技術(shù)頻道

娓娓工業(yè)
您現(xiàn)在的位置: 中國(guó)傳動(dòng)網(wǎng) > 技術(shù)頻道 > 應(yīng)用方案 > 電力調(diào)度中心網(wǎng)絡(luò)安全解決方案

電力調(diào)度中心網(wǎng)絡(luò)安全解決方案

時(shí)間:2008-10-27 10:54:00來源:dujing

導(dǎo)語:?本方案的特點(diǎn)在于:根據(jù)電力調(diào)度中心的實(shí)際需要,充分結(jié)合了各種網(wǎng)絡(luò)安全產(chǎn)品和管理軟件,實(shí)現(xiàn)了各系統(tǒng)的協(xié)同工作。
  應(yīng) 用 摘 要   電力局電力調(diào)度通信中心計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)是一個(gè)覆蓋整個(gè)電力局電力調(diào)度通信中心及其下級(jí)調(diào)度中心的局域網(wǎng),是電力局系統(tǒng)網(wǎng)絡(luò)的一個(gè)重要的子系統(tǒng),同時(shí)它與EMS相連接。這個(gè)系統(tǒng)的建立和應(yīng)用,對(duì)于電力局電力調(diào)度通信中心的現(xiàn)代化建設(shè)起到十分重要的作用。電力局電力調(diào)度通信中心計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的應(yīng)用應(yīng)該主要包括兩個(gè)方面:其一是處理電力局業(yè)務(wù)信息(電力調(diào)度信息),其二是辦公自動(dòng)化。無論是哪一種應(yīng)用都會(huì)涉及到一些敏感或涉密信息,所以,采取相應(yīng)的技術(shù)措施加強(qiáng)信息系統(tǒng)的安全保密是一項(xiàng)十分重要的工作。   應(yīng) 用 領(lǐng) 域   能源   方 案 內(nèi) 容   方案背景:   電力局電力調(diào)度通信中心計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)總體上是一個(gè)星型結(jié)構(gòu)的網(wǎng)絡(luò),從管理的分工上可以分為三個(gè)層次:   第一層次:電力局電力調(diào)度通信中心局域網(wǎng),該局域網(wǎng)是省局網(wǎng)絡(luò)的心臟部分。   第二層:與電力局電力調(diào)度通信中心網(wǎng)絡(luò)相連的電力下級(jí)網(wǎng)。   第三層:與Internet連接的對(duì)外服務(wù)器網(wǎng)絡(luò)。   主要應(yīng)用包含:    基于數(shù)據(jù)交換的業(yè)務(wù)應(yīng)用    辦公自動(dòng)化    郵件服務(wù)    Web服務(wù)    Internet   原拓?fù)淙缦聢D所示:
解決方案:   網(wǎng)絡(luò)風(fēng)險(xiǎn)分析及安全方案設(shè)計(jì):   風(fēng)險(xiǎn)分析的一個(gè)步驟是判定需要保護(hù)的所有資源,特別是受安全問題影響的資源。這些資源包括:主機(jī)、工作站、各種網(wǎng)絡(luò)設(shè)備等硬件;源程序、應(yīng)用程序、操作系統(tǒng)等軟件;在線存儲(chǔ)、傳輸、及備份數(shù)據(jù);等等。   XX電力局電力調(diào)度通信中心計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)是一個(gè)混合網(wǎng)絡(luò),包含了上述幾乎所有的網(wǎng)絡(luò)資源,系統(tǒng)較為復(fù)雜,目前尚未建立系統(tǒng)的安全防護(hù)體制,存在著明顯的安全威脅。   1) 全網(wǎng)易受入侵。首先,網(wǎng)絡(luò)各個(gè)部分沒有按照其應(yīng)用的安全要求不同劃分為不同的安全域;同時(shí),整個(gè)網(wǎng)絡(luò)通過基本簡(jiǎn)單靜態(tài)的通行字進(jìn)行身份鑒別(可能),一旦身份鑒別通過,用戶即可訪問整個(gè)網(wǎng)絡(luò)。