xx电力广域网网络安全解决方案

xx电力广域网网络安全解决方案内容摘要：

升企业整体安全水平。 为了帮助企业建立有实效的“安全管理体制”， XX 推出了两个管理解决方案来帮助用户建立企业自己的“安全策略管理中心”和“安全知识管理中心”。 通过电子化的管理体制，实现“人”，“安全策略”和“安全技术”的协调统一，最大化的体现安全管理的严密性和一致性。 9.“安全体系管理”方面：将系统、主机、企业应用、中间件、ＷＥＢ服务器、数据库、入侵检测系统、和防火墙等等几乎所有与电子商 务相关的ＩＴ系统纳入统一的中央控制管理平台，建立真正意义上的“统一管理，放散控制”的安全体系 10.“安全策略管理”方面： 业界首个将“人”作为重要因素纳入到安全管理范畴的技术产品，构建与企业安全目标水平相当的安全管理水平。 基于 Inter 的企业安全策略管理系统，实现了企业安全策略的制定、分发教育和管理监控等安全管理任务的电子化处理。 电力广域网安全建议书 第 13 页 共 75 页 第二章 系统应用特点及安全风险分析 保证系统信息安全的目的和意义 随着 Inter 的迅速发展，信息安全问题面临新的挑战。 系统信息安全问题已威胁到系统的安全、稳 定、经济、优质运行，影响着“数字系统”的实现进程。 研究系统信息安全问题、开发相应的应用系统、制定系统信息遭受外部攻击时的防范与系统恢复措施等信息安全战略是当前信息化工作的重要内容。 系统信息安全已经成为企业生产、经营和管理的重要组成部分。 数据网络在系统中的应用日益广泛，已经成为不可或缺的基础设施。 国家数据网同时承载着实时、准实时控制业务及管理信息业务。 虽然网络利用率较高，但信息的安全问题较多，主要是安全级别较低的业务与安全级别较高的业务混用，存在很多安全隐患。 随着信息与网络技术的发展，计算机犯罪不断增加，信 息安全问题已经引起政府和企业的高度重视。 系统信息安全是系统安全运行和对社会可靠供电的保障，是一项涉及电网调度自动化、继电保护及安全装置、厂、站自动化、配电网自动化、负荷控制、市场交易、营销、信息网络系统等有关生产、经营和管理方面的多领域、复杂的大型系统工程。 结合工业特点，总结工业信息网络系统和运行实时控制系统运行管理经验，深入分析系统信息安全存在的问题，探讨建立系统信息安全体系，保证电网安全稳定运行，提高企业社会效益和经济效益。 作为“安全生命周期”的第一阶段，安全需求分析的目的就是为今后的安全方案选型和安全产品实施作出整体规划和指导。 悉心分析客户每一个安全需求，是准确实现客户安全要求的基础性工作。 我们按照“网络及应用分析 安全威胁分析 安全需求分析”的逻辑分析步骤对网络的安全状况和安全需求逐层进行了分析： 网络及应用分析 ：对目标网络和应用作出结构性的分析； 安全威胁分析 ：发现网络可能受到的安全攻击和安全威胁； 安全需求分析 ：确定用户关心和系统客观存在的安全需求 电力广域网安全建议书 第 14 页 共 75 页 网络及应用分析 安全威胁分析 网络虽然是一个相对独立的内网，但由于和整个系统内网连接，地域广泛、分散，涉及的接口、平台众多，人员 复杂，管理人员素质不一，给安全管理带来很大困难；同时又与互联网相连，以网络系统的特殊性质和地位，其网络信息蕴涵价值巨大，安全风险不言而喻。 总之，来自外网和内网的安全攻击均对网络构成安全威胁。 所有的安全风险都可能被利用成为安全攻击，进而对整个网络带来损害。 典型的安全风险包括： 1) 病毒 网络的开放性和便利性为病毒的广泛传播打开了方便之门。 病毒的肆意传播和复制已经成为威胁系统安全和数据安全的首害之一。 2) 未授权访问 未授权访问是指未经授权的实体获得了访问网络资产，甚至篡改网络资产的权利。 由于TCP/IP广播模式的存在 ，为包截获和侦听提供了可能和方便。 比如通过 EtherPeek或 Sniffer等协议分析和包解码器，就很容易从网络的任一节点取得网络上其他登录用户的帐号 /密码，进而为冒充该用户创造了条件。 此外，由于疏忽和访问控制策略设置不严密也经常导致无意的信息访问失控，如允许匿名访问和无意中把某些资源对所有用户开放等等。 3) 假冒 假冒与未授权访问有很密切的联系。 