电力系统信息安全已经成为电力企业生产、经营和管理的重要组成部分。如何使电力信息网络系统不受黑客和病毒的入侵,保障数据传输的安全性可靠性,是建设"数字电力系统"中所必须考虑的要点之一。
需求分析
对于省级电力信息系统,网络边界主要包括Internet接入等外部网络的连接处和内部网络中省与地市网络之间,均存在不同安全级别子网的安全边界。如果省电力信息系统局域网边界处中仅利用防火墙系统进行防护,来降低了网络安全风险,还不足以抵御对信息和内容的威胁。
省电力系统网络业务平台众多,网络系统和网络协议也是多种多样,所以对数据和网络的安全性要求很高。在本方案中,重点考虑加上入侵检测防御功能,这项技术是当今一种重要的动态安全技术,由此弥补防火墙安全防护的不足。
通过对省电力信息网络的风险和需求分析,按照安全策略的要求,整个网络安全措施应按系统体系结构有层次地建立。系统的总体设计由上而下,考虑到各个层次的安全要求。在此基础上,再制定安全解决方案,建立完整的行政制度和管理人员安全保障措施。
解决方案
整个安全解决方案包括防火墙子系统、入侵检测子系统、病毒防范子系统、安全评估子系统和安全管理中心子系统五大部分和三层体系结构。从而,省电力网络安全系统体系从整体上,由外到内,由内到内的安全体系结构都进行了安全加固,保证了省电力网络安全系统体系安全、高效、正常运行。
第一层首先是要建立安全标准框架,包括安全组织和人员、安全技术规范、安全管理办法、应急响应制度等。第二层,考虑省电力IT基础架构的安全。包括网络系统安全、物理链路安全等。第三层是省电力整个IT业务流程的安全。例如,各OA应用系统安全。
解决方案的拓扑结构示意图可以列举如下图所示。
产品选择
为了保证有价值的数据安全地在网络中传输,选择一种把多种攻击防御技术集成在一个单一设备中的安全解决方案,比较适合中小型企业需要。FortiGate-110C是美国Fortinet飞塔公司推出的面向中小型客户的高性能UTM安全产品。它在一台单一的设备中集成了各项UTM功能,可识别多种安全威胁,为中小型企业提供完美的安全解决方案。
FortiGate-110C安装快捷,可自动下载并按时升级过滤库,保护企业不会受到最新病毒、网络漏洞、蠕虫、垃圾邮件、网络钓鱼及恶意站点的侵害。内置的FortiASIC 加速技术,使得FortiGate-110C 可提供业界领先的性能,10个接口可为日益增长的网络的扩展性提供保证。
技术特点
FortiGate-110C是基于新一代内容处理器加速处理芯片(CP6)的安全平台,它使UTM防火墙的性能提升50%。支持FortiOS4.0版操作系统的新功能,包括应用控制、信息泄漏、广域网加速、中档控制和扩展病毒库查杀等新功能。它比以前推出的产品,例如FortiGate-100A,200A, 300A, 400A, 500A等具有更好的性价比,
FortiGate的IPS(入侵检测防御系统)是在线式的,直接部署在不同安全级别的网络区域之间。这种在线式的IPS对各种攻击均可直接阻断并生成日志。而传统的旁路式IDS对绝大多数的攻击行为只能记录日志,而不能进行阻断。
入侵检测防御工作在2-7层,通常使用特征匹配和异常分析的方法来识别网络攻击行为。特征匹配方法类似于病毒检测方法,通过攻击数据包中的特征(字符串等)来进行判断。IPS的部署与网关防病毒类似,一般来说都部署在Internet网关处,或者DMZ/IDC服务器群前方。一来可以防止外部的黑客攻击服务器,二来也能应用IPS技术阻挡内网用户使用某些不被允许的应用程序(如QQ、迅雷等)。IPS也可以部署在内网各区域之间,阻挡来自于内网的攻击。
总之,FortiGate是适合企业全方位安全的UTM平台,对电力行业它能支持创造一个高效、安全、实用的信息系统运行环境。