电力系统SifoWorks解决方案

电力系统电力系统电力系统电力系统SifoWorks解决方案解决方案解决方案解决方案凹凸科技凹凸科技凹凸科技凹凸科技2008-02电力系统SifoWorks解决方案北京凹凸科技，随着电力市场化以及电网建设的进一步发展，传统的电力系统业务正在发生变化，对电力信息化的需求日益增强。最初的OA系统应用分散于大型项目部或是机关等单位，引进MIS系统以及一些项目管理软件后，信息化应用基本涵盖了公司的各项管理。所以对网络建设的要求也提升到了更高的层次。如今，电力系统信息对信息化的要求越来越高。对数据的即时性、准确性有了更高的要求。各种管理信息如财务、收费、电力营销、生产管理等应用系统在电力行业日常业务中扮演了越来越重要的角色。各级电力公司普遍建立了自己的内部网络，基本实现了办公网络化，但是由于地域上的距离和网络发展的不平衡性，网络之间缺少互联互通，各网络的信息系统不能共享，造成网络的割裂和信息的孤岛。随着电力市场化的深入推行，各级机构之间需要传递的数据量大大增加，对数据的实时性要求也越来越高，在电力系统的骨干网络上主要采用了专线的方式来实现国家－省－市间电力系统的互联互通，但是对于数量巨大的市－县－乡的网络传输需求来说，昂贵的专线方案将给电力系统带来巨大的运营成本，而电话拨号网络又存在着速度慢、容量小、安全性差的弱点，电力行业迫切需要一种可靠、安全、性价比高的网络传输方案。近年来，VPN以其可以利用公网资源，建立安全、可靠、经济、高效的传输链路的特点引起了人们的广泛注意。在VPN技术的支持电力系统SifoWorks解决方案北京凹凸科技，位于不同地区的电力部门只需分别联入当地的Internet，就可以组成一个高效统一的虚拟专用网络。本方案的目的是通过SifoWorks防火墙与VPN方式防范来自互联网的针对各信息系统的各种形式的恶意破坏和攻击。并防止通过外部边界发起的攻击和侵入；防止未授权用户访问系统、非法获取信息及执行非法操作。为电力行业提供了一种高安全、高性能、高稳定性的VPN解决方案。云南省电力系统为了实现各地市区县电表的远程抄写，分公司与总公司之间的数据交换，决定通过多台防火墙的IPSecVPN功能实现，同时通过各地市区县防火墙的部署及安全策略的制订，有效的解决了云南省电力网络的内外网数据交互的安全问题，保障了电力业务正常的运行。电力网络系统面临的主要安全风险
来自来自来自来自外网的攻击行为外网的攻击行为外网的攻击行为外网的攻击行为：：：：主要包括：外部攻击者通过拦截／篡改（Intercept／Alter）、欺骗（Spoof）、伪装（Masquerade）、窃听（DataConfidentiality）、拒绝服务攻击（DenialofService）等黑客手段篡改办公网网页，使ＷＥＢ服务器拒绝正常连接请求，盗用用户账号密码，窃取企业机密信息或数据，破坏企业核心数据资源，甚至使整个企业网络系统瘫痪，等等；
来自内网的来自内网的来自内网的来自内网的攻击行为攻击行为攻击行为攻击行为：：：：电力系统SifoWorks解决方案北京凹凸科技，通过互联网下载影视、文件、程序等，造成主机感染病毒，使企业内部网络同时面临与外网攻击行为类似的网络风险；
其他其他其他其他：：：：主要是来自外网的大量垃圾邮件充斥服务器，包括色情信息以及广告性质的邮件大量占用邮件服务器资源，并可能含带病毒，带来潜在危险；内网用户未经授权使用计算机或网络资源，非法冒用ＩＰ地址，访问不健康网站……等等事件让网络存在更多的风险。电力安全方案设计原则根据网络现状和需求，VPN技术设计的目标为：VPN网络建成以后，公司本部和各分支机构之间应该能够通过Internet方便快捷地互访；这种访问应该保证足够的安全；保证VPN网络中关键节点的可靠性；VPN网络便于管理和维护；网络具有可扩展性。为了实现以上设计目标，本VPN技术方案遵循以下设计原则：符合国家相关法律规定。需求、风险、代价平衡分析的原则：对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定系统的安全策略。