电力行业信息化建设网络安全解决方案

0引言

网络安全是一个系统的、全局的管理问题,网络上的任何一个漏洞,都会导致全网的安全问题,我们应该用系统工程的观点、方法,分析网络的安全及具体措施。安全措施是技术措施、各种管理制度、行政法律手段的综合,一个较好的安全措施往往是多种方法适当综合的应用结果。

1电力信息网安全防护框架

根据电力企业的特点,信息安全按其业务性质一般可分为四种:一种为电网运行实时控制系统,包括电网自动发电控制系统及支持其运行的调度自动化系统,火电厂分布控制系统(DCS,BMS,DEH,CCS),水电厂计算机监控系统,变电所及集控站综合自动化系统,电网继电保护及安全自动装置,电力市场技术支持系统。第二种为电力营销系统,电量计费系统,负荷管理系统。第三种为支持企业经营、管理、运营的管理信息系统。第四种为不直接参与电力企业过程控制、生产管理的各类经营、开发、采购、销售等多种经营公司。针对电力信息网业务的这种的层次结构,从电力信息网安全需求上进行分析,提出不同层次与安全强度的网络信息安全防护框架即分层、分区的安全防护方案。第一是分层管理。根据电力信息网共分为四级网的方式,每一级为一层,层间使用网络防火墙进行网络隔离。第二是分区管理。根据电力企业信息安全的特点,分析各相关业务系统的重要程度和数据流程、目前状况和安全要求,将电力企业信息系统分为四个安全区:实时控制区、非控制生产区、生产管理区和管理信息区。区间使用网络物理隔离设备进行网络隔离,对实时控制区等关键业务实施重点防护,并采用不同强度的安全隔离设备使各安全区中的业务系统得到有效保护。

2电力信息网安全防护技术措施

2.1网络防火墙:防火墙是企业局域网到外网的唯一出口,这里的外网包括到不同层次的电力网、其他信息网如政府网和银行网络、internet,所有的访问都将通过防火墙进行,不允许任何绕过防火墙的连接。DMZ停火区放置了企业对外提供各项服务的服务器,即能够保证提供正常的服务,又能够有效地保护服务器不受攻击。要正确设置防火墙的访问策略,遵循“缺省全部关闭,按需求开通的原则”,拒绝除明确许可外的任何服务,也即是拒绝一切未予准许的服务。与Internet连接的防火墙的访问策略中,必须禁止Rlogin,NNTP,Finger,Gopher,RSH,NFS等危险服务,也必须禁止Telnet,SNMP,TerminalServer等远程管理服务。

2.2物理隔离装置:主要用于电力信息网的不同区之间的隔离。物理隔离装置实际上是专用的防火墙,由于其不公开性,使得更难被黑客攻击。

2.3入侵检测系统:入侵检测系统是专门针对黑客攻击行为而研制的网络安全产品。国际上先进的分布式入侵检测构架,可最大限度地、全天候地实施监控,提供企业级的安全检测手段。在事后分析的时候,可以清楚地界定责任人和责任事件,为网络管理人员提供强有力的保障。入侵检测系统采用攻击防卫技术,具有高可靠性、高识别率、规则更新迅速等特点。系统具有强大的功能、方便友好的管理机制,可广泛应用于电力行业各单位。所选择的入侵检测系统能够有效地防止各种类型的攻击,中心数据库应放置在DMZ区,通过在网络中不同的位置放置比如内网、DMZ区网络引擎,可与中心数据库进行通讯,获得安全策略,存储警报信息,并针对入侵启动相应的动作。管理员可在网络中的多个位置访问网络引擎,对入侵检测系统进行监控和管理。

2.4网络隐患扫描系统:网络隐患扫描系统能够扫描网络范围内的所有支持TCP/IP协议的设备,扫描的对象包括扫描多种操作系统,扫描网络设备包括:服务器、工作站、防火墙、路由器、路由交换机等。在进行扫描时,可以从网络中不同的位置对网络设备进行扫描。扫描结束后生成详细的安全评估报告,采用报表和图形的形式对扫描结果进行分析,可以方便直观地对用户进行安全性能评估和检查。

