信息技术的三大支柱

电力信息安全工程技术

三大支柱

2005年电力信息化高级论坛

电力信息安全工程技术三大支柱

一、问题的提出二、信息安全示范工程简介三、信息安全工程技术三大支柱四、电力信息安全监管平台系统五、结论与建议一、问题的提出

1、信息安全一电力系统安全一国家安全

2、信息技术高速发展，信息网络规模快速扩展，信息化迫切要求，系统不能适应信息化应用需要

3、信息安全产品、系统没有统一规范和标准，我国没有符合要求成功范例

4、没有建立信息安全管理体系、技术体系、评估及评测体系

5、信息安全投资浪费，资源不能充分利用

6、信息安全示范工程，电力企业信息安全如何开展二、辽宁电力信息安全示范工程简介-立项

2000年8月，电力系统信息安全示范工程可行性研讨。

2001年2月，项目可行性研究报告，通过了国家电力公司组织的评审。

2001年7月，“国家电力公司科学技术项目合同”上报国家电力公司。

2002年1月，由国家科技部、国家商用密码办公室领导和专家12人专家组对省公司进行实地调研和考察。

2002年4月，在北京召开了国家电力信息安全技术研讨会，“电力系统信息安全示范工程”主要研究内容；关键技术及创新点；项目实施的技术路线；项目设立7个专题：示范工程分年度计划。

2002年7月，国家科技部正式下达“十五”国家重大科技攻关项目-《国家信息安全应用示范工程》（中央和国家机关、上海S219、电力系统信息安全示范工程)试点项目《辽宁电力系统信息安全示范工程》

二、辽宁电力信息安全示范工程简介-计划

项目计划步骤：

1、调查研究和探讨、学习和培训

2、信息安全策略、标准、方法、模型、工程框架的确定

3、信息网络系统安全风险评估

4、导出安全需求，安全目标的确定

5、信息安全工程方案设计与进度规划

6、组织信息安全工程实施、运行与维护

7、信息安全工程评审与验收

8、信息安全工程持续改进二、辽宁电力信息安全示范工程简介-实施

1、调查研究和探讨、学习和培训深入信息安全企业、产品厂商调查研究和探讨，先后查阅大量信息安全标准和文件。翻译国际标准全文或相关部分7册、26篇（91.8万字)，其中：技术标准13篇、管理标准7篇、工程标准5篇。编制设计方案和实施方案19册、46篇（75.86万字)。组织学习和培训，并选派11名同志参加英国标准协会BS7799EssentialCourse和国家信息安全专业人员（CISP)认证培训。

2、依靠行业自身的技术力量，进行安全风险评估

2002年8-11月，安全风险评估，完成了管理策略和技术策略访谈、相关策略文档审核、网络和主机设备的脆弱性扫描及配置检查、业务系统评估、黑客攻击测试等工作。在管理方面，加强安全组织建设，加强信息系统安全运行管理；在技术方面，加强鉴别和认证机制，加强访问控制，制定保护内容安全的措施，建立审计机制，加强安全事件响应能力等。二、辽宁电力信息安全示范工程简介-实施

3、信息网络基础平台优化整合—

解决系统配置问题

4、信息网络基础平台结构优化—

分区控制“4点法”

5、信息系统应用基础平台优化整合—

集中统一和分级的用户信息管理，建立全省目录、代理、域名、电子邮件、信息发布、企业门户、视频会议等信息系统应用基础平台。

6、建立网络及信息安全防御体系建立了全省统一管理的数据备份系统（两个省级中心），实现在本地、异地的数据备份功能；全省的统一管理的防火墙、入侵检测、漏洞扫描和防病毒系统等安全防护体系；

7、辽宁电力网络信息安全监视及管理平台，在线监视及管理信息网络系统运行状况；辽宁电力系统信息安全实验室，企业应用安全产品的选型，人员培训，做好应急措施和恢复方案等系统信息安全提供持续、全面的技术服务。二、辽宁电力信息安全示范工程简介-实施

8、建立了辽宁电力PKI-CA认证系统在省公司建立一个KM（密钥管理）中心、CA（证书认证）中心、RA（注册审核）中心和分发中心（信息发布），基于证书的应用系统改造。

9、信息安全环境基础设施建设

PKI-CA认证中心达到国家C级安全标准，空调、门禁、完整的消防系统，温度和湿度数字监控系统，对所有通道和主要房间进行实时监控，确保无监控死角，重点部位的在线安全视频监视系统的建设。

