信息技術(shù)的三大支柱

電力信息安全工程技術(shù)

三大支柱

2005年電力信息化高級論壇

電力信息安全工程技術(shù)三大支柱

一、問題的提出二、信息安全示范工程簡介三、信息安全工程技術(shù)三大支柱四、電力信息安全監(jiān)管平臺系統(tǒng)五、結(jié)論與建議一、問題的提出

1、信息安全一電力系統(tǒng)安全一國家安全

2、信息技術(shù)高速發(fā)展，信息網(wǎng)絡(luò)規(guī)?？焖贁U展，信息化迫切要求，系統(tǒng)不能適應(yīng)信息化應(yīng)用需要

3、信息安全產(chǎn)品、系統(tǒng)沒有統(tǒng)一規(guī)范和標準，我國沒有符合要求成功范例

4、沒有建立信息安全管理體系、技術(shù)體系、評估及評測體系

5、信息安全投資浪費，資源不能充分利用

6、信息安全示范工程，電力企業(yè)信息安全如何開展二、遼寧電力信息安全示范工程簡介-立項

2000年8月，電力系統(tǒng)信息安全示范工程可行性研討。

2001年2月，項目可行性研究報告，通過了國家電力公司組織的評審。

2001年7月，“國家電力公司科學技術(shù)項目合同”上報國家電力公司。

2002年1月，由國家科技部、國家商用密碼辦公室領(lǐng)導和專家12人專家組對省公司進行實地調(diào)研和考察。

2002年4月，在北京召開了國家電力信息安全技術(shù)研討會，“電力系統(tǒng)信息安全示范工程”主要研究內(nèi)容；關(guān)鍵技術(shù)及創(chuàng)新點；項目實施的技術(shù)路線；項目設(shè)立7個專題：示范工程分年度計劃。

2002年7月，國家科技部正式下達“十五”國家重大科技攻關(guān)項目-《國家信息安全應(yīng)用示范工程》（中央和國家機關(guān)、上海S219、電力系統(tǒng)信息安全示范工程)試點項目《遼寧電力系統(tǒng)信息安全示范工程》

二、遼寧電力信息安全示范工程簡介-計劃

項目計劃步驟：

1、調(diào)查研究和探討、學習和培訓

2、信息安全策略、標準、方法、模型、工程框架的確定

3、信息網(wǎng)絡(luò)系統(tǒng)安全風險評估

4、導出安全需求，安全目標的確定

5、信息安全工程方案設(shè)計與進度規(guī)劃

6、組織信息安全工程實施、運行與維護

7、信息安全工程評審與驗收

8、信息安全工程持續(xù)改進二、遼寧電力信息安全示范工程簡介-實施

1、調(diào)查研究和探討、學習和培訓深入信息安全企業(yè)、產(chǎn)品廠商調(diào)查研究和探討，先后查閱大量信息安全標準和文件。翻譯國際標準全文或相關(guān)部分7冊、26篇（91.8萬字)，其中：技術(shù)標準13篇、管理標準7篇、工程標準5篇。編制設(shè)計方案和實施方案19冊、46篇（75.86萬字)。組織學習和培訓，并選派11名同志參加英國標準協(xié)會BS7799EssentialCourse和國家信息安全專業(yè)人員（CISP)認證培訓。

2、依靠行業(yè)自身的技術(shù)力量，進行安全風險評估

2002年8-11月，安全風險評估，完成了管理策略和技術(shù)策略訪談、相關(guān)策略文檔審核、網(wǎng)絡(luò)和主機設(shè)備的脆弱性掃描及配置檢查、業(yè)務(wù)系統(tǒng)評估、黑客攻擊測試等工作。在管理方面，加強安全組織建設(shè)，加強信息系統(tǒng)安全運行管理；在技術(shù)方面，加強鑒別和認證機制，加強訪問控制，制定保護內(nèi)容安全的措施，建立審計機制，加強安全事件響應(yīng)能力等。二、遼寧電力信息安全示范工程簡介-實施

3、信息網(wǎng)絡(luò)基礎(chǔ)平臺優(yōu)化整合—

解決系統(tǒng)配置問題

4、信息網(wǎng)絡(luò)基礎(chǔ)平臺結(jié)構(gòu)優(yōu)化—

分區(qū)控制“4點法”

