【文章內(nèi)容簡介】 行隔離保護(hù)。對內(nèi)部網(wǎng)絡(luò)中服務(wù)器子網(wǎng)通過單獨(dú)的防火墻設(shè)備進(jìn)行保護(hù)。(2)VPN系統(tǒng)。對遠(yuǎn)程辦公人員及分支機(jī)構(gòu)提供方便的IPSecVPN接入，保護(hù)數(shù)據(jù)傳輸過程中的安全，實(shí)現(xiàn)用戶對服務(wù)器系統(tǒng)的受控訪問。(3)入侵檢測系統(tǒng)。入侵檢測系統(tǒng)扮演著數(shù)字空間“預(yù)警機(jī)”的角色。入侵檢測技術(shù)大致分為5個階段：1 ）基于簡單攻擊特征模式匹配檢測；2)基于異常行為模型檢測；3）基于入侵報警的關(guān)聯(lián)分析檢測；4）基于攻擊意圖檢測；5）基于安全態(tài)勢檢測。采用入侵檢測設(shè)備，作為防火墻的功能互補(bǔ)，提供對監(jiān)控網(wǎng)段的攻擊的實(shí)時報警和積極響應(yīng)。(4)網(wǎng)絡(luò)行為監(jiān)控系統(tǒng)。對網(wǎng)絡(luò)內(nèi)的上網(wǎng)行為進(jìn)行規(guī)范，并監(jiān)控上網(wǎng)行為，過濾網(wǎng)頁訪問，過濾郵件，限制上網(wǎng)聊天行為，阻止不正當(dāng)文件的下載。(5)病毒防護(hù)系統(tǒng)。強(qiáng)化病毒防護(hù)系統(tǒng)的應(yīng)用策略和管理策略，增強(qiáng)病毒防護(hù)有效性。(6)垃圾郵件過濾系統(tǒng)。過濾郵件，阻止垃圾郵件及病毒郵件的入侵。(7)內(nèi)網(wǎng)安全。最新調(diào)查顯示，大多數(shù)企業(yè)60%以上的員工利用網(wǎng)絡(luò)處理私人事務(wù)。對網(wǎng)絡(luò)的不正當(dāng)使用，降低了生產(chǎn)率，阻礙電腦網(wǎng)絡(luò)，消耗企業(yè)網(wǎng)絡(luò)資源，并引入病毒和間諜，或者使得不法員工可以通過網(wǎng)絡(luò)泄漏企業(yè)機(jī)密，從而導(dǎo)致企業(yè)的巨大損失。(8)外網(wǎng)安全。隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)安全事件層出不窮。近年來，計算機(jī)病毒傳播、蠕蟲攻擊、垃圾郵件泛濫、敏感信息泄露等已成為影響最為廣泛的安全威脅。對于企業(yè)級用戶，每當(dāng)遭遇這些威脅時，往往會造成數(shù)據(jù)破壞、系統(tǒng)異常、網(wǎng)絡(luò)癱瘓、信息失竊、工作效率下降，直接或間接的經(jīng)濟(jì)損失也很大。(9)內(nèi)外網(wǎng)隔離。通過以上內(nèi)、外網(wǎng)的安全分析，通過技術(shù)手段，將內(nèi)、外網(wǎng)嚴(yán)格隔離開來，也就是內(nèi)部辦公網(wǎng)絡(luò)的機(jī)器不能上互聯(lián)網(wǎng)，上互聯(lián)網(wǎng)的機(jī)器不能接入內(nèi)網(wǎng)，這樣使內(nèi)、外網(wǎng)不能連通，使企業(yè)的信息與資源不被傳出去。現(xiàn)在國家電網(wǎng)公司信息化建設(shè)正由局部向全面和縱深發(fā)展，信息安全的重要性日益增加，信息網(wǎng)絡(luò)已經(jīng)延伸到生產(chǎn)經(jīng)營的各個領(lǐng)域、各個層次。一個完整的信息安全保障體系建設(shè)是信息安全走向成熟的標(biāo)志。信息安全保障體系的建設(shè)，必須進(jìn)行科學(xué)的規(guī)劃，以用戶身份認(rèn)證為基礎(chǔ)，信息安全保密為核心，網(wǎng)絡(luò)邊界防護(hù)和信息安全管理為輔助，建立全面有機(jī)的安全整體，從而建立真正有效的、能夠?yàn)樾畔⒒ㄔO(shè)提供安全保障的平臺。3 供電企業(yè)信息安全風(fēng)險因素及其威脅 供電企業(yè)信息安全存在的風(fēng)險網(wǎng)絡(luò)主要攻擊統(tǒng)計經(jīng)過有關(guān)部門統(tǒng)計，網(wǎng)絡(luò)所受到10種主要攻擊分別為：Probes、WWW Attacks、DOS、惡意代碼攻擊、基礎(chǔ)設(shè)施攻擊、遠(yuǎn)程服務(wù)攻擊、操作欺騙、FTP 攻擊、SMTP攻擊、Windows 攻擊。