系統安全專家
華工安鼎應用資訊系統本部致力於為電力企業提供最好的安全解決方案,讓各電力企業創造更好的社會效益和經濟效益。多年來,華工安鼎專注於電力行業,提供從網路平台到應用系統的行業全面解決方案,先後在數十家電力企業中成功完成對電力行業系統安全解決方案的設計和實施工作,積累了廣泛的行業經驗,深入、全面和準確地把握了電力行業的需求。同時,華工安鼎擁有一大批既熟悉電力行業業務和發展現狀、精通系統安全設計、實施的技術人員,締結了一大批系統安全方面的合作夥伴,建立了良好的市場形象和卓越的技術實力。
多層保護:實現電力系統無憂執行
華工安鼎應用資訊系統本部整合了最先進的系統安全技術和產品,提出了一整套先進、完整、實用,完全滿足電力行業需求的系統安全解決方案,主要包括網路安全方案,資料安全方案,容錯技術方案和病毒防範方案等。
網路層安全方案
華工安鼎應用資訊系統本部在網路層採用了防火牆技術。由於電力企業對於資料的實時性要求較高,資料的傳輸量也較大,因此對於電力網路的效能有很高的要求。另外,電力企業涉及到電網供電,其安全性也必須得到切實保證,目前大多數的電力企業均已不同程度地使用了網路安全技術和產品來進行保護。
華工安鼎應用資訊系統本部為電力系統提供的網路安全層解決方案具備易用性和易管理性和良好的擴充套件性等特點,不但適應網路層安全技術未來發展的需求,而且還能保證電力企業現有的投資不被浪費。
應用層安全方案
在網路的應用層上,華工安鼎應用資訊系統本部對電力行業系統安全解決方案採用了嚴格的身份認證,不同粒度的訪問控制,資料完整性、保密性和非否認性檢測以及安全審計記錄等技術。其中身份認證可以支援基於對稱金鑰的kerberos v5和基於公鑰的x.509證書等在內的各種身份認證技術。
而不同粒度的訪問控制則可以根據不同網路應用提供檔案、頁面或埠級的訪問控制。而在資料完整性、保密性和非否認性檢測中,採用了高強度加密演算法,數字簽名、時間戳和會話金鑰等技術。該網路安全解決方案的另乙個突出優點是除了能進行入侵檢測和漏洞掃瞄外,還能無縫地整合到第三方應用系統的安全機制中,做到統一管理。
資料安全及容錯方案
對於企業來說,最珍貴的不是計算機、硬碟、cpu和顯示器等硬體裝置,而是儲存在儲存介質中的資料資訊。因此對於乙個資訊管理系統來說,資料備份和容錯方案是必不可少的。華工安鼎應用資訊系統本部對電力行業系統安全解決方案的資料備份採用軟、硬結合的全面解決方案,包括磁帶機、備份管理軟體和儲存區域網路在內的各種技術,具有可靠性高、速度快、效能**比高等特點。
先進的系統體系結構,使其可以支援包括san在內的各種網路備份技術;支援各種主流計算機作業系統、各種作業系統檔案、各種主流資料庫系統;支援非結構化資料(如lotus notes)的資料備份、系統**資料備份和完全、增量和差分等各種備份策略,備份過程中,支援各種資料校驗技術。另外,華工安鼎應用資訊系統本部的電力行業系統安全解決方案的資料備份還提供了先進的備份管理功能,實現備份、恢復智慧型化和操作故障的自動提示。其具有的可擴充套件性,可根據電力企業業務的擴大,平滑擴充套件,保護已有投資。
關於容錯,該解決方案中的容錯方案可實行實時監控,能自動後援切換,支援雙機熱備份和雙機互備援等各種規劃方式,具有伸縮能力強,對現有系統影響小,管理簡單方便等特點。
病毒防範方案針對在internet上,病毒肆虐,企業資訊系統每天都有面臨**的可能,華工安鼎應用資訊系統本部對電力行業系統安全解決方案提供了病毒防範方案,其技術特點是:企業級網路防毒;病毒庫網路自動更新;管理簡單有效