5、信息系統(tǒng)應(yīng)用基礎(chǔ)平臺優(yōu)化整合—

集中統(tǒng)一和分級的用戶信息管理，建立全省目錄、代理、域名、電子郵件、信息發(fā)布、企業(yè)門戶、視頻會議等信息系統(tǒng)應(yīng)用基礎(chǔ)平臺。

6、建立網(wǎng)絡(luò)及信息安全防御體系建立了全省統(tǒng)一管理的數(shù)據(jù)備份系統(tǒng)（兩個省級中心），實現(xiàn)在本地、異地的數(shù)據(jù)備份功能；全省的統(tǒng)一管理的防火墻、入侵檢測、漏洞掃描和防病毒系統(tǒng)等安全防護體系；

7、遼寧電力網(wǎng)絡(luò)信息安全監(jiān)視及管理平臺，在線監(jiān)視及管理信息網(wǎng)絡(luò)系統(tǒng)運行狀況；遼寧電力系統(tǒng)信息安全實驗室，企業(yè)應(yīng)用安全產(chǎn)品的選型，人員培訓，做好應(yīng)急措施和恢復方案等系統(tǒng)信息安全提供持續(xù)、全面的技術(shù)服務(wù)。二、遼寧電力信息安全示范工程簡介-實施

8、建立了遼寧電力PKI-CA認證系統(tǒng)在省公司建立一個KM（密鑰管理）中心、CA（證書認證）中心、RA（注冊審核）中心和分發(fā)中心（信息發(fā)布），基于證書的應(yīng)用系統(tǒng)改造。

9、信息安全環(huán)境基礎(chǔ)設(shè)施建設(shè)

PKI-CA認證中心達到國家C級安全標準，空調(diào)、門禁、完整的消防系統(tǒng)，溫度和濕度數(shù)字監(jiān)控系統(tǒng)，對所有通道和主要房間進行實時監(jiān)控，確保無監(jiān)控死角，重點部位的在線安全視頻監(jiān)視系統(tǒng)的建設(shè)。

10、建立了遼寧電力系統(tǒng)信息安全總體框架，信息安全管理體系，信息安全技術(shù)體系，信息安全風險評估及評測體系。

11、形成工程組織管理、技術(shù)文檔6類73篇175萬字，發(fā)表論文13篇，其中:國家級刊物6篇.培養(yǎng)博士2名，碩士4名。

12、獲得2004年國家電力公司科技進步一等獎，中國電力科技進步二等獎，省公司科技進步特等獎。

三、信息安全工程技術(shù)三大支柱

網(wǎng)絡(luò)及信息安全，一般通常稱為信息安全

從廣義來說，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)及信息安全的研究領(lǐng)域。

從安全策略體系來說，安全技術(shù)標準規(guī)范和操作流程、應(yīng)用程序?qū)?、業(yè)務(wù)系統(tǒng)層和數(shù)據(jù)層的管理制度和標準，主要業(yè)務(wù)系統(tǒng)的安全配置標準和制度，業(yè)務(wù)連續(xù)性管理計劃，法律的符合性是保證電力系統(tǒng)信息安全的基礎(chǔ)，

從信息安全技術(shù)來說，構(gòu)建電力系統(tǒng)信息安全技術(shù)三大支柱?；緝?nèi)容包括：網(wǎng)絡(luò)及信息安全防御體系一解決網(wǎng)絡(luò)安全問題；身份認證與授權(quán)管理體系（PKI/PMI）一解決信息交換與共享安全問題；數(shù)據(jù)備份及災(zāi)難恢復體系一解決數(shù)據(jù)備份、存儲與恢復安全問題。三、信息安全工程技術(shù)三大支柱—網(wǎng)絡(luò)防御

網(wǎng)絡(luò)及信息安全防護體系—解決網(wǎng)絡(luò)安全問題

主動防御技術(shù)：一般有數(shù)據(jù)加密、安全掃描、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)流量分析和虛擬網(wǎng)絡(luò)等技術(shù)

1、網(wǎng)絡(luò)安全性漏洞掃描-通過對網(wǎng)絡(luò)的掃描，可以了解網(wǎng)絡(luò)的安全配置和運行的應(yīng)用服務(wù)，及時發(fā)現(xiàn)安全漏洞，，客觀評估網(wǎng)絡(luò)風險等級。