除了破解密码，采用包欺骗， IP 欺骗和重放攻击等，也很容易实现对服务器的欺骗，从而实现冒充访问。 4) 拒绝服务 DOS(Denial of Service,拒绝服务 )，是 指服务的中断。 中断原因可能是系统被破坏或暂时性不可用。 例如摧毁计算机硬盘、切断物理结构设备和耗尽所有可用内存及 CPU 处理能力等。 大多数的 DOS 攻击源于 TCP/IP 协议本身的弱点，如 TCP SYN（利用 TCP 连接分配内存）， Ping of Death（ Ping 大数据包）和 SMURF 攻击（利用广播信息泛滥堵塞网络）等。 5) 关键数据的泄密和破坏 由于前面所阐述的 TCP/IP 设计缺陷，如果不作特殊的加密处理，内部人员（或物理上有办法接触终端设备以及远程登入网络者）完全可以不用费事猜测高权限用户的密码就可以电力广域网安全建议书 第 15 页 共 75 页 从网络读取传 输的任何信息。 当然，他们也很容易冒充高级用户对系统的关键资源进行访问甚至破坏。 信息泄密的另一种可能是通讯线路中的信号辐射，通过收集这些辐射并用相应的转换设备或搭线侦听也可以达到窃取信息的目的。 6) 网络攻击 网络攻击的方法和自动化工具在 Inter 自由传播，使得实施网络攻击变得前所未有的容易，所有暴露在 Inter 上的主机都有可能成为网络黑客甚至是网络初学者的攻击对象和试验场。 网络与系统内部其他应用网络相连，同时又通过互联网提供对外ＷＷＷ服务，无论是外部拨号访问还是通过专线远程接入，这些通道完全可能 成为非法攻击进入网络的直接通道。 7) 物理威胁 物理威胁永远存在，但在本方案中暂不作考虑。 除了上述威胁，系统还存在其它的安全隐患，如操作系统和数据库系统潜在的安全漏洞，网管和数据库管理员疏忽的安全设置等等。 用户安全需求分析 根据初步了解，我们认为用户所关心的安全需求主要集中在以下几方面： 授权与访问控制需求 由于客观上存在网络冒充、 IP 欺骗和其他非法入侵的危险，加上采用 DHCP 动态分配每台联网机器的 IP,给跟踪和定位带来很大的困难，因此网络迫切需要一种严格的授权和访问控制功能，确保只让信任的内部用 户，从合法的机器联入系统。 同时，对已联入网的每个用户行为有很好的审计、跟踪手段。 入侵检测 鉴于网络系统涉及地域的广度和人员的复杂性，特别是与外网相连，大大增强了非法入侵带来的风险，因此急需开展和加强风险评估、入侵检测方面的安全防护工作，以保证网络系统和关键信息的安全性。 防病毒 病毒是目前最普遍、最有效和危害最大的信息安全威胁，实施立体防护的防病毒系统刻不容缓。 系统计算机信息网络系统已经覆盖了企业各个生产、经营和管理岗位，上网用户电力广域网安全建议书 第 16 页 共 75 页 在进行多种数据交换时，随时可能受到病毒的攻击，随着工业走向市场，与 外界网上交流越来越多，通过电子邮件来联系业务，交换数据等都可能不知不觉中感染病毒，并在企业内部网络上不断扩散。 必须在信息网络整个系统的各个环节上严加防范，才能有效的防止和控制病毒的侵害。 系统在现有网络防病毒体系基础上，加强对各个可能被计算机病毒侵入的环节进行病毒防火墙的控制，在省公司及各发、供电企业，分别建立计算机病毒管理中心，按其信息网络管辖范围，分级进行防范计算机病毒的统一管理。 在计算机病毒预防、检测和病毒定义码的分发等环节，建立较完善的技术等级和管理制度。 应用数据库及中间件的安全 由于核心服务器 提供生产管理和调度服务，办公ＯＡ等多种应用，所以其对其数据资料（经常是敏感数据）的访问需求和级别的控制，保证数据库的安全性就显得尤为重要；同时，中间件和应用软件也有自己的安全需求和管理模式，这些也给企业带来了新的安全漏洞。 保护数据库的安全，避免企业机密数据不受窃取，篡改；保护中间件和应用软件不受黑客攻击，高效，全面的数据库及中间件安全管理将必不可少。 安全管理需求 网管是实施安全最根本的手段， 80%以上的安全事件源于管理上的漏洞和措施不当。 为了加强网络系统的安全管理，希望有好的安全管理平台实现对各个安全 组件的安全管理，减少失误、提高效率和安全故障解决能力的好办法。 