電力信息安全工程技術

三大支柱

2005年電力信息化高級論壇

電力信息安全工程技術三大支柱

一、問題的提出二、信息安全示范工程簡介三、信息安全工程技術三大支柱四、電力信息安全監管平臺系統五、結論與建議一、問題的提出

1、信息安全一電力系統安全一國家安全

2、信息技術高速發展，信息網絡規模快速擴展，信息化迫切要求，系統不能適應信息化應用需要

3、信息安全產品、系統沒有統一規范和標準，我國沒有符合要求成功范例

4、沒有建立信息安全管理體系、技術體系、評估及評測體系

5、信息安全投資浪費，資源不能充分利用

6、信息安全示范工程，電力企業信息安全如何開展二、遼寧電力信息安全示范工程簡介-立項

2000年8月，電力系統信息安全示范工程可行性研討。

2001年2月，項目可行性研究報告，通過了國家電力公司組織的評審。

2001年7月，“國家電力公司科學技術項目合同”上報國家電力公司。

2002年1月，由國家科技部、國家商用密碼辦公室領導和專家12人專家組對省公司進行實地調研和考察。

2002年4月，在北京召開了國家電力信息安全技術研討會，“電力系統信息安全示范工程”主要研究內容；關鍵技術及創新點；項目實施的技術路線；項目設立7個專題：示范工程分年度計劃。

2002年7月，國家科技部正式下達“十五”國家重大科技攻關項目-《國家信息安全應用示范工程》（中央和國家機關、上海S219、電力系統信息安全示范工程)試點項目《遼寧電力系統信息安全示范工程》

二、遼寧電力信息安全示范工程簡介-計劃

項目計劃步驟：

1、調查研究和探討、學習和培訓

2、信息安全策略、標準、方法、模型、工程框架的確定

3、信息網絡系統安全風險評估

4、導出安全需求，安全目標的確定

5、信息安全工程方案設計與進度規劃

6、組織信息安全工程實施、運行與維護

7、信息安全工程評審與驗收

8、信息安全工程持續改進二、遼寧電力信息安全示范工程簡介-實施

1、調查研究和探討、學習和培訓深入信息安全企業、產品廠商調查研究和探討，先后查閱大量信息安全標準和文件。翻譯國際標準全文或相關部分7冊、26篇（91.8萬字)，其中：技術標準13篇、管理標準7篇、工程標準5篇。編制設計方案和實施方案19冊、46篇（75.86萬字)。組織學習和培訓，并選派11名同志參加英國標準協會BS7799EssentialCourse和國家信息安全專業人員（CISP)認證培訓。

2、依靠行業自身的技術力量，進行安全風險評估

2002年8-11月，安全風險評估，完成了管理策略和技術策略訪談、相關策略文檔審核、網絡和主機設備的脆弱性掃描及配置檢查、業務系統評估、黑客攻擊測試等工作。在管理方面，加強安全組織建設，加強信息系統安全運行管理；在技術方面，加強鑒別和認證機制，加強訪問控制，制定保護內容安全的措施，建立審計機制，加強安全事件響應能力等。二、遼寧電力信息安全示范工程簡介-實施

3、信息網絡基礎平臺優化整合—

解決系統配置問題

4、信息網絡基礎平臺結構優化—

分區控制“4點法”

5、信息系統應用基礎平臺優化整合—

集中統一和分級的用戶信息管理，建立全省目錄、代理、域名、電子郵件、信息發布、企業門戶、視頻會議等信息系統應用基礎平臺。

6、建立網絡及信息安全防御體系建立了全省統一管理的數據備份系統（兩個省級中心），實現在本地、異地的數據備份功能；全省的統一管理的防火墻、入侵檢測、漏洞掃描和防病毒系統等安全防護體系；

7、遼寧電力網絡信息安全監視及管理平臺，在線監視及管理信息網絡系統運行狀況；遼寧電力系統信息安全實驗室，企業應用安全產品的選型，人員培訓，做好應急措施和恢復方案等系統信息安全提供持續、全面的技術服務。二、遼寧電力信息安全示范工程簡介-實施

8、建立了遼寧電力PKI-CA認證系統在省公司建立一個KM（密鑰管理）中心、CA（證書認證）中心、RA（注冊審核）中心和分發中心（信息發布），基于證書的應用系統改造。

9、信息安全環境基礎設施建設

PKI-CA認證中心達到國家C級安全標準，空調、門禁、完整的消防系統，溫度和濕度數字監控系統，對所有通道和主要房間進行實時監控，確保無監控死角，重點部位的在線安全視頻監視系統的建設。

