本發(fā)明涉及電網(wǎng)領(lǐng)域,具體而言,涉及一種電力信息網(wǎng)的安全防護方法、裝置和系統(tǒng)。
背景技術(shù):
隨著我國信息技術(shù)的快速發(fā)展,計算機及信息網(wǎng)絡(luò)對促進(jìn)國民經(jīng)濟和社會發(fā)展發(fā)揮著日益重要的作用。加強對重要領(lǐng)域內(nèi)計算機信息系統(tǒng)安全保護工作的監(jiān)督管理,打擊各類計算機違法犯罪活動,是我國信息化順利發(fā)展的重要保障。
目前,現(xiàn)有的省電力公司的信息系統(tǒng)主要面臨兩個方面的問題:一是來自外部對省電力公司的信息系統(tǒng)的非法侵入,對信息系統(tǒng)的蓄意破壞和盜竊、篡改信息行為;二是來自省電力公司內(nèi)部員工對網(wǎng)絡(luò)中運行的各類業(yè)務(wù)系統(tǒng)的合法、授權(quán)、正常訪問。由于現(xiàn)有的省電力公司信息網(wǎng)絡(luò)中存在大量的用戶,因此,各種賬號的安全性管理,以及對服務(wù)器資源的集中維護和運維管理,對于保障電力信息網(wǎng)的安全十分重要。
針對上述現(xiàn)有的電力信息網(wǎng)由于沒有完善的網(wǎng)絡(luò)安全保障體系架構(gòu)導(dǎo)致電力信息網(wǎng)存在安全隱患的問題,目前尚未提出有效的解決方案。
技術(shù)實現(xiàn)要素:
本發(fā)明實施例提供了一種電力信息網(wǎng)的安全防護方法、裝置和系統(tǒng),以至少解決現(xiàn)有的電力信息網(wǎng)由于沒有完善的網(wǎng)絡(luò)安全保障體系架構(gòu)導(dǎo)致電力信息網(wǎng)存在安全隱患的技術(shù)問題。
根據(jù)本發(fā)明實施例的一個方面,提供了一種電力信息網(wǎng)的安全防護方法,包括:將電力信息網(wǎng)劃分為至少一個網(wǎng)絡(luò)安全域,其中,網(wǎng)絡(luò)安全域為電力信息網(wǎng)中具有相同安全防護需求的子網(wǎng)絡(luò);在網(wǎng)絡(luò)安全域之間部署網(wǎng)絡(luò)隔離設(shè)備,其中,網(wǎng)絡(luò)隔離設(shè)備用于執(zhí)行如下至少一種功能:網(wǎng)絡(luò)訪問控制、數(shù)據(jù)傳輸限制、安全檢測、病毒阻斷、流量清洗、網(wǎng)絡(luò)恢復(fù)。
根據(jù)本發(fā)明實施例的另一方面,還提供了一種電力信息網(wǎng)的安全防護系統(tǒng),包括:電力信息網(wǎng),包括:多個電力設(shè)備,其中,多個電力設(shè)備構(gòu)成電力信息網(wǎng);至少一個網(wǎng)絡(luò)隔離設(shè)備,與電力設(shè)備連接,用于將電力信息網(wǎng)劃分為至少一個網(wǎng)絡(luò)安全域,并執(zhí)行如下至少一種功能:網(wǎng)絡(luò)訪問控制、數(shù)據(jù)傳輸限制、安全檢測、病毒阻斷、流量清洗、網(wǎng)絡(luò)恢復(fù),其中,網(wǎng)絡(luò)安全域為電力信息網(wǎng)中具有相同安全防護需求的子網(wǎng)絡(luò)。
根據(jù)本發(fā)明實施例的另一方面,還提供了一種電力信息系統(tǒng),包括上述的電力信息網(wǎng)的安全防護系統(tǒng)。
根據(jù)本發(fā)明實施例的另一方面,還提供了一種電力信息網(wǎng)的安全防護裝置,包括:劃分單元,用于將電力信息網(wǎng)劃分為至少一個網(wǎng)絡(luò)安全域,其中,網(wǎng)絡(luò)安全域為電力信息網(wǎng)中具有相同安全防護需求的子網(wǎng)絡(luò);部署單元,用于在網(wǎng)絡(luò)安全域之間部署網(wǎng)絡(luò)隔離設(shè)備,其中,網(wǎng)絡(luò)隔離設(shè)備用于執(zhí)行如下至少一種功能:網(wǎng)絡(luò)訪問控制、數(shù)據(jù)傳輸限制、安全檢測、病毒阻斷、流量清洗、網(wǎng)絡(luò)恢復(fù)。
在本發(fā)明實施例中,通過將電力信息網(wǎng)劃分為至少一個網(wǎng)絡(luò)安全域,其中,網(wǎng)絡(luò)安全域為電力信息網(wǎng)中具有相同安全防護需求的子網(wǎng)絡(luò);在網(wǎng)絡(luò)安全域之間部署網(wǎng)絡(luò)隔離設(shè)備,其中,網(wǎng)絡(luò)隔離設(shè)備用于執(zhí)行如下至少一種功能:網(wǎng)絡(luò)訪問控制、數(shù)據(jù)傳輸限制、安全檢測、病毒阻斷、流量清洗、網(wǎng)絡(luò)恢復(fù),達(dá)到了根據(jù)電力信息網(wǎng)的不同的安全防護需求建立不同的安全防護機制的目的,從而實現(xiàn)了提高電力信息網(wǎng)的安全性并降低安全防護成本的技術(shù)效果,進(jìn)而解決了現(xiàn)有的電力信息網(wǎng)由于沒有完善的網(wǎng)絡(luò)安全保障體系架構(gòu)導(dǎo)致電力信息網(wǎng)存在安全隱患的技術(shù)問題。
附圖說明
此處所說明的附圖用來提供對本發(fā)明的進(jìn)一步理解,構(gòu)成本申請的一部分,本發(fā)明的示意性實施例及其說明用于解釋本發(fā)明,并不構(gòu)成對本發(fā)明的不當(dāng)限定。在附圖中:
圖1是根據(jù)本發(fā)明實施例的一種電力信息網(wǎng)的安全防護方法流程圖;
圖2是根據(jù)本發(fā)明實施例的一種可選的電力信息網(wǎng)的安全防護方法流程圖;
圖3是根據(jù)本發(fā)明實施例的一種電力信息網(wǎng)的安全防護系統(tǒng)示意圖;以及
圖4是根據(jù)本發(fā)明實施例的一種可選的電力信息網(wǎng)的安全防護系統(tǒng)示意圖;以及
圖5是根據(jù)本發(fā)明實施例的一種電力信息網(wǎng)的安全防護裝置示意圖。
具體實施方式
為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明方案,下面將結(jié)合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術(shù)方案進(jìn)行清楚、完整地描述,顯然,所描述的實施例僅僅是本發(fā)明一部分的實施例,而不是全部的實施例?;诒景l(fā)明中的實施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都應(yīng)當(dāng)屬于本發(fā)明保護的范圍。
需要說明的是,本發(fā)明的說明書和權(quán)利要求書及上述附圖中的術(shù)語“第一”、“第二”等是用于區(qū)別類似的對象,而不必用于描述特定的順序或先后次序。應(yīng)該理解這樣使用的數(shù)據(jù)在適當(dāng)情況下可以互換,以便這里描述的本發(fā)明的實施例能夠以除了在這里圖示或描述的那些以外的順序?qū)嵤4送?,術(shù)語“包括”和“具有”以及他們的任何變形,意圖在于覆蓋不排他的包含,例如,包含了一系列步驟或單元的過程、方法、系統(tǒng)、產(chǎn)品或設(shè)備不必限于清楚地列出的那些步驟或單元,而是可包括沒有清楚地列出的或?qū)τ谶@些過程、方法、產(chǎn)品或設(shè)備固有的其它步驟或單元。
實施例1
根據(jù)本發(fā)明實施例,提供了一種電力信息網(wǎng)的安全防護方法實施例,需要說明的是,在附圖的流程圖示出的步驟可以在諸如一組計算機可執(zhí)行指令的計算機系統(tǒng)中執(zhí)行,并且,雖然在流程圖中示出了邏輯順序,但是在某些情況下,可以以不同于此處的順序執(zhí)行所示出或描述的步驟。
圖1是根據(jù)本發(fā)明實施例的一種電力信息網(wǎng)的安全防護方法流程圖,如圖1所示,該方法包括如下步驟:
步驟s102,將電力信息網(wǎng)劃分為至少一個網(wǎng)絡(luò)安全域,其中,網(wǎng)絡(luò)安全域為電力信息網(wǎng)中具有相同安全防護需求的子網(wǎng)絡(luò)。
具體地,在上述步驟中,上述電力信息網(wǎng)包括但不限于各省級、各地市級、各縣級供電局或供電所的信息網(wǎng)絡(luò);上述網(wǎng)絡(luò)安全域(或稱網(wǎng)絡(luò)安全區(qū))可以為將電力信息網(wǎng)按照不同的安全防護需求劃分的多個子網(wǎng)絡(luò)。
此處需要說明的是,由于電網(wǎng)業(yè)務(wù)覆蓋廣,因而,現(xiàn)有的電力信息系統(tǒng)通常采用業(yè)務(wù)分布處理、數(shù)據(jù)集中存儲的方式。由于各個區(qū)域運維水平差距較大、經(jīng)濟、技術(shù)、人才發(fā)展不均,因而,各個區(qū)域的安全保障能力差別較大。作為一種可選的實施方式,根據(jù)電力行業(yè)業(yè)務(wù)發(fā)展相似性的特點,可以將電力信息網(wǎng)按照不同的安全防護需求劃分為多個網(wǎng)絡(luò)安全域,建立全面的信息網(wǎng)絡(luò)安全保障體系架構(gòu)。
步驟s104,在網(wǎng)絡(luò)安全域之間部署網(wǎng)絡(luò)隔離設(shè)備,其中,網(wǎng)絡(luò)隔離設(shè)備用于執(zhí)行如下至少一種功能:網(wǎng)絡(luò)訪問控制、數(shù)據(jù)傳輸限制、安全檢測、病毒阻斷、流量清洗、網(wǎng)絡(luò)恢復(fù)。
具體地,在上述步驟中,上述網(wǎng)絡(luò)隔離設(shè)備可以用于在各個網(wǎng)絡(luò)安全域之間執(zhí)行如下至少一種功能:網(wǎng)絡(luò)訪問控制、數(shù)據(jù)傳輸限制、安全檢測、病毒阻斷、流量清洗、網(wǎng)絡(luò)恢復(fù),該網(wǎng)絡(luò)隔離設(shè)備包括但不限于防火墻、vpn、ids、ips、病毒過濾網(wǎng)關(guān)等安全設(shè)備。
此處需要說明的是,現(xiàn)有的電力信息網(wǎng)(包括外網(wǎng)和內(nèi)網(wǎng))的邊界均未部署防病毒網(wǎng)關(guān),無法識別和防范來自互聯(lián)網(wǎng)、或廣域網(wǎng)的惡意代碼和病毒的惡意傳播,惡意代碼和病毒通過網(wǎng)絡(luò)邊界進(jìn)行滲透,可能對網(wǎng)絡(luò)內(nèi)部的各類終端機、服務(wù)器造成嚴(yán)重威脅。為了降低惡意代碼和病毒所帶來的安全威脅,有必要將外網(wǎng)、內(nèi)網(wǎng)的邊界部署網(wǎng)絡(luò)隔離設(shè)備(包括但不限于防病毒網(wǎng)關(guān)),進(jìn)一步地,將外網(wǎng)、內(nèi)網(wǎng)劃分為多個網(wǎng)絡(luò)安全域,在各個網(wǎng)絡(luò)安全域之間部署網(wǎng)絡(luò)隔離設(shè)備,可以降低由于惡意代碼和病毒傳播帶來的安全風(fēng)險。