2.5网络防病毒:为保护整个电力信息网络免受病毒侵害,保证网络系统中信息的可用性,应构建从主机到服务器的完善的防病毒体系。网络防毒系统可以采用C/S模式,在网络防毒服务器中安装杀毒软件服务器端程序,以服务器作为网络的核心,通过派发的形式对整个网络部署查、杀毒,服务器通过Internet利用LiveUpdate(在线升级)功能,从免疫中心实时获取最新的病毒码信息,及时更新病毒代码库。服务器和网络工作站都安装客户端软件,利用从服务器端获取的病毒码信息对本地工作站进行病毒扫描,并对发现的病毒采取相应措施进行清除。客户端根据需要可用三种方式进行病毒扫描:实时扫描、预置扫描和人工扫描。由于病毒扫描可能带来服务器性能上的降低,因此可采用预置扫描方式,将扫描时间设定在服务器访问率最低的夜间。网络工作站可根据各自需要,选择合适的方式进行病毒扫描。客户端采用登录网络自动安装方式,确保每一台上网的计算机都安装并启动病毒防火墙。同时要注意,选择的网络防病毒软件应能够适应各种系统平台,各种数据库平台,各种应用软件。例如能对电力信息网办公自动化系统使用的LotusDomino/NOTE平台进行查、杀毒。

2.6数据加密及传输安全:对与文件安全,通过文件加密、信息摘要和访问控制等安全措施,来实现文件存储和传输的保密和完整性要求,并实现对文件访问的控制。对通信安全,采用数据加密、信息摘要和数字签名等安全措施对通信过程中的信息进行保护,实现数据在通信中的保密、完整和不可抵赖性安全要求。对远程接入安全,通过VPN技术,提高时的信息(如电子公文,MAIL等等)在传输过程中的保密性和安全性。

2.7数据备份:对于企业来说,最珍贵的不是计算机、服务器、交换机和路由器等硬件设备,而是存储在存储介质中的数据信息。因此对于一个信息管理系统来说,数据备份和容错方案是必不可少的。因此必须建立集中和分散相结合的数据备份设施以及切合实际的数据备份策略。

2.8可靠安全审计:通过记录审计信息来为信息安全问题的分析和处理提供线索。除了使用软的密码外,还可以使用象USBKEY等硬件的密码认证,更可以采用二者相结合的方式。

2.9数据库安全:通过数据存储加密、完整性检验和访问控制来保证数据库数据的机密和完整性,并实现数据库数据的访问安全。

3电力信息网安全防护管理措施

技术是安全的主体,管理是安全的灵魂。只有将有效的安全管理实践自始至终贯彻落实于信息安全当中,网络安全的长期性和稳定性才能有所保证。

3.1人员管理,要加强信息人员的安全教育,保持信息人员特别是网络管理人员和安全管理人员的相对稳定,防止网路机密泄露,特别是注意人员调离时的网络机密的泄露。对网络设备、服务器、存储设备的操作要履行签字许可制度和操作监护制度,杜绝误修改和非法修改。

3.2密码管理,对各类密码要妥善管理,杜绝默认密码,出厂密码,无密码,不要使用容易猜测的密码。密码要及时更新,特别是有人员调离时密码一定要更新。

3.3技术管理,主要是指各种网络设备,网络安全设备的安全策略,如防火墙、物理隔离设备、入侵检测设备、路由器的安全策略要切合实际。

3.4数据管理,数据的备份策略要合理,备份要及时,备份介质保管要安全,要注意备份介质的异地保存。

3.5加强信息设备的物理安全,注意服务器、计算机、交换机、路由器、存储介质等设备的防火、防盗、防水、防潮、防尘、防静电等。

3.6注意信息介质的安全管理,备份的介质要防止丢失和被盗。报废的介质要及时清除和销毁,特别要注意送出单位修理的设备上存储的信息的安全。

3.7客户端的防病毒软件不得随意卸载,要及时更新病毒代码库。

篇2:计算机网络安全管理制度

为了加强对计算机信息网络国际联网的安全保护,特制定此制度。

一、任何组织或个人,不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动,不得危害计算机信息系统的安全。

二、任何单位和个人不得利用国际联网制作、复制、查阅和传播下列信息:

(一)煽动抗拒、破坏宪法和法律、行政法规实施的;

(二)煽动颠覆国家政权,推翻社会主义制度的;

(三)煽动分裂国家、破坏国家统一的;

(四)煽动民族仇恨、民族歧视,破坏民族团结的;

(五)捏造或者歪曲事实,散布谣言,扰乱社会秩序的;

(六)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖,教唆犯罪的;

(七)公然侮辱他人或者捏造事实诽谤他人的;

(八)损害国家机关信誉的;

(九)其他违反宪法和法律、行政法规的。

三、任何单位和个人不得从事下列危害计算机信息网络安全的活动:

(一)未经允许,进入计算机信息网络或者使用计算机信息网络资源;

(二)未经允许,对计算机信息网络功能进行删除、修改或者增加;

(三)未经允许,对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加;

(四)故意制作、传播计算机病毒等破坏性程序;

(五)其他危害计算机信息网络安全。

四、任何单位和个人不得违反法律规定,利用国际联网侵犯用户的通信自由和通信秘密。

五、主机房工作重地未经许可不能进入。

六、没有指定管理人员的明确准许,电子数据处理中心使用的任何介质、文件材料或各种被保护口都不得带出计算机房。磁铁、私人的电动或电子设备、文件复印机、食品及饮料、香烟和吸烟用具等物品严禁带入计算机房。

七、做好防火、防爆、防盗等安全工作,消防器材随时处于可用状态方便取用。电线和电器设置保持干燥,防止漏电和短路。下班要注意关好门窗和检查水电。

篇3:计算机设备网络安全管理制度

互联网已经成为工作中不可缺少、便捷高效的工具,我们在享受着电脑办公和互联网络带来的速度及效率的同时,部分员工非工作上网现象也开始显现,如工作时间看网络电视占用了大量的网络带宽资源,导致全公司互联网瘫痪,严重影响了需要利用互联网与外界联系的工作效率。

为了避免公司互联网络资源被滥用,提高工作效率,特制定本规范,望全公司人员能恪守规则,共同营造高效有序的网络环境。

一、范围

适用于所有办公计算机及其使用人

二、上班时间段,上网及电脑操作行为规范

1、P2P软件对网络资源消耗极大,上班时间内严格禁止PPS网络电视、酷狗音乐、QQ网络音乐电视、BT电驴等P2P软件的使用,为了不影响他人工作正常上网,工作时间,不得下载、上传任何与工作无关的文件。

2、不滥用网络资源浏览无关网页、娱乐网站、购物网站、炒股及BBS、BLOG等,上班时间,禁止登录QQ、阿里旺旺等聊天工具,如有特殊情况,需填写计算机系统使用申请表,须由所在部门一级部门长签字审核之后提交人力资源部人事审核通过之后交到信息化管理人员处方可开通。没有通过申请开通者,不得私自在电脑上登录QQ等聊天工具。

允许使用MSN、QQ等及时聊天工具的员工不利用QQ/MSN做与工作无关的闲聊,对于一切流媒体网站如:土豆网、优酷网等禁止访问。

3、所有员工应加强网络安全知识的学习,严禁故意输入计算机病毒以及其它有害数据,危害公司网络系统的安全,增强信息安全和保密意识,无法识别的信息不要下载,无法确定是否安全的操作,慎重进行,以防被病毒入侵对单位和自身造成危害。