被攻擊的操作系統(tǒng)主要有： Microsoft Windows、UNIX、Cisco IOS，被攻擊最多的通用Web服務(wù)器有：Microsoft IIS、Apache Group Apache、Netscape Enterprise Server、Iplanet Emerce Solution（見表31）。30隨著針對應(yīng)用層的攻擊越來越多、威脅越來越大，只針對網(wǎng)絡(luò)層以下的安全解決方案已經(jīng)不足以應(yīng)付來自應(yīng)用層的攻擊了。如那些攜帶著后門程序的蠕蟲病毒是簡單的防火墻/VPN安全體系所無法對付的。因此企業(yè)應(yīng)采用立體多層次的安全系統(tǒng)架構(gòu)。因此網(wǎng)絡(luò)安全體系正是電力企業(yè)所需要采用的模式，這種多層次的安全體系不僅在網(wǎng)絡(luò)邊界設(shè)置防火墻/VPN，而且還設(shè)置了針對網(wǎng)絡(luò)病毒和垃圾郵件等應(yīng)用層攻擊的防護(hù)措施，將應(yīng)用層的防護(hù)放在網(wǎng)絡(luò)邊緣，這種主動防護(hù)可將攻擊內(nèi)容完全阻擋在企業(yè)內(nèi)部網(wǎng)之外。表31 網(wǎng)絡(luò)受到的主要攻擊統(tǒng)計技術(shù)種類成熟度應(yīng)用狀況描述口令認(rèn)證高普遍防火墻高普遍防病毒高普遍SSH高局部應(yīng)用PGP高局部應(yīng)用補(bǔ)丁管理發(fā)展中個別部署IP地址綁定高普遍漏洞批描高局部應(yīng)用VPN高局部應(yīng)用入侵檢測改進(jìn)發(fā)展中局部應(yīng)用備份高局部應(yīng)用IPS發(fā)展中個別部署內(nèi)容安全管理發(fā)展中個別部署統(tǒng)一用戶身份管理發(fā)展中個別部署 導(dǎo)致企業(yè)信息安全的因素伴隨電網(wǎng)的快速發(fā)展以及科學(xué)技術(shù)的進(jìn)步，我們國家的電力信息化工作也得到了迅猛的發(fā)展。信息系統(tǒng)已經(jīng)廣泛應(yīng)用于電力系統(tǒng)的生產(chǎn)、經(jīng)營以及管理等各個方面，然而在計算機(jī)安全技術(shù)、運(yùn)行以及相應(yīng)的措施方面投入還不到位，存在許多信息安全隱患。由于解決基于Internet的信息系統(tǒng)的安全問題是一項(xiàng)十分復(fù)雜的系統(tǒng)性工程，供電企業(yè)應(yīng)盡快建立一套完整系統(tǒng)的、便于管理的信息安全體系。電力是國民社會經(jīng)濟(jì)發(fā)展的一個基礎(chǔ)性的產(chǎn)業(yè)，電力系統(tǒng)的安全穩(wěn)定運(yùn)行對于社會經(jīng)濟(jì)的持續(xù)健康發(fā)展有重大的影響，因此，強(qiáng)化供電企業(yè)信息安全管理工作就顯得迫在眉睫。供電企業(yè)信息安全的主要影響因素:1）自然環(huán)境以及各種不可抗拒因素。由于水災(zāi)、雷電等自然災(zāi)害造成的網(wǎng)絡(luò)信號中斷、數(shù)據(jù)被破壞等。2）物理設(shè)備風(fēng)險。在供電企業(yè)信息系統(tǒng)中必須使用了大量的網(wǎng)絡(luò)設(shè)備，比如路由器等，而設(shè)備本身的安全性能也會對網(wǎng)絡(luò)的正常運(yùn)行產(chǎn)生較大的影響。3）人為因素以及管理因素。工作人員的業(yè)務(wù)素質(zhì)、職業(yè)修養(yǎng)是其主要因素。建立過錯追究制度，有效預(yù)防人為破壞以及管理方面的漏洞。4） 數(shù)據(jù)庫存在的安全風(fēng)險。嚴(yán)禁供電企業(yè)以及調(diào)度中心的電力控制系統(tǒng)直接和辦公信息網(wǎng)絡(luò)進(jìn)行連接，務(wù)必安裝經(jīng)國家相關(guān)部門認(rèn)證的專業(yè)安全隔離設(shè)施，同時選擇專用設(shè)備組網(wǎng)，確保物理層面上和公用信息網(wǎng)絡(luò)之間的安全隔離。 