電力行業信息化建設網絡安全解決方案
0引言
網絡安全是一個系統的、全局的管理問題,網絡上的任何一個漏洞,都會導致全網的安全問題,我們應該用系統工程的觀點、方法,分析網絡的安全及具體措施。安全措施是技術措施、各種管理制度、行政法律手段的綜合,一個較好的安全措施往往是多種方法適當綜合的應用結果。
1電力信息網安全防護框架
根據電力企業的特點,信息安全按其業務性質一般可分為四種:一種為電網運行實時控制系統,包括電網自動發電控制系統及支持其運行的調度自動化系統,火電廠分布控制系統(DCS,BMS,DEH,CCS),水電廠計算機監控系統,變電所及集控站綜合自動化系統,電網繼電保護及安全自動裝置,電力市場技術支持系統。第二種為電力營銷系統,電量計費系統,負荷管理系統。第三種為支持企業經營、管理、運營的管理信息系統。第四種為不直接參與電力企業過程控制、生產管理的各類經營、開發、采購、銷售等多種經營公司。針對電力信息網業務的這種的層次結構,從電力信息網安全需求上進行分析,提出不同層次與安全強度的網絡信息安全防護框架即分層、分區的安全防護方案。第一是分層管理。根據電力信息網共分為四級網的方式,每一級為一層,層間使用網絡防火墻進行網絡隔離。第二是分區管理。根據電力企業信息安全的特點,分析各相關業務系統的重要程度和數據流程、目前狀況和安全要求,將電力企業信息系統分為四個安全區:實時控制區、非控制生產區、生產管理區和管理信息區。區間使用網絡物理隔離設備進行網絡隔離,對實時控制區等關鍵業務實施重點防護,并采用不同強度的安全隔離設備使各安全區中的業務系統得到有效保護。
2電力信息網安全防護技術措施
2.1網絡防火墻:防火墻是企業局域網到外網的唯一出口,這里的外網包括到不同層次的電力網、其他信息網如政府網和銀行網絡、internet,所有的訪問都將通過防火墻進行,不允許任何繞過防火墻的連接。DMZ停火區放置了企業對外提供各項服務的服務器,即能夠保證提供正常的服務,又能夠有效地保護服務器不受攻擊。要正確設置防火墻的訪問策略,遵循“缺省全部關閉,按需求開通的原則”,拒絕除明確許可外的任何服務,也即是拒絕一切未予準許的服務。與Internet連接的防火墻的訪問策略中,必須禁止Rlogin,NNTP,Finger,Gopher,RSH,NFS等危險服務,也必須禁止Telnet,SNMP,TerminalServer等遠程管理服務。
2.2物理隔離裝置:主要用于電力信息網的不同區之間的隔離。物理隔離裝置實際上是專用的防火墻,由于其不公開性,使得更難被黑客攻擊。
2.3入侵檢測系統:入侵檢測系統是專門針對黑客攻擊行為而研制的網絡安全產品。國際上先進的分布式入侵檢測構架,可最大限度地、全天候地實施監控,提供企業級的安全檢測手段。在事后分析的時候,可以清楚地界定責任人和責任事件,為網絡管理人員提供強有力的保障。入侵檢測系統采用攻擊防衛技術,具有高可靠性、高識別率、規則更新迅速等特點。系統具有強大的功能、方便友好的管理機制,可廣泛應用于電力行業各單位。所選擇的入侵檢測系統能夠有效地防止各種類型的攻擊,中心數據庫應放置在DMZ區,通過在網絡中不同的位置放置比如內網、DMZ區網絡引擎,可與中心數據庫進行通訊,獲得安全策略,存儲警報信息,并針對入侵啟動相應的動作。管理員可在網絡中的多個位置訪問網絡引擎,對入侵檢測系統進行監控和管理。
2.4網絡隱患掃描系統:網絡隱患掃描系統能夠掃描網絡范圍內的所有支持TCP/IP協議的設備,掃描的對象包括掃描多種操作系統,掃描網絡設備包括:服務器、工作站、防火墻、路由器、路由交換機等。在進行掃描時,可以從網絡中不同的位置對網絡設備進行掃描。掃描結束后生成詳細的安全評估報告,采用報表和圖形的形式對掃描結果進行分析,可以方便直觀地對用戶進行安全性能評估和檢查。