综合性、整体性原则：运用系统工程的观点、方法，分析网络的安全问题，并制定具体措施。一致性原则：网络安全问题应与整个网络的工作周期同时存在，制定的安全体系结构必须与网络的安全需求相一致。电力系统SifoWorks解决方案北京凹凸科技：措施过于复杂，对人的要求过高，本身就降低了安全性。适应性、灵活性原则：能随着网络性能及安全需求的变化而变化，要容易适应、容易修改。多重保护原则：建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其它层保护仍可保护信息的安全。冗余性原则。为了网络具有较好的可扩展性，需要考虑VPN设备的处理能力有一定的冗余，以便将来网络设备或链路扩充时仍能满足要求。设备整体部署方案如图所示，在总部的SifoWorks防火墙作为总部的VPN网关。这台VPN网关需要分别配置公网IP和私网IP，并通过VPN设备配置界面电力系统SifoWorks解决方案北京凹凸科技。同时在防火墙上设定相应的访问规则，保证在有效的控制下，业务的正常运行。安全性分析VPN网络通讯安全是至关重要的1）首先VPN应对于来自外部的攻击在VPN网络中，由于网络内部主机采用私有IP地址配置方案，从因特网上的攻击者无法获得内部主机地址，而且即使攻击者通过某种途径获得内部主机的IP地址信息，由于私有IP地址在因特网上不能进行路由，所以也不能从因特网对其直接进行访问。在VPN网络组网技术选择上，通过（如PPTP或L2TP）两种Windows自带的VPN拨号程序，可以通过快捷的方式建立应用客户端程序，安全的建立起加密隧道，进行数据传输。对非法窃听和非法篡改信息的攻击手段可以起到一定的防范效果；同时在分公司和总部之间采用强加密、认证手段的VPN技术（如IPSEC），可以提高网络间数据交换的安全性。2）其次来自内部的攻击从网络结构上分析，VPN内部网络用户的攻击类似于来自局域网内部的攻击。要防范此类攻击需要网络管理人员谨慎配置VPN隧道通讯关系，同时可以通过设置防火墙的访问控制规则来进一步限制远程VPN用户访问本地网络资源的权限。电力系统SifoWorks解决方案北京凹凸科技://www.o2security.com为了进一步确保整个网络系统安全稳定运行，建议在总部和各分支机构部署安全增强方案，具体方案如下：1）IP地址空间划分局域网内只使用私有地址，不同部门用不同网段，内部网络可以进一步划分VLAN，并通过内部路由器进行转发，这样容易实现内部人员访问权限控制。公网地址全部配置在DMZ区和公共区，使访问控制变得易于实现和控制。2）安全区域和网络边界原则上将公共服务器放在防火墙DMZ区,将私有和敏感信息置于防火墙安全区；从安全性的角度界定，DMZ区是不安全的网络区域，安全区是相对安全的内部网络区域，DMZ区是在安全区和公共区之间构建的一个网络防护区；从数据流向上控制只能允许以下的网络访问：业务数据都通过防火墙进入DMZ区或内网LAN一般的Internet用户只能访问DMZ区内网LAN通过防火墙访问Internet内网LAN不同网段之间的访问，也需经FW控制或内部路由器转发来实现本解决方案的主要特点健壮性：VPN设备内置安全操作系统，由专用芯片处理，具有良好的自身安全性；适应性：能很好适应系统网络结构的调整和发展；标准化：与国际标准IPSec的实现可互通互联；电力系统SifoWorks解决方案北京凹凸科技：安装、维护简单快速，可随时进行而不影响正常业务；整体性：可同时提供网络安全访问控制、传输加密、节点认证、用户认证及安全审计功能。公司总部VPN网关支持固定IP，各分支机构的VPN网关支持动态IP。低成本：可帮助企业以Internet为骨干网组建自己的私有网络。高速率：现有的宽带接入和ADSL上网提供的上网速率一般都远远大于DDN和MODEM的速度。安全性高：采用证书认证及非对称加密的方式保护密钥的交换，加密算法可靠性高。可实现网状通信。无缝的支持网络NAT穿越。