1、 根據對電力局電力排程通訊中心的網路需求分析,建議對其網路拓撲做適當調整,主要是根據安全需求和安全等級的不同劃分不同的安全域,同時新增適當的安全產品。具體調整如下:
1) 以省電力排程通訊中心計算機網路為中心,將與其連線的Internet、電力資訊上級網等定義為網路。將省電力排程通訊中心計算機區域網定義為內網。
2) 由於存在對外提供服務的對外伺服器,而這些伺服器同時提供對內和對外的訪問服務,在安全等級劃分中,他們的安全等級高於網路而低於內網,並且存在較多的安全隱患,故應將其單獨劃分成一個安全域——DMZ區,即停火區。
3) 由於省電力排程通訊中心區域網中有一部分機器與核心業務網EMS之間有資訊互動,建議將這一部分機器單獨劃分出來,組成單獨的排程MIS。從安全性角度和易管理性方面考慮,可以選擇部分機器專職完成排程MIS工作。
4) 核心業務系統EMS是重中之重,是整個網路中安全等級最高的區域,應在不改變其結構的條件下,做重點防護。
5) 對於省局網和電力資訊下級網,從狹義的角度上講,也可將其視為網路的一部分,在此,我們主要考慮它們與排程中心之間的安全隔離,以及它們相互之間不要透過排程通訊中心的連線,把安全隱患帶到彼此的網路。
總的來講,可將整個網路劃分成EMS、排程MIS、公共MIS、對外伺服器網路(DMZ區)、省局網、電力資訊下級網、電力資訊上級網、Internet等八個部分,它們的安全等級各不相同,應採用相應的安全裝置將其劃分成不同的安全域。
2、 對於電力局電力排程通訊中心區域網安全保護的基本措施,是採用防火牆進行訪問控制。關於這一措施應該從兩個層次進行考慮,即對於區域網與外部網之間的訪問控制和內部網中各個安全域之間的訪問控制。
1) 省電力排程中心區域網與電力資訊上級網、Internet之間的訪問控制
在路由器後面安裝防火牆(速通防火牆 1)來實現對省電力排程中心區域網的安全保護,利用防火牆的過濾功能來實現它與電力上級網、Internet之間相互訪問控制。
2) 省電力排程中心區域網與省局網、電力下級網之間的訪問控制
在路由器後面安裝防火牆(速通防火牆 2)來實現對省電力排程中心區域網的安全保護,利用防火牆的過濾功能來實現它與省局網、電力下級網之間相互訪問控制。同時速通防火牆自帶的認證功能,可以實現內部使用者認證,同時可以結合使用者原有的域使用者認證或者radius認證,實現使用者級的訪問控制。
3)EMS與省電力排程中心區域網之間的訪問控制
在EMS與省電力排程中心區域網之間安裝防火牆(速通防火牆 3)來實現對EMS的安全保護,利用防火牆的過濾功能來實現EMS與省電力排程中心區域網之間相互訪問控制,防止將省電力排程中心區域網的安全問題帶到EMS中,實現對EMS的重點防護。在這裡,可利用防火牆的多埠結構,將排程MIS和公共MIS分開。
3、 入侵檢測和病毒防護。速通防火牆自帶的入侵檢測功能採用了基於模式匹配的入侵檢測系統,超越了傳統防火牆中的基於統計異常的入侵檢測功能,實現了可擴充套件的攻擊檢測庫,真正實現了抵禦目前已知的各種攻擊方法,並透過升級入侵檢測庫的方法,不斷抵禦新的攻擊方法。速通防火牆的入侵檢測模組,可以自動檢測網路資料流中潛在的入侵、攻擊和濫用方式,並防火牆模組實現聯動,自動調整控制規則,為整個網路提供動態的網路保護。速通防火牆入侵檢測模組中包含了對網路上傳輸病毒和蠕蟲的檢測,可以在計算機病毒和蠕蟲傳輸到宿主機之前檢測出來,在閘道器上防止網路病毒的傳播,防患於未然。真正實現了少花錢多辦事的效果。對於網路內部的病毒防護建議使用網路防病毒軟體進行整體防護。
4、 資料備份與恢復技術:利用備份系統可以快速地全盤恢復執行計算機系統所需的資料和系統資訊。根據系統安全需求可選擇的備份機制有:場點內高速度、大容量的自動資料儲存、備份與恢復;場點外的資料儲存、備份與恢復;對系統裝置的備份。備份不僅在網路系統硬體故障或人為失誤時起到保護作用,也在入侵者非授權訪問或對網路攻擊及破壞資料完整性時起到保護作用,同時亦是系統災難恢復的前提之一。