作為一種可選的實施例,在上述網(wǎng)絡(luò)隔離設(shè)備為病毒過濾網(wǎng)關(guān)的情況下,對于防病毒網(wǎng)關(guān)系統(tǒng)的安全策略,按照下述內(nèi)容盡心設(shè)計:
①病毒過濾策略:病毒過濾網(wǎng)關(guān)對smtp、pop3、imap、http和ftp等應(yīng)用協(xié)議進(jìn)行病毒掃描和過濾,通過惡意代碼特征過濾,對病毒、木馬、蠕蟲以及移動代碼進(jìn)行過濾、清除和隔離,有效地防止可能的病毒威脅,將病毒阻斷在敏感數(shù)據(jù)處理區(qū)之外。
②惡意代碼防護策略:病毒過濾網(wǎng)關(guān)支持對數(shù)據(jù)內(nèi)容進(jìn)行檢查,可以采用關(guān)鍵字過濾,url過濾等方式來阻止非法數(shù)據(jù)進(jìn)入敏感數(shù)據(jù)處理區(qū)域,同時支持對java等小程序進(jìn)行過濾等,防止可能的惡意代碼進(jìn)入敏感數(shù)據(jù)處理區(qū)。
③蠕蟲防范策略:病毒過濾網(wǎng)關(guān)可以實現(xiàn)實時檢測到日益泛濫的蠕蟲攻擊,并對其進(jìn)行實時阻斷,從而有效防止信息網(wǎng)絡(luò)因遭受蠕蟲攻擊而陷于癱瘓。
④病毒庫升級策略:病毒過濾網(wǎng)關(guān)支持自動和手動兩種升級方式,在自動方式下,系統(tǒng)可自動到互聯(lián)網(wǎng)上的廠家網(wǎng)站搜索最新的病毒庫和病毒引擎,進(jìn)行及時的升級。
⑤日志策略:防病毒網(wǎng)關(guān)提供完整的病毒日志、訪問日志和系統(tǒng)日志等記錄,這些記錄能夠被部署在三級計算環(huán)境中的日志審計系統(tǒng)所收集。
由上可知,在本申請上述實施例中,按照不同安全防護需求,將各省級、各地市級、各縣級供電局或供電所的信息網(wǎng)絡(luò)劃分為多個網(wǎng)絡(luò)安全域,并在各個網(wǎng)絡(luò)安全域之間部署網(wǎng)絡(luò)隔離設(shè)備,容易注意的是,該網(wǎng)絡(luò)隔離設(shè)備可以實現(xiàn)各個網(wǎng)絡(luò)安全域之間訪問控制、數(shù)據(jù)傳輸限制、安全檢測、病毒阻斷、流量清洗、網(wǎng)絡(luò)恢復(fù)等功能,達(dá)到了根據(jù)電力信息網(wǎng)的不同的安全防護需求建立不同的安全防護機制的目的,從而實現(xiàn)了提高電力信息網(wǎng)的安全性并降低安全防護成本的技術(shù)效果,進(jìn)而解決了現(xiàn)有的電力信息網(wǎng)由于沒有完善的網(wǎng)絡(luò)安全保障體系架構(gòu)導(dǎo)致電力信息網(wǎng)存在安全隱患的技術(shù)問題。
在一種可選的實施例中,上述電力信息網(wǎng)包括:至少一級網(wǎng)絡(luò),其中,每一級網(wǎng)絡(luò)包括外網(wǎng)和內(nèi)網(wǎng)。
具體地,在上述實施例中,按照電力系統(tǒng)的機構(gòu)設(shè)置,電力信息網(wǎng)包括國網(wǎng)、各省級、各地市級、各縣級及以下等多個級別,每一級電力信息網(wǎng)都包括外網(wǎng)和內(nèi)網(wǎng)(也稱生產(chǎn)網(wǎng)),作為一種可選的實施方式,可以按照現(xiàn)有電力系統(tǒng)的等級劃分,針對每一級電力信息網(wǎng)的外網(wǎng)和內(nèi)網(wǎng)分別進(jìn)行網(wǎng)絡(luò)安全域劃分。
基于上述實施例,如圖2所示,步驟s102,將電力信息網(wǎng)劃分為至少一個網(wǎng)絡(luò)安全域,可以包括如下至少之一:
步驟s102a,將每一級網(wǎng)絡(luò)的外網(wǎng)劃分為如下至少之一:互聯(lián)網(wǎng)接入域、外網(wǎng)訪問域和安全管理域;
步驟s102b,將每一級網(wǎng)絡(luò)的內(nèi)網(wǎng)劃分為如下至少之一:廣域網(wǎng)接入域、安全管理域和服務(wù)器域。
具體地,在上述步驟中,將國網(wǎng)、各省級、各地市級、各縣級及以下中的每一級電力信息網(wǎng)的外網(wǎng)劃分為互聯(lián)網(wǎng)接入域、外網(wǎng)訪問域和安全管理域,將國網(wǎng)、各省級、各地市級、各縣級及以下中的每一級電力信息網(wǎng)的內(nèi)網(wǎng)劃分為廣域網(wǎng)接入域、安全管理域和服務(wù)器域。
需要說明的是,上述步驟s102a和s102b的順序可以互換。
此處需要說明的是,在將電力信息網(wǎng)的每一級網(wǎng)絡(luò)的外網(wǎng)和內(nèi)網(wǎng)分別劃分為多個網(wǎng)絡(luò)安全域后,可以在省級、地市級、縣級網(wǎng)絡(luò)的區(qū)域邊界,采用邊界訪問控制技術(shù),對安全域之間的進(jìn)出數(shù)據(jù)流進(jìn)行網(wǎng)絡(luò)層的基礎(chǔ)訪問控制。網(wǎng)絡(luò)訪問控制的具體技術(shù)措施為如下的一到多種:①通過安全網(wǎng)關(guān)設(shè)備或網(wǎng)絡(luò)設(shè)備劃分vlan進(jìn)行邏輯隔離;②通過防火墻等邊界訪問設(shè)備進(jìn)行邏輯隔離;③通過安全隔離網(wǎng)閘等設(shè)備進(jìn)行物理隔離。