同时也应加强对安全策略的管理和管理制度的制定，实施对公司内部人员的安全培训，提高统一的安全意识。 电力广域网安全建议书 第 17 页 共 75 页 第三章 安全策略分析及技术解决方案 安全策略分析主要解决在安全风险分析基础上的安全建模，具体而言，包括三个步骤：  安全风险分析 ：对安全威胁的危害性、发生可能性和发生频率作出综合评估，对企业和组织机构安全风险作出整体分析；  安全目标分析 ：依据企业安全风险分析转化为企业安全目标和功能需求，并参考企业安全建设规划作出具体的安全策略和实施建议。  实现机制与 技术分析： 选择合理的安全机制和技术实现既定的安全目标。 安全风险分析 通过对整个网络的安全威胁分析，我们知道了网络可能面临的安全威胁有哪些。 但网络安全建设是一个系统工程，必须对各种风险损失和风险发生的可能性进行综合考虑，总结出机构面对的安全风险的实际情况。 同时，对网络信息系统的安全建设作出实施建议，具体来看： （ 1）网络系统主要包括生产控制系统和内部 MIS、 OA 管理应用系统，而这些应用和重要的数据资源集中在核心服务器，因此，按照资源重要性划分，信息安全主要围绕核心服务器展开，具体包括边界安全，服务器安 全，通信安全和应用安全。 （ 2）对于前面提到的安全威胁，按照风险大小和重要程度概括如下：  缺乏严格的网段隔离和连接访问控制手段。 从网络的边界看，缺乏对进入网络者的控制，从而可能通过冒充其他有权限的用户从上述某一接口进入内网；从网络内部来看，缺乏进一步的网段隔离和访问控制手段，为此，有好奇心和非法企图的内部用户，很容易在内部子网间随意“漫游”，甚至进入重点的应用服务器获取想要的资源。  缺乏严格统一的授权认证机制。 对于这样一个地域广大，人员众多的系统网络，仅采用传统的 PAP 认证，很容易发生密码猜测、中途侦听和 重放攻击引起的冒充和非法数据访问；同时，随着网络规模和应用的快速增长，每个用户从操作系统身份到应用系统身份分离，由此带来多套“帐号 /密码”记忆、管理和认证电力广域网安全建议书 第 18 页 共 75 页 上的复杂、不便和日益突出的安全风险。  缺乏风险评估和入侵检测手段。 这就造成几方面的问题，一是对系统安全状况缺乏了解，无法进行有的放矢的安全实施；二是对非法入侵和攻击被动挨打，无法提前作出反应；三是任一时刻，对进入系统的用户行为缺乏审计和监视手段，导致对用户的访问只有基于资源的静态访问控制而没有基于行为的动态控制；  缺乏数据安全保护措施。 网络系统运载大量重要 数据，特别是核心服务器上运行重要的生产控制系统，所以数据库的安全保护和备份是一个非常重要的问题。 同时数据在网络上传输，而 TCP/IP 网络本身很容易被侦听和还原出真实有效信息，因此，在缺乏任何保密机制的情况下，系统风险难以想象。  缺乏全面的病毒防治体系。 在一个典型的 Windows 网络环境下，病毒是最普遍而致命的安全威胁，由于病毒的隐蔽性、易传播性和破坏性，一旦发作，整个系统数据可能瞬间毁于一旦。  缺乏必要的网络安全管理系统。 这将给网络系统故障定位和管理员的系统维护增加很大难度，同时也容易造成管理上的安全漏洞。 安全目标分析 安全目标的设计可从多种角度进行划分，比如根据 ISO 国际安全标准，定义各层的安全目标及实现方法；也可以按照信息安全的定义，从信息安全的四个特性去定义目标和方法。 在本项目中，我们以风险分析为依据，针对用户的重点安全需求，确定以下安全实施目标： （ 1） 建立完善的病毒防护系统 —— 从网络到桌面，从静态扫描到动态检测，从查毒到杀毒，以及染毒文件的自动隔离，对病毒库的自动更新，实现对系统数据的立体防毒； （ 2） 建立统一的增强身份认证系统，加强进入控制，防止冒充和非法的资源访问； （ 3） 实现合理的网段隔离和对非法连 接的限制，减少和防止 IP 欺骗，路由欺骗等入侵行为，以及泛滥而不加限制的内部漫游； （ 4） 建立安全评估和入侵检测体系 —— 通过扫描，随时了解系统网络和重要主机的安全状况，包括安全弱点，系统漏洞和管理员疏忽及策略配置的不当等；对网络内外的入侵和非授权访问具有监测和预警机制；这样管理员对自身和外部入电力广域网安全建议书。