电力行业信息系统等级保护的研究及实施

保护基本要求，电力系统建立了基于纵深防御模型的信息安全防护体系。

在纵深防御模型中，每一层都有特定的安全控制。安全控制包括路由器、防火墙、入侵检测、漏洞扫描、防病毒等。为安全保护而创建的每一层都相当于一个防止未授权访问的堑壕。防御层数越多，对数据资源进行未授权访问的难度就越大。

 

 

2.2.1 边界防御

边界防御使利用电力专用隔离装置、防火墙、入侵检测等安全设备来保护进入网络的入口点。电力专用隔离装置是基于网络、应用访问控制开发数据库专用安全防护产品，除具备网络强隔离、地址绑定、访问控制等功能外，还能够对SQL语句进行必要的解析与过滤，抵御SQL注入攻击。防火墙作为网络或网络安全域之间信息的唯一出入口，制定特定的安全策略以控制出入网络的信息流。另外，入侵检测系统能发现从内部发起的攻击，并向管理员发警报。入侵检测系统通常由控制台和代理两部分组成，通过代理商对网络进行自动、实时地攻击检测和响应。一旦发现入侵行为，立刻切断相关进程，或者发出指令，通知防火墙切断相应服务，同时通过控制台进行报警。部署网络入侵检测系统时，在网络中安装一套控制台程序，用于对各代理安装点进行管理和监控。在各个业务子系统的关键网段、Internet的接入点分别配置网络代理，在网络一级对来自内部和外部的攻击和滥用进行监控。

 

 

2.2.2网络防御

网络防御主要包括网络分段、建立VPN 、漏洞扫描等。（1）网络分段：网络分段是网络安全的基础措施，通过合理地划分网段，将大幅度降低安全系统部署费用和管理费用。（2）建立VPN：目前许多专业应用系统将自己的应用子网络构建在企业信息网之上