侵襲者可以通過三種方式很容易地獲取通行字:一是內(nèi)部的管理人員因安全管理不當(dāng)而造成泄密;二是通過在公用網(wǎng)上搭線竊取通行字;三是通過假冒,植入嗅探程序,截獲通行字。侵襲者一旦掌握了通行字,即可在任何地方通過網(wǎng)絡(luò)訪問全網(wǎng),并可能造成不可估量的損失。而且由于不可控制的接入點(diǎn)比較多,導(dǎo)致全網(wǎng)受攻擊點(diǎn)明顯增多。   2) 與Internet的直接連接,如不采取有效的訪問控制措施,面臨著來自Internet網(wǎng)絡(luò)的安全威脅。   3) 系統(tǒng)保密性差。由于覆蓋全市的網(wǎng)絡(luò)系統(tǒng)大多是通過公用網(wǎng)絡(luò)連接,全部線路上的信息多以明文的方式傳送,其中包括登錄通行字和一些敏感信息(甚至是涉密信息,如電力調(diào)度信息),可能被侵襲者截獲、竊取和篡改,造成泄密。   4) 易受欺騙性。由于網(wǎng)絡(luò)主要采用的是TCP/IP協(xié)議,不法分子就可能獲取IP地址,在合法用戶關(guān)機(jī)時(shí),冒充該合法用戶,從而竄入網(wǎng)絡(luò)服務(wù)或應(yīng)用系統(tǒng),竊取甚至篡改有關(guān)信息,乃至?xí)茐恼麄€(gè)網(wǎng)絡(luò)。   5) 數(shù)據(jù)易損。由于目前尚無安全的數(shù)據(jù)庫及個(gè)人終端安全保護(hù)措施,還不能抵御來自網(wǎng)絡(luò)上的各種對(duì)數(shù)據(jù)庫及個(gè)人終端的攻擊;同時(shí)一旦不法分子針對(duì)網(wǎng)上傳輸數(shù)據(jù)作出偽造、刪除、竊取、竄改等攻擊,都將造成十分嚴(yán)重的影響和損失。   6) 缺乏對(duì)全網(wǎng)的安全控制與管理。當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它一些安全威脅時(shí)(如內(nèi)部人員的違規(guī)操作等),無法進(jìn)行實(shí)時(shí)的檢測(cè)、監(jiān)控、報(bào)告與預(yù)警。同時(shí),當(dāng)事故發(fā)生后,也無法提供黑客攻擊行為的追蹤線索及破案依據(jù),即缺乏對(duì)網(wǎng)絡(luò)的可控性與可審查性。   7) 缺乏防范泄密行為的安全措施。XX電力局電力調(diào)度通信中心計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)目前應(yīng)該有一些涉密信息,如果這些信息由內(nèi)部工作人員有意或無意通過網(wǎng)絡(luò)傳播或擴(kuò)散出去,可能造成十分嚴(yán)重的影響和損失。   了解了攻擊手段和安全隱患之后,國(guó)恒聯(lián)合科技結(jié)合現(xiàn)有的網(wǎng)絡(luò)技術(shù),設(shè)計(jì)了如下圖所示的動(dòng)態(tài)安全防護(hù)體系。通過這樣的設(shè)計(jì)可以盡可能地阻止來著外部的攻擊、監(jiān)控和管理內(nèi)部的訪問,盡量杜絕現(xiàn)存的安全隱患。   技 術(shù) 路 線   系統(tǒng)架構(gòu)網(wǎng)絡(luò)拓?fù)鋱D:
  整個(gè)方案設(shè)計(jì)分為以下幾部分:   1、 根據(jù)對(duì)電力局電力調(diào)度通信中心的網(wǎng)絡(luò)需求分析,建議對(duì)其網(wǎng)絡(luò)拓?fù)渥鲞m當(dāng)調(diào)整,主要是根據(jù)安全需求和安全等級(jí)的不同劃分不同的安全域,同時(shí)添加適當(dāng)?shù)陌踩a(chǎn)品。   具體調(diào)整如下:   1) 以省電力調(diào)度通信中心計(jì)算機(jī)網(wǎng)絡(luò)為中心,將與其連接的Internet、電力信息上級(jí)網(wǎng)等定義為外網(wǎng)。