前言
随着Internet的迅速发展,信息安全问题面临新的挑战。电力系统信息安全问题已威胁到电力系统的安全、稳定、经济、优质运行,影响着"数 字电力系统"的实现进程。研究电力系统信息安全问题、开发相应的应用系统、制定电力系统信息遭受外部攻击时的防范与系统恢复措施等信息安全战略是当前信息 化工作的重要内容。电力系统信息安全已经成为电力企业生产、经营和管理的重要组成部分。
根据电力系统的现状,方正数码推出SHARKS互联网安全解决方案。SHARKS解决方案是在深入的研究后,提出的一套基于中国国情、全部自主 开发、具有领先优势的解决方案。它是一套整体的集群平台,可以解决企业最为关切的安全性、高可靠性、可扩展性和易于远程管理的问题。目前这套方案已经得到 国家有关部门的大力支持,被国家经贸委列为国家创新计划项目之一,还得到了国家"863"计划的肯定与支持。
方正方御防火墙是SHARKS安全解决方案中的主要安全产品之一。方正方御防火墙凭借其独特的技术优势,在保证系统自身的安全性的同时又保证了 其运行效率。方正方御防火墙中还融入了入侵检测技术,可以有效地防范攻击企图的试探;另外利用先进的智能IP识别技术,方正方御防火墙可以有效滤除著名的 DDoS攻击。除防火墙之外,方正数码有限公司还向用户提供VPN、安全扫描系统、入侵检测系统(IDS)、防病毒系统等安全产品及解决方案,从多层次、 多角度、全方位保护用户的网络。目前,安全产品已广泛的应用于政府、公安,金融、电信、教育、能源等行业,并赢得用户的广泛赞誉。
应用案例
甘肃电力公司是国家电力公司直属子公司,电力信息网已基本覆盖了所有省电力生产、施工、建设、设计、经营等几十家单位,信息网的深度已触及到用 电营业所和变电所。在信息网上承载了财务、物资、用电、生产、劳人、安全监察、计划统计、电网实时信息等子系统和领导综合信息查询、办公自动化、www、 mail系统等应用。
2002年初,国内外知名网络安全产品提供商齐聚甘肃,竞标甘肃电力网络安全采购项目,项目涉及三十余台防火墙和VPN,经过严格的评审和测 试,北京方正数码有限公司凭借优秀的方案、出色的产品和完善的服务最终中标,成为甘肃电力公司唯一指定的网络安全集成商,为我国的电力信息化建设保驾护 航,最终赢得客户的好评。
甘肃省电力公司本部局域网,向上与国家电力公司连接,向下与各级分支机构互联,并且整个网络直接接入Internet,所有应用系统的安全可靠运行首先必须建立在安全可靠的网络系统基础之上。网络安全主要表现在以下几个方面:
单位内部网络的安全性
与外部的联结的安全性
内部各单位网络之间的安全性
方正方御防火墙主要应用在各重要节点,考虑到数据传输的机密性,特意选用了方正数码公司开发的内嵌VPN,大致拓扑如下:
网络拓扑结构如图所示:
在图上,我们针对网络关键点设置防火墙,总的作用确保网络内部资源的安全。防火墙使用的具体表现如下:
通过访问规则策略的设置可以使得我们方便地控制网络内部资源对外的开放程度,特别是针对国家电力公司、当地政府以及Internet仅仅开放某个IP的特殊端口,有效地限制黑客的侵入;
通过包过滤、IP地址与MAC地址的绑定、客户端认证等规则的应用,可以确定不同的内部用户享受不同的访问外部资源的级别,对于内部用户盗用 IP的情况采用IP地址与MAC地址绑定,客户端认证等方式来实现。通过这种方式可以有效地限制内部用户主动将信息通过网络向外界传递;
双机热备:为了提高系统的可靠性,利用方正方御支持双机热备的功能,在不能停机的关键节点我们相应作了双机热备,有效地提高了系统的稳定性和可靠性;
支持多种工作模式:由于企业内部Intranet的特性,内外网勿需做NAT或者人为地分成内外两个不同的网段,只需要作"桥接"即可。而对于 Internet出口,则需NAT功能,并支持内外不同的网段,此时需要"路由"的功能,并支持DMZ。在此信息网中防火墙的应用是以上两种工作模式并 存,方正就能很好地胜任,而早期个别基层单位购买了其它防火墙与电力Intranet连接时只能支持"路由"模式,而不能支持"桥接"模式,不管系统的效 率还是实施的方便性都存在一定的"麻烦";
强大的H.323支持功能:由于以后全省将要实行视频会话,电视会议功能,方正方御在国内安全厂商中首次在此方面实现突破。能更好的服务于甘肃电力系统。
内置入侵检测功能:方御防火墙独有的内置入侵检测模块可以有效防御20类1500多种网络攻击,并且和方御防火墙实施联动策略,从而解决了最令人头痛的DOS、DDOS等攻击手段,大大加强了防火墙自身的抗攻击性。
方御VPN:在甘肃电力公司技术人员的配合协助下,方御防火墙通过设置的一系列的访问控制策略,有效的解决了外部黑客非法访问的问题。但是如何解决数据在 网络传输过程中不被窃听、篡改的问题又成为甘肃电力公司领导所关注的一个关键点。方御防火墙在设计之初就已经考虑到防火墙自身的局限性,所以产品本身就具 备了很强的扩展性,可以直接在防火墙内扩展VPN功能,通过VPN的数据隧道加密技术,对数据的传输进行加密,保证数据在传输过程中无法被窃听、篡改,从 而解决了数据传输层面的安全。
结束语
网络安全是一个系统的、全局的管理问题,网络上的任何一个漏洞,都会导致全网的安全问题,我们应该用系统工程的观点、方法,分析网络的安全及具 体措施。安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、 防病毒、采用高安全产品等)。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络,包括个人、设备、软件、数据等。这些环节在网络中的 地位和影响作用,也只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则,根据规定的安全策略制定出 合理的网络安全体系结构。这样才能真正做到整个系统的安全。