2、網(wǎng)絡(luò)管理技術(shù)-通過提供集成化視圖來管理支持業(yè)務(wù)程序的IT系統(tǒng)，并視業(yè)務(wù)政策和目標的變化進行動態(tài)調(diào)整，能夠根據(jù)其監(jiān)視或檢測到的情況實施管理活動。

3、網(wǎng)絡(luò)流量分析-提供了用戶上網(wǎng)行為分析、異常流量實時監(jiān)測、歷史流量分析報表到流量趨勢預警等功能，可以通過日報、周報、月報的標準報表、對照報表、趨勢分析報表等多種格式報告流量分析結(jié)果。

三、信息安全工程技術(shù)三大支柱—網(wǎng)絡(luò)防御

4、帶寬管理-可以控制網(wǎng)絡(luò)表現(xiàn)，使之與應(yīng)用程序的特點、業(yè)務(wù)運作的要求以及用戶的需求相適應(yīng),然后，提供驗證結(jié)果。

5、VLAN-把網(wǎng)絡(luò)上的用戶(終端設(shè)備)劃分為若干個邏輯工作組,每個邏輯工作組就是一個VLAN?？梢造`活地劃分VLAN,增加或刪除VLAN成員，不必重新改變設(shè)備的物理連接。

6、VPN-采用加密和認證技術(shù),利用公共通信網(wǎng)絡(luò)設(shè)施的一部分來發(fā)送專用信息,為相互通信的節(jié)點建立起一個相對封閉的、邏輯的專用網(wǎng)絡(luò)。

7、數(shù)據(jù)加密技術(shù)-具有信息加密功能,而且具有數(shù)字簽名、身份驗證、秘密分存、系統(tǒng)安全等功能。可以保證信息的機密性,而且可以保證信息的完整性和確證性,防止信息被篡改、偽造或假冒。

三、信息安全工程技術(shù)三大支柱—網(wǎng)絡(luò)防御

被動防御技術(shù)-防火墻技術(shù)、防病毒技術(shù)、入侵檢測技術(shù)、路由過濾、審計與監(jiān)測等技術(shù)。

1、防火墻技術(shù)-設(shè)置在兩個或多個網(wǎng)絡(luò)之間的安全阻隔，用于保證本地網(wǎng)絡(luò)資源的安全。

2、防病毒技術(shù)-防病毒系統(tǒng)通過設(shè)定防病毒升級服務(wù)器進行防病毒組內(nèi)的服務(wù)器端及客戶端的病毒代碼更新，搜集防病毒服務(wù)器的運行日志。3、入侵檢測技術(shù)-通過從計算機網(wǎng)絡(luò)和系統(tǒng)的若干關(guān)鍵點收集信息并對其進行分析,從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為或遭到入侵的跡象,并依據(jù)既定的策略采取一定的措施的技術(shù)。

4、路由過濾技術(shù)-路由器中的過濾器對所接收的每一個數(shù)據(jù)包根據(jù)包過濾規(guī)則做出允許或拒絕的決定。

5、審計與監(jiān)測-對涉及計算機系統(tǒng)安全保密的操作進行完整的記錄，能有效地追查事件發(fā)生的用戶、時間、地點和過程，發(fā)現(xiàn)弱點和入侵點。

三、信息安全工程技術(shù)三大支柱—網(wǎng)絡(luò)防御

電力的性質(zhì)決定了電力企業(yè)是網(wǎng)絡(luò)型的電力生產(chǎn)、經(jīng)營和管理型企業(yè)，信息交換頻繁，要求安全可靠、方便快捷、實時性強。網(wǎng)絡(luò)信息安全防御體系的設(shè)計應(yīng)遵循以下原則：