實施例2
根據(jù)本發(fā)明實施例,提供了一種電力信息網(wǎng)的安全防護系統(tǒng)實施例。
圖3是根據(jù)本發(fā)明實施例的一種電力信息網(wǎng)的安全防護系統(tǒng)示意圖,如圖3所示,該系統(tǒng)包括:多個電力設(shè)備11和至少一個網(wǎng)絡(luò)隔離設(shè)備12。
多個電力設(shè)備11,其中,多個電力設(shè)備構(gòu)成電力信息網(wǎng);
至少一個網(wǎng)絡(luò)隔離設(shè)備12,與電力設(shè)備連接,用于將電力信息網(wǎng)劃分為至少一個網(wǎng)絡(luò)安全域,并執(zhí)行如下至少一種功能:網(wǎng)絡(luò)訪問控制、數(shù)據(jù)傳輸限制、安全檢測、病毒阻斷、流量清洗、網(wǎng)絡(luò)恢復(fù),其中,網(wǎng)絡(luò)安全域為電力信息網(wǎng)中具有相同安全防護需求的子網(wǎng)絡(luò)。
具體地,上述電力信息網(wǎng)包括但不限于各省級、各地市級、各縣級供電局或供電所的信息網(wǎng)絡(luò);上述網(wǎng)絡(luò)安全域(或稱網(wǎng)絡(luò)安全區(qū))可以為將電力信息網(wǎng)按照不同的安全防護需求劃分的多個子網(wǎng)絡(luò);上述網(wǎng)絡(luò)隔離設(shè)備可以用于在各個網(wǎng)絡(luò)安全域之間執(zhí)行如下至少一種功能:網(wǎng)絡(luò)訪問控制、數(shù)據(jù)傳輸限制、安全檢測、病毒阻斷、流量清洗、網(wǎng)絡(luò)恢復(fù),該網(wǎng)絡(luò)隔離設(shè)備包括但不限于防火墻、vpn、ids、ips、病毒過濾網(wǎng)關(guān)等安全設(shè)備。
由上可知,在本申請上述實施例中,通過部署至少一個網(wǎng)絡(luò)隔離設(shè)備,將由多個電力設(shè)備構(gòu)成的電力信息網(wǎng)(例如,各省級、各地市級、各縣級供電局或供電所的信息網(wǎng)絡(luò))按照不同安全防護需求劃分為多個網(wǎng)絡(luò)安全域,容易注意的是,該網(wǎng)絡(luò)隔離設(shè)備可以實現(xiàn)各個網(wǎng)絡(luò)安全域之間訪問控制、數(shù)據(jù)傳輸限制、安全檢測、病毒阻斷、流量清洗、網(wǎng)絡(luò)恢復(fù)等功能,達(dá)到了根據(jù)電力信息網(wǎng)的不同的安全防護需求建立不同的安全防護機制的目的,從而實現(xiàn)了提高電力信息網(wǎng)的安全性并降低安全防護成本的技術(shù)效果,進(jìn)而解決了現(xiàn)有的電力信息網(wǎng)由于沒有完善的網(wǎng)絡(luò)安全保障體系架構(gòu)導(dǎo)致電力信息網(wǎng)存在安全隱患的技術(shù)問題。
在一種可選的實施例中,上述電力信息網(wǎng)包括:至少一級網(wǎng)絡(luò),其中,每一級網(wǎng)絡(luò)包括外網(wǎng)和內(nèi)網(wǎng)。
具體地,在上述實施例中,按照電力系統(tǒng)的機構(gòu)設(shè)置,電力信息網(wǎng)包括國網(wǎng)、各省級、各地市級、各縣級及以下等多個級別,每一級電力信息網(wǎng)都包括外網(wǎng)和內(nèi)網(wǎng)(也稱生產(chǎn)網(wǎng)),作為一種可選的實施方式,可以按照現(xiàn)有電力系統(tǒng)的等級劃分,針對每一級電力信息網(wǎng)的外網(wǎng)和內(nèi)網(wǎng)分別進(jìn)行網(wǎng)絡(luò)安全域劃分。
作為一種可選的實施例,上述網(wǎng)絡(luò)隔離設(shè)備用于將每一級網(wǎng)絡(luò)的外網(wǎng)劃分為如下至少之一:互聯(lián)網(wǎng)接入域、外網(wǎng)訪問域和安全管理域。
具體地,在上述實施例中,通過在國網(wǎng)、各省級、各地市級、各縣級及以下中的每一級電力信息網(wǎng)的外網(wǎng)部署多個網(wǎng)絡(luò)隔離設(shè)備,可以將國網(wǎng)、各省級、各地市級、各縣級及以下中的每一級電力信息網(wǎng)的外網(wǎng)劃分為互聯(lián)網(wǎng)接入域、外網(wǎng)訪問域和安全管理域。
作為一種可選的實施例,上述網(wǎng)絡(luò)隔離設(shè)備用于將每一級網(wǎng)絡(luò)的內(nèi)網(wǎng)劃分為如下至少之一:廣域網(wǎng)接入域、安全管理域和服務(wù)器域。
具體地,在上述實施例中,通過在國網(wǎng)、各省級、各地市級、各縣級及以下中的每一級電力信息網(wǎng)的內(nèi)網(wǎng)部署多個網(wǎng)絡(luò)隔離設(shè)備,可以將國網(wǎng)、各省級、各地市級、各縣級及以下中的每一級電力信息網(wǎng)的內(nèi)網(wǎng)劃分為廣域網(wǎng)接入域、安全管理域和服務(wù)器域。
