供電企業(yè)網絡信息安全應用
隨著國網公司SG186工程的實施和信息化建設逐步深入,遼寧電力公司統(tǒng)一信息化平臺進程不斷推進,盤錦供電公司的信息化建設也得到了快速發(fā)展。集中化、網絡化已經成為信息建設發(fā)展大趨勢,尤其省級數據大集中以后
隨著國網公司“SG186”工程的實施和信息化建設逐步深入,遼寧電力公司統(tǒng)一信息化平臺進程不斷推進,盤錦供電公司的信息化建設也得到了快速發(fā)展。集中化、網絡化已經成為信息建設發(fā)展大趨勢,尤其省級數據大集中以后,各種日常工作對信息網絡系統(tǒng)的依賴性日益增強,信息網絡系統(tǒng)運維工作更凸顯重要和急迫。
盤錦供電公司(以下簡稱公司)全面貫徹落實國家電網公司、遼寧省電力公司有關信息安全工作規(guī)定,結合公司信息系統(tǒng)安全現狀,在風險評估的基礎上精心設計信息安全整體防護體系,堅持“安全第一、預防為主、綜合防治”的信息安全原則,成立信息安全領導小組,優(yōu)化專業(yè)管理流程,按照省公司統(tǒng)一部署,建立兩級三線運維支持體系,實施雙網雙機、分區(qū)分域、等級保護、橫向隔離、縱向認證、信息設備安全加固、統(tǒng)一安全策略等防護措施,管控結合,分步實施,有效降低了信息安全面臨的風險,提高信息安全整體防護能力,確保全公司信息系統(tǒng)安全穩(wěn)定運行,并創(chuàng)造性地提出了“行為管理+策略控制+終端管理”的安全保障體系思想。
行為管理
員工是安全的主體,管理是安全的靈魂,技術是安全的手段。只有將有效的安全管理實踐自始至終貫徹落實于全員信息安全當中,網絡安全的長期性和穩(wěn)定性才能有所保證。
堅持不懈地加強信息人員的安全教育,保持信息人員特別是網絡管理人員和安全管理人員的相對穩(wěn)定,防止網絡機密泄露,尤其要注意人員調離時的網絡機密的泄露。教育員工對各類密碼進行妥善管理,杜絕默認密碼、出廠密碼、無密碼,不使用容易猜測的密碼。在企業(yè)網絡中建立集中管理的數據存儲機制,配合以相關安全權限管理制度的嚴格執(zhí)行,在存儲介質使用的管理上,實行嚴格的管控,定期備份各類工作專用信息數據,專人專用,備份品專門集中存放,由最低限度的經過安全培訓和安全審查的人員負責監(jiān)護管理。
公司網絡安全的最終目標就是建設安全、高效的企業(yè)信息網,通過網絡的安全配置,硬件防火墻及IDS、IPS的策略配置,安全漏洞掃描、網上行為審計系統(tǒng)應用,對網絡的出入口進行嚴格控制,對網絡中的服務器、網絡設備進行定期掃描和定期檢測、分析,發(fā)現網絡系統(tǒng)漏洞和隱患,并進行整改,有效地防止外部惡意攻擊和內部數據泄露,做到網絡堅強、策略得當、信息保密、數據完整、接入控制。
實施信息內外網邊界安全監(jiān)測系統(tǒng)(SMS),通過部署在信息外網各個Internet出口處的日志采集層軟件,將各種網絡出口以及信息外網各邊界處的各類安全設備的日志進行統(tǒng)一采集,并經過日志預處理上傳到公司總部開展相關分析。同時以網省公司(直屬單位)為基本單元,每個單位部署一套實時展現與分析工具,實現對各種安全日志事件的分層分析即:告警統(tǒng)計、實時監(jiān)測、事件查詢、統(tǒng)計分析、流量分析、設備管理、系統(tǒng)管理等。
通過集中注冊管理平臺,對USB存儲設備作嚴格的設備介質自由身份認證,數據加密等一系列防護操作,避免了工作人員隨意使用USB硬盤、U盤,實現了對內網移動介質的日常安全管理。通過對移動介質的有效管理,完全實現了移動存儲設備全生命周期管理、合法與非法設備的有效區(qū)分、設備的訪問機制控制、數據加密保護、設備使用日志審計、分權限管理、通信及日志文件加密、客戶端保護機制等功能。
