基于等级保护的金融信息安全保障体系建设
设计电力企业网络安全解决方案
June 15, 2008 19:02 | by
冷漠PS:最近一直在准备信息体系架构的报告,搜集的资料。
一、概述
随着信息化的日益深刻,信息网络技术的应用日益普及,网络安全问题已经会成为影响网络效能的重要问题。而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时,对安全提出了更高的要求。
电力系统信息安全问题已威胁到电力系统的安全、稳定、经济、优质运行,影响着"数字电力系统"的实现进程。研究电力系统信息安全问题、开发相应的应用系统、制定电力系统信息遭受外部攻击时的防范与系统恢复措施等信息安全战略是当前信息化工作的重要内容。电力系统信息安全已经成为电力企业生产、经营和管理的重要组成部分 。
如何使电力信息网络系统不受黑客和病毒的入侵,如何保障数据传输的安全性、可靠性,也是建设"数字电力系统"过程中所必须考虑的重要事情之一。
网新易尚公司依据自己在信息安全领域的经验,从安全角度出发,并结合自己深入了解的电力网络实际情况提出一套适合于其网络的整体安全解决方案。为省级电力系统切实构架高效、安全、实用的信息系统运行环境。
二、省级电力系统网络应用和现状
2.1 网络现状
省级电力网络系统是一般是一个覆盖全省的大型广域网络,其基本功能包括FTP、Telnet、Mail及WWW、News、BBS等客户机/服务器方式的服务。 省电力公司信息网络系统是业务数据交换和处理的信息平台,在网络中包含有各种各样的设备:服务器系统、路由器、交换机、工作站、终端等,并通过专线与Internet互联网相联。各地市电力公司/电厂的网络基本采用TCP/IP以太网星型拓扑结构,而它们的外联出口通常为上一级电力公司网络。
随着业务的发展,省电力网络系统原有的基于内部网络的相对安全将被打破,无法满足业务发展的安全需求,急需重新制定安全策略,建立完整的安全保障体系。
我们知道现阶段省电力信息网络系统存在安全隐患。所以我们从系统层次、网络层次、管理层次、应用层次四个角度结合省电力网络应用系统的实际情况提出以下安全风险分析:
三、安全风险分析
3.1 网络层安全风险分析
3.1.1 网络边界风险分析
网络的边界是指两个不同安全级别的网络的接入处,包括同Internet网的接入处,以及内部网不同安全级别的子网之间的连接处。
对于省电力信息系统网络边界主要存在于Internet接入等外部网络的连接处,以及内部网络中省与地市网络之间也存在不同安全级别子网的安全边界。
开放的网络容易受到来自外网的各种攻击和威胁。入侵者可以利用各种工具扫描网络及系统中存在的安全漏洞,并通过一些攻击程序对网络进行恶意攻击,这样的危害可以造成网络的瘫痪,系统的拒绝服务,信息的被窃取、篡改等等。
3.1.2 网络入侵风险分析
省电力信息系统局域网边界处中利用防火墙系统进行防护,降低了网络安全风险。但是,仅仅使用防火墙、网络安全还远远不够,防火墙是属于传统的静态安全防护技术,它在功能和作用范围方面存在不足,例如,内部用户攻击。而入侵检测技术是当今一种非常重要的动态安全技术,它可以很好的弥补防火墙安全防护的不足。
3.2 系统层安全分析
3.2.1 主机系统风险分析
省电力网络中存在大量不同操作系统的主机如unix、Windows 2000 SERVER。这些操作系统自身也存在许多安全漏洞。
3.2.2 病毒入侵风险分析
病毒的具有非常强的破坏力和传播能力。越是网络应用水平高,共享资源访问频繁的环境中,计算机病毒的蔓延速度就会越快。
3.3 应用层安全分析
应用层安全是指用户在网络上的应用系统的安全,包括WEB、FTP、邮件系统、DNS等网络基本服务系统、业务系统等。各应用包括对外部和内部的信息共享以及各种跨局域网的应用方式,其安全需求是在信息共享的同时,保证信息资源的合法访问及通信隐秘性。
3.4 管理层安全分析
在网络安全中安全策略和管理扮演着极其重要的角色,如果没有制定非常有效的安全策略,没有进行严格的安全管理制度,来控制整个网络的运行,那么这个网络就很可能处在一种混乱的状态。
四、安全需求分析
通过以上对省电力系统网络现状与安全风险分析,种种风险一旦发生将对系统造成很大损失。必须将风险防患于未然。在此,网新易尚公司提出防范网络安全危险的安全需求:
需要划分安全域,将省电力划分不同的安全域,各域之间通过部署防火墙系统实现相互隔离及其访问控制。
需要在各市局本地局域网与省网的边界处部署防火墙实现访问控制。
需要在市局本地局域网与省网的边界处部署入侵检测探测器,实现对潜在安全攻击的实时检测。
需要在网中部署全方位的网络防病毒系统,针对所有服务器和客户机建立病毒防范体系。
需要在网中部署漏洞扫描系统,及时发现网络中存在的安全隐患并提出解决建议和方法。