10、建立了遼寧電力系統信息安全總體框架，信息安全管理體系，信息安全技術體系，信息安全風險評估及評測體系。

11、形成工程組織管理、技術文檔6類73篇175萬字，發表論文13篇，其中:國家級刊物6篇.培養博士2名，碩士4名。

12、獲得2004年國家電力公司科技進步一等獎，中國電力科技進步二等獎，省公司科技進步特等獎。

三、信息安全工程技術三大支柱

網絡及信息安全，一般通常稱為信息安全

從廣義來說，凡是涉及到網絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網絡及信息安全的研究領域。

從安全策略體系來說，安全技術標準規范和操作流程、應用程序層、業務系統層和數據層的管理制度和標準，主要業務系統的安全配置標準和制度，業務連續性管理計劃，法律的符合性是保證電力系統信息安全的基礎，

從信息安全技術來說，構建電力系統信息安全技術三大支柱。基本內容包括：網絡及信息安全防御體系一解決網絡安全問題；身份認證與授權管理體系（PKI/PMI）一解決信息交換與共享安全問題；數據備份及災難恢復體系一解決數據備份、存儲與恢復安全問題。三、信息安全工程技術三大支柱—網絡防御

網絡及信息安全防護體系—解決網絡安全問題

主動防御技術：一般有數據加密、安全掃描、網絡管理、網絡流量分析和虛擬網絡等技術

1、網絡安全性漏洞掃描-通過對網絡的掃描，可以了解網絡的安全配置和運行的應用服務，及時發現安全漏洞，，客觀評估網絡風險等級。

2、網絡管理技術-通過提供集成化視圖來管理支持業務程序的IT系統，并視業務政策和目標的變化進行動態調整，能夠根據其監視或檢測到的情況實施管理活動。

3、網絡流量分析-提供了用戶上網行為分析、異常流量實時監測、歷史流量分析報表到流量趨勢預警等功能，可以通過日報、周報、月報的標準報表、對照報表、趨勢分析報表等多種格式報告流量分析結果。

三、信息安全工程技術三大支柱—網絡防御

4、帶寬管理-可以控制網絡表現，使之與應用程序的特點、業務運作的要求以及用戶的需求相適應,然后，提供驗證結果。

5、VLAN-把網絡上的用戶(終端設備)劃分為若干個邏輯工作組,每個邏輯工作組就是一個VLAN。可以靈活地劃分VLAN,增加或刪除VLAN成員，不必重新改變設備的物理連接。

6、VPN-采用加密和認證技術,利用公共通信網絡設施的一部分來發送專用信息,為相互通信的節點建立起一個相對封閉的、邏輯的專用網絡。

7、數據加密技術-具有信息加密功能,而且具有數字簽名、身份驗證、秘密分存、系統安全等功能。可以保證信息的機密性,而且可以保證信息的完整性和確證性,防止信息被篡改、偽造或假冒。

三、信息安全工程技術三大支柱—網絡防御

被動防御技術-防火墻技術、防病毒技術、入侵檢測技術、路由過濾、審計與監測等技術。

1、防火墻技術-設置在兩個或多個網絡之間的安全阻隔，用于保證本地網絡資源的安全。

2、防病毒技術-防病毒系統通過設定防病毒升級服務器進行防病毒組內的服務器端及客戶端的病毒代碼更新，搜集防病毒服務器的運行日志。3、入侵檢測技術-通過從計算機網絡和系統的若干關鍵點收集信息并對其進行分析,從中發現網絡或系統中是否有違反安全策略的行為或遭到入侵的跡象,并依據既定的策略采取一定的措施的技術。

4、路由過濾技術-路由器中的過濾器對所接收的每一個數據包根據包過濾規則做出允許或拒絕的決定。

5、審計與監測-對涉及計算機系統安全保密的操作進行完整的記錄，能有效地追查事件發生的用戶、時間、地點和過程，發現弱點和入侵點。

三、信息安全工程技術三大支柱—網絡防御

電力的性質決定了電力企業是網絡型的電力生產、經營和管理型企業，信息交換頻繁，要求安全可靠、方便快捷、實時性強。網絡信息安全防御體系的設計應遵循以下原則：

1）、網絡安全環境綜合治理原則；

2）、網絡結構優化先行原則；

3）、網絡及信息安全防護網絡化原則；

4）、集中管理與分級控制原則；

5）、與安全策略和管理體系協調一致原則；

6）、統一領導、統一規劃、統一標準、分級組織實施原則。。三、信息安全工程技術三大支柱—網絡防御2002年信息網絡基礎平臺優化整合三、信息安全工程技術三大支柱—網絡防御2003-2004年信息網絡基礎平臺結構優化三、信息安全工程技術三大支柱—網絡防御遼寧電力信息網絡基礎應用平臺生產數據庫綜合查詢數據庫信息安全數據庫其它數據庫綜合管理數據庫數據中心EmailInternetPortal遼寧電力信息廣域網瀏覽器客戶機瀏覽器瀏覽器瀏覽器客戶機客戶機客戶機電力物資住房改革機關管理外事管理人力資源發展規劃住房改革多種經營農電管理工程管理紀律檢查工會管理學會協會綜合查詢其它系統審計管理電力營銷計劃管理財務管理社會保險生產管理科技信息調度管理安全監察LdapPKI-CAOADNSV-meetingProxy瀏覽器瀏覽器瀏覽器2003-2004年信息系統應用基礎平臺優化整合三、信息安全工程技術三大支柱—信息安全

