电力行业信息安全网络构建原则
在国家和行业几个红头文件下发之后,电力企业的信息化建设和规划正在紧锣密鼓进行,双网隔离早已成为电力企业信息安全的必修课。双网隔离技术在一定程度上解决了电力企业信息化建设的困境,满足了当前安全需要。通过双网隔离这样的办法,尽量减少互联互通,减少接触面,杜绝多出口多互连所带来的业务是否需要上网界定不清无法控制问题,而且互联互通程度越高,对人员、管理、运维要求也越高。今天,日趋完善的网络隔离产品已成为网络信息安全体系中不可缺少的重要环节,是防范非法入侵、阻挡网络攻击、防止内部信息泄密的一种简单而有效的手段。
安全隔离网闸是采用双主机+物理隔离开关的硬件结构,结合高强度的网络协议分析和控制的软件系统,共同构建一个在网络边界处隔离网络已知和未知攻击行为的高端网络安全设备。简单的说,安全隔离网闸是一套双主机系统,两个主机之间是永远断开的,以达到物理隔离的目的,双主机之间的信息交换是通过借助拷贝、镜像、反射等第三方非网络方式来完成的。当数据需要从外网下载到内网,或者和内网通讯时,安全隔离网闸在内外网之间扮演着一种类似“信息渡船”的角色。信息技术是动态发展的,“道高一尺,魔高一丈”,安全不是绝对化的。
作者所在企业的双网隔离方案是集团本部和分公司分别部署安全隔离网闸,三级单位及电厂的内外网实现完全的物理隔离。每个三级单位及电厂均有专线通道到分公司,每个分公司又有专线通道到集团本部构成整个集团内网,大集中方式部署在集团内网的应用系统正常情况下均通过集团安全隔离网闸实现内外网安全访问和数据摆渡,分公司部署的应用系统均从分公司安全隔离网闸实现内外网安全访问和数据摆渡,三级单位原则上不允许部署单独的应用系统,现有系统将逐步集中到分公司层面,三级单位及电厂严禁内外网互联互通。这样就形成了两个网络,双网(内外网)共存,内网作为集团企业内部各业务应用系统信息网络基础平台,外网各单位分别与Internet国际互联网互连。其实作者认为外网也同样应该减少局域网与互联网的互联互通,因为人员编制等原因,实际上各单位的信息网络管理和维护水平和领导重视程度都不一样,参差不齐。
分区分域防护原则
划分安全域是构建企业信息安全网络的基础,提高抗击风险能力,提高可靠性和可维护性。内网具体划分为网络核心区域、各业务应用服务器区域、桌面办公区域、广域网接入区域、测试服务器区域、集中管控服务器区域和与外网安全隔离区域。网络核心区域是企业信息安全网络的心脏,它负责全网的路由交换以及和不同区域的边界防护。这个区域一般包括核心交换设备、核心防火墙以及主动防攻击和流量控制设备等。
各业务应用服务器区域是内部各应用管理系统所在区域,包括企业门户、办公自动化、电子商务、HR人力资源系统、财务一体化、营销、生产管理、ERP等内部管理信息系统。桌面办公区域包括接入交换机和员工桌面终端。广域网接入区域包含由公司总部到集团总部乃至各所属机构的专线安全设备以及交换路由设备,是公司总部至各单位的通信命脉。测试服务器区域是供系统开发人员所访问的未上线的开发系统所在区域。集中管控服务器区域是内网辅助类服务器区域,这个区域一般包括DNS、DHCP、防病毒、桌面管理系统、网管系统、IT运维管理平台和安全运维管理平台SOC等。
内外网安全隔离区域是用于内网与外网摆渡的区域,是内网与外网通信的唯一出口,其主要设备是安全隔离网闸。各安全域的信息系统之间边界鲜明,为安全防护体系设计和层层递进、逐级深入的安全防护策略提供了必要条件。网络核心区域是整体信息网络的核心,所有其他区域均经过核心区域进行交互,这个区域理所当然地成为各个区域的安全边界。以核心服务器区域为例,它和网络核心区域中间部署安全设备,对过往的流量起到控制作用,以达到安全防护。再以广域网接入区域为例,它和网络核心区域中间部署安全设备和主动防攻击设备,达到更高层级的防护。
