电力行业信息安全解决方案

1、电力行业信息安全解决方案目 录 TOC o 1-3 h z u HYPERLINK l _Toc29541972 一、前言 PAGEREF _Toc29541972 h 3 HYPERLINK l _Toc29541973 华工安鼎:系统安全专家 PAGEREF _Toc29541973 h 3 HYPERLINK l _Toc29541974 多层保护:实现电力系统无忧运行 PAGEREF _Toc29541974 h 3 HYPERLINK l _Toc29541975 网络层安全方案 PAGEREF _Toc29541975 h 4 HYPERLINK l _Toc29541976 应用

2、层安全方案 PAGEREF _Toc29541976 h 4 HYPERLINK l _Toc29541977 数据安全及容错方案 PAGEREF _Toc29541977 h 4 HYPERLINK l _Toc29541978 二、基本解决方案 PAGEREF _Toc29541978 h 5 HYPERLINK l _Toc29541979 三、增强解决方案 PAGEREF _Toc29541979 h 6 HYPERLINK l _Toc29541980 四、信息安全增强解决方案 PAGEREF _Toc29541980 h 7 HYPERLINK l _Toc29541981 1、安

3、鼎 KDC PAGEREF _Toc29541981 h 7 HYPERLINK l _Toc29541982 2、安鼎安全通信代理 PAGEREF _Toc29541982 h 8 HYPERLINK l _Toc29541983 3、安鼎文件保密柜 PAGEREF _Toc29541983 h 8 HYPERLINK l _Toc29541984 4、安鼎数据库加密系统 PAGEREF _Toc29541984 h 10 HYPERLINK l _Toc29541985 五、成功案例 PAGEREF _Toc29541985 h 11 HYPERLINK l _Toc29541986 六、

4、结束语 PAGEREF _Toc29541986 h 12前言随着 Internet 的迅速发展，信息安全问题面临新的挑战。电力系统信息安全问题已威胁到电力系统的安全、稳定、经济、优质运行，影响着“数字电力系统”的实现进程。研究电力系统信息安全问题、开发相应的应用系统、制定电力系统信息遭受外部攻击时的防范与系统恢复措施等信息安全战略是当前信息化工作的重要内容。电力系统信息安全已经成为电力企业生产、经营和管理的重要组成部分。近年来，随着我国电力系统走向市场步伐的加快，国家电力工业体制开始向市场转变， 各级供电企业纷纷建立信息系统和基于 Internet 的管理应用，以提高劳动生产率，提高管理水平

5、，加强信息反馈，提高决策的科学性和准确性，提高企业的综合竞争力。但是，电力企业网络的发展，也面临日益突出的信息系统安全问题。在电力企业的综合信息管理系统中， 必须从网络、操作系统、应用程序和业务需求等各方面来保证系统的安全。华工安鼎:系统安全专家华工安鼎应用信息系统本部致力于为电力企业提供最好的安全解决方案，让各电力企业创造更好的社会效益和经济效益。多年来，华工安鼎专注于电力行业，提供从网络平台到应用系统的行业全面解决方案，先后在数十家电力企业中成功完成对电力行业系统安全解决方案的设计和实施工作，积累了广泛的行业经验，深入、全面和准确地把握了电力行业的需求。同时，华工安鼎拥有一大批既熟悉电力行

6、业业务和发展现状、精通系统安全设计、实施的技术人员，缔结了一大批系统安全方面的合作伙伴，建立了良好的市场形象和卓越的技术实力。多层保护:实现电力系统无忧运行华工安鼎应用信息系统本部集成了最先进的系统安全技术和产品，提出了一整套先进、完整、实用，完全满足电力行业需求的系统安全解决方案，主要包括网络安全方案，数据安全方案，容错技术方案和病毒防范方案等。网络层安全方案华工安鼎应用信息系统本部在网络层采用了防火墙技术。由于电力企业对于数据的实时性要求较高，数据的传输量也较大，因此对于电力网络的性能有很高的要求。另外，电力企业涉及到电网供电，其安全性也必须得到切实保证，目前大多数的电力企业均已不同程度地

7、使用了网络安全技术和产品来进行保护。华工安鼎应用信息系统本部为电力系统提供的网络安全层解决方案具备易用性和易管理性和良好的扩展性等特点，不但适应网络层安全技术未来发展的需求，而且还能保证电力企业现有的投资不被浪费。应用层安全方案在网络的应用层上，华工安鼎应用信息系统本部对电力行业系统安全解决方案采用了严格的身份认证，不同粒度的访问控制，数据完整性、保密性和非否认性检测以及安全审计记录等技术。其中身份认证可以支持基于对称密钥的 Kerberos V5 和基于公钥的 X.509 证书等在内的各种身份认证技术。而不同粒度的访问控制则可以根据不同网络应用提供文件、页面或端口级的访问控制。而在数据完整性