1）、網(wǎng)絡(luò)安全環(huán)境綜合治理原則；

2）、網(wǎng)絡(luò)結(jié)構(gòu)優(yōu)化先行原則；

3）、網(wǎng)絡(luò)及信息安全防護網(wǎng)絡(luò)化原則；

4）、集中管理與分級控制原則；

5）、與安全策略和管理體系協(xié)調(diào)一致原則；

6）、統(tǒng)一領(lǐng)導、統(tǒng)一規(guī)劃、統(tǒng)一標準、分級組織實施原則。。三、信息安全工程技術(shù)三大支柱—網(wǎng)絡(luò)防御2002年信息網(wǎng)絡(luò)基礎(chǔ)平臺優(yōu)化整合三、信息安全工程技術(shù)三大支柱—網(wǎng)絡(luò)防御2003-2004年信息網(wǎng)絡(luò)基礎(chǔ)平臺結(jié)構(gòu)優(yōu)化三、信息安全工程技術(shù)三大支柱—網(wǎng)絡(luò)防御遼寧電力信息網(wǎng)絡(luò)基礎(chǔ)應(yīng)用平臺生產(chǎn)數(shù)據(jù)庫綜合查詢數(shù)據(jù)庫信息安全數(shù)據(jù)庫其它數(shù)據(jù)庫綜合管理數(shù)據(jù)庫數(shù)據(jù)中心EmailInternetPortal遼寧電力信息廣域網(wǎng)瀏覽器客戶機瀏覽器瀏覽器瀏覽器客戶機客戶機客戶機電力物資住房改革機關(guān)管理外事管理人力資源發(fā)展規(guī)劃住房改革多種經(jīng)營農(nóng)電管理工程管理紀律檢查工會管理學會協(xié)會綜合查詢其它系統(tǒng)審計管理電力營銷計劃管理財務(wù)管理社會保險生產(chǎn)管理科技信息調(diào)度管理安全監(jiān)察LdapPKI-CAOADNSV-meetingProxy瀏覽器瀏覽器瀏覽器2003-2004年信息系統(tǒng)應(yīng)用基礎(chǔ)平臺優(yōu)化整合三、信息安全工程技術(shù)三大支柱—信息安全

身份認證與授權(quán)管理體系（PKI/PMI）一解決信息交換與共享安全問題；

1、PKI-CA(PublicKeyInfrastructure)公鑰基礎(chǔ)設(shè)施

PKI體系是計算機軟硬件、權(quán)威機構(gòu)及應(yīng)用系統(tǒng)的結(jié)合，用來實現(xiàn)電子證書的注冊、簽發(fā)、證書發(fā)布、密鑰管理和在線證書狀態(tài)查詢等功能，被稱為公鑰基礎(chǔ)設(shè)施。CA（CertificateAuthority）證書授權(quán)中心，CA作為電子證務(wù)中受信任的第三方，承擔公鑰體系中公鑰的合法性檢驗的責任。CA中心為每個使用公開密鑰的用戶發(fā)放一個數(shù)字證書，數(shù)字證書的作用是證明證書中列出的用戶合法擁有證書中列出的公開密鑰。CA機構(gòu)的數(shù)字簽名使得攻擊者不能偽造和篡改證書。三、信息安全工程技術(shù)三大支柱—信息安全

身份認證與授權(quán)管理體系（PKI/PMI）一解決信息交換與共享安全問題；

PMI(PrivilegeManagementInfrastructure)特權(quán)管理基礎(chǔ)設(shè)施屬性證書、屬性權(quán)威、屬性證書庫等部件構(gòu)成的綜合系統(tǒng)，用來實現(xiàn)屬性證書的產(chǎn)生、管理、存儲、分發(fā)和撤銷等功能，被稱為權(quán)限管理基礎(chǔ)設(shè)施。PMI使用屬性證書表示和容納權(quán)限信息，通過管理證書的生命周期實現(xiàn)對權(quán)限生命周期的管理。屬性證書的申請，簽發(fā)，發(fā)布，注銷，驗證過程對應(yīng)著傳統(tǒng)的權(quán)限申請，產(chǎn)生，存儲，撤消和使用的過程。三、信息安全工程技術(shù)三大支柱—信息安全

