應 用 摘 要 　　電力局電力調度通信中心計算機網絡系統是一個覆蓋整個電力局電力調度通信中心及其下級調度中心的局域網，是電力局系統網絡的一個重要的子系統，同時它與EMS相連接。這個系統的建立和應用，對于電力局電力調度通信中心的現代化建設起到十分重要的作用。電力局電力調度通信中心計算機網絡系統的應用應該主要包括兩個方面：其一是處理電力局業務信息（電力調度信息），其二是辦公自動化。無論是哪一種應用都會涉及到一些敏感或涉密信息，所以，采取相應的技術措施加強信息系統的安全保密是一項十分重要的工作。 　　應 用 領 域 　　能源 　　方 案 內 容 　　方案背景： 　　電力局電力調度通信中心計算機網絡系統總體上是一個星型結構的網絡，從管理的分工上可以分為三個層次： 　　第一層次：電力局電力調度通信中心局域網，該局域網是省局網絡的心臟部分。 　　第二層：與電力局電力調度通信中心網絡相連的電力下級網。 　　第三層：與Internet連接的對外服務器網絡。 　　主要應用包含： 　　 基于數據交換的業務應用 　　 辦公自動化 　　 郵件服務 　　 Web服務 　　 Internet 　　原拓撲如下圖所示： 解決方案： 　　網絡風險分析及安全方案設計： 　　風險分析的一個步驟是判定需要保護的所有資源，特別是受安全問題影響的資源。這些資源包括：主機、工作站、各種網絡設備等硬件;源程序、應用程序、操作系統等軟件;在線存儲、傳輸、及備份數據;等等。 　　XX電力局電力調度通信中心計算機網絡系統是一個混合網絡，包含了上述幾乎所有的網絡資源，系統較為復雜，目前尚未建立系統的安全防護體制，存在著明顯的安全威脅。 　　1） 全網易受入侵。首先，網絡各個部分沒有按照其應用的安全要求不同劃分為不同的安全域;同時，整個網絡通過基本簡單靜態的通行字進行身份鑒別（可能），一旦身份鑒別通過，用戶即可訪問整個網絡。侵襲者可以通過三種方式很容易地獲取通行字：一是內部的管理人員因安全管理不當而造成泄密;二是通過在公用網上搭線竊取通行字;三是通過假冒，植入嗅探程序，截獲通行字。侵襲者一旦掌握了通行字，即可在任何地方通過網絡訪問全網，并可能造成不可估量的損失。而且由于不可控制的接入點比較多，導致全網受攻擊點明顯增多。 　　2） 與Internet的直接連接，如不采取有效的訪問控制措施，面臨著來自Internet網絡的安全威脅。 　　3） 系統保密性差。由于覆蓋全市的網絡系統大多是通過公用網絡連接，全部線路上的信息多以明文的方式傳送，其中包括登錄通行字和一些敏感信息（甚至是涉密信息，如電力調度信息），可能被侵襲者截獲、竊取和篡改，造成泄密。 　　4） 易受欺騙性。由于網絡主要采用的是TCP/IP協議，不法分子就可能獲取IP地址，在合法用戶關機時，冒充該合法用戶，從而竄入網絡服務或應用系統，竊取甚至篡改有關信息，乃至會破壞整個網絡。 　　5） 數據易損。由于目前尚無安全的數據庫及個人終端安全保護措施，還不能抵御來自網絡上的各種對數據庫及個人終端的攻擊;同時一旦不法分子針對網上傳輸數據作出偽造、刪除、竊取、竄改等攻擊，都將造成十分嚴重的影響和損失。 　　6） 缺乏對全網的安全控制與管理。當網絡出現攻擊行為或網絡受到其它一些安全威脅時（如內部人員的違規操作等），無法進行實時的檢測、監控、報告與預警。同時，當事故發生后，也無法提供黑客攻擊行為的追蹤線索及破案依據，即缺乏對網絡的可控性與可審查性。 　　7） 缺乏防范泄密行為的安全措施。XX電力局電力調度通信中心計算機網絡系統目前應該有一些涉密信息，如果這些信息由內部工作人員有意或無意通過網絡傳播或擴散出去，可能造成十分嚴重的影響和損失。 　　了解了攻擊手段和安全隱患之后，國恒聯合科技結合現有的網絡技術，設計了如下圖所示的動態安全防護體系。通過這樣的設計可以盡可能地阻止來著外部的攻擊、監控和管理內部的訪問，盡量杜絕現存的安全隱患。 　　技 術 路 線 　　系統架構網絡拓撲圖： 　　整個方案設計分為以下幾部分： 　　1、 根據對電力局電力調度通信中心的網絡需求分析，建議對其網絡拓撲做適當調整，主要是根據安全需求和安全等級的不同劃分不同的安全域，同時添加適當的安全產品。 　　具體調整如下： 　　1） 以省電力調度通信中心計算機網絡為中心，將與其連接的Internet、電力信息上級網等定義為外網。將省電力調度通信中心計算機局域網定義為內網。 　　