前言：本站為你精心整理了電力行業(yè)信息安全網(wǎng)絡構(gòu)建原則范文，希望能為你的創(chuàng)作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

在國家和行業(yè)幾個紅頭文件下發(fā)之后，電力企業(yè)的信息化建設和規(guī)劃正在緊鑼密鼓進行，雙網(wǎng)隔離早已成為電力企業(yè)信息安全的必修課。雙網(wǎng)隔離技術(shù)在一定程度上解決了電力企業(yè)信息化建設的困境，滿足了當前安全需要。通過雙網(wǎng)隔離這樣的辦法，盡量減少互聯(lián)互通，減少接觸面，杜絕多出口多互連所帶來的業(yè)務是否需要上網(wǎng)界定不清無法控制問題，而且互聯(lián)互通程度越高，對人員、管理、運維要求也越高。今天，日趨完善的網(wǎng)絡隔離產(chǎn)品已成為網(wǎng)絡信息安全體系中不可缺少的重要環(huán)節(jié)，是防范非法入侵、阻擋網(wǎng)絡攻擊、防止內(nèi)部信息泄密的一種簡單而有效的手段。安全隔離網(wǎng)閘是采用雙主機+物理隔離開關(guān)的硬件結(jié)構(gòu)，結(jié)合高強度的網(wǎng)絡協(xié)議分析和控制的軟件系統(tǒng)，共同構(gòu)建一個在網(wǎng)絡邊界處隔離網(wǎng)絡已知和未知攻擊行為的高端網(wǎng)絡安全設備。簡單的說，安全隔離網(wǎng)閘是一套雙主機系統(tǒng)，兩個主機之間是永遠斷開的，以達到物理隔離的目的，雙主機之間的信息交換是通過借助拷貝、鏡像、反射等第三方非網(wǎng)絡方式來完成的。當數(shù)據(jù)需要從外網(wǎng)下載到內(nèi)網(wǎng)，或者和內(nèi)網(wǎng)通訊時，安全隔離網(wǎng)閘在內(nèi)外網(wǎng)之間扮演著一種類似“信息渡船”的角色。信息技術(shù)是動態(tài)發(fā)展的，“道高一尺，魔高一丈”，安全不是絕對化的。作者所在企業(yè)的雙網(wǎng)隔離方案是集團本部和分公司分別部署安全隔離網(wǎng)閘，三級單位及電廠的內(nèi)外網(wǎng)實現(xiàn)完全的物理隔離。每個三級單位及電廠均有專線通道到分公司，每個分公司又有專線通道到集團本部構(gòu)成整個集團內(nèi)網(wǎng)，大集中方式部署在集團內(nèi)網(wǎng)的應用系統(tǒng)正常情況下均通過集團安全隔離網(wǎng)閘實現(xiàn)內(nèi)外網(wǎng)安全訪問和數(shù)據(jù)擺渡，分公司部署的應用系統(tǒng)均從分公司安全隔離網(wǎng)閘實現(xiàn)內(nèi)外網(wǎng)安全訪問和數(shù)據(jù)擺渡，三級單位原則上不允許部署單獨的應用系統(tǒng)，現(xiàn)有系統(tǒng)將逐步集中到分公司層面，三級單位及電廠嚴禁內(nèi)外網(wǎng)互聯(lián)互通。這樣就形成了兩個網(wǎng)絡，雙網(wǎng)（內(nèi)外網(wǎng)）共存，內(nèi)網(wǎng)作為集團企業(yè)內(nèi)部各業(yè)務應用系統(tǒng)信息網(wǎng)絡基礎平臺，外網(wǎng)各單位分別與Internet國際互聯(lián)網(wǎng)互連。其實作者認為外網(wǎng)也同樣應該減少局域網(wǎng)與互聯(lián)網(wǎng)的互聯(lián)互通，因為人員編制等原因，實際上各單位的信息網(wǎng)絡管理和維護水平和領導重視程度都不一樣，參差不齊。

