随着电力工业的发展,电力工业信息系统的电子化建设取得了快速进步,计算机技术在电力工业的应用深度和广度都得到了巨大的扩展,各电力公司及其所属机构已经全部建立了电子化业务系统,计算机与网络通信技术已经成为支撑电力工业运转的关键设施。然而信息系统的存在及大量而广泛的应用,就必然带来一个我们不得不引起高度重视的问题,那就是信息网络系统的安全性问题。
一、华北电网公司信息网络运行现状
华北电网公司信息网是以集团公司局域网为中心,连接天津、山西、内蒙各发供电单位和科研单位的企业信息网(见图1)。
华北电网企业信息网通过155M ATM及2M光纤和数字微波,使用NORTEL公司PASSPORT6480交换机和AN路由器,与26个直属发供电单位的局域网相连,形成企业内部的Intranet,通过2M光纤链路与国家电网公司相连,成为国家电网公司一级信息网的节点。华北电网公司本部通过2OM专线与Internet互联,企业内部网的每一个用户都通过此出口获取Internet的资源。
华北电网公司本部局域网主干为155M ATM,全网划分6个VLANE,共有30多台服务器和近100O台PC机分布在不同的网段中(见图2)。(拓扑图请到http://tech.chinapower.com.cn查看)
企业网中,网络设备产品类型包括Intel、Nortel、Cisco,3com等,服务器硬件平台主要为Alpha和 Intel,系统和应用平台有:Win-dows NT、Digital Unix和Domino/Lotus Notes、MS、Exchange、SQLSERVER、ORACLE、SYBASE等,服务器用途主要为:NT域管理、防火墙、电子邮件服务、WEB服务、数据库服务、文件服务、远程访问服务等。实现的应用系统有生产实时信息、办公自动化、财务、人劳、安监、远程数据传输、WEB服务、电子邮件服务、Intranet浏览服务等,为企业优质高效运营提供了信息和网络资源。华北电网公司Intranet结构如图3所示。(拓扑图请到http://tech.chinapower.com.cn查看)
华北电网公司信息网络投入运行几年中,随着用户数增加、应用水平的提高、业务量增加、信息量的扩大,人们对信息网的依赖越来越大,网络和系统的安全稳定运行变得越来越重要,因此建立一套完整的信息网络安全体系迫在眉睫。
二、安全隐患和问题
华北电网公司信息网络系统自开始运行以来就存在大量的安全隐患。
(1)采用开放的网络环境,流行的操作系统和应用平台,非常容易受到攻击和破坏,而且没有任何的防毒、防攻击措施。
(2)硬、软件平台种类多管理复杂、数据库及业务系统开发平台不统一,无法使用统一的安全管理系统。
(3)与Intranet之间只建立一个简单功能防火墙,对于来自外部的干扰和破坏没有有利的抵御工具。
(4)企业内部各局域网之间完全开放,没有任何防护措施,无法抵御来自不同单位之间的干扰与破坏。
(5)各局域网建立的拨号访问系统,均未加任何安全防备,为攻击者又打开了一道门。
(6)各单位局域网内部无有效的身份认证系统,无法抵御企业内部的安全威胁。
(7)系统、应用、数据没有有效的完整的备份措施,一旦发生硬件和系统故障,造成数据丢失,将会造成不可弥补的巨大损失。
(8)缺乏有效的管理机制和稳定的技术人员队伍,文档不规范,出现问题不能及时解决。
(9)使用者的安全意识差,对将出现甚至已经出现的安全问题,不采取有效的防护措施。
(10)缺乏设备系统的定期更换和检修计划和资金,系统无法保证高可靠性运行。
以上问题已逐渐在目前的网络运行中多次暴露出来,因此建立华北电网公司企业信息网的安全体系是非常必要的。
三、国内外信息安全技术
信息系统的安全指计算机网络环境下的信息安全,可分为信息的传输安全和计算机安全。