4、所有上网员工禁止私自搭建个人wifi,目前个人wifi已经严重影响公司局域网网络,给公司服务器和公司局域网环境带来巨大压力。

5、禁止利用互联网从事国家法律法规禁止的一切活动。

6、禁止通过互联网查看和下载国家法律法规明令禁止传播的一切信息。

7、未经单位领导批准,禁止上网发布与单位相关的一切信息。

8、不得在公司局域网上发送任何与工作无关消息、电子邮件。

9、不得在公司电脑硬盘里面存放与工作无关的资料、视频、MP3等文件。

10、禁止下载、安装与工作无关的程序或文件,未经信息化管理员允许、不得擅自更改计算机网络设置、擅自安装或者拆卸公司IT网络设备。

11、不得利用互联网泄漏公司战略计划、经营数据、财务数据、业务资料、技术资料以及被公司列为保密范围之内的信息和资料,严禁利用公司网络资源从事违反公司制度的活动。

12、信息化管理员负责对公司所有上网行为的督查和监控。

三、上网权限管理

1、中层干部以上:可正常登录QQ,浏览常规网页,登录外部邮箱,文件下载。

2、职员级别:浏览常规网页,登录外部邮箱。

3、车间文员、各部门资料员,不能防问Internet,如需外部沟通可以申请开通QQ。

员工因工作需要,需申请开通上网权限者,须由所在部门一级部门长签字审核之后提交人力资源部人事审核通过之后交到信息化管理人员处方可开通。一级部门长要严格审核开通互联网权限,互联网权限大致分五大类

视频音乐类(包括优酷、土豆、QQ音乐、酷我等流媒体音乐网站)

新闻类(互联网及时发布的新闻)

即时通讯类(QQ、阿里旺旺等聊天软件)

消费类(淘宝、京东等购物网站)

网络游戏类(魔兽世界、炫舞、QQ游戏等流行的主流网络游戏)

员工开通的互联网权限默认均不能使用以上五大类互联网权限,如需开通权限请在计算机系统使用申请表备注并详细说明原因。如无详细说明信息化管理员有权禁止开通。

4、公司客户上网均使用公司给搭建的wifi联网,各个专家室的wifi密码均由制造部项目经理管理,如客户需要连接wifi使用互联网,由项目经理告知客户并连接使用互联网。

附:员工个人电脑如需办公使用开通互联网,默认互联网权限五大类均不能使用。

四、计算机硬件管理

1、公司的所有计算机及外围设备是公司的固定资产,根据实际工作需要配备给各部人员使用,各部门使用人员必须加以爱护、保持整结,并保证良好的使用环境。

2、由信息化管理员对公司所有计算机设备进行统一编号,建立计算机硬件明细台账,并定期对硬件进行维护、检查各部门使用情况。

3、硬件故障:各部门使用人员发现硬件时,应及时向信息化管理员说明情况,由信息化管理员进行确定并及时处理,各部门人员不得擅自拆装更换硬件设备。

4、设备添置、更换、升级;由各部门根据实际工作需要提申请,并填写固定资产采购申请单,经相关负责批准后,由信息化管理员确定具体配置并通知采购部进行采购。

5、部门如需领取耗材(如键盘鼠标、键盘等),需到信息化管理员处填写耗材申请签字确认,申请须清晰注明耗材申请原因。申请经一级部门长或主管批准后,由信息化管理员进行发放(原则上以旧换新)。

6、计算机的使用人即为该设备的责任人,使用部门为责任部门。未经责任部门长批准,任何人不得使用其他部门或他人计算机,各个部门查阅互联网资料的公用计算机,由各个组长进行管理监督。

7、信息化管理员负责对公司所有电脑硬件使用情况的督查和监控。

五、计算机软件管理

1、设计软件及应用软件使用、安装:各部门及人员所使用的软件(办公使用软件),可由自己安装,如不会安装可由信息化管理员负责安装。

2、软件故障:各部门使用人员发现软件故障时,应及时向信息化管理员说明情况,由信息化管理员进行确定并及时处理。

3、员工不得私自在工作机上安装与工作无关的程序,MP3、影音文件播放程序、聊天工具、游戏等。

4、公司所有电脑(包括个人电脑办公使用)必须安装企业版360(禁止使用其他杀毒软件),企业版360安装地址

5、公司电脑计算机名统一由信息化管理员编写,局域网IP地址统一由信息化管理员分配,不得私自更改,对于私自更改计算机名和MAC地址的将通报批评。

6、信息化管理员负责对公司所有电脑软件使用情况的督查和监控。

六、考核惩罚措施

1、对故意更换、破坏计算机及外围硬件设备者,按原价的2倍价格赔偿,并公开通报。

2、对上班时间利用计算机玩游戏、炒股、网购、看电影、听音乐等任何与工作无关事情者,给予50-200元不等的惩罚。

3、对违反上网行为的处理办法:

如违反上述规定,发现一次罚款100元,重复发生的加倍处罚;

本规定从发布之日起生效!