分區(qū)分域防護原則

劃分安全域是構(gòu)建企業(yè)信息安全網(wǎng)絡的基礎，提高抗擊風險能力，提高可靠性和可維護性。內(nèi)網(wǎng)具體劃分為網(wǎng)絡核心區(qū)域、各業(yè)務應用服務器區(qū)域、桌面辦公區(qū)域、廣域網(wǎng)接入?yún)^(qū)域、測試服務器區(qū)域、集中管控服務器區(qū)域和與外網(wǎng)安全隔離區(qū)域。網(wǎng)絡核心區(qū)域是企業(yè)信息安全網(wǎng)絡的心臟，它負責全網(wǎng)的路由交換以及和不同區(qū)域的邊界防護。這個區(qū)域一般包括核心交換設備、核心防火墻以及主動防攻擊和流量控制設備等。各業(yè)務應用服務器區(qū)域是內(nèi)部各應用管理系統(tǒng)所在區(qū)域，包括企業(yè)門戶、辦公自動化、電子商務、HR人力資源系統(tǒng)、財務一體化、營銷、生產(chǎn)管理、ERP等內(nèi)部管理信息系統(tǒng)。桌面辦公區(qū)域包括接入交換機和員工桌面終端。廣域網(wǎng)接入?yún)^(qū)域包含由公司總部到集團總部乃至各所屬機構(gòu)的專線安全設備以及交換路由設備，是公司總部至各單位的通信命脈。測試服務器區(qū)域是供系統(tǒng)開發(fā)人員所訪問的未上線的開發(fā)系統(tǒng)所在區(qū)域。集中管控服務器區(qū)域是內(nèi)網(wǎng)輔助類服務器區(qū)域，這個區(qū)域一般包括DNS、DHCP、防病毒、桌面管理系統(tǒng)、網(wǎng)管系統(tǒng)、IT運維管理平臺和安全運維管理平臺SOC等。內(nèi)外網(wǎng)安全隔離區(qū)域是用于內(nèi)網(wǎng)與外網(wǎng)擺渡的區(qū)域，是內(nèi)網(wǎng)與外網(wǎng)通信的唯一出口，其主要設備是安全隔離網(wǎng)閘。各安全域的信息系統(tǒng)之間邊界鮮明，為安全防護體系設計和層層遞進、逐級深入的安全防護策略提供了必要條件。網(wǎng)絡核心區(qū)域是整體信息網(wǎng)絡的核心，所有其他區(qū)域均經(jīng)過核心區(qū)域進行交互，這個區(qū)域理所當然地成為各個區(qū)域的安全邊界。以核心服務器區(qū)域為例，它和網(wǎng)絡核心區(qū)域中間部署安全設備，對過往的流量起到控制作用，以達到安全防護。再以廣域網(wǎng)接入?yún)^(qū)域為例，它和網(wǎng)絡核心區(qū)域中間部署安全設備和主動防攻擊設備，達到更高層級的防護。分區(qū)域防護的設置，將降低外界對信息系統(tǒng)的物理攻擊和網(wǎng)絡攻擊的危害性，以確保內(nèi)部各網(wǎng)絡應用系統(tǒng)的安全。外網(wǎng)具體可劃分為網(wǎng)絡核心區(qū)域、服務器區(qū)域、桌面辦公區(qū)域、DMZ區(qū)域、與內(nèi)網(wǎng)安全隔離區(qū)域和與Internet國際互聯(lián)網(wǎng)接入?yún)^(qū)域。外網(wǎng)的服務器區(qū)域類似內(nèi)網(wǎng)的輔助類服務器區(qū)域。與內(nèi)網(wǎng)交互的安全隔離區(qū)域包括安全堡壘機系統(tǒng)、認證系統(tǒng)、SSLVPN系統(tǒng)。DMZ區(qū)域是提供給互聯(lián)網(wǎng)用戶訪問的系統(tǒng)，主要包括WWW、Email、外部DNS等服務器，DMZ區(qū)域的服務器禁止訪問其他區(qū)域，避免來自互聯(lián)網(wǎng)用戶攻擊或控制DMZ區(qū)服務器后影響或威脅其他區(qū)域。拓撲結(jié)構(gòu)如下圖：

