项目背景
某省电网作为中国最大的跨省联合电网——华东电网的重要组成部分,已发展成为以火电为主,水力发电为辅,500kv输电线路为骨干,220kv线路为网架、分层分区结构完整的全省统一电网。与生产网络的发展相匹配,该公司已经组建了全省的调度网络和OA网络,并正在发展和银行之间的互联,开展业务往来;而且随着信息化的深入发展,各个公司也有接入internet网的需求,这就对电力内部的各种信息够成威胁。为防范对电网和电厂计算机监控系统及调度数据网络的攻击侵害及由此引起的电力系统事故,保障电力系统的安全稳定运行,建立和完善电网和电厂计算机监控系统及调度数据网络的安全防护体系,国电已依据全国人大常委会《关于维护网络安全和信息安全的决议》和《中华人民共和国计算机信息系统安全保护条例》及国家关于计算机信息与网络系统安全防护的有关规定,制定了《电网和电厂计算机监控系统及调度网络安全防护规定》。某省电力软件公司将严格按照此规定设计县级网络安全的解决方案。
需求分析
某省电力县级的网络安全现状
目前,某省电力县级对网络安全采取的主要措施有:
利用操作系统、数据库、电子邮件、应用系统本身的安全性,对用户进行权限控制。
在连接地级的广域网接口处,通过Cisco 2600路由器的IP包过滤及访问控制列表(ACL)功能,做了一定的安全控制。
实际上,仅靠以上几项安全措施,不能达到某省电力县级网络安全的要求。
某省电力县级的主要网络安全威胁
各县级电力局与地市局之间目前主要采用星型拓扑结构,利用专用线路作为传输通道,与地市局相连;目前主要有办公网和调度网。由于某省电力县级的管理信息网上的网络体系越来越复杂,应用系统越来越多,网络规模不断扩大,逐渐由Intranet发展到Extranet,有的已经扩展到Internet,网络用户也已经不单单某省电力县级的内部用户,由于内部网络直接与外部网络相连,对整个网络安全形成了巨大的威胁。
具体分析,对某省电力县级网络安全构成威胁的主要因素有:
内部网络和外部网络之间的连接为直接连接,外部用户不但可以访问对外服务的服务器,同时也容易地访问内部的网络服务器,这样,由于内部和外部没有隔离措施,内部系统较容易遭到攻击。
来自内部网的病毒的破坏;
内部用户的恶意攻击、误操作,但由于目前发生的概率较小,本部分暂不作考虑。
如果调度网与办公网相联,调度网的安全将受到来自办公网的威胁。
来自外部网络的攻击,具体有三条途径:
Internet连接的部分;
与同级单位或不同级单位连接的部分;
与银行连接的部分;
某省电力县级的网络安全需求分析
防止县级用户与地市级之间内部用户进行非授权访问和恶意攻击。
防止县级与各乡镇供电所之间用户非授权访问和恶意攻击。
防止外联单位对县级网络的非授权访问和恶意攻
调度网与办公网的安全隔离。
防止县级本地邮件病毒、文件病毒及网络病毒的危害和传播。
防止来自Internet病毒对县级网络中重要服务器的攻击与破坏。
加强对内部用户的身份鉴别、权限控制、角色管理和访问控制管理,防止对应用系统的数据库服务器、邮件服务器及文档服务器的非法存取、删改和破坏。
加强对移动办公用户--拨号用户的身份鉴别、权限控制和访问控制管理。
防止在各级网络进行数据传输过程中,传输的信息可能被窃取、篡改或破坏。
防止电磁辐射和电磁传导泄漏。
在重要的网络和系统中充分考虑灾备和容错措施,防止因系统故障导致系统服务中断。
实现对网站文件属性和文件内容的实时监控,可以自动、安全恢复网站文件系统。
建立完整的网络安全系统管理体系,实现对全网的设备的统一管理,安全策略的统一制定,安全事件的统一管理等等。