身份認證與授權管理體系（PKI/PMI）一解決信息交換與共享安全問題；

1、PKI-CA(PublicKeyInfrastructure)公鑰基礎設施

PKI體系是計算機軟硬件、權威機構及應用系統的結合，用來實現電子證書的注冊、簽發、證書發布、密鑰管理和在線證書狀態查詢等功能，被稱為公鑰基礎設施。CA（CertificateAuthority）證書授權中心，CA作為電子證務中受信任的第三方，承擔公鑰體系中公鑰的合法性檢驗的責任。CA中心為每個使用公開密鑰的用戶發放一個數字證書，數字證書的作用是證明證書中列出的用戶合法擁有證書中列出的公開密鑰。CA機構的數字簽名使得攻擊者不能偽造和篡改證書。三、信息安全工程技術三大支柱—信息安全

身份認證與授權管理體系（PKI/PMI）一解決信息交換與共享安全問題；

PMI(PrivilegeManagementInfrastructure)特權管理基礎設施屬性證書、屬性權威、屬性證書庫等部件構成的綜合系統，用來實現屬性證書的產生、管理、存儲、分發和撤銷等功能，被稱為權限管理基礎設施。PMI使用屬性證書表示和容納權限信息，通過管理證書的生命周期實現對權限生命周期的管理。屬性證書的申請，簽發，發布，注銷，驗證過程對應著傳統的權限申請，產生，存儲，撤消和使用的過程。三、信息安全工程技術三大支柱—信息安全

身份認證與授權管理體系（PKI/PMI）一解決信息交換與共享安全問題；

PKI和PMI關系：

PKI和PMI之間的主要區別在于：PMI主要進行授權管理，證明這個用戶有什么權限，能干什么，即“你能做什么”；PKI主要進行身份鑒別，證明用戶身份，即“你是誰”。它們之間的關系類似于護照和簽證的關系。護照是身份證明，唯一標識個人信息，只有持有護照才能證明你是一個合法的人。簽證具有屬性類別，持有哪一類別的簽證才能在該國家進行哪一類的活動。三、信息安全工程技術三大支柱—信息安全2003年遼寧電力PKI-CA認證系統三、信息安全工程技術三大支柱—信息安全2004年三、信息安全工程技術三大支柱—信息安全2004年三、信息安全工程技術三大支柱—信息安全PKI-CA認證系統機房布局與結線圖三、信息安全工程技術三大支柱—數據安全

數據備份及災難恢復體系一解決數據備份、存儲與恢復安全問題。

1、在省中央數據備份中心和沈陽數據備份中心構造SAN，采用LAN-Free備份方式，和其他地市數據中心采用LAN-Base備份方式。既可以滿足遼寧電力近階段數據備份的要求，又利于備份系統以后全部平滑過渡到LAN-Free備份結構。

2、省級數據備份中心和各地市數據中心備份系統設計不同。省中心作為全局備份的核心，一方面實現對省中心應用數據的備份，另一方面，也要實現與沈陽數據中心互為100%備份，達到異地災難備份的目的。除此以外，省中心還要實現對其它地市數據中心關鍵數據的遠程備份。

三、信息安全工程技術三大支柱—數據安全

數據備份及災難恢復體系一解決數據備份、存儲與恢復安全問題。

3、在各地市數據中心，沈陽數據中心與省中心互為災備中心，除了備份本身的數據外，還要實現與省中心互為100%備份，因此數據量很大，也存在保證海量數據備份的性能問題。而其它市數據中心僅需要備份或歸檔本市數據中心的數據，數據量相對較小，采用網絡備份系統可以減少系統復雜度、降低成本。

4、省級備份中心和各地市數據中心備份系統采用集中管理與分級控制相結合，按省公司統一管理與控制策略，完成數據備份與災備工作。三、信息安全工程技術三大支柱廣域網STK180帶庫FCFC存儲備份管理存儲備份管理光纖存域網局域網局域網STKL80帶庫STKL80帶庫STKL80帶庫基層單位光纖存域網10GB波分STK180帶庫FAStT700陣列柜遼寧電力中央數據備份中心遼寧電力沈陽數據備份中心2003-2004年遼寧電力信息網數據備份系統

四、遼寧電力網絡信息安全監管平臺系統

為什么要建立網絡信息安全監管平臺及系統

1、信息網絡配置了大量的安全產品，如防火墻、入侵監測、防病毒系統、PKI-CA證書系統等。

2、管理策略的有效實施是保證電力網絡信息安全的基礎。實踐經驗表明：60-70%取決于管理策略的有效實施，30-40%取決于信息技術。

3、技術復雜、發展速度快、培訓學習跟不上。

4、涉及面廣、需求多變人員少