應用虛擬化接入原則

雙網(wǎng)隔離方案的建設極大提高了內(nèi)部網(wǎng)絡的信息安全水平，卻又面臨一個新的問題，內(nèi)外網(wǎng)之間信息安全交互受到制約，保密性（Confidentiality）和可用性（Availabili-ty）矛盾日益凸出。一方面隨著雙網(wǎng)建設的不斷深入和推進，對信息系統(tǒng)的安全性要求越來越高；另一方面隨著公司信息化建設的不斷深入，投入的業(yè)務系統(tǒng)不斷增加，用戶業(yè)務快速發(fā)展，商務出行及會議等逐漸增多，導致公司員工無法遵循業(yè)務要求的標準化，流程化，及時地處理文件，從而使整個業(yè)務停滯不前，同時隨著集團雙網(wǎng)改造和建設的不斷深入和推進，原有VPN移動辦公解決方案從安全和性能上都已經(jīng)不能滿足要求，限制了信息系統(tǒng)的效益，阻礙了業(yè)務的處理。移動辦公也面臨著諸多方面的挑戰(zhàn)，今天的信息安全已經(jīng)從最初的網(wǎng)絡安全逐漸向應用安全、數(shù)據(jù)安全和系統(tǒng)安全的全面安全體系發(fā)展，從基礎安全向細粒度的高階安全發(fā)展。雙網(wǎng)改造后，如何在安全的前提下實現(xiàn)內(nèi)外網(wǎng)數(shù)據(jù)的交互和便捷的移動辦公應用？如何對員工的訪問進行有效地控制，實現(xiàn)便捷高效訪問被授權(quán)資源？如何防止內(nèi)部人員泄密或其他未授權(quán)人員直接接入內(nèi)部網(wǎng)絡導致的泄密等？作者所在企業(yè)選擇了經(jīng)過公安部、電監(jiān)會、國家信息中心等權(quán)威部門的論證和充分的調(diào)研可行的立體解決方案，采用虛擬化技術(shù)的安全堡壘平臺和SSLVPN設備，使用數(shù)字證書或UKEY登錄，徹底解決了雙網(wǎng)環(huán)境下跨網(wǎng)訪問、移動辦公的難題。安全堡壘平臺將應用虛擬化技術(shù)應用于信息安全領域，將應用100％在服務器運行，沒有任何應用組件運行于客戶端環(huán)境，以虛擬的方式與客戶端交互，實現(xiàn)一種新型的數(shù)據(jù)不落地的傳輸模式。虛擬化技術(shù)分離應用的表現(xiàn)與計算，實現(xiàn)虛擬應用交互、本地化應用體驗，客戶端與服務器之間只傳遞鍵盤、鼠標和熒屏變化等交互信息，沒有實際的業(yè)務數(shù)據(jù)流到客戶端，客戶端看到的只是服務器上應用運行的顯示鏡像。安全堡壘平臺的整體安全體系，包括事前安全策略規(guī)劃、事中安全訪問控制和事后安全審計三個層次，可以實現(xiàn)多級的用戶管理和細粒度的用戶授權(quán)，可以完成對用戶整個生命周期的監(jiān)控和管理，制定統(tǒng)一的、標準的用戶賬戶安全策略，捆綁具體用戶，對用戶、行為和資源進行授權(quán)，以達到對權(quán)限的細粒度控制，最大限度保護用戶資源的安全?？梢杂涗浐筒樵冇脩艉螘r、多長時間、從哪里訪問、訪問設備的信息等。還可以通過對用戶訪問的行為全程錄制，實現(xiàn)事后的審計與追溯。訪問控制策略是保護系統(tǒng)安全性的重要環(huán)節(jié)，制定良好的訪問策略能夠更好的提高系統(tǒng)的安全性。最終用戶通過訪問SSLVPN設備，手機和平板電腦通過數(shù)字證書，筆記本電腦通過UKEY與安全堡壘平臺建立虛擬的專用VPN隧道加密，從而實現(xiàn)了4A（認證Authentication、賬號Account、授權(quán)Authorization、審計Au-dit）的安全標準。