需要建立统一的安全管理中心,通过安全管理中心使所有的安全产品和安全策略可以集中部署,集中分发。
需要制定省电力网络安全策略,安全策略是建立安全保障体系的基石。
五、整体安全解决方案
5.1 安全系统策略模型
信息安全系统策略模型有三个要素:组织、管理和技术。
安全管理策略——包括各种策略、法律法规、规章制度、技术标准、管理标准等,是信息安全的最核心问题,是整个信息安全建设的依据;
安全组织策略——主要是人员、组织和流程的管理,是实现信息安全的落实手段;
安全技术策略——包含工具、产品和服务等,是实现信息安全的有力保证。
安全策略模型将信息安全工作中的“管理中心”的特性突出地描述出来。根据模型的指导,网新易尚为省地税税务提供的信息安全完全解决方案不仅仅包含各种安全产品和技术,更重要的就是要建立一个一致的信息安全体系,也就是建立安全组织策略体系、安全管理策略体系和安全技术策略体系。
5.2 总体安全策略建议
网新易尚安全顾问认为省电力网络安全系统体系,应该按照三层结构建立。第一层首先是要建立安全标准框架,包括安全组织和人员、安全技术规范、安全管理办法、应急响应制度等。第二层是考虑省电力IT基础架构的安全。包括网络系统安全、物理链路安全等。第三层是省电力整个IT业务流程的安全。例如,各OA应用系统安全。
5.3 总体安全解决方案概述
通过对省电力信息网络的风险和需求分析,按照安全策略的要求,整个网络安全措施应按系统体系建立,并且系统的总体设计将从各个层次对安全予以考虑,并在此基础上制定详细的安全解决方案,建立完整的行政制度和组织人员安全保障措施。整个安全解决方案包括防火墙子系统、入侵检测子系统、病毒防范子系统、安全评估子系统、安全管理中心子系统。
具体的安全控制系统如下图所示。
六、安全服务和培训
在前面章节中已经详细地阐述了如何构建省地税税务网整体网络安全系统。
根据安全架构模型,网新易尚认为,省级电力网络系统的安全保障体系还需要通过安全服务来动态调整网络系统安全基准。
网络安全是动态的、整体的,并不是简单的安全产品集成就解决问题。安全不是一劳永逸的,安全总会随着用户网络现况的变化而变化。随着时间推移,新的安全风险又将随着产生。因此,一个完整的全解决方案还必须包括长期的、与项目相关的信息安全服务。 网新易尚安全服务主要包括安全策略制定、安全评估、安全增强、安全应急响应、安全培训。
一、概述
随着信息化的日益深刻,信息网络技术的应用日益普及,网络安全问题已经会成为影响网络效能的重要问题。而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时,对安全提出了更高的要求。
电力系统信息安全问题已威胁到电力系统的安全、稳定、经济、优质运行,影响着"数字电力系统"的实现进程。研究电力系统信息安全问题、开发相应的应用系统、制定电力系统信息遭受外部攻击时的防范与系统恢复措施等信息安全战略是当前信息化工作的重要内容。电力系统信息安全已经成为电力企业生产、经营和管理的重要组成部分 。
如何使电力信息网络系统不受黑客和病毒的入侵,如何保障数据传输的安全性、可靠性,也是建设"数字电力系统"过程中所必须考虑的重要事情之一。
网新易尚公司依据自己在信息安全领域的经验,从安全角度出发,并结合自己深入了解的电力网络实际情况提出一套适合于其网络的整体安全解决方案。为省级电力系统切实构架高效、安全、实用的信息系统运行环境。
二、省级电力系统网络应用和现状
2.1 网络现状
省级电力网络系统是一般是一个覆盖全省的大型广域网络,其基本功能包括FTP、Telnet、Mail及WWW、News、BBS等客户机/服务器方式的服务。 省电力公司信息网络系统是业务数据交换和处理的信息平台,在网络中包含有各种各样的设备:服务器系统、路由器、交换机、工作站、终端等,并通过专线与Internet互联网相联。各地市电力公司/电厂的网络基本采用TCP/IP以太网星型拓扑结构,而它们的外联出口通常为上一级电力公司网络。
随着业务的发展,省电力网络系统原有的基于内部网络的相对安全将被打破,无法满足业务发展的安全需求,急需重新制定安全策略,建立完整的安全保障体系。
我们知道现阶段省电力信息网络系统存在安全隐患。所以我们从系统层次、网络层次、管理层次、应用层次四个角度结合省电力网络应用系统的实际情况提出以下安全风险分析:
三、安全风险分析
3.1 网络层安全风险分析
3.1.1 网络边界风险分析
网络的边界是指两个不同安全级别的网络的接入处,包括同Internet网的接入处,以及内部网不同安全级别的子网之间的连接处。
对于省电力信息系统网络边界主要存在于Internet接入等外部网络的连接处,以及内部网络中省与地市网络之间也存在不同安全级别子网的安全边界。