2.5網絡防病毒:為保護整個電力信息網絡免受病毒侵害,保證網絡系統中信息的可用性,應構建從主機到服務器的完善的防病毒體系。網絡防毒系統可以采用C/S模式,在網絡防毒服務器中安裝殺毒軟件服務器端程序,以服務器作為網絡的核心,通過派發的形式對整個網絡部署查、殺毒,服務器通過Internet利用LiveUpdate(在線升級)功能,從免疫中心實時獲取最新的病毒碼信息,及時更新病毒代碼庫。服務器和網絡工作站都安裝客戶端軟件,利用從服務器端獲取的病毒碼信息對本地工作站進行病毒掃描,并對發現的病毒采取相應措施進行清除。客戶端根據需要可用三種方式進行病毒掃描:實時掃描、預置掃描和人工掃描。由于病毒掃描可能帶來服務器性能上的降低,因此可采用預置掃描方式,將掃描時間設定在服務器訪問率最低的夜間。網絡工作站可根據各自需要,選擇合適的方式進行病毒掃描。客戶端采用登錄網絡自動安裝方式,確保每一臺上網的計算機都安裝并啟動病毒防火墻。同時要注意,選擇的網絡防病毒軟件應能夠適應各種系統平臺,各種數據庫平臺,各種應用軟件。例如能對電力信息網辦公自動化系統使用的LotusDomino/NOTE平臺進行查、殺毒。
2.6數據加密及傳輸安全:對與文件安全,通過文件加密、信息摘要和訪問控制等安全措施,來實現文件存儲和傳輸的保密和完整性要求,并實現對文件訪問的控制。對通信安全,采用數據加密、信息摘要和數字簽名等安全措施對通信過程中的信息進行保護,實現數據在通信中的保密、完整和不可抵賴性安全要求。對遠程接入安全,通過VPN技術,提高時的信息(如電子公文,MAIL等等)在傳輸過程中的保密性和安全性。
2.7數據備份:對于企業來說,最珍貴的不是計算機、服務器、交換機和路由器等硬件設備,而是存儲在存儲介質中的數據信息。因此對于一個信息管理系統來說,數據備份和容錯方案是必不可少的。因此必須建立集中和分散相結合的數據備份設施以及切合實際的數據備份策略。
2.8可靠安全審計:通過記錄審計信息來為信息安全問題的分析和處理提供線索。除了使用軟的密碼外,還可以使用象USBKEY等硬件的密碼認證,更可以采用二者相結合的方式。
2.9數據庫安全:通過數據存儲加密、完整性檢驗和訪問控制來保證數據庫數據的機密和完整性,并實現數據庫數據的訪問安全。
3電力信息網安全防護管理措施
技術是安全的主體,管理是安全的靈魂。只有將有效的安全管理實踐自始至終貫徹落實于信息安全當中,網絡安全的長期性和穩定性才能有所保證。
3.1人員管理,要加強信息人員的安全教育,保持信息人員特別是網絡管理人員和安全管理人員的相對穩定,防止網路機密泄露,特別是注意人員調離時的網絡機密的泄露。對網絡設備、服務器、存儲設備的操作要履行簽字許可制度和操作監護制度,杜絕誤修改和非法修改。
3.2密碼管理,對各類密碼要妥善管理,杜絕默認密碼,出廠密碼,無密碼,不要使用容易猜測的密碼。密碼要及時更新,特別是有人員調離時密碼一定要更新。
3.3技術管理,主要是指各種網絡設備,網絡安全設備的安全策略,如防火墻、物理隔離設備、入侵檢測設備、路由器的安全策略要切合實際。
3.4數據管理,數據的備份策略要合理,備份要及時,備份介質保管要安全,要注意備份介質的異地保存。
3.5加強信息設備的物理安全,注意服務器、計算機、交換機、路由器、存儲介質等設備的防火、防盜、防水、防潮、防塵、防靜電等。
3.6注意信息介質的安全管理,備份的介質要防止丟失和被盜。報廢的介質要及時清除和銷毀,特別要注意送出單位修理的設備上存儲的信息的安全。
3.7客戶端的防病毒軟件不得隨意卸載,要及時更新病毒代碼庫。
篇2:計算機網絡安全管理制度
為了加強對計算機信息網絡國際聯網的安全保護,特制定此制度。
一、任何組織或個人,不得利用計算機信息系統從事危害國家利益、集體利益和公民合法利益的活動,不得危害計算機信息系統的安全。
