技术文章

正向隔离装置在电力IMS网络信息安全防护应用

时间:2020-07-19 08:34:39 分享到:
1 电力IMS网络信息安全现状的分析
由于不同企业的发展情况不一样,因此,企业需要根据自身的经营模式和管理要求,相应的建立了自动化系统,从而实现了生产、管理、营销、财务等工作方面的全面覆盖。另外,相关的WEB网关与MIS之间需要进行相互的信息访问。在数据安全管理方面,通过安装正向隔离装置,实现了其与外界的隔离。
各个电力企业制定了相应的措施,实现了网络的安全连接,在自身服务水平提高的同时实现了用户共享资源的目的。在边远地区基本通过VPN技术进行远程联网和控制,从而扩大资源共享面,并在互联网的基础上构建一种远程的服务。
2 电力IMS网络在发展中存在的问题
2.1 不同网络之间没有进行严格的划分
根据《全国电力二次系统安全防护总体方案》中的规定:针对不同等级的网络,各企业必须严格做出安全划分规定。在纵向上,需要关联监控系统,但是部分电力企业无法实现网络数据传输,且缺少从主站到场站的光纤载波双通道;在横向上,规定需要监控系统与非监控系统能够保持良好的连接。在调查中发现还存在着如下的几点问题:第一,单项传输数据线中传输的数据只有极少的资源能够真正地被他人共享,在与非实时系统的联系中缺少标准数据接口。第二,没有按照要求组建数据调度网。第三,未能实现上下级调度的认证加密部署。
2.2 现有的网络安全防护水平较低,与实际的发展不匹配
随着科学技术的发展,信息化成为一种无法阻挡的趋势。随着信息技术的发展,网络安全问题受到广泛的重视。但是现有的网络安全防护由于缺少相应的管理控制手段,从而并未形成一套完整的防护体系。有些地区的服务器病毒安全防护措施仍停留在使用瑞星等杀毒软件的水平,且一旦受到攻击,容易出现大面积的网络系统瘫痪问题,与此同时还缺少相应的机制,用以恢复数据备份,因此,网络系统一旦受到破坏,将产生难以预料的后果。针对内部用户存在的IP盗用、随意下载网络资源等问题,我国还未能建立起一种有效的监管机制。另外,我国也缺乏正规的网络安全评价机构,从而难以对网络进行有效的评估。因此,正是由于较低的网络安全防护水平,促使其与实际发展水平不匹配。
3 电力IMS的网络结构
电力IMS综合信息网一般以单域组网的连接方式为主,在公司或企业的总部通信机房内设置IMS网络的核心设备及业务平台,而通过IP连接,将各地的分公司全部接入。IMS统一网管、业务设备管理、呼叫会话控制功能设备等全部由省公司通信机房统一部署,并提供会话控制等多项功能。
4 电力IMS网络信息安全防护策略
由于IMS网络结构的复杂性,其中包含了大量的信息数据,因而很容易成为被攻击、感染的对象,因此,电力IMS网络信息防护需要从设备、业务、管理、组网等多方面进行安全防护,避免受到外界的攻击。
4.1 设备安全策略方案
IMS设备安全防护策略可以从升级系统、安全补丁、防病毒三方面制定。例如:当电力系统采用Linux系统进行主机升级加固时,需要考虑是否删除或禁用从未使用的软件;删除冗余的文件和操作系统中不使用的账户;关闭很少使用或存在威胁的服务端口等。另外,对于已经安装的系统,定期给其进行计算机系统的维护和清理,升级防病毒软件,并填补安全漏洞。
4.2 组网安全策略方案
IMS组网安全防护策略可以从核心网、承载网、接入网三方面制定。在考虑核心网组网时,为了实现信令、媒体、网关等的分离,需要采用不同的物理接口,从而避免由于一方面出现问题而导致其他业务也受到影响的情况。核心区与外界之间用防火墙进行隔离,安全部署相关的防护措施,避免遭受攻击。使用边缘接入控制设备的代理能力。安全的隐藏和保护核心区,防止遭到破坏和恶意攻击。在考虑承载网组网时,由于其各种业务共同存在,因而,需要采取措施将各种业务相互隔离,一般情况下,采用:MPLS VAN方案。在考虑接入网组网时,由于IMS系统只为固定的用户提供,且在接入的过程中需要借助运营商的帮助,因而可以通过BAS(宽带接入服务器)的识别功能和用户安全认证来保证系统的安全性与稳定性。
4.3 业务安全策略方案
IMS业务安全策略需要考虑业务防盗、防欺骗两方面。
4.3.1 业务防盗
业务防盗其一:防止攻击者盗用或篡改他人的账号、密码等信息,达到盗用的目的。在用户注册登录时,系统自动连接用户原本的接入位置,只有信息匹配成功,才能完成登录过程。在用户注册时,只有当用户接入位置与登记位置相同时,才同意申请,执行下一步注册。
业务防盗其二:防止攻击者恶意攻击网络通话,阻断或窃取通话内容的行为。BAC通过提供终端锁定功能,并按照指令SDP信息,生成媒体转发表项,接着再进行过滤,只有符合BAC规则的才能进行下一步处理,否则提交的申请将不予批准。
业务防盗其三:防止攻击者盗用、窃取他人信息后,随意消耗网络信息,导致服务器终止服务项目。BAC除了不需要对SIP信号处理之外,应对用户媒体流进行一定的限制,一旦超过定义的宽度,就进行丢包处理。
4.3.2 业务防欺骗
业务防欺骗其一:防止恶意用户随意冒用他人身份发起通话。因此,在发起呼叫之前,IMS网络需要对申请人的身份进行验证,验证申请者的身份与注册用户身份是否一致,若一致,则允许通过;相反,则拒绝请求。
业务防欺骗其二:防止来电显示欺骗。在生活中,很多用户经常受到陌生的未接来电或者垃圾信息。这是由于黑客冒用或者伪造他人身份进行操作,从而导致网络钓鱼、信息诈骗等的恶意攻击。因此,IMS网络也应当采取有效的手段控制,对SIP信息中的用户信息、权利范围进行鉴定,从而减少来电显示的欺骗。
4.4 管理安全策略方案
在电力INS网络信息安全的防护过程中,不仅要在技术的层面上加强控制和管理,还应该在运行中采取恰当的管理手段。在实际运行中,可以从账号、权限管理、日志访问、行为监控、权利范围的鉴定等几个方面加以管理。账号管理方面可以采用口令卡登陆,从口令的复杂度、输入口令的次数、口令的有效期限等方面加以控制。在权限方面,可从登录超时处理,口令加密传输等方式加以管理。日志访问方面包括对安全日志、操作日志、运行日志等方面的安全访问和处理。行为监控可以对特定的行号进行权利方面的限制等。
版权所有:正向型网络安全隔离装置 转载请注明出处