分区域防护的设置,将降低外界对信息系统的物理攻击和网络攻击的危害性,以确保内部各网络应用系统的安全。外网具体可划分为网络核心区域、服务器区域、桌面办公区域、DMZ区域、与内网安全隔离区域和与Internet国际互联网接入区域。外网的服务器区域类似内网的辅助类服务器区域。与内网交互的安全隔离区域包括安全堡垒机系统、认证系统、SSLVPN系统。DMZ区域是提供给互联网用户访问的系统,主要包括WWW、Email、外部DNS等服务器,DMZ区域的服务器禁止访问其他区域,避免来自互联网用户攻击或控制DMZ区服务器后影响或威胁其他区域。拓扑结构如下图:
应用虚拟化接入原则
双网隔离方案的建设极大提高了内部网络的信息安全水平,却又面临一个新的问题,内外网之间信息安全交互受到制约,保密性(Confidentiality)和可用性(Availabili-ty)矛盾日益凸出。一方面随着双网建设的不断深入和推进,对信息系统的安全性要求越来越高;另一方面随着公司信息化建设的不断深入,投入的业务系统不断增加,用户业务快速发展,商务出行及会议等逐渐增多,导致公司员工无法遵循业务要求的标准化,流程化,及时地处理文件,从而使整个业务停滞不前,同时随着集团双网改造和建设的不断深入和推进,原有VPN移动办公解决方案从安全和性能上都已经不能满足要求,限制了信息系统的效益,阻碍了业务的处理。
移动办公也面临着诸多方面的挑战,今天的信息安全已经从最初的网络安全逐渐向应用安全、数据安全和系统安全的全面安全体系发展,从基础安全向细粒度的高阶安全发展。双网改造后,如何在安全的前提下实现内外网数据的交互和便捷的移动办公应用?如何对员工的访问进行有效地控制,实现便捷高效访问被授权资源?如何防止内部人员泄密或其他未授权人员直接接入内部网络导致的泄密等?作者所在企业选择了经过公安部、电监会、国家信息中心等权威部门的论证和充分的调研可行的立体解决方案,采用虚拟化技术的安全堡垒平台和SSLVPN设备,使用数字证书或UKEY登录,彻底解决了双网环境下跨网访问、移动办公的难题。
安全堡垒平台将应用虚拟化技术应用于信息安全领域,将应用100%在服务器运行,没有任何应用组件运行于客户端环境,以虚拟的方式与客户端交互,实现一种新型的数据不落地的传输模式。虚拟化技术分离应用的表现与计算,实现虚拟应用交互、本地化应用体验,客户端与服务器之间只传递键盘、鼠标和荧屏变化等交互信息,没有实际的业务数据流到客户端,客户端看到的只是服务器上应用运行的显示镜像。安全堡垒平台的整体安全体系,包括事前安全策略规划、事中安全访问控制和事后安全审计三个层次,可以实现多级的用户管理和细粒度的用户授权,可以完成对用户整个生命周期的监控和管理,制定统一的、标准的用户账户安全策略,捆绑具体用户,对用户、行为和资源进行授权,以达到对权限的细粒度控制,最大限度保护用户资源的安全。可以记录和查询用户何时、多长时间、从哪里访问、访问设备的信息等。
还可以通过对用户访问的行为全程录制,实现事后的审计与追溯。访问控制策略是保护系统安全性的重要环节,制定良好的访问策略能够更好的提高系统的安全性。最终用户通过访问SSLVPN设备,手机和平板电脑通过数字证书,笔记本电脑通过UKEY与安全堡垒平台建立虚拟的专用VPN隧道加密,从而实现了4A(认证Authentication、账号Account、授权Authorization、审计Au-dit)的安全标准。
积极管控原则
随着信息技术的快速发展,信息化建设的不断提高,各种应用系统逐渐上线运行,各种业务也开始在网络上开展起来,有些应用已经是在整个集团正常运行,同时网络的扩展也为病毒和木马的传播提供了便利的条件,各种极具破坏性的病毒在网络中流窜,使网络拥堵不堪,甚至瘫痪,也给一些不法分子和敌对国家获取企业和国家机密信息和重要数据等信息提供了便利,所以健全的网络建设和管理机制对维护企业和国家利益都有着重要意义,一旦网络瘫痪或信息泄密,后果将不堪设想。因此信息安全的建设并没有随着双网建设、分区防御的建设和应用虚拟化移动办公接入的建设而结束,反而对整体信息网络的安全防护和监督控制提出了更高的要求,必须要加强对信息安全的管理和控制,提高信息安全意识。