二、任何單位和個人不得利用國際聯網制作、復制、查閱和傳播下列信息:
(一)煽動抗拒、破壞憲法和法律、行政法規實施的;
(二)煽動顛覆國家政權,推翻社會主義制度的;
(三)煽動分裂國家、破壞國家統一的;
(四)煽動民族仇恨、民族歧視,破壞民族團結的;
(五)捏造或者歪曲事實,散布謠言,擾亂社會秩序的;
(六)宣揚封建迷信、淫穢、色情、賭博、暴力、兇殺、恐怖,教唆犯罪的;
(七)公然侮辱他人或者捏造事實誹謗他人的;
(八)損害國家機關信譽的;
(九)其他違反憲法和法律、行政法規的。
三、任何單位和個人不得從事下列危害計算機信息網絡安全的活動:
(一)未經允許,進入計算機信息網絡或者使用計算機信息網絡資源;
(二)未經允許,對計算機信息網絡功能進行刪除、修改或者增加;
(三)未經允許,對計算機信息網絡中存儲、處理或者傳輸的數據和應用程序進行刪除、修改或者增加;
(四)故意制作、傳播計算機病毒等破壞性程序;
(五)其他危害計算機信息網絡安全。
四、任何單位和個人不得違反法律規定,利用國際聯網侵犯用戶的通信自由和通信秘密。
五、主機房工作重地未經許可不能進入。
六、沒有指定管理人員的明確準許,電子數據處理中心使用的任何介質、文件材料或各種被保護口都不得帶出計算機房。磁鐵、私人的電動或電子設備、文件復印機、食品及飲料、香煙和吸煙用具等物品嚴禁帶入計算機房。
七、做好防火、防爆、防盜等安全工作,消防器材隨時處于可用狀態方便取用。電線和電器設置保持干燥,防止漏電和短路。下班要注意關好門窗和檢查水電。
篇3:計算機設備網絡安全管理制度
互聯網已經成為工作中不可缺少、便捷高效的工具,我們在享受著電腦辦公和互聯網絡帶來的速度及效率的同時,部分員工非工作上網現象也開始顯現,如工作時間看網絡電視占用了大量的網絡帶寬資源,導致全公司互聯網癱瘓,嚴重影響了需要利用互聯網與外界聯系的工作效率。
為了避免公司互聯網絡資源被濫用,提高工作效率,特制定本規范,望全公司人員能恪守規則,共同營造高效有序的網絡環境。
一、范圍
適用于所有辦公計算機及其使用人
二、上班時間段,上網及電腦操作行為規范
1、P2P軟件對網絡資源消耗極大,上班時間內嚴格禁止PPS網絡電視、酷狗音樂、QQ網絡音樂電視、BT電驢等P2P軟件的使用,為了不影響他人工作正常上網,工作時間,不得下載、上傳任何與工作無關的文件。
2、不濫用網絡資源瀏覽無關網頁、娛樂網站、購物網站、炒股及BBS、BLOG等,上班時間,禁止登錄QQ、阿里旺旺等聊天工具,如有特殊情況,需填寫計算機系統使用申請表,須由所在部門一級部門長簽字審核之后提交人力資源部人事審核通過之后交到信息化管理人員處方可開通。沒有通過申請開通者,不得私自在電腦上登錄QQ等聊天工具。
允許使用MSN、QQ等及時聊天工具的員工不利用QQ/MSN做與工作無關的閑聊,對于一切流媒體網站如:土豆網、優酷網等禁止訪問。
3、所有員工應加強網絡安全知識的學習,嚴禁故意輸入計算機病毒以及其它有害數據,危害公司網絡系統的安全,增強信息安全和保密意識,無法識別的信息不要下載,無法確定是否安全的操作,慎重進行,以防被病毒入侵對單位和自身造成危害。
4、所有上網員工禁止私自搭建個人wifi,目前個人wifi已經嚴重影響公司局域網網絡,給公司服務器和公司局域網環境帶來巨大壓力。
5、禁止利用互聯網從事國家法律法規禁止的一切活動。
6、禁止通過互聯網查看和下載國家法律法規明令禁止傳播的一切信息。
7、未經單位領導批準,禁止上網發布與單位相關的一切信息。
8、不得在公司局域網上發送任何與工作無關消息、電子郵件。
9、不得在公司電腦硬盤里面存放與工作無關的資料、視頻、MP3等文件。
10、禁止下載、安裝與工作無關的程序或文件,未經信息化管理員允許、不得擅自更改計算機網絡設置、擅自安裝或者拆卸公司IT網絡設備。