10、建立了辽宁电力系统信息安全总体框架，信息安全管理体系，信息安全技术体系，信息安全风险评估及评测体系。

11、形成工程组织管理、技术文档6类73篇175万字，发表论文13篇，其中:国家级刊物6篇.培养博士2名，硕士4名。

12、获得2004年国家电力公司科技进步一等奖，中国电力科技进步二等奖，省公司科技进步特等奖。

三、信息安全工程技术三大支柱

网络及信息安全，一般通常称为信息安全

从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络及信息安全的研究领域。

从安全策略体系来说，安全技术标准规范和操作流程、应用程序层、业务系统层和数据层的管理制度和标准，主要业务系统的安全配置标准和制度，业务连续性管理计划，法律的符合性是保证电力系统信息安全的基础，

从信息安全技术来说，构建电力系统信息安全技术三大支柱。基本内容包括：网络及信息安全防御体系一解决网络安全问题；身份认证与授权管理体系（PKI/PMI）一解决信息交换与共享安全问题；数据备份及灾难恢复体系一解决数据备份、存储与恢复安全问题。三、信息安全工程技术三大支柱—网络防御

网络及信息安全防护体系—解决网络安全问题

主动防御技术：一般有数据加密、安全扫描、网络管理、网络流量分析和虚拟网络等技术

1、网络安全性漏洞扫描-通过对网络的扫描，可以了解网络的安全配置和运行的应用服务，及时发现安全漏洞，，客观评估网络风险等级。

2、网络管理技术-通过提供集成化视图来管理支持业务程序的IT系统，并视业务政策和目标的变化进行动态调整，能够根据其监视或检测到的情况实施管理活动。

3、网络流量分析-提供了用户上网行为分析、异常流量实时监测、历史流量分析报表到流量趋势预警等功能，可以通过日报、周报、月报的标准报表、对照报表、趋势分析报表等多种格式报告流量分析结果。

三、信息安全工程技术三大支柱—网络防御

4、带宽管理-可以控制网络表现，使之与应用程序的特点、业务运作的要求以及用户的需求相适应,然后，提供验证结果。

5、VLAN-把网络上的用户(终端设备)划分为若干个逻辑工作组,每个逻辑工作组就是一个VLAN。可以灵活地划分VLAN,增加或删除VLAN成员，不必重新改变设备的物理连接。

6、VPN-采用加密和认证技术,利用公共通信网络设施的一部分来发送专用信息,为相互通信的节点建立起一个相对封闭的、逻辑的专用网络。

7、数据加密技术-具有信息加密功能,而且具有数字签名、身份验证、秘密分存、系统安全等功能。可以保证信息的机密性,而且可以保证信息的完整性和确证性,防止信息被篡改、伪造或假冒。

三、信息安全工程技术三大支柱—网络防御

被动防御技术-防火墙技术、防病毒技术、入侵检测技术、路由过滤、审计与监测等技术。

1、防火墙技术-设置在两个或多个网络之间的安全阻隔，用于保证本地网络资源的安全。

2、防病毒技术-防病毒系统通过设定防病毒升级服务器进行防病毒组内的服务器端及客户端的病毒代码更新，搜集防病毒服务器的运行日志。3、入侵检测技术-通过从计算机网络和系统的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为或遭到入侵的迹象,并依据既定的策略采取一定的措施的技术。