作為一種優(yōu)選的實施例,在每一級電力信息網(wǎng)的外網(wǎng)和內(nèi)網(wǎng)界采用獨立的防火墻設(shè)備、入侵防御(ips)或入侵檢測設(shè)備(ids)等設(shè)備進(jìn)行網(wǎng)絡(luò)層訪問控制及應(yīng)用層惡意流量清洗,具體地,以x省為例,在省級互聯(lián)網(wǎng)邊界,采用雙機、雙鏈路冗余架構(gòu)部署,采用nat模式,以便屏蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu);在防火墻的內(nèi)側(cè)依次透明部署ips設(shè)備、防病毒網(wǎng)關(guān)設(shè)備;這些設(shè)備均采用雙機熱備的高可用性部署方式,一臺設(shè)備宕機后,本側(cè)的流量會自動切換到另一側(cè);在省級內(nèi)網(wǎng)網(wǎng)絡(luò)邊界,采用雙機、雙鏈路冗余架構(gòu)部署,可以采用透明模式或nat模式;在防火墻的內(nèi)側(cè)透明部署ips設(shè)備;這些設(shè)備均采用雙機熱備的高可用性部署方式,一臺設(shè)備宕機后,本側(cè)的流量會自動切換到另一側(cè);在地市級外網(wǎng)網(wǎng)絡(luò)邊界:部署模式可以采用透明模式或nat模式,在防火墻的內(nèi)測地市級核心交換機上部署入侵檢測設(shè)備(ids),在地市級外網(wǎng)網(wǎng)絡(luò)邊界對進(jìn),出數(shù)據(jù)流進(jìn)行實時檢測和監(jiān)控,發(fā)現(xiàn)入侵行為,并及時進(jìn)行報警或人工阻斷;地市級生產(chǎn)網(wǎng)網(wǎng)絡(luò)邊界:采用雙機、雙鏈路冗余架構(gòu)部署,可以采用透明模式或nat模式,在防火墻的內(nèi)測地市級核心交換機上部署入侵檢測設(shè)備(ids),在地市級外網(wǎng)網(wǎng)絡(luò)邊界對進(jìn)出數(shù)據(jù)流進(jìn)行實時檢測和監(jiān)控,發(fā)現(xiàn)入侵行為,并及時進(jìn)行報警或人工阻斷;這些設(shè)備均采用雙機熱備的高可用性部署方式,一臺設(shè)備宕機后,本側(cè)的流量會自動切換到另一側(cè);縣級外網(wǎng)網(wǎng)絡(luò)邊界:部署模式可以采用透明模式或nat模式,以便屏蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu),根據(jù)業(yè)務(wù)需求和經(jīng)費預(yù)算,需要在核心交換機上部署入侵檢測設(shè)備(ids),保障縣級網(wǎng)絡(luò)的穩(wěn)定性和安全性??h級生產(chǎn)網(wǎng)網(wǎng)絡(luò)邊界:部署模式可以采用透明模式或nat模式,以便屏蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu),根據(jù)業(yè)務(wù)需求和經(jīng)費預(yù)算,需要在核心交換機上部署入侵檢測設(shè)備(ids),保障縣級生產(chǎn)網(wǎng)絡(luò)的穩(wěn)定性和安全性。
在一種可選的實施例中,上述網(wǎng)絡(luò)隔離設(shè)備采用雙機、雙鏈路冗余架構(gòu)部署于網(wǎng)絡(luò)安全域之間。
通過上述實施例,采用雙機、雙鏈路冗余架構(gòu),可以保證其中一條鏈路通信中斷的情況線,可以采用另一條鏈路進(jìn)行通信。
在一種可選的實施例中,上述網(wǎng)絡(luò)隔離設(shè)備包括如下至少之一:入侵防御設(shè)備、入侵檢測設(shè)備、防火墻、網(wǎng)關(guān)、網(wǎng)閘。
具體地,在上述實施例中,在省級、地市級外網(wǎng)、內(nèi)網(wǎng)(生產(chǎn)網(wǎng))部署入侵防御設(shè)備(ips)或入侵檢測設(shè)備(ids)等,可以對應(yīng)用層惡意流量檢測和預(yù)警,并結(jié)合人工阻斷;在省級、地市級、縣級外網(wǎng)、生產(chǎn)網(wǎng)網(wǎng)絡(luò)邊界處采用獨立的防火墻設(shè)備進(jìn)行網(wǎng)絡(luò)層訪問控制,通過vlan或核心交換機自帶防火墻模塊進(jìn)行小安全域邊界的網(wǎng)絡(luò)訪問控制,可以實現(xiàn)網(wǎng)絡(luò)分域分級管理,層層把控,在小范圍內(nèi)嚴(yán)控安全事件的擴大和蔓延。可選地,上述網(wǎng)關(guān)可以是防病毒網(wǎng)關(guān),在網(wǎng)關(guān)層面進(jìn)行病毒檢測與阻斷。在工控系統(tǒng)的區(qū)域邊界采用網(wǎng)閘來進(jìn)行訪問控制,由于網(wǎng)閘可以在硬件上實現(xiàn)了接近于物理隔離的效果,采用網(wǎng)閘使得各個網(wǎng)絡(luò)安全域的硬件相互獨立,最大限度地降低此邊界的安全風(fēng)險。
在一種可選的實施例中,如圖4所示,上述系統(tǒng)還包括:堡壘機13,與網(wǎng)絡(luò)隔離設(shè)備連接,用于運維認(rèn)證授權(quán)管理。