1、 根據對電力局電力排程通訊中心的網路需求分析,建議對其網路拓撲做適當調整,主要是根據安全需求和安全等級的不同劃分不同的安全域,同時新增適當的安全產品。具體調整如下:
1) 以省電力排程通訊中心計算機網路為中心,將與其連線的Internet、電力資訊上級網等定義為網路。將省電力排程通訊中心計算機區域網定義為內網。
2) 由於存在對外提供服務的對外伺服器,而這些伺服器同時提供對內和對外的訪問服務,在安全等級劃分中,他們的安全等級高於網路而低於內網,並且存在較多的安全隱患,故應將其單獨劃分成一個安全域——DMZ區,即停火區。
3) 由於省電力排程通訊中心區域網中有一部分機器與核心業務網EMS之間有資訊互動,建議將這一部分機器單獨劃分出來,組成單獨的排程MIS。從安全性角度和易管理性方面考慮,可以選擇部分機器專職完成排程MIS工作。
4) 核心業務系統EMS是重中之重,是整個網路中安全等級最高的區域,應在不改變其結構的條件下,做重點防護。
5) 對於省局網和電力資訊下級網,從狹義的角度上講,也可將其視為網路的一部分,在此,我們主要考慮它們與排程中心之間的安全隔離,以及它們相互之間不要透過排程通訊中心的連線,把安全隱患帶到彼此的網路。
總的來講,可將整個網路劃分成EMS、排程MIS、公共MIS、對外伺服器網路(DMZ區)、省局網、電力資訊下級網、電力資訊上級網、Internet等八個部分,它們的安全等級各不相同,應採用相應的安全裝置將其劃分成不同的安全域。
2、 對於電力局電力排程通訊中心區域網安全保護的基本措施,是採用防火牆進行訪問控制。關於這一措施應該從兩個層次進行考慮,即對於區域網與外部網之間的訪問控制和內部網中各個安全域之間的訪問控制。
1) 省電力排程中心區域網與電力資訊上級網、Internet之間的訪問控制
在路由器後面安裝防火牆(速通防火牆 1)來實現對省電力排程中心區域網的安全保護,利用防火牆的過濾功能來實現它與電力上級網、Internet之間相互訪問控制。
2) 省電力排程中心區域網與省局網、電力下級網之間的訪問控制
在路由器後面安裝防火牆(速通防火牆 2)來實現對省電力排程中心區域網的安全保護,利用防火牆的過濾功能來實現它與省局網、電力下級網之間相互訪問控制。同時速通防火牆自帶的認證功能,可以實現內部使用者認證,同時可以結合使用者原有的域使用者認證或者radius認證,實現使用者級的訪問控制。
3)EMS與省電力排程中心區域網之間的訪問控制
在EMS與省電力排程中心區域網之間安裝防火牆(速通防火牆 3)來實現對EMS的安全保護,利用防火牆的過濾功能來實現EMS與省電力排程中心區域網之間相互訪問控制,防止將省電力排程中心區域網的安全問題帶到EMS中,實現對EMS的重點防護。在這裡,可利用防火牆的多埠結構,將排程MIS和公共MIS分開。
3、 入侵檢測和病毒防護。速通防火牆自帶的入侵檢測功能採用了基於模式匹配的入侵檢測系統,超越了傳統防火牆中的基於統計異常的入侵檢測功能,實現了可擴充套件的攻擊檢測庫,真正實現了抵禦目前已知的各種攻擊方法,並透過升級入侵檢測庫的方法,不斷抵禦新的攻擊方法。速通防火牆的入侵檢測模組,可以自動檢測網路資料流中潛在的入侵、攻擊和濫用方式,並防火牆模組實現聯動,自動調整控制規則,為整個網路提供動態的網路保護。速通防火牆入侵檢測模組中包含了對網路上傳輸病毒和蠕蟲的檢測,可以在計算機病毒和蠕蟲傳輸到宿主機之前檢測出來,在閘道器上防止網路病毒的傳播,防患於未然。真正實現了少花錢多辦事的效果。對於網路內部的病毒防護建議使用網路防病毒軟體進行整體防護。
4、 資料備份與恢復技術:利用備份系統可以快速地全盤恢復執行計算機系統所需的資料和系統資訊。根據系統安全需求可選擇的備份機制有:場點內高速度、大容量的自動資料儲存、備份與恢復;場點外的資料儲存、備份與恢復;對系統裝置的備份。備份不僅在網路系統硬體故障或人為失誤時起到保護作用,也在入侵者非授權訪問或對網路攻擊及破壞資料完整性時起到保護作用,同時亦是系統災難恢復的前提之一。