策略控制
在網絡邊界上,信息內網不同安全域之間均部署防火墻,強化訪問控制策略,僅開放必要的服務端口。信息外網與局域網之間完全隔離,互聯網間邊界安全防護措施的部署和策略配置情況是:部署防火墻、客戶端認證系統(tǒng)、內外網均部署補丁分發(fā)和防病毒系統(tǒng)如圖1所示。
在網絡內部,按照等級保護的原則根據業(yè)務系統(tǒng)的重要程度化分成若干個安全域,并有選擇性地進行深度防護。電力二次系統(tǒng)分為生產控制I區(qū)、II區(qū)和管理信息大區(qū)III區(qū)。管理大區(qū)分為內網和外網,內外系統(tǒng)物理隔離。其中,信息內網有財務(資金)管理系統(tǒng)域、營銷管理系統(tǒng)域、辦公自動化系統(tǒng)域、ERP系統(tǒng)域、二級系統(tǒng)域、內網桌面終端域;信息外網有外網桌面終端域。從邊界、網絡、主機及應用四個層次設計安全防護,制訂了《盤錦供電公司信息安全總體防護方案》。財務系統(tǒng)通過前置防火墻進行安全防護;互聯網出口配置防火墻進行邊界防護;業(yè)務系統(tǒng)通過VLAN,訪問控制策略進行防護;生產控制大區(qū)的I區(qū)、II區(qū)與管理信息大區(qū)的III區(qū)間用物理隔離;管理信息系統(tǒng)的調度邊界部署防火墻如圖2所示。
公司針對內部Intranet特點,選用企業(yè)級防火墻NetScreen100建立網絡防火墻系統(tǒng)。在公司的網絡中通過設置交換機或路由策略劃分VLAN技術建立服務區(qū)、非服務區(qū)、辦公區(qū)及生活區(qū),同時使用網絡地址轉換(NAT)技術將受保護區(qū)域的網絡和IP地址進行屏蔽。
公司選用Symantec企業(yè)級防毒軟件Norton AntiVirus2011建立了網絡防毒系統(tǒng)。通過多平臺工作站和服務器的病毒碼信息集中部署和產品更新,大幅度降低了部署更新的成本,并簡化了企業(yè)服務器層次規(guī)劃和創(chuàng)建。在該系統(tǒng)中,管理員從一個集中控制臺設置管理策略,對基于Windows 2000和Windows XP的工作站以及基于Windows NT/Windows 2000 Server和NetWare服務器進行更新和配置。所有客戶機均可鎖定設置以防用戶修改,也可在管理平臺上對客戶機進行配置并進行監(jiān)控。一旦檢測到病毒,該系統(tǒng)將自動修復并通過控制臺向管理員發(fā)出報警。在該系統(tǒng)中,管理員只需在NAV2011的安裝過程中運行Live并設置好其自動運行的時間。在以后的運行過程中,當滿足設定的時間條件時,Live會自動運行并進行病毒碼信息更新如圖3所示。
終端管理
根據國網公司、省市公司要求公司做好桌面終端管理系統(tǒng)及移動存儲介質管理系統(tǒng)的推廣實施工作。截至2010年6月,計算機內網終端的560臺,安裝率達到100%。2011年3月開始在信息外網部署桌面終端標準化,計算機外網終端的325臺,安裝率達到100%。桌面終端標準化系統(tǒng)在公司的部署和實施,使公司的信息資源得到了更高效的利用,提高了企業(yè)局域網的安全管理,減輕了桌面終端運行維護人員的工作負擔。