身份認證與授權(quán)管理體系（PKI/PMI）一解決信息交換與共享安全問題；

PKI和PMI關(guān)系：

PKI和PMI之間的主要區(qū)別在于：PMI主要進行授權(quán)管理，證明這個用戶有什么權(quán)限，能干什么，即“你能做什么”；PKI主要進行身份鑒別，證明用戶身份，即“你是誰”。它們之間的關(guān)系類似于護照和簽證的關(guān)系。護照是身份證明，唯一標識個人信息，只有持有護照才能證明你是一個合法的人。簽證具有屬性類別，持有哪一類別的簽證才能在該國家進行哪一類的活動。三、信息安全工程技術(shù)三大支柱—信息安全2003年遼寧電力PKI-CA認證系統(tǒng)三、信息安全工程技術(shù)三大支柱—信息安全2004年三、信息安全工程技術(shù)三大支柱—信息安全2004年三、信息安全工程技術(shù)三大支柱—信息安全PKI-CA認證系統(tǒng)機房布局與結(jié)線圖三、信息安全工程技術(shù)三大支柱—數(shù)據(jù)安全

數(shù)據(jù)備份及災(zāi)難恢復體系一解決數(shù)據(jù)備份、存儲與恢復安全問題。

1、在省中央數(shù)據(jù)備份中心和沈陽數(shù)據(jù)備份中心構(gòu)造SAN，采用LAN-Free備份方式，和其他地市數(shù)據(jù)中心采用LAN-Base備份方式。既可以滿足遼寧電力近階段數(shù)據(jù)備份的要求，又利于備份系統(tǒng)以后全部平滑過渡到LAN-Free備份結(jié)構(gòu)。

2、省級數(shù)據(jù)備份中心和各地市數(shù)據(jù)中心備份系統(tǒng)設(shè)計不同。省中心作為全局備份的核心，一方面實現(xiàn)對省中心應(yīng)用數(shù)據(jù)的備份，另一方面，也要實現(xiàn)與沈陽數(shù)據(jù)中心互為100%備份，達到異地災(zāi)難備份的目的。除此以外，省中心還要實現(xiàn)對其它地市數(shù)據(jù)中心關(guān)鍵數(shù)據(jù)的遠程備份。

三、信息安全工程技術(shù)三大支柱—數(shù)據(jù)安全

數(shù)據(jù)備份及災(zāi)難恢復體系一解決數(shù)據(jù)備份、存儲與恢復安全問題。

3、在各地市數(shù)據(jù)中心，沈陽數(shù)據(jù)中心與省中心互為災(zāi)備中心，除了備份本身的數(shù)據(jù)外，還要實現(xiàn)與省中心互為100%備份，因此數(shù)據(jù)量很大，也存在保證海量數(shù)據(jù)備份的性能問題。而其它市數(shù)據(jù)中心僅需要備份或歸檔本市數(shù)據(jù)中心的數(shù)據(jù)，數(shù)據(jù)量相對較小，采用網(wǎng)絡(luò)備份系統(tǒng)可以減少系統(tǒng)復雜度、降低成本。

4、省級備份中心和各地市數(shù)據(jù)中心備份系統(tǒng)采用集中管理與分級控制相結(jié)合，按省公司統(tǒng)一管理與控制策略，完成數(shù)據(jù)備份與災(zāi)備工作。三、信息安全工程技術(shù)三大支柱廣域網(wǎng)STK180帶庫FCFC存儲備份管理存儲備份管理光纖存域網(wǎng)局域網(wǎng)局域網(wǎng)STKL80帶庫STKL80帶庫STKL80帶庫基層單位光纖存域網(wǎng)10GB波分STK180帶庫FAStT700陣列柜遼寧電力中央數(shù)據(jù)備份中心遼寧電力沈陽數(shù)據(jù)備份中心2003-2004年遼寧電力信息網(wǎng)數(shù)據(jù)備份系統(tǒng)

四、遼寧電力網(wǎng)絡(luò)信息安全監(jiān)管平臺系統(tǒng)

為什么要建立網(wǎng)絡(luò)信息安全監(jiān)管平臺及系統(tǒng)

1、信息網(wǎng)絡(luò)配置了大量的安全產(chǎn)品，如防火墻、入侵監(jiān)測、防病毒系統(tǒng)、PKI-CA證書系統(tǒng)等。

2、管理策略的有效實施是保證電力網(wǎng)絡(luò)信息安全的基礎(chǔ)。實踐經(jīng)驗表明：60-70%取決于管理策略的有效實施，30-40%取決于信息技術(shù)。

3、技術(shù)復雜、發(fā)展速度快、培訓學習跟不上。

4、涉及面廣、需求多變?nèi)藛T少