8、、保密性和非否认性检测中，采用了高强度加密算法， 数字签名、时间戳和会话密钥等技术。该网络安全解决方案的另一个突出优点是除了能进行入侵检测和漏洞扫描外，还能无缝地集成到第三方应用系统的安全机制中，做到统一管理。数据安全及容错方案对于企业来说，最珍贵的不是计算机、硬盘、CPU 和显示器等硬件设备，而是存储在存储介质中的数据信息。因此对于一个信息管理系统来说，数据备份和容错方案是必不可少的。华工安鼎应用信息系统本部对电力行业系统安全解决方案的数据备份采用软、硬结合的全面解决方案，包括磁带机、备份管理软件和存储区域网络在内的各种技术，具有可靠性高、速度快、性能价格比高等特点。先进的系统体系结构，使其

9、可以支持包括 SAN 在内的各种网络备份技术;支持各种主流计算机操作系统、各种操作系统文件、各种主流数据库系统;支持非结构化数据(如 Lotus Notes)的数据备份、系统在线数据备份和完全、增量和差分等各种备份策略，备份过程中，支持各种数据校验技术。另外，华工安鼎应用信息系统本部的电力行业系统安全解决方案的数据备份还提供了先进的备份管理功能，实现备份、恢复智能化和操作故障的自动提示。其具有的可扩展性，可根据电力企业业务的扩大，平滑扩展，保护已有投资。关于容错，该解决方案中的容错方案可实行实时监控，能自动后援切换，支持双机热备份和双机互备援等各种规划方式，具有伸缩能力强，对现有系统影响小，管

10、理简单方便等特点。病毒防范方案针对在 Internet 上，病毒肆虐，企业信息系统每天都有面临预测的可能， 华工安鼎应用信息系统本部对电力行业系统安全解决方案提供了病毒防范方案，其技术特点是:企业级网络防毒;病毒库网络自动更新;管理简单有效。基本解决方案第一道安全屏障网络防火墙系统防火墙通过网络地址转换(NAT)功能来隐藏内部网络 的 IP 地址;通过其动态访问过滤功能动态检查流经的 IP 数据包，根据设定的规则决定数据包是否可以通过，并将不合法的数据包过滤掉;通过其 URL 地址限定功能限制对某些站点的访问，防止内部网络对外部网络进行不安全的访问。第二道安全屏障网络防毒系统网络防毒系统可以采

11、用 C/S 模式，在网络防毒服务器中安装杀毒软件服务器端程序，并通过 Internet 利用 LiveUpdate 功能，从免疫中心实时获取最新的病毒码信息。服务器和网络工作站都安装客户端软件，利用从服务器端获取的病毒码信息对本地工作站进行病毒扫描，并对发现的病毒采取相应措施进行清除。客户端根据需要可用三种方式进行病毒扫描:实时扫描、预置扫描和人工扫描。由于病毒扫描可能带来服务器性能上的降低，因此可采用预置扫描方式，将扫描时间设定在服务器访问率最低的夜间。网络工作站可根据各自需要，选择合适的方式进行病毒扫描。第三道安全屏障入侵检测系统安全漏洞扫描入侵检测系统是专门针对黑客攻击行为而 研制的网络

12、安全产品。国际上先进的分布式入侵检测构架，可最大限度地、全天候地实施监控，提供企业级的安全检测手段。在事后分析的时候，可以清楚地界定责任人和责任事件， 为网络管理人员提供强有力的保障。入侵检测系统采用攻击防卫技术，具有高可靠性、高识别率、规则更新迅速等特点。系统具有强大的功能、方便友好的管理机制，可广泛应用于电力行业各单位。漏洞检测和安全风险评估技术，因其可预知主体受攻击的可能性和具体的指证将要发生的行为和产生的后果，而受到网络安全业界的重视。这一技术的应用可帮助识别检测对象的系统资源，分析这一资源被攻击的可能指数，了解支撑系统本身的脆弱性，评估所有存在的安全风险。漏洞扫描系统就是这一技术的实

13、现，她包括了网络模拟攻击，漏洞检测，报告服务进程， 提取对象信息，以及评测风险，提供安全建议和改进措施等功能，帮助用户控制可能发生的安全事件，最大可能的消除安全隐患。增强解决方案以上看到，该网络综合采用了各种网络安全技术，包括防火墙、入侵检测、安全漏洞扫描、网络防病毒等。在电力系统的一些网络中还采用 VPN 等技术。这些安全技术在一定程度上保护了网络、主机和系统服务免受来自外部的攻击和破坏，对病毒的危害也能够起到一定的防范效果。但是，这些安全措施在防范来自内部的攻击，保护应用系统和信息安全方面却无能为力。“后续的工作将是在逐步完善安全体系的基础上，把建设重点由以网络安全为主应用安全为辅转入以应