11、不得利用互聯網泄漏公司戰略計劃、經營數據、財務數據、業務資料、技術資料以及被公司列為保密范圍之內的信息和資料,嚴禁利用公司網絡資源從事違反公司制度的活動。
12、信息化管理員負責對公司所有上網行為的督查和監控。
三、上網權限管理
1、中層干部以上:可正常登錄QQ,瀏覽常規網頁,登錄外部郵箱,文件下載。
2、職員級別:瀏覽常規網頁,登錄外部郵箱。
3、車間文員、各部門資料員,不能防問Internet,如需外部溝通可以申請開通QQ。
員工因工作需要,需申請開通上網權限者,須由所在部門一級部門長簽字審核之后提交人力資源部人事審核通過之后交到信息化管理人員處方可開通。一級部門長要嚴格審核開通互聯網權限,互聯網權限大致分五大類
視頻音樂類(包括優酷、土豆、QQ音樂、酷我等流媒體音樂網站)
新聞類(互聯網及時發布的新聞)
即時通訊類(QQ、阿里旺旺等聊天軟件)
消費類(淘寶、京東等購物網站)
網絡游戲類(魔獸世界、炫舞、QQ游戲等流行的主流網絡游戲)
員工開通的互聯網權限默認均不能使用以上五大類互聯網權限,如需開通權限請在計算機系統使用申請表備注并詳細說明原因。如無詳細說明信息化管理員有權禁止開通。
4、公司客戶上網均使用公司給搭建的wifi聯網,各個專家室的wifi密碼均由制造部項目經理管理,如客戶需要連接wifi使用互聯網,由項目經理告知客戶并連接使用互聯網。
附:員工個人電腦如需辦公使用開通互聯網,默認互聯網權限五大類均不能使用。
四、計算機硬件管理
1、公司的所有計算機及外圍設備是公司的固定資產,根據實際工作需要配備給各部人員使用,各部門使用人員必須加以愛護、保持整結,并保證良好的使用環境。
2、由信息化管理員對公司所有計算機設備進行統一編號,建立計算機硬件明細臺賬,并定期對硬件進行維護、檢查各部門使用情況。
3、硬件故障:各部門使用人員發現硬件時,應及時向信息化管理員說明情況,由信息化管理員進行確定并及時處理,各部門人員不得擅自拆裝更換硬件設備。
4、設備添置、更換、升級;由各部門根據實際工作需要提申請,并填寫固定資產采購申請單,經相關負責批準后,由信息化管理員確定具體配置并通知采購部進行采購。
5、部門如需領取耗材(如鍵盤鼠標、鍵盤等),需到信息化管理員處填寫耗材申請簽字確認,申請須清晰注明耗材申請原因。申請經一級部門長或主管批準后,由信息化管理員進行發放(原則上以舊換新)。
6、計算機的使用人即為該設備的責任人,使用部門為責任部門。未經責任部門長批準,任何人不得使用其他部門或他人計算機,各個部門查閱互聯網資料的公用計算機,由各個組長進行管理監督。
7、信息化管理員負責對公司所有電腦硬件使用情況的督查和監控。
五、計算機軟件管理
1、設計軟件及應用軟件使用、安裝:各部門及人員所使用的軟件(辦公使用軟件),可由自己安裝,如不會安裝可由信息化管理員負責安裝。
2、軟件故障:各部門使用人員發現軟件故障時,應及時向信息化管理員說明情況,由信息化管理員進行確定并及時處理。
3、員工不得私自在工作機上安裝與工作無關的程序,MP3、影音文件播放程序、聊天工具、游戲等。
4、公司所有電腦(包括個人電腦辦公使用)必須安裝企業版360(禁止使用其他殺毒軟件),企業版360安裝地址
5、公司電腦計算機名統一由信息化管理員編寫,局域網IP地址統一由信息化管理員分配,不得私自更改,對于私自更改計算機名和MAC地址的將通報批評。
6、信息化管理員負責對公司所有電腦軟件使用情況的督查和監控。
六、考核懲罰措施
1、對故意更換、破壞計算機及外圍硬件設備者,按原價的2倍價格賠償,并公開通報。
2、對上班時間利用計算機玩游戲、炒股、網購、看電影、聽音樂等任何與工作無關事情者,給予50-200元不等的懲罰。
3、對違反上網行為的處理辦法:
如違反上述規定,發現一次罰款100元,重復發生的加倍處罰;
本規定從發布之日起生效!