員工通過注冊軟件,填寫本機信息,注冊程序自動探測系統(tǒng)硬件信息,連同用戶填寫的信息一同上報區(qū)域管理器。用戶將本機注冊信息發(fā)送到區(qū)域管理器后,區(qū)域管理器自動將客戶端駐留程序應用策略發(fā)送給用戶,并自動更新。在推廣應用桌面計算機安全管理系統(tǒng)后,可以實現本機硬件屬性信息變化監(jiān)視;對本機IP、MAC地址變化審計;本機系統(tǒng)補丁、軟件安裝、運行進程狀況監(jiān)測;探測本機是否有違規(guī)聯網行為,在內網管理中心或外網報警平臺報警;接受Web管理平臺的管理命令;阻斷本機違規(guī)外聯行為;執(zhí)行Web管理平臺下發(fā)的各種策略操作如圖4所示。
IMS信息監(jiān)管平臺采集網絡設備、服務器、數據庫、中間件等網元的實時運行狀態(tài)信息進行統(tǒng)一匯總、整理、存放在網絡管理數據庫中,為系統(tǒng)運行分析模塊提供數據支持。網管數據展示系統(tǒng)從數據庫中讀取數據進行展示,并將網管系統(tǒng)中產生的事件統(tǒng)一存放在事件管理數據庫中。現共有60臺網絡設備、20臺主機系統(tǒng)納入統(tǒng)一監(jiān)管平臺如圖5所示。
通過上述一系列信息安全理論和技術的運用、信息安全項目建設與實踐,使公司信息安全防護能力和運行水平得到進一步提高。
建立企業(yè)信息系統(tǒng)安全長效機制不僅需要等級保護、風險控制、縱深防御等技術上的支持,同時也需要組織結構、人員、業(yè)務邏輯、法律規(guī)章等管理上的支持。公司強化運行管理,鞏固安全成果,完善并應用信息運維綜合監(jiān)管系統(tǒng),使管理與技術結合,有效地保護了內網信息資源,從根本上杜絕了來自外網的安全威脅,提高了網絡的安全防護能力,對保障企業(yè)運營安全、降低企業(yè)運營風險、提升企業(yè)核心競爭力發(fā)揮了十分重大的作用。
點評
信息安全不為獨行而創(chuàng)新,不為取寵而嘩眾,讓安全設備、體系發(fā)揮實效,難在持久,貴在堅決,重在細節(jié)。而一切都要圍繞業(yè)務需求之中心,管好人,用對策,把住關,這就是“行為管理+策略控制+終端管理”的要旨,萬綠叢中一點紅。
盤錦供電公司(以下簡稱公司)全面貫徹落實國家電網公司、遼寧省電力公司有關信息安全工作規(guī)定,結合公司信息系統(tǒng)安全現狀,在風險評估的基礎上精心設計信息安全整體防護體系,堅持“安全第一、預防為主、綜合防治”的信息安全原則,成立信息安全領導小組,優(yōu)化專業(yè)管理流程,按照省公司統(tǒng)一部署,建立兩級三線運維支持體系,實施雙網雙機、分區(qū)分域、等級保護、橫向隔離、縱向認證、信息設備安全加固、統(tǒng)一安全策略等防護措施,管控結合,分步實施,有效降低了信息安全面臨的風險,提高信息安全整體防護能力,確保全公司信息系統(tǒng)安全穩(wěn)定運行,并創(chuàng)造性地提出了“行為管理+策略控制+終端管理”的安全保障體系思想。
行為管理
員工是安全的主體,管理是安全的靈魂,技術是安全的手段。只有將有效的安全管理實踐自始至終貫徹落實于全員信息安全當中,網絡安全的長期性和穩(wěn)定性才能有所保證。
堅持不懈地加強信息人員的安全教育,保持信息人員特別是網絡管理人員和安全管理人員的相對穩(wěn)定,防止網絡機密泄露,尤其要注意人員調離時的網絡機密的泄露。教育員工對各類密碼進行妥善管理,杜絕默認密碼、出廠密碼、無密碼,不使用容易猜測的密碼。在企業(yè)網絡中建立集中管理的數據存儲機制,配合以相關安全權限管理制度的嚴格執(zhí)行,在存儲介質使用的管理上,實行嚴格的管控,定期備份各類工作專用信息數據,專人專用,備份品專門集中存放,由最低限度的經過安全培訓和安全審查的人員負責監(jiān)護管理。
