摘要:当前随着社会、经济迅猛发展,企业为了提高如工作效率及市场反应力等的核心竞争力,都依靠各种技术来搭建企业信息网络系统平台,电力的企业也不例外。电力企业越来越重视信息网络系统的运用,将其作为技术支持系统,最大程度使信息资源得到共享。但随着网络的普遍运用及其共享性程度的扩大,人们越来越重视网络的安全问题。网络的安全问题对企业的发展及效益起到非常重要的影响,并关系到电力企业信息网络系统的安全、稳定、经济、优质运行。电力工业作为国民经济的重要支柱之一,其安全问题会对人民的生活及各行业发展产生重要的影响,电力企业信息网络安全已成为电力安全生产的关注点。
关键词:电力企业;信息网络;信息网络系统;
0.引言
有很多形如有意攻击、无意的误操作等因素都会影响电力企业信息网络安全,那么如何对电力企业信息网及其外网的信息传递的信息进行监测及过滤,保护重要数据及敏感信息不被偷取、损坏及修改是一个非常重要的课题。
本文的网络安全管理系统可以管理网络主机、检测入侵行为、监控及分析网络数据,网络安全管理系统通过对信息交换及访问行为进行监测及控制,对未授权的客户拒绝访问,阻止其窃取敏感数据,使其与外网隔离,保证电力企业日常的生产正常进行。
1.网络安全管理系统结构
数据嵌入数据项之中是由协议分层引起的,这样会使连接交错进行,形成多重层嵌套。所以要解决每层应对哪些数据项提供保护的问题。
可以分5层:管理级安全、应用级安全、端系统级安全、子网级安全、直接链路级安全对网络安全体系结构进行实现。
管理分技术及行政两个管理。所谓技术管理是指对网络保密设备、网络安全及密钥进行管理;而行政管理则指监督业务运行的安全,制定规章制度,及制订应急措施等。防火墙及病毒检测模块可以在应用级对网络安全进行保障;端系统安全可能与传输层协议及与独立于子网的网络层协议有关联,通过防火墙和信息统计分析模块在此级进行安全策略的实施。网络层受到子网安全映射,此级我们安全配置了网络层的设备,同时监控管理以网络主机。直接链路级安全保护对比特流,任何形如ISO,TCP/IP或专用结构对其都不限制,而且它能透明于全部高层协议,特定的网络结构与物理层有关。我们分别对网络拓扑结构,网络运行环境及网络介质进行了安全规划。
2.网络安全管理系统结构设计
2.1一般结构设计
在未给出网络安全管理系统之前,我们对网络安全系统的基本结构进行分析(如图1)。网络安全体系的一个子集之一是软件系统结构,其包含了网络安全系统的基本功能。
上图中过滤器、网络接口引擎器和过滤规则决策器组成探测器。按照相关规则对从网络获得数据包,再给分析引擎器进行判断,这是探测器的功能。结合网络安全数据库,对引擎器结合探测器的数据包进行分析,并将结果构造出配置规则迎合出探测器需要。
2.2系统结构
网络安全管理系统的系统结构跟一般结构不同,它更为复杂,它的安全防护范围及功能域更具系统化。
3网络安全管理系统的功能设计
3.1功能结构
网络安全管理系统根据网络结构的不同,运用差异化的网络安全措施,网络安全要考虑网络规划 建设、应用和管理构建多层网络安全机制,目的使网络安全多层次、全方位得到保障。网络安全管理系统提供很多功能如监视、安全审计识别攻击及反攻击等。过网络嗅探引擎可协助网络安全管理系统捕获和分析处理在网络系统流动的数据包,寻找网络违规模式和未授权的网络访问尝试,对入侵防御实时进行。网络安全管理系统也会生成安全日志及安全审计报告,这样会使管理员清楚系统安全情况,对安全隐患及时发现,对网络及主机的安全策略进行修订,加强安全防范。
3.2功能内容及实现
各个模块所属功能共同作用完成网络安全,下面对网络安全管理系统的主要功能进行说明。