信息的传输安全可采用信息加密、信息确认和网络控制来实现。信息加密是保证信息安全最基本最核心的技术措施,它由各种加密算法完成,以较小的代价获得较大的安全保护;信息确认技术是通过严格的信息共享范围来防止非法篡改和假冒,它由消息确认、身份认证和数字签名技术组成,能确认信息的合法使用者;网络控制技术包括防火墙、审计、访问控制和安全协议技术,加强网络的安全强度,信息在安全的网络中传递。
计算机安全涉及计算机硬件、软件和数据的安全。可采用容错计算机,机群技术增加计算机运行的可靠性,采用安全操作系统和计算机反病毒技术使系统免受破坏,采用完整可靠的备份防止数据意外丢失。
计算机系统的安全要防止系统遭受攻击,攻击可分为超距攻击、近距攻击、远距攻击。超距攻击指不接触的攻击,如:截取计算机工作时的电子辐射;近距攻击指对计算机操作人员和直接对计算机的攻击;远距攻击主要通过与计算机相连的介质进行攻击,如通过网络进行,"黑客"就是这样一种攻击。
目前国外针对上述计算机安全技术问题,制定了相应的标准和规范,如美国新的联邦评测标准(FC)、欧洲信息技术安全标准(ITSEC)、加拿大的计算机产品评测标准(CTCPEC)等,并研制出有效的安全防护产品。
国内也建立了信息安全评测中心,颁布了相应的标准和法规,如:计算机信息系统安全保护条例,计算机信息网络国际联网安全保护管理办法等等。可作为我们建立信息网络安全体系的依据。
四、安全体系结构和解决方案
根据华北电网公司信息网络运行现状和存在的问题,结合国内外计算机信息安全技术,应建立完善的信息网络安全防护体系。这是由信息网络基本安全要求和整体解决方案组成。
4.1 基本安全需求及解决方案
华北电网公司信息网络的基本安全需求就是要保证信息网络安全稳定运行,各业务系统工作正常,数据安全可靠。其中可分为硬件系统的安全、系统平台的安全、数据安全和业务系统的安全。
建立基本的安全系统应达到以下目的:
(1)网络及服务器硬件在发生故障或受到攻击时能及时恢复不影响业务的正常运转。
(2)信息网络受到攻击或感染病毒后能及时发现和清除,不会对系统造成严重伤害。
(3)各类应用平台的稳定运行,各业务的数据不会被窃取和破坏。
(4)有效的内外网的隔离措施,保证各种Internet应用正常运行。
为达到以上目的,应完成以下工作:
(1)制定合理完善的网络服务器的安全检修计划,配备故障快速恢复的技术力量和备件。
(2)建立完整的企业级信息网防攻击、防病毒和安全监测系统。
(3)建立完备的系统和数据备份,有系统和数据快速恢复的手段。
4.2 整体解决方案
华北电网公司信息网络在电力系统的生产经营中已越来越重要,应有一套严格完整的安全体系来保证信息网高效稳定地运行。它由以下几方面组成:
(1)管理制度和管理手段上的安全策略。
确定信息网络的安全等级,并依此建立全方位的华北电网公司企业信息网络的管理制度和管理办法。
确定安全管理范围,包括机房、硬件、软件、数据的操作规程和责任制。
建立完善的维护保养制度。制定紧急情况下的应急措施。
建立完善的技术人员使用制度,加强技术文档的规范与管理。
(2)网络系统的技术安全策略
建立具有安全拓扑结构的信息网络,新建系统一定要满足安全网络的技术标准。
建立与企业外部网络,特别是与Internet的有效隔离。
建立各局域网之间,网段之间的安全隔离措施。
网络内部应建立有效的安全检测扫描系统,防止黑客的入侵和攻击,定期发现网络系统安全漏洞,及时修补。
建立企业级从网络、服务器、应用平台到桌面的多级完整防病毒系统,建立中央防病毒检测控制服务系统。
建立邮件过滤系统。
建立系统管理平台,有效监控网络运行状况。
(3)业务系统和数据的安全策略
建立实用有效的身份认证系统。
根据业务系统和应用要求,建立严格的访问控制权限。
建立可靠完整的数据备份和恢复系统。
五、安全体系实施原则
应考虑以下几个方面的技术问题:
(1)以满足安全需求为标准。
(2)技术和产品的先进性、成熟性。