Email威脅Email 是一個重要的個人和企業(yè)的溝通工具, 它幫助全球性的思想和內(nèi)容的快速交換。然而, 這種信息共享的便利, 也帶來了許多不利因素。1) 病毒感染最明顯的危害之一是攜帶病毒的電子郵件。每年的眾多新病毒傳播到互聯(lián)網(wǎng), 如果沒有強(qiáng)有力的方法和措施, 以保護(hù)個人或組織的網(wǎng)絡(luò)系統(tǒng), 任何病毒都會導(dǎo)致極大的傷害。2) 垃圾郵件垃圾郵件的問題是最現(xiàn)實(shí)的問題之一。除了要花費(fèi)大量的時間每天清理垃圾, 垃圾郵件也給服務(wù)器帶來了很大的負(fù)擔(dān)。3) 帶寬和存儲容量浪費(fèi)帶寬和存儲容量等資源垃圾郵件不僅浪費(fèi)時間, 導(dǎo)致生產(chǎn)力下降, 還會造成有限的IT 資源的消耗。如存儲, CPU , 網(wǎng)絡(luò)帶寬等。4) 知識產(chǎn)權(quán)知識產(chǎn)權(quán)的損失監(jiān)控和檢查大量的郵件流量是相當(dāng)困難的。因此, 特別對商業(yè)組織而言, 私有的或保密的信息通過電子郵件泄露出去一個極為重要的擔(dān)憂。目前, 公文處理通常使用諸如Word之類的文字編輯排版軟件, 其功能強(qiáng)大, 使用廣泛, 但也存在許多安全隱患, 如:1) 針對Word的病毒種類繁多且不斷有破壞力更大的新病毒流行,Word文檔是傳播病毒的一個重要載體。2) 使用Word 客戶端上的本地文件和臨時Word 文檔, 雖然這有一定的安全處理, 但在系統(tǒng)異常(如停電等) 的情況下, 這些臨時Word文檔不能處理。在客戶端存儲的重要信息可能被竊取。3) 所帶來的不同部門使用不同版本的Word和不斷升級的版本是不兼容許多不可預(yù)見的問題。4) 根據(jù)官方文檔模板草案中的語言使用的語言和修改稿件,眉首、公章和版記等處的內(nèi)容可以自由發(fā)揮除, 修改, 造成當(dāng)最后的書面錯誤。5) 在Word 的編輯格式存儲的可編輯的電子印章是一個很大的安全風(fēng)險。文件瀏覽, 文件可以重新編輯打印。6) 認(rèn)勺Word 文檔的文件較大, 這樣我們必須經(jīng)常大容量數(shù)據(jù)傳輸。這將導(dǎo)致數(shù)據(jù)傳輸效率低, 不穩(wěn)定。1）客戶信息泄露商業(yè)信息是一個公司寶貴的財富, 沒有一家公司愿意共享客戶資源給他們的商業(yè)競爭對手, 缺乏客戶數(shù)據(jù), 公司也不能有效地運(yùn)作。然而, 間諜/ 廣告軟件會泄露商業(yè)信息。2）應(yīng)用數(shù)據(jù)的安全企業(yè)應(yīng)用系統(tǒng)在在使用的過程中的數(shù)據(jù)有的保存在數(shù)據(jù)庫中, 有的保存在Word文檔中, 這些數(shù)據(jù)可能存在著應(yīng)用軟件漏洞等諸多不安全因素, 這些因素都有可能導(dǎo)致應(yīng)用數(shù)據(jù)的破壞。企業(yè)員工或多或少地?fù)碛幸欢ǖ钠髽I(yè)信息系統(tǒng)訪問權(quán)限。但當(dāng)員工離職后, 大多數(shù)企業(yè)卻沒有適當(dāng)?shù)臋C(jī)制來確保收回離職員工擁有的任何權(quán)限。1）所遺留的各種帳戶許多企業(yè)的信息化成熟度不高, 企業(yè)各種應(yīng)用系統(tǒng)往往并沒有集成在一起, 員工也就有了不同系統(tǒng)的賬號。離任員工仍然可以登陸賬號。2）殘存的各種資源權(quán)限員工很可能有一個VPN , 寬帶接入, 遠(yuǎn)程主機(jī), Email 和其他特權(quán)等。如果員工離開了, 但仍然在使用該公司的Email, 則很可能是被人利用。3）其他內(nèi)部信息和隱藏信息在企業(yè)中, 雇員可能會無意或故意得到其他人使用他的帳戶。有些員工可能了解企業(yè)網(wǎng)絡(luò)中的一些后門, 這可能危及系統(tǒng)的安全。4 供電企業(yè)的網(wǎng)絡(luò)安全的解決方案與對策 DR容災(zāi)解決方案針對自然環(huán)境以及各種不可抗拒的因素造成的信息安全風(fēng)險，遠(yuǎn)程容災(zāi)的方案比較實(shí)用！ HeartsOne DR 功能特點(diǎn)1）遠(yuǎn)程實(shí)時復(fù)制 通過對數(shù)據(jù)庫日志進(jìn)行抓取，分析，同時將其傳輸?shù)狡渌O(shè)備上進(jìn)行日志前滾，實(shí)現(xiàn)一對一數(shù)據(jù)庫實(shí)時復(fù)制同步。2）服務(wù)接管圖41 服務(wù)接管圖在主服務(wù)器宕機(jī)以后，備份服務(wù)器可以手動或者自動的接管主站的IP以及對外的相關(guān)服務(wù)。遠(yuǎn)程實(shí)時復(fù)制功能已經(jīng)將從站數(shù)據(jù)庫服務(wù)器的數(shù)據(jù)與主站進(jìn)行了同步，業(yè)務(wù)接管后，可以保障數(shù)據(jù)的一致性和完整性。3）異地容災(zāi)異地——局域網(wǎng) 圖42 局域網(wǎng)網(wǎng)絡(luò)拓?fù)鋱D可以在局域網(wǎng)內(nèi)的任一機(jī)器上，將數(shù)據(jù)同步到任意一臺機(jī)器上，實(shí)現(xiàn)不同機(jī)房，不同樓宇間，同城的本地各種類型局域網(wǎng)，城域網(wǎng)的數(shù)據(jù)同步，完成本地容災(zāi)系統(tǒng)建設(shè)中，最重要的數(shù)據(jù)同步工作。異地——廣域網(wǎng) 圖43 廣域網(wǎng)網(wǎng)絡(luò)拓?fù)鋱D可以通過廣域網(wǎng)進(jìn)行異地數(shù)據(jù)同步。即使本地數(shù)據(jù)發(fā)生災(zāi)難性的損壞，也能及時恢復(fù)。主要適用于對數(shù)據(jù)安全性要求較高的行業(yè)。4）報警機(jī)制圖44 警報機(jī)制拓?fù)鋱D當(dāng)服務(wù)器主站宕機(jī)或者出現(xiàn)故障時，可以在網(wǎng)內(nèi)通過指定機(jī)器提示消息?；蛘咄ㄟ^配置無線發(fā)送設(shè)備，可以直接發(fā)送消息到指定的無線終端設(shè)備。5）日志記錄系統(tǒng)每天會產(chǎn)生一個日志文件，其中記錄了當(dāng)天所有運(yùn)行作業(yè)產(chǎn)生的日志信息。根據(jù)日志用戶可了解各個作業(yè)詳細(xì)的歷史運(yùn)行狀況。6）統(tǒng)計分析圖45 統(tǒng)計圖提供各類數(shù)據(jù)接口的數(shù)據(jù)統(tǒng)計分析功能，支持一維或二維數(shù)據(jù)分析，可輸出一維餅圖、二維直方圖及基于時間維的二維趨勢。 DR容災(zāi)實(shí)例下面以這個是某個電廠的實(shí)際案例——DR容災(zāi)解決方案為例：根據(jù)客戶業(yè)務(wù)需求，本方案的核心任務(wù)是提供了基于應(yīng)用級的備份和災(zāi)難恢復(fù)方案。包括當(dāng)生產(chǎn)中心的服務(wù)器、存儲、Oracle、MySQL、郵件等系統(tǒng)無法工作時，能夠在短時間內(nèi)切換到容災(zāi)中心的服務(wù)器上；當(dāng)生產(chǎn)中心的系統(tǒng)恢復(fù)后，需要支持將系統(tǒng)回切到生產(chǎn)系統(tǒng)。中科同向提供的方案中，災(zāi)備數(shù)據(jù)庫能夠快速配合業(yè)務(wù)系統(tǒng)進(jìn)行業(yè)務(wù)接管。根據(jù)該系統(tǒng)的應(yīng)用概況，建議災(zāi)備方案如下圖46：圖46 災(zāi)備方案拓?fù)鋱D方案部署及功能實(shí)現(xiàn)如下：在數(shù)據(jù)中心生產(chǎn)系統(tǒng)的每個數(shù)據(jù)庫服務(wù)器上安裝HeartsOne DR的代理，代理程序?qū)?shù)據(jù)源系統(tǒng)的數(shù)據(jù)變化進(jìn)行跟蹤，當(dāng)生產(chǎn)系統(tǒng)發(fā)現(xiàn)到有數(shù)據(jù)變化時，系統(tǒng)將數(shù)據(jù)變化的結(jié)果采集起來并發(fā)送到災(zāi)備中心。災(zāi)備中心需要在備份服務(wù)器上安裝一個HeartsOne DR的代理，