將省電力調(diào)度通信中心計(jì)算機(jī)局域網(wǎng)定義為內(nèi)網(wǎng)。   2) 由于存在對(duì)外提供服務(wù)的對(duì)外服務(wù)器,而這些服務(wù)器同時(shí)提供對(duì)內(nèi)和對(duì)外的訪問服務(wù),在安全等級(jí)劃分中,他們的安全等級(jí)高于外網(wǎng)而低于內(nèi)網(wǎng),并且存在較多的安全隱患,故應(yīng)將其單獨(dú)劃分成一個(gè)安全域——DMZ區(qū),即?;饏^(qū)。   3) 由于省電力調(diào)度通信中心局域網(wǎng)中有一部分機(jī)器與核心業(yè)務(wù)網(wǎng)EMS之間有信息交互,建議將這一部分機(jī)器單獨(dú)劃分出來,組成單獨(dú)的調(diào)度MIS。從安全性角度和易管理性方面考慮,可以選擇部分機(jī)器專職完成調(diào)度MIS工作。   4) 核心業(yè)務(wù)系統(tǒng)EMS是重中之重,是整個(gè)網(wǎng)絡(luò)中安全等級(jí)最高的區(qū)域,應(yīng)在不改變其結(jié)構(gòu)的條件下,做重點(diǎn)防護(hù)。   5) 對(duì)于省局網(wǎng)和電力信息下級(jí)網(wǎng),從狹義的角度上講,也可將其視為外網(wǎng)的一部分,在此,我們主要考慮它們與調(diào)度中心之間的安全隔離,以及它們相互之間不要通過調(diào)度通信中心的連接,把安全隱患帶到彼此的網(wǎng)絡(luò)。   總的來講,可將整個(gè)網(wǎng)絡(luò)劃分成EMS、調(diào)度MIS、公共MIS、對(duì)外服務(wù)器網(wǎng)絡(luò)(DMZ區(qū))、省局網(wǎng)、電力信息下級(jí)網(wǎng)、電力信息上級(jí)網(wǎng)、Internet等八個(gè)部分,它們的安全等級(jí)各不相同,應(yīng)采用相應(yīng)的安全設(shè)備將其劃分成不同的安全域。   2、 對(duì)于電力局電力調(diào)度通信中心局域網(wǎng)安全保護(hù)的基本措施,是采用防火墻進(jìn)行訪問控制。關(guān)于這一措施應(yīng)該從兩個(gè)層次進(jìn)行考慮,即對(duì)于局域網(wǎng)與外部網(wǎng)之間的訪問控制和內(nèi)部網(wǎng)中各個(gè)安全域之間的訪問控制。   1) 省電力調(diào)度中心局域網(wǎng)與電力信息上級(jí)網(wǎng)、Internet之間的訪問控制   在路由器后面安裝防火墻(速通防火墻 1)來實(shí)現(xiàn)對(duì)省電力調(diào)度中心局域網(wǎng)的安全保護(hù),利用防火墻的過濾功能來實(shí)現(xiàn)它與電力上級(jí)網(wǎng)、Internet之間相互訪問控制。   2) 省電力調(diào)度中心局域網(wǎng)與省局網(wǎng)、電力下級(jí)網(wǎng)之間的訪問控制   在路由器后面安裝防火墻(速通防火墻 2)來實(shí)現(xiàn)對(duì)省電力調(diào)度中心局域網(wǎng)的安全保護(hù),利用防火墻的過濾功能來實(shí)現(xiàn)它與省局網(wǎng)、電力下級(jí)網(wǎng)之間相互訪問控制。同時(shí)速通防火墻自帶的認(rèn)證功能,可以實(shí)現(xiàn)內(nèi)部用戶認(rèn)證,同時(shí)可以結(jié)合用戶原有的域用戶認(rèn)證或者radius認(rèn)證,實(shí)現(xiàn)用戶級(jí)的訪問控制。   3)EMS與省電力調(diào)度中心局域網(wǎng)之間的訪問控制   在EMS與省電力調(diào)度中心局域網(wǎng)之間安裝防火墻(速通防火墻 3)來實(shí)現(xiàn)對(duì)EMS的安全保護(hù),利用防火墻的過濾功能來實(shí)現(xiàn)EMS與省電力調(diào)度中心局域網(wǎng)之間相互訪問控制,防止將省電力調(diào)度中心局域網(wǎng)的安全問題帶到EMS中,實(shí)現(xiàn)對(duì)EMS的重點(diǎn)防護(hù)。