2） 由于存在對外提供服務的對外服務器，而這些服務器同時提供對內和對外的訪問服務，在安全等級劃分中，他們的安全等級高于外網而低于內網，并且存在較多的安全隱患，故應將其單獨劃分成一個安全域——DMZ區，即停火區。 　　3） 由于省電力調度通信中心局域網中有一部分機器與核心業務網EMS之間有信息交互，建議將這一部分機器單獨劃分出來，組成單獨的調度MIS。從安全性角度和易管理性方面考慮，可以選擇部分機器專職完成調度MIS工作。 　　4） 核心業務系統EMS是重中之重，是整個網絡中安全等級最高的區域，應在不改變其結構的條件下，做重點防護。 　　5） 對于省局網和電力信息下級網，從狹義的角度上講，也可將其視為外網的一部分，在此，我們主要考慮它們與調度中心之間的安全隔離，以及它們相互之間不要通過調度通信中心的連接，把安全隱患帶到彼此的網絡。 　　總的來講，可將整個網絡劃分成EMS、調度MIS、公共MIS、對外服務器網絡（DMZ區）、省局網、電力信息下級網、電力信息上級網、Internet等八個部分，它們的安全等級各不相同，應采用相應的安全設備將其劃分成不同的安全域。 　　2、 對于電力局電力調度通信中心局域網安全保護的基本措施，是采用防火墻進行訪問控制。關于這一措施應該從兩個層次進行考慮，即對于局域網與外部網之間的訪問控制和內部網中各個安全域之間的訪問控制。 　　1） 省電力調度中心局域網與電力信息上級網、Internet之間的訪問控制 　　在路由器后面安裝防火墻（速通防火墻 1）來實現對省電力調度中心局域網的安全保護，利用防火墻的過濾功能來實現它與電力上級網、Internet之間相互訪問控制。 　　2） 省電力調度中心局域網與省局網、電力下級網之間的訪問控制 　　在路由器后面安裝防火墻（速通防火墻 2）來實現對省電力調度中心局域網的安全保護，利用防火墻的過濾功能來實現它與省局網、電力下級網之間相互訪問控制。同時速通防火墻自帶的認證功能，可以實現內部用戶認證，同時可以結合用戶原有的域用戶認證或者radius認證，實現用戶級的訪問控制。 　　3）EMS與省電力調度中心局域網之間的訪問控制 　　在EMS與省電力調度中心局域網之間安裝防火墻（速通防火墻 3）來實現對EMS的安全保護，利用防火墻的過濾功能來實現EMS與省電力調度中心局域網之間相互訪問控制，防止將省電力調度中心局域網的安全問題帶到EMS中，實現對EMS的重點防護。在這里，可利用防火墻的多端口結構，將調度MIS和公共MIS分開。 　　3、 入侵檢測和病毒防護。速通防火墻自帶的入侵檢測功能采用了基于模式匹配的入侵檢測系統，超越了傳統防火墻中的基于統計異常的入侵檢測功能，實現了可擴展的攻擊檢測庫，真正實現了抵御目前已知的各種攻擊方法，并通過升級入侵檢測庫的方法，不斷抵御新的攻擊方法。速通防火墻的入侵檢測模塊，可以自動檢測網絡數據流中潛在的入侵、攻擊和濫用方式，并防火墻模塊實現聯動，自動調整控制規則，為整個網絡提供動態的網絡保護。速通防火墻入侵檢測模塊中包含了對網絡上傳輸病毒和蠕蟲的檢測，可以在計算機病毒和蠕蟲傳輸到宿主機之前檢測出來，在網關上防止網絡病毒的傳播，防患于未然。真正實現了少花錢多辦事的效果。對于網絡內部的病毒防護建議使用網絡防病毒軟件進行整體防護。 　　4、 數據備份與恢復技術：利用備份系統可以快速地全盤恢復運行計算機系統所需的數據和系統信息。根據系統安全需求可選擇的備份機制有：場點內高速度、大容量的自動數據存儲、備份與恢復;場點外的數據存儲、備份與恢復;對系統設備的備份。備份不僅在網絡系統硬件故障或人為失誤時起到保護作用，也在入侵者非授權訪問或對網絡攻擊及破壞數據完整性時起到保護作用，同時亦是系統災難恢復的前提之一。 　　5、 建成之后的計算機信息網絡系統將是一個比較復雜的系統，因此需要對網絡活動進行有效控制和管理。網絡管理員可隨時監測系統中的所有網絡設備運行狀況，能夠在不改變系統運行的情況下對網絡進行調整;也不管網絡設備的物理位置在何處，都能對網絡進行管理與維護。網絡管理應具有一體化管理措施和方法，能對網絡設備進行遠程管理和維護，能合理配置和調整網絡資源，能提供用戶訪問權管理、網絡性能管理以及故障管理，能準確報告與故障有關的事件，并能監視網絡狀態與控制網絡運行。 　　本方案的特點在于：根據電力調度中心的實際需要，充分結合了各種網絡安全產品和管理軟件，實現了各系統的協同工作。