|
电力行业是国家重要的能源支柱行业,是我们日常各项工作和生活的基础和保障。如果电力行业出现问题,不仅会严重影响国民经济增长,而且还会造成社会的不稳定甚至恐慌。电力行业主要包括以下系统:各类发电企业、输电网、配电网、电力调度系统、电力通信系统(微波、电力载波、有线、电力线含光纤)、电力信息系统等。目前,大多数规模较大的发电企业和很多省市的电力公司网络安全建设方面已经做了很多工作,通过防火墙、入侵检测系统、VPN设备等关键的安全产品的部署和实施已经初步地建立起了基础性的网络安全防护系统,并取得一定的效果。但在对于已经部署的安全产品和系统合理有效的配置使用,使其充分发挥其安全防护作用方面,以及在对于突发性内外部恶意攻击等非常规的安全事件的快速有效响应所需的技术和管理措施方面,都还需要做进一步的工作,特别是电力企业的信息化已经从“建设期”转入到“维护管理期”。然而,在电力企业通过信息化“建设期”的投入转化为企业真正生产的同时,对于企业内部网络的维护管理工作显得尤为重要,而首当其冲的就是内网安全管理问题。
由于近年来电力网络系统与外界接口的增加,特别是与银行等预算单位中间业务的接口、网上电力服务、数据大集中应用等需求的发展,改变了一直以来网络结构和业务系统的相对封闭性,使得安全问题不仅仅源于内部事件,来自外界的攻击已越来越多。网络应用的扩大,网络安全风险变得更加严重和复杂,原来由单个计算机安全事故引起的损害可能通过网络传播到其他系统和主机,引起大范围的瘫痪和损失;另外,加上网络用户人员缺乏安全控制机制和对网络安全政策及防护意识的认识不足,这些风险可谓日益加重。着眼总体网络安全需求,结合电力行业内网实际,内网安全应重点实现以下的内容:
严格控制电力行业内网的各种访问,确保合法访问的正常进行,杜绝非法及越权访问;
严格限制外来电脑非法接入,并对内网电脑的合法性以及是否符合安全规则进行确认;
确保接入网络的终端是安全的、可信赖的;合理管理内网动态、静态IP地址利用;
高效资产管理以及资产变更管理,生成报表,方便查看及管理;
严格限制内网终端的非授权外联、外设接入及使用;
有效预防、发现、处理异常的流量,快速故障定位;
实时终端远程监控、快速远程管理;
能够及时发现网络中存在的安全隐患,便于网络管理人员能够及时给予安全加固和故障消除的处理;
及时进行补丁、防病毒软件的升级管理;
保障内网终端安全运行,对于异常的主机是否可以快速从网络中隔离出来;
高度机密的文件、打印监控:是否有人非法登录、访问;
能够对信息系统内所发生的与安全有关的事件记录与审计;
合理的安全体系架构和多级安全策略管理措施;
智能化的告警事件处理,力求做到第一时间发现问题,第一时间有效处理问题;
有较强的扩展性,方便扩展新设备;
本身系统的高可用性、高可靠性,实现稳定、正常运行。
上海宝信软件股份有限公司着眼于安全管理中最重要且最为薄弱的内网安全环节,自2002年率先提出“内网安全”、“构建可信并可控的内网”的理念和目标之后,再次创新性的提出新的安全理念:基于主动防御的动态安全防御模型“AD-PDRR”,针对大型行业、企业用户的网络安全需求现状,参照公安部颁布的《信息安全等级保护管理办法》和《互联网安全保护技术措施规定》(公安部第82号令),提供完整的解决方案,从终端接入控制、终端健康体检、终端运行维护、上网行为管理等方面入手,采取主动防御与控制的手段,为电力系统内网安全管理制度的落实提供可靠的技术保障。结合电力系统内网安全需求,遵循ISO17799安全标准及GB/T涉密资质认证,eCop-NSM主要功能特性包括:
终端接入控制,是用户构建“可信”内网环境的稳固基石。管理和控制接入电力系统内网的各类设备,包括计算机、服务器、交换机等具有独立IP的设备,设定接入的基准策略,不符合策略的终端不能入网。方案综合了多种网络节点发现与控制技术:基于网络底层协议的节点发现与保护技术、基于交换机的扫描与控制技术,基于客户端的访问控制技术,基于网关的访问控制技术,通过分布式的部署机制,形成灵活高效的终端接入控制体系。
终端健康体检,是用户构建“可信”和“可控”内网环境的可靠保证。监控电力系统内网各种Windows系统的计算机、服务器的系统补丁、防病毒软件、软硬件配置、进程、外设、网络、流量等安全状态,在满足接入的基准策略后,还必须符合操作系统基本安全要求,符合组织制定的终端安全规范,才能够认定为处于健康状态。对于不符合“健康”标准的终端,则可以采取桌面警告、网络隔离、网络阻断等措施,直到对不符合项进行修复后才准许正常使用网络资源。
终端运行维护,通过自动搜集和更新功能,并辅助以手工添加的形式,形成电力系统内网的IT资产底帐。并提供远程桌面管理、软件分发、访问控制、文件审计和通知发布等维护功能,可以有效提高资产利用率,减轻管理员远程维护的工作困难,是实现“可控”内网环境的有力辅助。
上网行为管理,对电力系统内网中访问互联网的用户实现实时监控和事后追溯。实时分析上网用户的访问行为,包括访问地址、使用应用、访问时间、访问流量等;并对关键、敏感内容进行记录、报警;通过策略设置控制用户的访问行为,禁止访问非法内容、禁止上班时间做工作以外的事情、禁止随意下载等。
简便部署、多级管理、数据集中,eCop-NSM中央控制器、大规模多网段扫描代理;客户端简单部署;开放式B/S管理体系结构;支持针对组织结构的策略管理;全面的审计日志;支持自定义日志数据管理备份。 |