具體地,在上述實施例中,在省級、地市級外網(wǎng)和內(nèi)網(wǎng)的安全管理域分別部署堡壘機,通過堡壘機實現(xiàn)集帳號管理、授權(quán)管理、認(rèn)證管理和綜合審計于一體,加強應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備、主機系統(tǒng)的統(tǒng)一管控,有效地保障支撐系統(tǒng)安全可靠地運行。
在一種可選的實施例中,如圖4所示,上述系統(tǒng)還包括:上網(wǎng)行為管理設(shè)備14,與網(wǎng)絡(luò)隔離設(shè)備連接,用于用戶上網(wǎng)行為管控、網(wǎng)絡(luò)帶寬管理和數(shù)據(jù)流量審計。
具體地,在上述實施例中,上網(wǎng)行為管理設(shè)備14部署于省級、地市級外網(wǎng)互聯(lián)網(wǎng)域,即在互聯(lián)網(wǎng)出口處部署用戶行為管理設(shè)備,可以對公司用戶的上網(wǎng)行為、進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)量進(jìn)行嚴(yán)格管控??蛇x地,可以采用雙機雙鏈路冗余結(jié)構(gòu)。需要說明的是,通過部署上網(wǎng)行為管理系統(tǒng),可以實現(xiàn)以下功能:
(1)用戶管理,用戶是上網(wǎng)行為管理產(chǎn)品的基本要素,任何的行為管理策略都是以用戶為核心。因此,對于用戶的識別、認(rèn)證與管理成了行為管理的前提要素,同時也決定了行為管理的效果。上網(wǎng)行為管理產(chǎn)品通過不斷地深入實踐與研發(fā),提供了靈活而全面的用戶管理方式,很好的滿足了廣大企業(yè)對用戶管理的需求。
(2)網(wǎng)絡(luò)流量識別,上網(wǎng)行為管理設(shè)備以dpi(deeppacketinspect,深度包檢測)技術(shù)為核心,結(jié)合基于報文內(nèi)容及基于行為特征的技術(shù),實現(xiàn)網(wǎng)絡(luò)中應(yīng)用的自動識別和智能分類。上網(wǎng)行為管理設(shè)備可以探測和跟蹤動態(tài)端口分配,通過比對協(xié)議的特征庫,能夠識別變動端口的流量,并能夠?qū)κ褂猛欢丝诘牟煌瑓f(xié)議進(jìn)行自動識識別。
(3)帶寬資源管理,通過專業(yè)的帶寬管理和分配算法,上網(wǎng)行為管理設(shè)備提供流量優(yōu)先級、最大帶寬限制、保障帶寬、預(yù)留帶寬、以及隨機公平隊列等一系列的應(yīng)用優(yōu)化和帶寬管理控制功能。
(4)基于時間管理,上網(wǎng)行為管理設(shè)備支持自定義時間對象,實現(xiàn)針對時間段進(jìn)行帶寬分配和上網(wǎng)行為的管理。比如,上班時間要對關(guān)鍵業(yè)務(wù)和重要人員的帶寬進(jìn)行保障,對p2p等非關(guān)鍵業(yè)務(wù)進(jìn)行嚴(yán)格控制;下班時間可以對p2p、網(wǎng)絡(luò)電視等業(yè)務(wù)給與適當(dāng)寬松的流量。
(5)上網(wǎng)行為管理,用于限制門戶網(wǎng)站、社區(qū)論壇、交友網(wǎng)站、博客等娛樂網(wǎng)頁的訪問,提高企業(yè)內(nèi)部公司員工的工作效率。
一種可選的實施例中,上網(wǎng)行為管理設(shè)備14還可以對經(jīng)過鏈路的數(shù)據(jù)流進(jìn)行安全審計,并實時記錄審計日志,在出現(xiàn)網(wǎng)絡(luò)安全事件后可以查詢審計日志,為網(wǎng)絡(luò)管理員判斷事件原因,解決問題提供解決方案。
在一種可選的實施例中,如圖4所示,上述系統(tǒng)還包括:安全運營中心服務(wù)器15,與網(wǎng)絡(luò)隔離設(shè)備連接,用于對電力信息網(wǎng)中的安全設(shè)備、網(wǎng)絡(luò)設(shè)備的日志進(jìn)行收集。
具體地,在上述實施例中,在內(nèi)網(wǎng)安全管理域內(nèi)部署安全運營中心服務(wù)器(soc),統(tǒng)一管理和配置安全設(shè)備,收集和分析安全設(shè)備日志,監(jiān)控安全管理設(shè)備狀態(tài),可以提升設(shè)備安全管理水平和效率,配合管理和服務(wù)層級的提升。
需要說明的是,作為安全管理運營中心的技術(shù)運維平臺,現(xiàn)有技術(shù)主要依據(jù)iso/iec27000信息安全標(biāo)準(zhǔn),結(jié)合安全服務(wù)的最佳實踐,以資產(chǎn)管理為基礎(chǔ),以風(fēng)險管理為核心,以事件管理為主線,通過深度數(shù)據(jù)挖掘、事件關(guān)聯(lián)等技術(shù),輔以有效的網(wǎng)絡(luò)管理與監(jiān)視、安全報警響應(yīng)、工單處理等功能,對企業(yè)內(nèi)部各類安全事件進(jìn)行集中管理和智能分析,最終實現(xiàn)對企業(yè)全風(fēng)險態(tài)勢的統(tǒng)一監(jiān)控分析和預(yù)警處理。通過部署安全運營管理平臺,可以實現(xiàn)以下功能:
(1)統(tǒng)一資產(chǎn)與風(fēng)險管理,通過對關(guān)鍵資產(chǎn)的實時監(jiān)控,以及對資產(chǎn)所產(chǎn)生的事件進(jìn)行風(fēng)險分析和處理,從而維護企業(yè)中各種資產(chǎn)的安全性。通過各種資產(chǎn)視圖可以查看資產(chǎn)的軟件硬件信息、漏洞補丁列表,通過查看該資產(chǎn)的最新的掃描報告可以了解最新的漏洞信息。同時,資產(chǎn)管理支持導(dǎo)入導(dǎo)出功能。