在這里,可利用防火墻的多端口結(jié)構(gòu),將調(diào)度MIS和公共MIS分開。   3、 入侵檢測(cè)和病毒防護(hù)。速通防火墻自帶的入侵檢測(cè)功能采用了基于模式匹配的入侵檢測(cè)系統(tǒng),超越了傳統(tǒng)防火墻中的基于統(tǒng)計(jì)異常的入侵檢測(cè)功能,實(shí)現(xiàn)了可擴(kuò)展的攻擊檢測(cè)庫,真正實(shí)現(xiàn)了抵御目前已知的各種攻擊方法,并通過升級(jí)入侵檢測(cè)庫的方法,不斷抵御新的攻擊方法。速通防火墻的入侵檢測(cè)模塊,可以自動(dòng)檢測(cè)網(wǎng)絡(luò)數(shù)據(jù)流中潛在的入侵、攻擊和濫用方式,并防火墻模塊實(shí)現(xiàn)聯(lián)動(dòng),自動(dòng)調(diào)整控制規(guī)則,為整個(gè)網(wǎng)絡(luò)提供動(dòng)態(tài)的網(wǎng)絡(luò)保護(hù)。速通防火墻入侵檢測(cè)模塊中包含了對(duì)網(wǎng)絡(luò)上傳輸病毒和蠕蟲的檢測(cè),可以在計(jì)算機(jī)病毒和蠕蟲傳輸?shù)剿拗鳈C(jī)之前檢測(cè)出來,在網(wǎng)關(guān)上防止網(wǎng)絡(luò)病毒的傳播,防患于未然。真正實(shí)現(xiàn)了少花錢多辦事的效果。對(duì)于網(wǎng)絡(luò)內(nèi)部的病毒防護(hù)建議使用網(wǎng)絡(luò)防病毒軟件進(jìn)行整體防護(hù)。   4、 數(shù)據(jù)備份與恢復(fù)技術(shù):利用備份系統(tǒng)可以快速地全盤恢復(fù)運(yùn)行計(jì)算機(jī)系統(tǒng)所需的數(shù)據(jù)和系統(tǒng)信息。根據(jù)系統(tǒng)安全需求可選擇的備份機(jī)制有:場(chǎng)點(diǎn)內(nèi)高速度、大容量的自動(dòng)數(shù)據(jù)存儲(chǔ)、備份與恢復(fù);場(chǎng)點(diǎn)外的數(shù)據(jù)存儲(chǔ)、備份與恢復(fù);對(duì)系統(tǒng)設(shè)備的備份。備份不僅在網(wǎng)絡(luò)系統(tǒng)硬件故障或人為失誤時(shí)起到保護(hù)作用,也在入侵者非授權(quán)訪問或?qū)W(wǎng)絡(luò)攻擊及破壞數(shù)據(jù)完整性時(shí)起到保護(hù)作用,同時(shí)亦是系統(tǒng)災(zāi)難恢復(fù)的前提之一。   5、 建成之后的計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)將是一個(gè)比較復(fù)雜的系統(tǒng),因此需要對(duì)網(wǎng)絡(luò)活動(dòng)進(jìn)行有效控制和管理。網(wǎng)絡(luò)管理員可隨時(shí)監(jiān)測(cè)系統(tǒng)中的所有網(wǎng)絡(luò)設(shè)備運(yùn)行狀況,能夠在不改變系統(tǒng)運(yùn)行的情況下對(duì)網(wǎng)絡(luò)進(jìn)行調(diào)整;也不管網(wǎng)絡(luò)設(shè)備的物理位置在何處,都能對(duì)網(wǎng)絡(luò)進(jìn)行管理與維護(hù)。網(wǎng)絡(luò)管理應(yīng)具有一體化管理措施和方法,能對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理和維護(hù),能合理配置和調(diào)整網(wǎng)絡(luò)資源,能提供用戶訪問權(quán)管理、網(wǎng)絡(luò)性能管理以及故障管理,能準(zhǔn)確報(bào)告與故障有關(guān)的事件,并能監(jiān)視網(wǎng)絡(luò)狀態(tài)與控制網(wǎng)絡(luò)運(yùn)行。   本方案的特點(diǎn)在于:根據(jù)電力調(diào)度中心的實(shí)際需要,充分結(jié)合了各種網(wǎng)絡(luò)安全產(chǎn)品和管理軟件,實(shí)現(xiàn)了各系統(tǒng)的協(xié)同工作。