公司網絡安全的最終目標就是建設安全、高效的企業(yè)信息網,通過網絡的安全配置,硬件防火墻及IDS、IPS的策略配置,安全漏洞掃描、網上行為審計系統(tǒng)應用,對網絡的出入口進行嚴格控制,對網絡中的服務器、網絡設備進行定期掃描和定期檢測、分析,發(fā)現網絡系統(tǒng)漏洞和隱患,并進行整改,有效地防止外部惡意攻擊和內部數據泄露,做到網絡堅強、策略得當、信息保密、數據完整、接入控制。
實施信息內外網邊界安全監(jiān)測系統(tǒng)(SMS),通過部署在信息外網各個Internet出口處的日志采集層軟件,將各種網絡出口以及信息外網各邊界處的各類安全設備的日志進行統(tǒng)一采集,并經過日志預處理上傳到公司總部開展相關分析。同時以網省公司(直屬單位)為基本單元,每個單位部署一套實時展現與分析工具,實現對各種安全日志事件的分層分析即:告警統(tǒng)計、實時監(jiān)測、事件查詢、統(tǒng)計分析、流量分析、設備管理、系統(tǒng)管理等。
通過集中注冊管理平臺,對USB存儲設備作嚴格的設備介質自由身份認證,數據加密等一系列防護操作,避免了工作人員隨意使用USB硬盤、U盤,實現了對內網移動介質的日常安全管理。通過對移動介質的有效管理,完全實現了移動存儲設備全生命周期管理、合法與非法設備的有效區(qū)分、設備的訪問機制控制、數據加密保護、設備使用日志審計、分權限管理、通信及日志文件加密、客戶端保護機制等功能。
策略控制
在網絡邊界上,信息內網不同安全域之間均部署防火墻,強化訪問控制策略,僅開放必要的服務端口。信息外網與局域網之間完全隔離,互聯網間邊界安全防護措施的部署和策略配置情況是:部署防火墻、客戶端認證系統(tǒng)、內外網均部署補丁分發(fā)和防病毒系統(tǒng)如圖1所示。
在網絡內部,按照等級保護的原則根據業(yè)務系統(tǒng)的重要程度化分成若干個安全域,并有選擇性地進行深度防護。電力二次系統(tǒng)分為生產控制I區(qū)、II區(qū)和管理信息大區(qū)III區(qū)。管理大區(qū)分為內網和外網,內外系統(tǒng)物理隔離。其中,信息內網有財務(資金)管理系統(tǒng)域、營銷管理系統(tǒng)域、辦公自動化系統(tǒng)域、ERP系統(tǒng)域、二級系統(tǒng)域、內網桌面終端域;信息外網有外網桌面終端域。從邊界、網絡、主機及應用四個層次設計安全防護,制訂了《盤錦供電公司信息安全總體防護方案》。財務系統(tǒng)通過前置防火墻進行安全防護;互聯網出口配置防火墻進行邊界防護;業(yè)務系統(tǒng)通過VLAN,訪問控制策略進行防護;生產控制大區(qū)的I區(qū)、II區(qū)與管理信息大區(qū)的III區(qū)間用物理隔離;管理信息系統(tǒng)的調度邊界部署防火墻如圖2所示。
公司針對內部Intranet特點,選用企業(yè)級防火墻NetScreen100建立網絡防火墻系統(tǒng)。在公司的網絡中通過設置交換機或路由策略劃分VLAN技術建立服務區(qū)、非服務區(qū)、辦公區(qū)及生活區(qū),同時使用網絡地址轉換(NAT)技術將受保護區(qū)域的網絡和IP地址進行屏蔽。
公司選用Symantec企業(yè)級防毒軟件Norton AntiVirus2011建立了網絡防毒系統(tǒng)。通過多平臺工作站和服務器的病毒碼信息集中部署和產品更新,大幅度降低了部署更新的成本,并簡化了企業(yè)服務器層次規(guī)劃和創(chuàng)建。在該系統(tǒng)中,管理員從一個集中控制臺設置管理策略,對基于Windows 2000和Windows XP的工作站以及基于Windows NT/Windows 2000 Server和NetWare服務器進行更新和配置。所有客戶機均可鎖定設置以防用戶修改,也可在管理平臺上對客戶機進行配置并進行監(jiān)控。一旦檢測到病毒,該系統(tǒng)將自動修復并通過控制臺向管理員發(fā)出報警。在該系統(tǒng)中,管理員只需在NAV2011的安裝過程中運行Live并設置好其自動運行的時間。在以后的運行過程中,當滿足設定的時間條件時,Live會自動運行并進行病毒碼信息更新如圖3所示。
