2006年4月,国家电网公司提出了在全系统内实施“SG186工程”规划,打造数字化电网、信息化企业的目标。目前,经过四年多的努力,涵盖一体化平台、八大业务应用和六个保障体系于一体的信息化“SG186”工程已经基本建成。而“信息化安全防护体系”作为六大保障体系中首要的一项,它的建成是SG186能够成功实施的重要保障。
一、原有的防护体系存在短板(新业务带来的新思路)
在SG186之前,国家电网的信息化安全防护体系,基本上还处在防火墙、IDS、防病毒这“老三样”的阶段:在网络边界部署防火墙进行基本的访问控制,阻止来自外部的非授权访问;在核心网络中部署IDS来检测网络中的入侵和威胁事件,及时为管理员提供告警;部署防病毒系统来抵御恶意代码对终端系统的危害,防止以内部为源头出现大规模的病毒爆发。对于信息化水平较低的企业应用,这样的安全防护体系是卓有成效的,但在SG186这样集成了大量业务应用、对信息化高度依赖,而且对于公众用户也存在开放接口的平台之上,需要更加健壮、更加立体的防御体系。
现有的信息安全防护体系的短板之一是在网络边界的位置上。防火墙的工作原理是根据IP地址或服务端口来对数据包进行过滤,但是由于防火墙不会对数据包的内容作深入的分析,因此对于使用合法地址和合理端口(如21、80、443等常用端口)所从事的破坏活动无能为力。由于在大多数防火墙上,这些端口都是根据业务需求所必须要打开的端口,因此防火墙的防御实际上是存在很大的隐患的。
最明显就是反弹木马的例子。通常防火墙对于从企业外部到内部的访问会进行非
一、原有的防护体系存在短板(新业务带来的新思路)
在SG186之前,国家电网的信息化安全防护体系,基本上还处在防火墙、IDS、防病毒这“老三样”的阶段:在网络边界部署防火墙进行基本的访问控制,阻止来自外部的非授权访问;在核心网络中部署IDS来检测网络中的入侵和威胁事件,及时为管理员提供告警;部署防病毒系统来抵御恶意代码对终端系统的危害,防止以内部为源头出现大规模的病毒爆发。对于信息化水平较低的企业应用,这样的安全防护体系是卓有成效的,但在SG186这样集成了大量业务应用、对信息化高度依赖,而且对于公众用户也存在开放接口的平台之上,需要更加健壮、更加立体的防御体系。
现有的信息安全防护体系的短板之一是在网络边界的位置上。防火墙的工作原理是根据IP地址或服务端口来对数据包进行过滤,但是由于防火墙不会对数据包的内容作深入的分析,因此对于使用合法地址和合理端口(如21、80、443等常用端口)所从事的破坏活动无能为力。由于在大多数防火墙上,这些端口都是根据业务需求所必须要打开的端口,因此防火墙的防御实际上是存在很大的隐患的。
最明显就是反弹木马的例子。通常防火墙对于从企业外部到内部的访问会进行非