標(biāo)簽:

點(diǎn)贊

分享到:

上一篇:ModBUS協(xié)議通訊的應(yīng)用

下一篇:微能WIN-V63矢量控制變頻器在...

中國(guó)傳動(dòng)網(wǎng)版權(quán)與免責(zé)聲明:凡本網(wǎng)注明[來源:中國(guó)傳動(dòng)網(wǎng)]的所有文字、圖片、音視和視頻文件,版權(quán)均為中國(guó)傳動(dòng)網(wǎng)(m.u63ivq3.com)獨(dú)家所有。如需轉(zhuǎn)載請(qǐng)與0755-82949061聯(lián)系。任何媒體、網(wǎng)站或個(gè)人轉(zhuǎn)載使用時(shí)須注明來源“中國(guó)傳動(dòng)網(wǎng)”,違反者本網(wǎng)將追究其法律責(zé)任。

本網(wǎng)轉(zhuǎn)載并注明其他來源的稿件,均來自互聯(lián)網(wǎng)或業(yè)內(nèi)投稿人士,版權(quán)屬于原版權(quán)人。轉(zhuǎn)載請(qǐng)保留稿件來源及作者,禁止擅自篡改,違者自負(fù)版權(quán)法律責(zé)任。

相關(guān)資訊

網(wǎng)站簡(jiǎn)介|會(huì)員服務(wù)|聯(lián)系方式|幫助信息|版權(quán)信息|網(wǎng)站地圖|友情鏈接|法律支持|意見反饋|sitemap

傳動(dòng)網(wǎng)-工業(yè)自動(dòng)化與智能制造的全媒體“互聯(lián)網(wǎng)+”創(chuàng)新服務(wù)平臺(tái)

網(wǎng)站客服服務(wù)咨詢采購(gòu)咨詢媒體合作

Chuandong.com Copyright ?2005 - 2024 ,All Rights Reserved 深圳市奧美大唐廣告有限公司 版權(quán)所有
粵ICP備 14004826號(hào) | 營(yíng)業(yè)執(zhí)照證書 | 不良信息舉報(bào)中心 | 粵公網(wǎng)安備 44030402000946號(hào)