(3)技术和产品的可扩展性和可升级性。
(4)技术和产品的易用性和易管理性。
(5)跨平台跨系统的可用性。
通过以上安全策略的实施和落实,将建立一个安全稳定的华北电力集团公司企业信息网。
一、华北电网公司信息网络运行现状
华北电网公司信息网是以集团公司局域网为中心,连接天津、山西、内蒙各发供电单位和科研单位的企业信息网(见图1)。
华北电网企业信息网通过155M ATM及2M光纤和数字微波,使用NORTEL公司PASSPORT6480交换机和AN路由器,与26个直属发供电单位的局域网相连,形成企业内部的Intranet,通过2M光纤链路与国家电网公司相连,成为国家电网公司一级信息网的节点。华北电网公司本部通过2OM专线与Internet互联,企业内部网的每一个用户都通过此出口获取Internet的资源。
华北电网公司本部局域网主干为155M ATM,全网划分6个VLANE,共有30多台服务器和近100O台PC机分布在不同的网段中(见图2)。(拓扑图请到http://tech.chinapower.com.cn查看)
企业网中,网络设备产品类型包括Intel、Nortel、Cisco,3com等,服务器硬件平台主要为Alpha和 Intel,系统和应用平台有:Win-dows NT、Digital Unix和Domino/Lotus Notes、MS、Exchange、SQLSERVER、ORACLE、SYBASE等,服务器用途主要为:NT域管理、防火墙、电子邮件服务、WEB服务、数据库服务、文件服务、远程访问服务等。实现的应用系统有生产实时信息、办公自动化、财务、人劳、安监、远程数据传输、WEB服务、电子邮件服务、Intranet浏览服务等,为企业优质高效运营提供了信息和网络资源。华北电网公司Intranet结构如图3所示。(拓扑图请到http://tech.chinapower.com.cn查看)
华北电网公司信息网络投入运行几年中,随着用户数增加、应用水平的提高、业务量增加、信息量的扩大,人们对信息网的依赖越来越大,网络和系统的安全稳定运行变得越来越重要,因此建立一套完整的信息网络安全体系迫在眉睫。
二、安全隐患和问题
华北电网公司信息网络系统自开始运行以来就存在大量的安全隐患。
(1)采用开放的网络环境,流行的操作系统和应用平台,非常容易受到攻击和破坏,而且没有任何的防毒、防攻击措施。
(2)硬、软件平台种类多管理复杂、数据库及业务系统开发平台不统一,无法使用统一的安全管理系统。
(3)与Intranet之间只建立一个简单功能防火墙,对于来自外部的干扰和破坏没有有利的抵御工具。
(4)企业内部各局域网之间完全开放,没有任何防护措施,无法抵御来自不同单位之间的干扰与破坏。
(5)各局域网建立的拨号访问系统,均未加任何安全防备,为攻击者又打开了一道门。
(6)各单位局域网内部无有效的身份认证系统,无法抵御企业内部的安全威胁。
(7)系统、应用、数据没有有效的完整的备份措施,一旦发生硬件和系统故障,造成数据丢失,将会造成不可弥补的巨大损失。
(8)缺乏有效的管理机制和稳定的技术人员队伍,文档不规范,出现问题不能及时解决。
(9)使用者的安全意识差,对将出现甚至已经出现的安全问题,不采取有效的防护措施。
(10)缺乏设备系统的定期更换和检修计划和资金,系统无法保证高可靠性运行。
以上问题已逐渐在目前的网络运行中多次暴露出来,因此建立华北电网公司企业信息网的安全体系是非常必要的。
三、国内外信息安全技术
信息系统的安全指计算机网络环境下的信息安全,可分为信息的传输安全和计算机安全。
信息的传输安全可采用信息加密、信息确认和网络控制来实现。信息加密是保证信息安全最基本最核心的技术措施,它由各种加密算法完成,以较小的代价获得较大的安全保护;信息确认技术是通过严格的信息共享范围来防止非法篡改和假冒,它由消息确认、身份认证和数字签名技术组成,能确认信息的合法使用者;网络控制技术包括防火墙、审计、访问控制和安全协议技术,加强网络的安全强度,信息在安全的网络中传递。