14、用安全为主网络安全为辅的阶段。”一、信息安全隐患分析我们可以从信息在网络系统中的存储、处理、传输和用户对这些信息的访问活动等方面来分析这些信息潜在的安全威胁。数据库数据和文件的明文存储:电力系统计算机网络中的信息一般存储在由数据库管理系统维护的数据库中或操作系统文件中。这些以明文形式存储的信息存在泄漏的可能，因为拿到存储介质的人可以读出这些信息;黑客可以绕过操作系统、数据库管理系统的控制获取这些信息;系统后门使软硬件系统制造商很容易得到这些信息信息的明文传输:现代应用系统一般采用 C/S(客户/服务器)或 B/S(浏览器/服务器)结构， 都在网络上运行，所处理的信息也必须在网络主机间频繁传输。

15、在电力行业的计算机网络系统中，信息传输基本上是明文方式。偶有采用 SSL(安全套接字层)等加密传输的，但由于外国安全系统出口的限制，所能够用到的 SSL 是低安全级别的。这些明文或只受到低安全保护的信息在网络上传输，不具有信息安全所要求的保密、完整和发送方的不可抵赖性要求。弱身份认证:电力行业应用系统基本上基于商用软硬件系统设计和开发，用户身份认证基本上采用基于口令的鉴别模式，而这种模式很容易被攻破。有的应用系统还使用自己的用户鉴别方法，将用户名、口令以及一些安全控制信息以明文的形式记录在数据库或文件中， 这种脆弱的安全控制措施在操作人员计算机应用水平不断提高，信息敏感性不断增强的今天不能再用

16、了。信息安全增强解决方案信息安全解决方案应该全面考虑信息存储、传输、处理和访问等各环节的安全要求，使信息安全方案没有攻击者可以利用的安全薄弱环节。按照信息安全全面性要求原则，信息安全方案必须包括如下组成部分:安全的身份认证:安全的身份认证是安全的第一步，不安全的身份认证可能造成用户假冒，使其它安全措施失去作用。通信安全:采用数据加密、信息摘要和数字签名等安全措施对通信过程中的信息进行保护，实现数据在通信中的保密、完整和不可抵赖性安全要求。文件安全:通过文件加密、信息摘要和访问控制等安全措施，来实现文件存储和传输的保密和完整性要求，并实现对文件访问的控制。数据库安全:通过数据存储加密、完整性检验

17、和访问控制来保证数据库数据的机密和完整性，并实现数据库数据的访问安全。安全审计:通过记录审计信息来为信息安全问题的分析和处理提供线索。安鼎公司针对信息安全的要求，结合自身技术特点开发出了有关身份认证、通信安全、文件安全、数据库安全等的信息安全产品，并在这些产品中集成了审计功能。1、安鼎 KDC安鼎 KDC(Key Distribution Center)是 Kerberos 第 5 版的实现和增强，可以为企业提供集中的用户管理、服务管理和通信安全服务。其功能包括:用户管理票据授权服务应用服务管理服务器票据管理用户鉴别安全审计安鼎 KDC 不但可以和安鼎其他安全产品集成使用，也可以和支持 Ker

18、beros 的其他产品集成，如 Oracle 8i 等。安鼎 KDC 提供了调用接口(API)，用户可以在应用中调用 KDC 的安全功能。安鼎 KDC 使“一次登录”成为可能，即用户在使用所有可以访问的数据和系统时只需要登录一次。2、安鼎安全通信代理安鼎除在自己的信息安全产品中包含了通信安全功能外，还为不具备通信安全的系统提供了一个可配置的通信安全解决方案，即安鼎安全通信代理。安鼎安全通信代理包括客户端和服务器两部分。安全代理结构通信安全代理客户端运行在应用系统客户机上。当客户机要向服务器发送信息时，信息不直接发送到服务器，而是发送到通信安全代理客户端。客户端将信息加密后发送到通信安全代理服务

19、器。通信安全代理服务器将请求脱密后发给真正的服务器并获取返回的内容，将返回内容加密并返回给通信安全代理客户机。通信安全代理客户机将通信安全代理服务器返回的内容脱密并返回给请求者。通信安全代理客户端与服务端之间的通信过程采用一次会话一个密钥的动态密钥加密方式，并通过会话标识、请求序号、完整性校验码等来实现防重放、防篡改。3、安鼎文件保密柜安鼎文件保密柜可分为企业文件保密柜和个人文件保密柜两种。安鼎企业文件保密柜安鼎企业文件保密柜包括文件柜服务器和文件柜客户机，功能包括:文件加密存储:文件以加密的形式存储在文件柜中，防止文件内容的泄漏。文件传输加密:文件从服务器传输到客户机过程中采用加密保护措施。