第一部分基本解決方案
第一道安全屏障網路防火牆系統防火牆通過網路位址轉換(nat)功能來隱藏內部網路的ip位址;通過其動態訪問過濾功能動態檢查流經的ip資料報,根據設定的規則決定資料報是否可以通過,並將不合法的資料報過濾掉;通過其url位址限定功能限制對某些站點的訪問,防止內部網路對外部網路進行不安全的訪問。
第二道安全屏障網路防毒系統網路防毒系統可以採用c/s模式,在網路防毒伺服器中安裝防毒軟體伺服器端程式,並通過internet利用liveupdate功能,從免疫中心實時獲取最新的病毒碼資訊。伺服器和網路工作站都安裝客戶端軟體,利用從伺服器端獲取的病毒碼資訊對本地工作站進行病毒掃瞄,並對發現的病毒採取相應措施進行清除。客戶端根據需要可用三種方式進行病毒掃瞄:
實時掃瞄、預置掃瞄和人工掃瞄。由於病毒掃瞄可能帶來伺服器效能上的降低,因此可採用預置掃瞄方式,將掃瞄時間設定在伺服器訪問率最低的夜間。網路工作站可根據各自需要,選擇合適的方式進行病毒掃瞄。
第三道安全屏障入侵檢測系統安全漏洞掃瞄入侵檢測系統是專門針對黑客攻擊行為而研製的網路安全產品。國際上先進的分布式入侵檢測構架,可最大限度地、全天候地實施監控,提供企業級的安全檢測手段。在事後分析的時候,可以清楚地界定責任人和責任事件,為網路管理人員提供強有力的保障。
入侵檢測系統採用攻擊防衛技術,具有高可靠性、高識別率、規則更新迅速等特點。系統具有強大的功能、方便友好的管理機制,可廣泛應用於電力行業各單位。
漏洞檢測和安全風險評估技術,因其可預知主體受攻擊的可能性和具體的指證將要發生的行為和產生的後果,而受到網路安全業界的重視。這一技術的應用可幫助識別檢測物件的系統資源,分析這一資源被攻擊的可能指數,了解支撐系統本身的脆弱性,評估所有存在的安全風險。
漏洞掃瞄系統就是這一技術的實現,她包括了網路模擬攻擊,漏洞檢測,報告服務程序,提取物件資訊,以及評測風險,提供安全建議和改進措施等功能,幫助使用者控制可能發生的安全事件,最大可能的消除安全隱患。
第二部分增強解決方案
以上看到,該網路綜合採用了各種網路安全技術,包括防火牆、入侵檢測、安全漏洞掃瞄、網路防病毒等。在電力系統的一些網路中還採用vpn等技術。這些安全技術在一定程度上保護了網路、主機和系統服務免受來自外部的攻擊和破壞,對病毒的危害也能夠起到一定的防範效果。
但是,這些安全措施在防範來自內部的攻擊,保護應用系統和資訊保安方面卻無能為力。「後續的工作將是在逐步完善安全體系的基礎上,把建設重點由以網路安全為主應用安全為輔轉入以應用安全為主網路安全為輔的階段。」
一、資訊保安隱患分析我們可以從資訊在網路系統中的儲存、處理、傳輸和使用者對這些資訊的訪問活動等方面來分析這些資訊潛在的安全威脅。
資料庫資料和檔案的明文儲存:電力系統計算機網路中的資訊一般儲存在由資料庫管理系統維護的資料庫中或作業系統檔案中。這些以明文形式儲存的資訊存在洩漏的可能,因為拿到儲存介質的人可以讀出這些資訊;黑客可以繞過作業系統、資料庫管理系統的控制獲取這些資訊;系統後門使軟硬體系統製造商很容易得到這些資訊…
資訊的明文傳輸:現代應用系統一般採用c/s(客戶/伺服器)或b/s(瀏覽器/伺服器)結構,都在網路上執行,所處理的資訊也必須在網路主機間頻繁傳輸。在電力行業的計算機網路系統中,資訊傳輸基本上是明文方式。
