技术文章

电力系统防火墙的部署保障网络安全边界

时间:2020-07-19 07:03:57 分享到:
在辽宁省公司及所属13个供电公司统一部署了防火墙系统,形成统一的层次化的防火墙防护体系。将辽宁电力信息网整体划分为外网、行业、基层、住宅区、DMZ和内网6个安全域,在安全域之间采取有效的访问控制措施。在Internet出口、服务器集群网段接口处以及基层的接入处的防火墙,采用双机热备、负载均衡的部署方案。为了保证防火墙安全策略的一致与完整性,提高安全管理水平,在省公司对所有的防火墙进行集中管理,统一设置、维护安全策略并下发,监督所有防火墙运行状况,查看、统一分析安全日志。落实防火墙管理制度,技术手段和管理手段结合使用,保证企业安全。
辽宁电力有限公司信息网络系统经过广域网接口或拨号与各所属单位连接,为了保证省公司信息网络中信息系统的安全性,对经过省公司信息网络边界的信息流进行限制、监控、审计、保护、认证等方面的要求,需要采用VPN和防火墙协作的技术,同时结合其他各种安全技术,搭建出一个严密的业务安全平台。
2.VPN和防火墙协作的主要特点
(1)关键信息在安全域内传输。确保关键信息只能在受限的安全域内传输,以确保信息不会通过网络泄密。通过制订安全策略,对于特写类型的信息,只允许在指定的安全域内传输,如果信息的发送者试图向安全域之外发送信息,那么发送请求将被拒绝,同时,这种破坏安全策略的行为将会被记录到系统日志中。
(2)完善的认证与授权体系。无论是外网用户还是内网用户,在访问关键的业务资源时,都需要经过严格的身份认证和授权检查。通过RADIUS协议,VPN网关可以与各种认证服务器无缝集成。也可以通过LDAP协议,支持公钥证书来认证用户的身份。这种身份的验证不仅仅是验证用户的身份,还包括验证用户的操作权限及保密级别。
(3)严密的信息流向审查及系统行为的监控。对于省公司信息网络系统来说,在保证业务正常进行的前提下,确保信息不失密,同时要监控各类主体(用户、程序)对关键业务信息的存取是至关重要的。VPN和防火墙协作具有功能强大的审计系统,可以记录关键业务主机之间传递信息的流向,以及对关键业务主机的所有访问(源IP、用户、时间、访问的服务),确保系统的可审计性和可追查性。在发生违反安全策略的事件时.可采用多种方式实时发出报警。
(4)通过采用公钥验证技术,确保网络连接的真实性和完整性,包括在连接中传输数据的机密性和完整性。在实际操作中,配置防火墙应根据IP、协议、服务、时间等因素具体实施区域间边界访问控制。
3.建立网络安全边界
(1)在东北公司、网调和省调接口部署防火墙进行访问控制和审计,建立省网安全边界,保障省网安全。
(2)在拨号接口和内部财务接口部署防火墙进行访问控制和审计,建立省网安全边界,保障省网安全。
(3)在电信接口、物资公司和职大医院住宅接口部署防火墙进行访问控制和审计,建立省网安全边界,保障省网安全。
(4)在各电业公司和发电厂接口以及各地市供电公司当地部署防火墙进行访问控制和审计,建立省网安全边界,保障省网安全。
(5)部署防火墙后,辽宁电力信息网络系统形成省、市、县(区)统一控制和调整管理的防火墙系统。
版权所有:正向型网络安全隔离装置 转载请注明出处