積極管控原則

隨著信息技術(shù)的快速發(fā)展，信息化建設的不斷提高，各種應用系統(tǒng)逐漸上線運行，各種業(yè)務也開始在網(wǎng)絡上開展起來，有些應用已經(jīng)是在整個集團正常運行，同時網(wǎng)絡的擴展也為病毒和木馬的傳播提供了便利的條件，各種極具破壞性的病毒在網(wǎng)絡中流竄，使網(wǎng)絡擁堵不堪，甚至癱瘓，也給一些不法分子和敵對國家獲取企業(yè)和國家機密信息和重要數(shù)據(jù)等信息提供了便利，所以健全的網(wǎng)絡建設和管理機制對維護企業(yè)和國家利益都有著重要意義，一旦網(wǎng)絡癱瘓或信息泄密，后果將不堪設想。因此信息安全的建設并沒有隨著雙網(wǎng)建設、分區(qū)防御的建設和應用虛擬化移動辦公接入的建設而結(jié)束，反而對整體信息網(wǎng)絡的安全防護和監(jiān)督控制提出了更高的要求，必須要加強對信息安全的管理和控制，提高信息安全意識。作者所在企業(yè)的信息網(wǎng)絡基礎平臺關(guān)鍵設備和鏈路通常采取雙機雙鏈路方式部署，實現(xiàn)負載均衡和單點失效保護，利用可管理交換機、路由器、防火墻、防毒墻、上網(wǎng)行為管理、安全隔離網(wǎng)閘、堡壘機、統(tǒng)一認證平臺、SSLVPN、IPS、IDS、WAF等網(wǎng)絡產(chǎn)品構(gòu)建安全高效的信息網(wǎng)絡基礎架構(gòu)平臺，在設備選型時盡可能考慮廠家異構(gòu)和產(chǎn)品異構(gòu)，安全設備必須是國產(chǎn)自主知識產(chǎn)權(quán)產(chǎn)品，盡可能的規(guī)避由于產(chǎn)品和設備選型帶來的安全風險。通過部署網(wǎng)管系統(tǒng)、IT運維管理平臺和安全運維管理平臺SOC，既滿足了信息安全運維管理的需要，同時也能滿足國資委信息化檢查和數(shù)據(jù)收集報送的需要。采取細分VLAN來減少網(wǎng)絡病毒影響的范圍，防止類似ARP泛洪攻擊，利用DHCP服務器綁定MAC地址方法管理客戶端IP地址，使用桌面安全管理系統(tǒng)有效管理和控制客戶端，包括安全接入控制、安全策略管理、U盤等移動存儲管理、資產(chǎn)管理、軟件分發(fā)、補丁管理、員工行為等管理。網(wǎng)絡管理人員在上述系統(tǒng)的輔助下及時對實時運行的網(wǎng)絡進行分析和管控，預判故障和攻擊行為，實行主動防御、及時處理，將這些對智能電網(wǎng)建設和運行中可能發(fā)生的不安全因素，消滅在萌芽狀態(tài)之中。

隨著企業(yè)網(wǎng)絡建設規(guī)模的不斷擴大及上網(wǎng)人員用戶的增加，不可避免帶來泄密隱患。企業(yè)必須正視現(xiàn)實，處理好安全與應用方便性之間的關(guān)系，提高認識，高度重視信息網(wǎng)絡安全問題。對于因特網(wǎng)的弊端，不能矯枉過正，不能因為因特網(wǎng)對企業(yè)信息安全形成了巨大威脅，就強制要求所有單位和用戶斷開與因特網(wǎng)的連接，這樣無異于“因噎廢食”。在當前“雙網(wǎng)隔離”不失為一種有效的解決方案，然后通過安全分區(qū)域防護，部署相應安全產(chǎn)品和系統(tǒng)保證各業(yè)務應用系統(tǒng)和各種客戶端在授權(quán)模式下，都能安全訪問所需業(yè)務并實現(xiàn)事后追蹤審計。當然雙網(wǎng)隔離的應用不但沒有降低對管理的要求，反而帶來新的管理問題，對管理要求日漸提升。我們要以“三分技術(shù)、七分管理”作為信息安全管理基本原則，其中最重要的還是人，我們不要太崇拜技術(shù)，人的安全意識提高才是最重要的，現(xiàn)在很多信息網(wǎng)絡基礎平臺建設很全面，安全制度制定得也很完善，但在執(zhí)行過程中，常常被打破，被忽視，現(xiàn)在其實缺乏的不是技術(shù)，很多時候欠缺的是一個完善的體系化的管理機制。

作者：李正忠單位：云南華能瀾滄江水電有限公司