(2)統(tǒng)一的網(wǎng)絡(luò)與安全管理平臺,網(wǎng)絡(luò)管理與安全管理無縫集成,為用戶提供統(tǒng)一管理平臺,有效降低客戶總體擁有成本(tco)。系統(tǒng)支持全面的拓?fù)涔芾?,包括自動的拓?fù)浒l(fā)現(xiàn)、網(wǎng)元狀態(tài)監(jiān)控、網(wǎng)元維護、集成的風(fēng)險與事件展現(xiàn)界面。同時支持多級管理,可對大規(guī)模的分層系統(tǒng)進(jìn)行統(tǒng)一的管理。
(3)統(tǒng)一事件處理與策略管理,綜合運用事件歸一化與歸并技術(shù)、實時關(guān)聯(lián)分析技術(shù)、專家決策系統(tǒng)等不同層面的技術(shù)方案,為用戶提供了一個集成化的威脅與風(fēng)險識別的平臺。事件歸一化與歸并技術(shù)可將用戶的海量數(shù)據(jù)大幅縮減,為進(jìn)一步的數(shù)據(jù)挖掘做準(zhǔn)備;基于狀態(tài)機的實時關(guān)聯(lián)檢測技術(shù)通過使用狀態(tài)機來抽象和描述攻擊的過程與場景,狀態(tài)機間的狀態(tài)轉(zhuǎn)換的條件由不同安全事件觸發(fā),可有效地幫助用戶準(zhǔn)確、實時地進(jìn)行高精度威脅識別,并通過專家決策系統(tǒng)選擇優(yōu)化的解決方案。
(3)全方位的信息監(jiān)控,滿足用戶多元化的監(jiān)控需求,提供基于事件、性能、狀態(tài)、安全等方面的對設(shè)備、服務(wù)的健康性觀察。不同的用戶可以擁有自定義的個性化儀表盤;配置方便,布局靈活,可根據(jù)需要方便地增加、刪除和修改儀表盤上的儀表,并可所見即所得地排布儀表;展現(xiàn)方式多樣,每個儀表都可支持表格、指示燈、圖形、樹型等展示方式。
在一種可選的實施例中,在各省級、地市級、縣級外網(wǎng)的互聯(lián)網(wǎng)域的邊界部署web應(yīng)用防火墻,實現(xiàn)對sql注入、跨站腳本、csrf(偽造跨站請求)等攻擊進(jìn)行全方位的防護,確保外網(wǎng)網(wǎng)站或與互聯(lián)網(wǎng)有關(guān)聯(lián)業(yè)務(wù)的web業(yè)務(wù)系統(tǒng)免遭攻擊或盜鏈所造成的損失;waf需配置一個管理口(需配置ip),用來遠(yuǎn)程管理設(shè)備;網(wǎng)頁防篡改軟件需要在web服務(wù)器安裝代理客戶端,同時,部署服務(wù)器用來部署服務(wù)器端并存儲備份網(wǎng)站程序、網(wǎng)頁水印庫等數(shù)據(jù),以便于在網(wǎng)頁被篡改后能夠及時恢復(fù)。
作為一種可選的實施例,上述系統(tǒng)還可以包括:網(wǎng)絡(luò)設(shè)備管理服務(wù)器,用于對交換機、路由器、防火墻、服務(wù)器、鏈路等的全方位管理,并提供了豐富的拓?fù)?、設(shè)備配置、故障告警、性能、安全、報表等it網(wǎng)絡(luò)管理功能。通過部署網(wǎng)絡(luò)管理系統(tǒng),可以實現(xiàn)如下功能:
(1)全自動拓?fù)浒l(fā)現(xiàn)技術(shù),自動搜索網(wǎng)絡(luò)、發(fā)現(xiàn)網(wǎng)絡(luò)節(jié)點,包括:網(wǎng)絡(luò)設(shè)備、服務(wù)器、非網(wǎng)管設(shè)備的發(fā)現(xiàn)、pc主機等,并基于網(wǎng)絡(luò)的二層連接關(guān)系構(gòu)建物理拓?fù)洹?/p>
(2)故障智能預(yù)測與分析,通過實時的網(wǎng)絡(luò)運行監(jiān)測,系統(tǒng)可智能分析和預(yù)測潛在故障,并根據(jù)告警程度的不同發(fā)送警報。
(3)支持分布式管理,支持多用戶,多角色,it運維人員,決策人員,不同角色有不同權(quán)限,不同區(qū)域級別也有不同權(quán)限。
(4)多維度監(jiān)控,支持從路由、設(shè)備、終端、流量、故障等方面多角度、細(xì)顆粒度地監(jiān)控、管理整個it網(wǎng)絡(luò)。
(5)配置變更告警及比對,對用戶端交換機定期進(jìn)行配置備份并支持配置檢查工作,可根據(jù)配置模板自動進(jìn)行配置比對,并以告警方式提供報告。
(6)支持多操作平臺,支持包括windows、linux、solaris等主流操作平臺。
根據(jù)本發(fā)明實施例的另一方面,還提供了一種電力信息系統(tǒng),包括上述任意一項可選的或優(yōu)選的電力信息網(wǎng)的安全防護系統(tǒng)。
實施例3
根據(jù)本發(fā)明實施例,還提供了一種用于實現(xiàn)上述電力信息網(wǎng)的安全防護方法的裝置實施例,圖5是根據(jù)本發(fā)明實施例的一種電力信息網(wǎng)的安全防護裝置示意圖,如圖5所示,該裝置包括:劃分單元501和部署單元503。
其中,劃分單元501,用于將電力信息網(wǎng)劃分為至少一個網(wǎng)絡(luò)安全域,其中,網(wǎng)絡(luò)安全域為電力信息網(wǎng)中具有相同安全防護需求的子網(wǎng)絡(luò);