20、访问控制:企业文件柜允许多用户共享文件，企业文件柜提供访问控制功能，防止文件的非授权访问。安全审计:记录用户对文件的访问，提供安全审计记录查询功能。文件查询:可以根据查询条件来查找相关的文件，包括全文查找。文件组织与管理:以层次形式显示和组织文件，支持文件在层次结构中的拖动。安鼎个人文件保密柜安鼎个人文件保密柜功能包括:加密存储:文件以加密的形式存储在文件柜中，防止文件内容的泄漏。文件查询:可以根据查询条件来查找相关的文件，包括全文查找。文件组织与管理:以层次形式显示和组织文件，支持文件在层次结构中的拖动。作为企业文件保密柜客户机使用。安鼎文件保密柜的特点安全:采用 182 位密钥长度加密，且

21、不同文件采用不同密钥。全文查找:自主研制的加密算法支持快速全文查找功能。多平台支持:支持 Unix / Linux / Microsoft OS。操作方便:支持右键和拖放操作。支持二次开发:通过编程接口支持二次开发。4、安鼎数据库加密系统安鼎数据库加密系统包括数据库加密服务器、安鼎 ODBC 驱动器、安鼎 JDBC 驱动器和一个工具集。数据库安全体系结构安鼎数据库加密系统能够适应 C/S 和 B/S 两种应用形式。数据库安全 C/S 模式系统结构在 C/S 模式应用系统中，客户端应用(包括开发工具)与安鼎 ODBC 驱动器交互来访问数据库加密系统服务器。数据库安全 B/S 模式系统结构在 B/

22、S 模式系统中，浏览器与 Web 服务器采用 Http 进行交互。为解决浏览器与 Web 服务器间的通信安全问题，采用代理技术来实现浏览器与 Web 服务器间的通信安全。在浏览器中使用代理功能，将请求发往本机的安全代理客户端，安全代理客户端将请求加密后发往安全代理服务器。安全代理服务器依次脱密请求、将请求交给 Web 服务器、获取 Web 服务器返回内容、加密返回内容、发送加密后的内容到安全代理客户端。安全代理客户端脱密返回的内容并交给浏览器。浏览器则将内容显示出来。数据库加密服务器数据库加密服务器主要由服务管理、SQL 执行引擎、数据字典管理、DBMS 访问接口、数据备份与恢复、其他系统服务

23、等模块组成。从客户端来的请求首先交给服务管理模块，服务管理模块将请求分派到实际的服务模块执行。有关密文数据访问的请求交给 SQL 执行引擎。SQL 执行引擎对到来的 SQL 进行词法和语法分析。通过了词法、语法检查 SQL 请求在 SQL 执行引擎中形成执行计划并被执行。在SQL 执行过程中会调用数据加密功能对写入数据库的数据进行加密，对从数据中取出的数据进行脱密。安鼎 ODBC 驱动器安鼎 ODBC 驱动器符合 Microsoft ODBC 标准，并在内部实现了与服务器间的安全通信。因此，任何可以通过 ODBC 工作的应用系统和开发工具都可以通过这个驱动器访问数据库加密系统，即数据库数据的通

24、信和存储安全对应用系统是透明的。安鼎 JDBC 驱动器安鼎 JDBC 驱动器符合 JDBC 标准，并在内部实现了与服务器间的安全通信。因此，任何可以通过 JDBC 工作的应用系统和开发工具都可以通过这个驱动器访问数据库加密系统， 即数据库数据的通信和存储安全对应用系统是透明的。工具集企业管理器:以一种集成的方式实现系统的所有管理工作。管理器功能包括节点管理、服务器配置、停止服务器、活动用户管理、数据库中对象及其加密属性管理、密文数据的明文备份与恢复。交互命令处理器:执行命令来完成系统管理和数据操纵功能。这些命令包括连接命令、服务器配置与管理命令、表的安全属性管理命令、备份与恢复命令、SQL 等。命令处理器可以直接执行命令脚本文件，以批量化和自动化一些管理工作和数据操纵工作。安鼎数据库加密系统的特点高安全性:128 位密钥长度，数据项级数据加密，即不同数据项采用不同密钥加密。用户还可选择安鼎硬件加密卡来执行加/脱密等安全操作，保证密钥不出现在硬件加密卡以外的任何地方，使系统更加安全。高效率:自主研制的密文查询算法保证密文访问的效率。安全功能透明性:系统通过标准的 ODBC 和 JDBC 接口给应用提供了透明的数据库存储加密和通信加密功能。多平台支持:支持的操作系统平台包括各种 Unix、Linu