偶有採用ssl(安全套接字層)等加密傳輸的,但由於外國安全系統出口的限制,所能夠用到的ssl是低安全級別的。這些明文或只受到低安全保護的資訊在網路上傳輸,不具有資訊保安所要求的保密、完整和傳送方的不可抵賴性要求。
弱身份認證:電力行業應用系統基本上基於商用軟硬體系統設計和開發,使用者身份認證基本上採用基於口令的鑑別模式,而這種模式很容易被攻破。有的應用系統還使用自己的使用者鑑別方法,將使用者名稱、口令以及一些安全控制資訊以明文的形式記錄在資料庫或檔案中,這種脆弱的安全控制措施在操作人員計算機應用水平不斷提高,資訊敏感性不斷增強的今天不能再用了。
二、安鼎資訊保安增強解決方案
資訊保安解決方案應該全面考慮資訊儲存、傳輸、處理和訪問等各環節的安全要求,使資訊保安方案沒有攻擊者可以利用的安全薄弱環節。
按照資訊保安全面性要求原則,資訊保安方案必須包括如下組成部分:
安全的身份認證:安全的身份認證是安全的第一步,不安全的身份認證可能造成使用者假冒,使其它安全措施失去作用。
通訊安全:採用資料加密、資訊摘要和數字簽名等安全措施對通訊過程中的資訊進行保護,實現資料在通訊中的保密、完整和不可抵賴性安全要求。
檔案安全:通過檔案加密、資訊摘要和訪問控制等安全措施,來實現檔案儲存和傳輸的保密和完整性要求,並實現對檔案訪問的控制。
資料庫安全:通過資料儲存加密、完整性檢驗和訪問控制來保證資料庫資料的機密和完整性,並實現資料庫資料的訪問安全。
安全審計:通過記錄審計資訊來為資訊保安問題的分析和處理提供線索。
安鼎公司針對資訊保安的要求,結合自身技術特點開發出了有關身份認證、通訊安全、檔案安全、資料庫安全等的資訊保安產品,並在這些產品中整合了審計功能。
1、安鼎kdc
安鼎kdc(key distribution center)是kerberos第5版的實現和增強,可以為企業提供集中的使用者管理、服務管理和通訊安全服務。其功能包括:
,也可以和支援kerberos的其他產品整合,如oracle 8i等。
安鼎kdc提供了呼叫介面(api),使用者可以在應用中呼叫kdc的安全功能。
安鼎kdc使「一次登入」成為可能,即使用者在使用所有可以訪問的資料和系統時只需要登入一次。
2、安鼎安全通訊**
安鼎除在自己的資訊保安產品中包含了通訊安全功能外,還為不具備通訊安全的系統提供了乙個可配置的通訊安全解決方案,即安鼎安全通訊**。
電力行業安全解決方案
裝置獨立不同安全區域的系統必須使用不同的網路交換機裝置。縱向防護採用認證 加密等手段實現資料的遠方安全傳輸。設計思路 安全 區 安全 區的防護策略 實時控制區與非控制區的業務系統都屬電力生產系統,都採用電力排程資料網路,都 執行,資料交換較多,關係比較密切,可以作為乙個邏輯大區 生產控制區 它們之間...
電力行業資訊化建設網路安全解決方案
2.2 物理隔離裝置 主要用於電力資訊網的不同區之間的隔離。物理隔離裝置實際上是專用的防火牆,由於其不公開性,使得更難被黑客攻擊。2.3 入侵檢測系統 入侵檢測系統是專門針對黑客攻擊行為而研製的網路安全產品。國際上先進的分布式入侵檢測構架,可最大限度地 全天候地實施監控,提供企業級的安全檢測手段。在...
ePMS 基於電力行業的ERP解決方案
一 引言 對於大多數電力企業而言,購買乙個erp產品是一件相對容易的事情,但erp的實施卻是充滿了挑戰與風險的。電力是相對特殊的行業,其內部的業務流程,營銷方式,管理規程和結算手段各不相同,異常複雜。實施erp還將觸動電力企業的運作模式和管理體制。國內大型企業實施erp一度高達90 的失敗率就因為忽...