部署單元503,用于在網(wǎng)絡(luò)安全域之間部署網(wǎng)絡(luò)隔離設(shè)備,其中,網(wǎng)絡(luò)隔離設(shè)備用于執(zhí)行如下至少一種功能:網(wǎng)絡(luò)訪問控制、數(shù)據(jù)傳輸限制、安全檢測、病毒阻斷、流量清洗、網(wǎng)絡(luò)恢復(fù)。
由上可知,在本申請上述實施例中,通過劃分單元501按照不同安全防護需求,將各省級、各地市級、各縣級供電局或供電所的信息網(wǎng)絡(luò)劃分為多個網(wǎng)絡(luò)安全域,并通過部署單元503在各個網(wǎng)絡(luò)安全域之間部署網(wǎng)絡(luò)隔離設(shè)備,容易注意的是,該網(wǎng)絡(luò)隔離設(shè)備可以實現(xiàn)各個網(wǎng)絡(luò)安全域之間訪問控制、數(shù)據(jù)傳輸限制、安全檢測、病毒阻斷、流量清洗、網(wǎng)絡(luò)恢復(fù)等功能,達(dá)到了根據(jù)電力信息網(wǎng)的不同的安全防護需求建立不同的安全防護機制的目的,從而實現(xiàn)了提高電力信息網(wǎng)的安全性并降低安全防護成本的技術(shù)效果,進(jìn)而解決了現(xiàn)有的電力信息網(wǎng)由于沒有完善的網(wǎng)絡(luò)安全保障體系架構(gòu)導(dǎo)致電力信息網(wǎng)存在安全隱患的技術(shù)問題。
在一種可選的實施例中,上述電力信息網(wǎng)包括:至少一級網(wǎng)絡(luò),其中,每一級網(wǎng)絡(luò)包括外網(wǎng)和內(nèi)網(wǎng)。
在一種可選的實施例中,上述劃分單元501包括:第一劃分模塊,用于將每一級網(wǎng)絡(luò)的外網(wǎng)劃分為如下至少之一:互聯(lián)網(wǎng)接入域、外網(wǎng)訪問域和安全管理域;第二劃分模塊,用于將每一級網(wǎng)絡(luò)的內(nèi)網(wǎng)劃分為如下至少之一:廣域網(wǎng)接入域、安全管理域和服務(wù)器域。
實施例4
根據(jù)本發(fā)明實施例,還提供了一種存儲介質(zhì),存儲介質(zhì)包括存儲的程序,其中,程序執(zhí)行實施例1中任意一項可選的或優(yōu)選的電力信息網(wǎng)的安全防護方法。
實施例5
根據(jù)本發(fā)明實施例,還提供了一種處理器,其特征在于,處理器用于運行程序,其中,程序運行時執(zhí)行實施例1中任意一項可選的或優(yōu)選的電力信息網(wǎng)的安全防護方法。
上述本發(fā)明實施例序號僅僅為了描述,不代表實施例的優(yōu)劣。
在本發(fā)明的上述實施例中,對各個實施例的描述都各有側(cè)重,某個實施例中沒有詳述的部分,可以參見其他實施例的相關(guān)描述。
在本申請所提供的幾個實施例中,應(yīng)該理解到,所揭露的技術(shù)內(nèi)容,可通過其它的方式實現(xiàn)。其中,以上所描述的裝置實施例僅僅是示意性的,例如所述單元的劃分,可以為一種邏輯功能劃分,實際實現(xiàn)時可以有另外的劃分方式,例如多個單元或組件可以結(jié)合或者可以集成到另一個系統(tǒng),或一些特征可以忽略,或不執(zhí)行。另一點,所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過一些接口,單元或模塊的間接耦合或通信連接,可以是電性或其它的形式。
所述作為分離部件說明的單元可以是或者也可以不是物理上分開的,作為單元顯示的部件可以是或者也可以不是物理單元,即可以位于一個地方,或者也可以分布到多個單元上。可以根據(jù)實際的需要選擇其中的部分或者全部單元來實現(xiàn)本實施例方案的目的。
另外,在本發(fā)明各個實施例中的各功能單元可以集成在一個處理單元中,也可以是各個單元單獨物理存在,也可以兩個或兩個以上單元集成在一個單元中。上述集成的單元既可以采用硬件的形式實現(xiàn),也可以采用軟件功能單元的形式實現(xiàn)。
所述集成的單元如果以軟件功能單元的形式實現(xiàn)并作為獨立的產(chǎn)品銷售或使用時,可以存儲在一個計算機可讀取存儲介質(zhì)中?;谶@樣的理解,本發(fā)明的技術(shù)方案本質(zhì)上或者說對現(xiàn)有技術(shù)做出貢獻(xiàn)的部分或者該技術(shù)方案的全部或部分可以以軟件產(chǎn)品的形式體現(xiàn)出來,該計算機軟件產(chǎn)品存儲在一個存儲介質(zhì)中,包括若干指令用以使得一臺計算機設(shè)備(可為個人計算機、服務(wù)器或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個實施例所述方法的全部或部分步驟。而前述的存儲介質(zhì)包括:u盤、只讀存儲器(rom,read-onlymemory)、隨機存取存儲器(ram,randomaccessmemory)、移動硬盤、磁碟或者光盤等各種可以存儲程序代碼的介質(zhì)。
以上所述僅是本發(fā)明的優(yōu)選實施方式,應(yīng)當(dāng)指出,對于本技術(shù)領(lǐng)域的普通技術(shù)人員來說,在不脫離本發(fā)明原理的前提下,還可以做出若干改進(jìn)和潤飾,這些改進(jìn)和潤飾也應(yīng)視為本發(fā)明的保護范圍。