计算机安全涉及计算机硬件、软件和数据的安全。可采用容错计算机,机群技术增加计算机运行的可靠性,采用安全操作系统和计算机反病毒技术使系统免受破坏,采用完整可靠的备份防止数据意外丢失。
计算机系统的安全要防止系统遭受攻击,攻击可分为超距攻击、近距攻击、远距攻击。超距攻击指不接触的攻击,如:截取计算机工作时的电子辐射;近距攻击指对计算机操作人员和直接对计算机的攻击;远距攻击主要通过与计算机相连的介质进行攻击,如通过网络进行,"黑客"就是这样一种攻击。
目前国外针对上述计算机安全技术问题,制定了相应的标准和规范,如美国新的联邦评测标准(FC)、欧洲信息技术安全标准(ITSEC)、加拿大的计算机产品评测标准(CTCPEC)等,并研制出有效的安全防护产品。
国内也建立了信息安全评测中心,颁布了相应的标准和法规,如:计算机信息系统安全保护条例,计算机信息网络国际联网安全保护管理办法等等。可作为我们建立信息网络安全体系的依据。
四、安全体系结构和解决方案
根据华北电网公司信息网络运行现状和存在的问题,结合国内外计算机信息安全技术,应建立完善的信息网络安全防护体系。这是由信息网络基本安全要求和整体解决方案组成。
4.1 基本安全需求及解决方案
华北电网公司信息网络的基本安全需求就是要保证信息网络安全稳定运行,各业务系统工作正常,数据安全可靠。其中可分为硬件系统的安全、系统平台的安全、数据安全和业务系统的安全。
建立基本的安全系统应达到以下目的:
(1)网络及服务器硬件在发生故障或受到攻击时能及时恢复不影响业务的正常运转。
(2)信息网络受到攻击或感染病毒后能及时发现和清除,不会对系统造成严重伤害。
(3)各类应用平台的稳定运行,各业务的数据不会被窃取和破坏。
(4)有效的内外网的隔离措施,保证各种Internet应用正常运行。
为达到以上目的,应完成以下工作:
(1)制定合理完善的网络服务器的安全检修计划,配备故障快速恢复的技术力量和备件。
(2)建立完整的企业级信息网防攻击、防病毒和安全监测系统。
(3)建立完备的系统和数据备份,有系统和数据快速恢复的手段。
4.2 整体解决方案
华北电网公司信息网络在电力系统的生产经营中已越来越重要,应有一套严格完整的安全体系来保证信息网高效稳定地运行。它由以下几方面组成:
(1)管理制度和管理手段上的安全策略。
确定信息网络的安全等级,并依此建立全方位的华北电网公司企业信息网络的管理制度和管理办法。
确定安全管理范围,包括机房、硬件、软件、数据的操作规程和责任制。
建立完善的维护保养制度。制定紧急情况下的应急措施。
建立完善的技术人员使用制度,加强技术文档的规范与管理。
(2)网络系统的技术安全策略
建立具有安全拓扑结构的信息网络,新建系统一定要满足安全网络的技术标准。
建立与企业外部网络,特别是与Internet的有效隔离。
建立各局域网之间,网段之间的安全隔离措施。
网络内部应建立有效的安全检测扫描系统,防止黑客的入侵和攻击,定期发现网络系统安全漏洞,及时修补。
建立企业级从网络、服务器、应用平台到桌面的多级完整防病毒系统,建立中央防病毒检测控制服务系统。
建立邮件过滤系统。
建立系统管理平台,有效监控网络运行状况。
(3)业务系统和数据的安全策略
建立实用有效的身份认证系统。
根据业务系统和应用要求,建立严格的访问控制权限。
建立可靠完整的数据备份和恢复系统。
五、安全体系实施原则
应考虑以下几个方面的技术问题:
(1)以满足安全需求为标准。
(2)技术和产品的先进性、成熟性。
(3)技术和产品的可扩展性和可升级性。
(4)技术和产品的易用性和易管理性。
(5)跨平台跨系统的可用性。
通过以上安全策略的实施和落实,将建立一个安全稳定的华北电力集团公司企业信息网。