网络安全方案设计
根据第二章对某省电力县级的安全需求分析,结合安全设计的策略,提出网络安全设计方案。同时,根据用户的实际情况结合成本投入等因素,我们将整个方案规划为循序渐进的A、B、C三步,逐渐实现整体安全。
一.县级网络安全
A步骤
设计目标
将地市局网络系统与县级网络系统隔离开来,拒绝非法访问,保护网络边界的安全。
保护各县级网络系统,抵御来自于某省电力广域网的攻击,保护网络资源安全。
将县级网络与其所属乡镇供电所安全隔离,保护网络边界的安全。
各县级网络与银行代收付系统隔离开,防止来自外联业务方面的攻击,确保内部资源的安全。
隐藏内部网络的拓扑结构。
抵挡木马攻击、蠕虫攻击、后门攻击、利用漏洞攻击和拒绝服务攻击。
强化对网络的控制,确保关键业务的网络带宽。
网络拓扑方案
方案阐述
本网络拓扑方案是某省电力县级网络安全项目实施中的第一步。县级网络中设置放火墙,在保证地市公司、乡镇供电所及银行等外联单位正常接入内部网络的同时,对各个接入单位设置合理的安全策略,防止来自接入单位的非法访问甚至恶意攻击,保护内部网络资源。具体安全策略视不同接入单位的不同权限而定。
本方案中使用的放火墙提供各种安全策略,举例为:
防止拒绝服务攻击:
MPSec FW通过限制流量的方法保护安全子网不受常见的DOS攻击。MPSec FW也允许配置是否过滤带源路由选项的IP包。同时,按照RFC1858的要求对IP分片进行处理,如果IP分片的第一个分片或者重组后的数据包头中不包含进行过滤判断地所需包头信息(如TCP报文不包括端口),防火墙丢弃该包,以防止分片攻击。MPSec FW能正确识别TCPflood、UDPflood、ICMPflood攻击并进行防御,并且提供详细的日志功能,配合管理员找出非法攻击者。
B步骤
设计目标
B步骤实施的目的是在电力信息网和internet网之间建立边界,拒绝来自internet网的攻击。
网络拓扑方案
方案阐述
在A步骤实施的基础之上,县级网络将考虑接入internet网,利用丰富的网络资源,获取所需的信息。同时,将有大量的垃圾信息通过internet网传送到电力县级网络,对电力信息网的安全构成威胁;在接入internet网后,还可能遭到来自网络方面的恶意攻击,这种攻击一旦成功,将对电力信息网造成严重危害。本方案通过在放火墙上配置合理的安全策略,允许电力信息网访问internet,拒绝来自internet网的攻击。
C步骤
设计目标
C步骤实施的目的是保护电力调度网,防止来自同级OA网和其它网络的攻击;允许OA网中被授权的主机访问调度网。
网络拓扑方案
方案阐述
调度网是电力系统的核心网络,对安全策略要求很高。Internet网、银行等外联单位、乡镇供电所甚至地市公司都不允许访问调度网,在同级的OA网中也只允许少数被授权的主机访问调度网。
二.乡镇供电所级安全
1.设计目标
实现乡镇供电所调度网和OA网的物理隔离,防止外来攻击,节省设备投入资金。
2.网络拓扑方案
3. 方案阐述
随着电力系统信息化建设的逐步深入,业务网络和OA网络将扩展到乡镇供电所一级,为保障调度网的机密信息,在这一级,调度网和OA网也应该从物理上隔离开。但在这一级单位使用防火墙来实现网络安全将造成资源的巨大浪费。在本方案中从安全性和投入产出比两个方面考虑,在乡镇供电所使用物理隔离卡,通过物理隔离卡和PC机硬盘的绑定,同一台PC机可以既访问调度网,也访问OA网,并且在访问两个网络时相当于使用两台PC。即使非法用户通过OA网登录到乡镇供电所的PC上,仍然无法获得调度网的资源。