作者所在企业的信息网络基础平台关键设备和链路通常采取双机双链路方式部署,实现负载均衡和单点失效保护,利用可管理交换机、路由器、防火墙、防毒墙、上网行为管理、安全隔离网闸、堡垒机、统一认证平台、SSLVPN、IPS、IDS、WAF等网络产品构建安全高效的信息网络基础架构平台,在设备选型时尽可能考虑厂家异构和产品异构,安全设备必须是国产自主知识产权产品,尽可能的规避由于产品和设备选型带来的安全风险。通过部署网管系统、IT运维管理平台和安全运维管理平台SOC,既满足了信息安全运维管理的需要,同时也能满足国资委信息化检查和数据收集报送的需要。
采取细分VLAN来减少网络病毒影响的范围,防止类似ARP泛洪攻击,利用DHCP服务器绑定MAC地址方法管理客户端IP地址,使用桌面安全管理系统有效管理和控制客户端,包括安全接入控制、安全策略管理、U盘等移动存储管理、资产管理、软件分发、补丁管理、员工行为等管理。网络管理人员在上述系统的辅助下及时对实时运行的网络进行分析和管控,预判故障和攻击行为,实行主动防御、及时处理,将这些对智能电网建设和运行中可能发生的不安全因素,消灭在萌芽状态之中。
随着企业网络建设规模的不断扩大及上网人员用户的增加,不可避免带来泄密隐患。企业必须正视现实,处理好安全与应用方便性之间的关系,提高认识,高度重视信息网络安全问题。对于因特网的弊端,不能矫枉过正,不能因为因特网对企业信息安全形成了巨大威胁,就强制要求所有单位和用户断开与因特网的连接,这样无异于“因噎废食”。在当前“双网隔离”不失为一种有效的解决方案,然后通过安全分区域防护,部署相应安全产品和系统保证各业务应用系统和各种客户端在授权模式下,都能安全访问所需业务并实现事后追踪审计。
当然双网隔离的应用不但没有降低对管理的要求,反而带来新的管理问题,对管理要求日渐提升。我们要以“三分技术、七分管理”作为信息安全管理基本原则,其中最重要的还是人,我们不要太崇拜技术,人的安全意识提高才是最重要的,现在很多信息网络基础平台建设很全面,安全制度制定得也很完善,但在执行过程中,常常被打破,被忽视,现在其实缺乏的不是技术,很多时候欠缺的是一个完善的体系化的管理机制。
作者:李正忠 单位:云南华能澜沧江水电有限公司
责任编辑:电力交易小郭
-
现货模式下谷电用户价值再评估
2020-10-10电力现货市场,电力交易,电力用户 -
PPT | 高校综合能源服务有哪些解决方案?
2020-10-09综合能源服务,清洁供热,多能互补 -
深度文章 | “十三五”以来电力消费增长原因分析及中长期展望
2020-09-27电力需求,用电量,全社会用电量
-
PPT | 高校综合能源服务有哪些解决方案?
2020-10-09综合能源服务,清洁供热,多能互补 -
深度文章 | “十三五”以来电力消费增长原因分析及中长期展望
2020-09-27电力需求,用电量,全社会用电量 -
我国电力改革涉及的电价问题
-
贵州职称论文发表选择泛亚,论文发表有保障
2019-02-20贵州职称论文发表 -
《电力设备管理》杂志首届全国电力工业 特约专家征文
2019-01-05电力设备管理杂志 -
国内首座蜂窝型集束煤仓管理创新与实践
-
人力资源和社会保障部:电线电缆制造工国家职业技能标准
-
人力资源和社会保障部:变压器互感器制造工国家职业技能标准
-
《低压微电网并网一体化装置技术规范》T/CEC 150
2019-01-02低压微电网技术规范
-
现货模式下谷电用户价值再评估
2020-10-10电力现货市场,电力交易,电力用户 -
建议收藏 | 中国电价全景图
2020-09-16电价,全景图,电力 -
一张图读懂我国销售电价附加
2020-03-05销售电价附加
-
电气工程学科排行榜发布!华北电力大学排名第二
-
国家电网61家单位招聘毕业生
2019-03-12国家电网招聘毕业生 -
《电力设备管理》杂志读者俱乐部会员招募
2018-10-16电力设备管理杂志