开放的网络容易受到来自外网的各种攻击和威胁。入侵者可以利用各种工具扫描网络及系统中存在的安全漏洞,并通过一些攻击程序对网络进行恶意攻击,这样的危害可以造成网络的瘫痪,系统的拒绝服务,信息的被窃取、篡改等等。
3.1.2 网络入侵风险分析
省电力信息系统局域网边界处中利用防火墙系统进行防护,降低了网络安全风险。但是,仅仅使用防火墙、网络安全还远远不够,防火墙是属于传统的静态安全防护技术,它在功能和作用范围方面存在不足,例如,内部用户攻击。而入侵检测技术是当今一种非常重要的动态安全技术,它可以很好的弥补防火墙安全防护的不足。
3.2 系统层安全分析
3.2.1 主机系统风险分析
省电力网络中存在大量不同操作系统的主机如unix、Windows 2000 SERVER。这些操作系统自身也存在许多安全漏洞。
3.2.2 病毒入侵风险分析
病毒的具有非常强的破坏力和传播能力。越是网络应用水平高,共享资源访问频繁的环境中,计算机病毒的蔓延速度就会越快。
3.3 应用层安全分析
应用层安全是指用户在网络上的应用系统的安全,包括WEB、FTP、邮件系统、DNS等网络基本服务系统、业务系统等。各应用包括对外部和内部的信息共享以及各种跨局域网的应用方式,其安全需求是在信息共享的同时,保证信息资源的合法访问及通信隐秘性。
3.4 管理层安全分析
在网络安全中安全策略和管理扮演着极其重要的角色,如果没有制定非常有效的安全策略,没有进行严格的安全管理制度,来控制整个网络的运行,那么这个网络就很可能处在一种混乱的状态。
四、安全需求分析
通过以上对省电力系统网络现状与安全风险分析,种种风险一旦发生将对系统造成很大损失。必须将风险防患于未然。在此,网新易尚公司提出防范网络安全危险的安全需求:
需要划分安全域,将省电力划分不同的安全域,各域之间通过部署防火墙系统实现相互隔离及其访问控制。
需要在各市局本地局域网与省网的边界处部署防火墙实现访问控制。
需要在市局本地局域网与省网的边界处部署入侵检测探测器,实现对潜在安全攻击的实时检测。
需要在网中部署全方位的网络防病毒系统,针对所有服务器和客户机建立病毒防范体系。
需要在网中部署漏洞扫描系统,及时发现网络中存在的安全隐患并提出解决建议和方法。
需要建立统一的安全管理中心,通过安全管理中心使所有的安全产品和安全策略可以集中部署,集中分发。
需要制定省电力网络安全策略,安全策略是建立安全保障体系的基石。
五、整体安全解决方案
5.1 安全系统策略模型
信息安全系统策略模型有三个要素:组织、管理和技术。
安全管理策略——包括各种策略、法律法规、规章制度、技术标准、管理标准等,是信息安全的最核心问题,是整个信息安全建设的依据;
安全组织策略——主要是人员、组织和流程的管理,是实现信息安全的落实手段;
安全技术策略——包含工具、产品和服务等,是实现信息安全的有力保证。
安全策略模型将信息安全工作中的“管理中心”的特性突出地描述出来。根据模型的指导,网新易尚为省地税税务提供的信息安全完全解决方案不仅仅包含各种安全产品和技术,更重要的就是要建立一个一致的信息安全体系,也就是建立安全组织策略体系、安全管理策略体系和安全技术策略体系。
5.2 总体安全策略建议
网新易尚安全顾问认为省电力网络安全系统体系,应该按照三层结构建立。第一层首先是要建立安全标准框架,包括安全组织和人员、安全技术规范、安全管理办法、应急响应制度等。第二层是考虑省电力IT基础架构的安全。包括网络系统安全、物理链路安全等。第三层是省电力整个IT业务流程的安全。例如,各OA应用系统安全。
5.3 总体安全解决方案概述
通过对省电力信息网络的风险和需求分析,按照安全策略的要求,整个网络安全措施应按系统体系建立,并且系统的总体设计将从各个层次对安全予以考虑,并在此基础上制定详细的安全解决方案,建立完整的行政制度和组织人员安全保障措施。整个安全解决方案包括防火墙子系统、入侵检测子系统、病毒防范子系统、安全评估子系统、安全管理中心子系统。
具体的安全控制系统如下图所示。
六、安全服务和培训
在前面章节中已经详细地阐述了如何构建省地税税务网整体网络安全系统。
根据安全架构模型,网新易尚认为,省级电力网络系统的安全保障体系还需要通过安全服务来动态调整网络系统安全基准。
网络安全是动态的、整体的,并不是简单的安全产品集成就解决问题。安全不是一劳永逸的,安全总会随着用户网络现况的变化而变化。随着时间推移,新的安全风险又将随着产生。因此,一个完整的全解决方案还必须包括长期的、与项目相关的信息安全服务。 网新易尚安全服务主要包括安全策略制定、安全评估、安全增强、安全应急响应、安全培训。
纯色
June 17, 2008 23:01
学习了嘎嘎 有机会认识一下啊哥们
Pages: 1/1 
1 
1
