技术文章

正向隔离装置助力电网信息安全纵深防御

时间:2020-07-19 06:56:52 分享到:
  
如何建立电网信息安全纵深防御体系?
1.网络纵深防御国家电网公司建成了以调度生产系统为核心,实现从信息外网到信息内网,再到调度数据网的纵深防护的电网信息安全三道纵深防线。
第一道防线,电网信息系统与互联网边界的防御。通过采用国产防火墙、IDS、IPS等信息安全产品,实现管理信息外网与互联网之间的防护:通过采用自主研发的电网一体化安全运行监管平台,实现对电网信息系统互联网出口、对外服务网站安全状态的实时监测。通过这些措施,将大多数直接来自互联网的威胁抵挡在第一道防线外。
第二道防线,管理信息内外网之间的防御,是电网信息安全等级保护纵深防御体系中最关键的防线。按照“双网双机、分区分域、等级保护、多层防护”的安全策略,通过采用正向隔离装置,实现信息内外网系统与设备的高强度逻辑隔离,仅允许内外网间必需的业务数据在可控的数据库通信方式下实现交换,数据访问过程可控、交互数据真实可靠,并禁止信息内网主机对互联网的任何访问。
第三道防线,管理信息大区与生产控制大区之间的防御,核心防护调度生产大区。并按照“安全分区、网络专用、横向隔离、纵向认证”的原则,通过采用自主研发的正反向隔离装置,将电网核心生产控制系统与管理信息网络、互联网严格隔离开,仅允许生产控制系统中有关数据单向从生产控制大区流向管理信息大区,边界不允许任何通用网络协议的交互。生产控制大区与管理信息大区使用专用的正反向隔离装置进行强隔离,生产控制大区往信息管理大区单向传输信息须采用正向隔离装置,由信息管理大区往生产控制大区的单向数据传输必须采用反向隔离装置。反向隔离装置采取签名认证和数据过滤措施。电力调度数据网络承载的业务包括电力实时控制业务、在线生产业务、网管业务。生产控制大区通过电力专用纵向加密认证装置接人调度数据网络时,实现网络层双向身份认证、数据加密和访问控制,实现生产控制大区的纵向贯通。电网信息系统三道防线从互联网威胁抵御出发,以信息系统防控为核心,以纵深防御为特色,实现了三道边界的纵深高强度防护,是电网信息安全等级保护纵深防御的核心技术架构之一。
三道防线将电网信息系统面临的最大的威胁源一互联网,与生产控制系统隔绝开来,将内部应用系统与互联网隔离起来,仅将对外服务的系统运行在信息外网,允许互联网用户进行访问,确保业务信息系统的安全。
2.系统纵深防御
应用系统的纵深防御采用防病毒软件、漏洞扫描、防火墙、人侵检测系统、安全网关、安全接入、行为审计等基础防御措施,实现以应用与数据为核心的防护。并将电网信息系统按照等级保护要求划分成物理、边界与网络、主机、应用和数据等多个纵深防护层面,并在每个层面采用自主研发、国产化产品实施保护,实现针对各等级业务应用系统的纵深防护。网络与边界防御,采用国产化的人侵检测设备、隔离装置、防火墙等网络设备。通过电网一体化安全运行监管平台集中管理,实现了对互联网出口、内外网边界、网络拓扑,数据流的图形化实时监控分析,以及对安全防护设备监测数据的统一采集,并结合事件安全关联分析,将原始的设备报警进一步规范化并归纳为典型安全事件类别,更快速地识别当前威胁的性质。主机安全防护,制订了加固规范,对操作系统和数据库的防护做了加强可操作性的细化。通过电网一体化安全运行监管平台,实现对主机实时的性能监测,实现安全风险视图、安全事件统计、风险统计、脆弱性统计等。应用安全防护,发布了应用系统软件上线管理办法,执行信息系统上线前的安全测评,保证新系统在上线之前将安全隐患消除。根据等级保护要求,制订了应用软件通用安全要求,将各等级应用系统的等级保护要求细化为69条具体内容。对于部署于信息内网的系统,重点在于增强安全策略配置、用户身份鉴别、用户和权限管理、安全审计、数据安全保护和软件容错等功能;对于部署在信息外网的系统,重点增加了数据在存储和通信中的完整性.保密性和可用性等方面的要求。终端安全防护,通过电网一体化安全运行监管平台,从终端注册和定位管理、终端节点加固及补丁管理、终端应用资源监控、终端安全(涉密)审计、终端流量控制、远程协助、客户端级联管理控制等多个方面进行监控管理,从而提高了桌面计算机的安全防护水平。数据安全防护,从管理和技术方面控制和规范信息内网与信息外网的数据交换行为,保证了数据交换的保密性、可控性、可审计性。通过安全移动存储介质管理系统对普通的移动存储介质(主要为移动硬盘、U盘)内的数据进行高强度算法加密,并根据安全控制策略的需要进行数据区划分,实现从主机层面和移动介质层面对文件读、写的访问控制和审计,为网络内部可能出现的数据拷贝泄密、移动存储介质遗失泄密、U盘病毒等安全问题提供了解决方案。
版权所有:正向型网络安全隔离装置 转载请注明出处