3.2.1安全管理制度模块
3.2.1.1用户管理模块
本模块会对系统的访问权限进行安全控制,既可以阻止网络安全管理系统被非法用户使用,还严格分配合法用户的权限。使系统数据的安全性得到有效保护。
3.2.1.2机构设置
企业要建立一个由单位主要领导人负责的专门的安全组织,并定期对本单位的实际情况进行风险分析,提出办法及监控。
3.2.1.3职责制度
明确划分网络管理员的职责,安全负责人要对系统日志、报警记录等安全材料进行每天审阅。
3.2.1.4安全培训
在进入系统工作前,必须要对新上岗的工作人员进行培训考试,并且要求网络安全领域的新技术。
3.2.1.5安全监督
周期性评估网络系统的各种安全因素,对安全政策\安全制度\安全技术的情况进行监督。
3.2.2防火墙模块
3.2.2.1状态检测模块
为使控制安全访问、认证会话和客户端、翻译网络地址、报警及加密日志功能得到实现要求通过驻留程序的方式。状态检测模块检查、截获、分析网络活动,并对所有尝试越过防火墙的数据包进行处理,这些都要通过用户自定义的网络安全策略进行。
3.2.2.2入侵检测模块
入侵检测模块的组成有安全控制中心及多个探测器部分。安全控制中心的作用是的管理与配置整个分布式安全入侵检测模块;探测器的作用是依照网络数据流和网络通信会通话轨迹,找到攻击网络的方式,并对自动攻击进行实现识别,对网络未授权访问或攻击就会向安全控制中心进行报警,并对攻击事件进行记录及网络阻断。
3.2.3病毒检测模块
3.2.3.1通信功能
其主要是对网络防火墙的并行通信进行负责。它先获取连接、防火墙期望信息及一些IP数据包,然后运用查杀病毒模块,并将结果反馈到防火墙,防火墙会对数据进行处理。
3.2.3.1病毒检测模块
该模块在网关处拦截试图进入电力企业网络的病毒,防止病毒破坏资源。利用文件检测办法,IP包通过防火墙捕捉,然后将有数据帧进行临时存放。运用并行方式可以尽可能不降低数据包的传输速度。将防火墙技术与反病毒技术有效地结合起来,这样就可以防止病毒入侵。
3.2.4信息统计分析模块
此模块分析处理和过滤对大量的网络数据,生成网络日志供管理员分析报警事件类别,分析服务、主机及安全违规源和目的,并提出网络安全审计方案。
3.2.5网络主机管理模块
主机的基本信息包括主机名、系统还有基本服务可由其自动识别,防止敏感文件暴露。网络上存在的活动的主机可以通过主机在线监测进行发现。为防止不法分子通过物理连接连到内部网络上并使IP地址的盗用得到阻止可以运用主机入侵监控模块。
3.2.6网络安全配置模块
为实现安全策略可以在路由设施上设置路由安全设置模块。逻辑2访问控2制模块2是通过实施预2防性控2制和探测2性控制加强对关2键设备和网2段的访问
4系统扩展
网络管理员将应用程序统一制定安全策略,来使企业的整体更安全,并使管理费用得到减少。开放企业安全
连接平台技术成为各商家整合安全产品的统一接口,该技术可以通过策略编辑器对所有集成到开放企业安全连接平台框架结构进行配置和整理。从而实现企业的安全集成,最大限度满足了企业网络安全的需求。
结束语:
网络安全管理系统通过对规划、建设和管理网络等因素的考虑,针对不一样的结构层次,相应地采取不同的安全措施,使网络安全得到全方位的保障。网络安全既是一个技术问题也是一个管理问题,为了实现网络安全必须提高安全技术及管理水平。
参考文献:
【1】向继东,黄天戍,孙东。电力企业信息网络安全管理系统设计与实现【J】。电力系统自动化,2003.8(15)
【2】胡炎。电力工业信息安全的思考。电力系统自动化。2002,26(7):1-4