1、 根据对电力局电力调度通信中心的网络需求分析,建议对其网络拓扑做适当调整,主要是根据安全需求和安全等级的不同划分不同的安全域,同时添加适当的安全产品。具体调整如下:
1) 以省电力调度通信中心计算机网络为中心,将与其连接的Internet、电力信息上级网等定义为外网。将省电力调度通信中心计算机局域网定义为内网。
2) 由于存在对外提供服务的对外服务器,而这些服务器同时提供对内和对外的访问服务,在安全等级划分中,他们的安全等级高于外网而低于内网,并且存在较多的安全隐患,故应将其单独划分成一个安全域——DMZ区,即停火区。
3) 由于省电力调度通信中心局域网中有一部分机器与核心业务网EMS之间有信息交互,建议将这一部分机器单独划分出来,组成单独的调度MIS。从安全性角度和易管理性方面考虑,可以选择部分机器专职完成调度MIS工作。
4) 核心业务系统EMS是重中之重,是整个网络中安全等级最高的区域,应在不改变其结构的条件下,做重点防护。
5) 对于省局网和电力信息下级网,从狭义的角度上讲,也可将其视为外网的一部分,在此,我们主要考虑它们与调度中心之间的安全隔离,以及它们相互之间不要通过调度通信中心的连接,把安全隐患带到彼此的网络。
总的来讲,可将整个网络划分成EMS、调度MIS、公共MIS、对外服务器网络(DMZ区)、省局网、电力信息下级网、电力信息上级网、Internet等八个部分,它们的安全等级各不相同,应采用相应的安全设备将其划分成不同的安全域。
2、 对于电力局电力调度通信中心局域网安全保护的基本措施,是采用防火墙进行访问控制。关于这一措施应该从两个层次进行考虑,即对于局域网与外部网之间的访问控制和内部网中各个安全域之间的访问控制。
1) 省电力调度中心局域网与电力信息上级网、Internet之间的访问控制
在路由器后面安装防火墙(速通防火墙 1)来实现对省电力调度中心局域网的安全保护,利用防火墙的过滤功能来实现它与电力上级网、Internet之间相互访问控制。
2) 省电力调度中心局域网与省局网、电力下级网之间的访问控制
在路由器后面安装防火墙(速通防火墙 2)来实现对省电力调度中心局域网的安全保护,利用防火墙的过滤功能来实现它与省局网、电力下级网之间相互访问控制。同时速通防火墙自带的认证功能,可以实现内部用户认证,同时可以结合用户原有的域用户认证或者radius认证,实现用户级的访问控制。
3)EMS与省电力调度中心局域网之间的访问控制
在EMS与省电力调度中心局域网之间安装防火墙(速通防火墙 3)来实现对EMS的安全保护,利用防火墙的过滤功能来实现EMS与省电力调度中心局域网之间相互访问控制,防止将省电力调度中心局域网的安全问题带到EMS中,实现对EMS的重点防护。在这里,可利用防火墙的多端口结构,将调度MIS和公共MIS分开。
3、 入侵检测和病毒防护。速通防火墙自带的入侵检测功能采用了基于模式匹配的入侵检测系统,超越了传统防火墙中的基于统计异常的入侵检测功能,实现了可扩展的攻击检测库,真正实现了抵御目前已知的各种攻击方法,并通过升级入侵检测库的方法,不断抵御新的攻击方法。速通防火墙的入侵检测模块,可以自动检测网络数据流中潜在的入侵、攻击和滥用方式,并防火墙模块实现联动,自动调整控制规则,为整个网络提供动态的网络保护。速通防火墙入侵检测模块中包含了对网络上传输病毒和蠕虫的检测,可以在计算机病毒和蠕虫传输到宿主机之前检测出来,在网关上防止网络病毒的传播,防患于未然。真正实现了少花钱多办事的效果。对于网络内部的病毒防护建议使用网络防病毒软件进行整体防护。
4、 数据备份与恢复技术:利用备份系统可以快速地全盘恢复运行计算机系统所需的数据和系统信息。根据系统安全需求可选择的备份机制有:场点内高速度、大容量的自动数据存储、备份与恢复;场点外的数据存储、备份与恢复;对系统设备的备份。备份不仅在网络系统硬件故障或人为失误时起到保护作用,也在入侵者非授权访问或对网络攻击及破坏数据完整性时起到保护作用,同时亦是系统灾难恢复的前提之一。