終端管理
根據國網公司、省市公司要求公司做好桌面終端管理系統(tǒng)及移動存儲介質管理系統(tǒng)的推廣實施工作。截至2010年6月,計算機內網終端的560臺,安裝率達到100%。2011年3月開始在信息外網部署桌面終端標準化,計算機外網終端的325臺,安裝率達到100%。桌面終端標準化系統(tǒng)在公司的部署和實施,使公司的信息資源得到了更高效的利用,提高了企業(yè)局域網的安全管理,減輕了桌面終端運行維護人員的工作負擔。
員工通過注冊軟件,填寫本機信息,注冊程序自動探測系統(tǒng)硬件信息,連同用戶填寫的信息一同上報區(qū)域管理器。用戶將本機注冊信息發(fā)送到區(qū)域管理器后,區(qū)域管理器自動將客戶端駐留程序應用策略發(fā)送給用戶,并自動更新。在推廣應用桌面計算機安全管理系統(tǒng)后,可以實現本機硬件屬性信息變化監(jiān)視;對本機IP、MAC地址變化審計;本機系統(tǒng)補丁、軟件安裝、運行進程狀況監(jiān)測;探測本機是否有違規(guī)聯網行為,在內網管理中心或外網報警平臺報警;接受Web管理平臺的管理命令;阻斷本機違規(guī)外聯行為;執(zhí)行Web管理平臺下發(fā)的各種策略操作如圖4所示。
IMS信息監(jiān)管平臺采集網絡設備、服務器、數據庫、中間件等網元的實時運行狀態(tài)信息進行統(tǒng)一匯總、整理、存放在網絡管理數據庫中,為系統(tǒng)運行分析模塊提供數據支持。網管數據展示系統(tǒng)從數據庫中讀取數據進行展示,并將網管系統(tǒng)中產生的事件統(tǒng)一存放在事件管理數據庫中。現共有60臺網絡設備、20臺主機系統(tǒng)納入統(tǒng)一監(jiān)管平臺如圖5所示。
通過上述一系列信息安全理論和技術的運用、信息安全項目建設與實踐,使公司信息安全防護能力和運行水平得到進一步提高。
建立企業(yè)信息系統(tǒng)安全長效機制不僅需要等級保護、風險控制、縱深防御等技術上的支持,同時也需要組織結構、人員、業(yè)務邏輯、法律規(guī)章等管理上的支持。公司強化運行管理,鞏固安全成果,完善并應用信息運維綜合監(jiān)管系統(tǒng),使管理與技術結合,有效地保護了內網信息資源,從根本上杜絕了來自外網的安全威脅,提高了網絡的安全防護能力,對保障企業(yè)運營安全、降低企業(yè)運營風險、提升企業(yè)核心競爭力發(fā)揮了十分重大的作用。
點評
信息安全不為獨行而創(chuàng)新,不為取寵而嘩眾,讓安全設備、體系發(fā)揮實效,難在持久,貴在堅決,重在細節(jié)。而一切都要圍繞業(yè)務需求之中心,管好人,用對策,把住關,這就是“行為管理+策略控制+終端管理”的要旨,萬綠叢中一點紅。
責任編輯:黎陽錦
免責聲明:本文僅代表作者個人觀點,與本站無關。其原創(chuàng)性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關內容。
我要收藏
個贊
-
發(fā)電電力輔助服務營銷決策模型
2019-06-24電力輔助服務營銷 -
繞過安卓SSL驗證證書的四種方式
-
網絡何以可能
2017-02-24網絡