4、路由过滤技术-路由器中的过滤器对所接收的每一个数据包根据包过滤规则做出允许或拒绝的决定。

5、审计与监测-对涉及计算机系统安全保密的操作进行完整的记录，能有效地追查事件发生的用户、时间、地点和过程，发现弱点和入侵点。

三、信息安全工程技术三大支柱—网络防御

电力的性质决定了电力企业是网络型的电力生产、经营和管理型企业，信息交换频繁，要求安全可靠、方便快捷、实时性强。网络信息安全防御体系的设计应遵循以下原则：

1）、网络安全环境综合治理原则；

2）、网络结构优化先行原则；

3）、网络及信息安全防护网络化原则；

4）、集中管理与分级控制原则；

5）、与安全策略和管理体系协调一致原则；

6）、统一领导、统一规划、统一标准、分级组织实施原则。。三、信息安全工程技术三大支柱—网络防御2002年信息网络基础平台优化整合三、信息安全工程技术三大支柱—网络防御2003-2004年信息网络基础平台结构优化三、信息安全工程技术三大支柱—网络防御辽宁电力信息网络基础应用平台生产数据库综合查询数据库信息安全数据库其它数据库综合管理数据库数据中心EmailInternetPortal辽宁电力信息广域网浏览器客户机浏览器浏览器浏览器客户机客户机客户机电力物资住房改革机关管理外事管理人力资源发展规划住房改革多种经营农电管理工程管理纪律检查工会管理学会协会综合查询其它系统审计管理电力营销计划管理财务管理社会保险生产管理科技信息调度管理安全监察LdapPKI-CAOADNSV-meetingProxy浏览器浏览器浏览器2003-2004年信息系统应用基础平台优化整合三、信息安全工程技术三大支柱—信息安全

身份认证与授权管理体系（PKI/PMI）一解决信息交换与共享安全问题；

1、PKI-CA(PublicKeyInfrastructure)公钥基础设施

PKI体系是计算机软硬件、权威机构及应用系统的结合，用来实现电子证书的注册、签发、证书发布、密钥管理和在线证书状态查询等功能，被称为公钥基础设施。CA（CertificateAuthority）证书授权中心，CA作为电子证务中受信任的第三方，承担公钥体系中公钥的合法性检验的责任。CA中心为每个使用公开密钥的用户发放一个数字证书，数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。CA机构的数字签名使得攻击者不能伪造和篡改证书。三、信息安全工程技术三大支柱—信息安全

身份认证与授权管理体系（PKI/PMI）一解决信息交换与共享安全问题；

PMI(PrivilegeManagementInfrastructure)特权管理基础设施属性证书、属性权威、属性证书库等部件构成的综合系统，用来实现属性证书的产生、管理、存储、分发和撤销等功能，被称为权限管理基础设施。PMI使用属性证书表示和容纳权限信息，通过管理证书的生命周期实现对权限生命周期的管理。属性证书的申请，签发，发布，注销，验证过程对应着传统的权限申请，产生，存储，撤消和使用的过程。三、信息安全工程技术三大支柱—信息安全

身份认证与授权管理体系（PKI/PMI）一解决信息交换与共享安全问题；

PKI和PMI关系：

PKI和PMI之间的主要区别在于：PMI主要进行授权管理，证明这个用户有什么权限，能干什么，即“你能做什么”；PKI主要进行身份鉴别，证明用户身份，即“你是谁”。它们之间的关系类似于护照和签证的关系。护照是身份证明，唯一标识个人信息，只有持有护照才能证明你是一个合法的人。签证具有属性类别，持有哪一类别的签证才能在该国家进行哪一类的活动。三、信息安全工程技术三大支柱—信息安全2003年辽宁电力PKI-CA认证系统三、信息安全工程技术三大支柱—信息安全2004年三、信息安全工程技术三大支柱—信息安全2004年三、信息安全工程技术三大支柱—信息安全PKI-CA认证系统机房布局与结线图三、信息安全工程技术三大支柱—数据安全

数据备份及灾难恢复体系一解决数据备份、存储与恢复安全问题。

1、在省中央数据备份中心和沈阳数据备份中心构造SAN，采用LAN-Free备份方式，和其他地市数据中心采用LAN-Base备份方式。既可以满足辽宁电力近阶段数据备份的要求，又利于备份系统以后全部平滑过渡到LAN-Free备份结构。

2、省级数据备份中心和各地市数据中心备份系统设计不同。省中心作为全局备份的核心，一方面实现对省中心应用数据的备份，另一方面，也要实现与沈阳数据中心互为100%备份，达到异地灾难备份的目的。除此以外，省中心还要实现对其它地市数据中心关键数据的远程备份。

三、信息安全工程技术三大支柱—数据安全

数据备份及灾难恢复体系一解决数据备份、存储与恢复安全问题。

3、在各地市数据中心，沈阳数据中心与省中心互为灾备中心，除了备份本身的数据外，还要实现与省中心互为100%备份，因此数据量很大，也存在保证海量数据备份的性能问题。而其它市数据中心仅需要备份或归档本市数据中心的数据，数据量相对较小，采用网络备份系统可以减少系统复杂度、降低成本。

4、省级备份中心和各地市数据中心备份系统采用集中管理与分级控制相结合，按省公司统一管理与控制策略，完成数据备份与灾备工作。三、信息安全工程技术三大支柱广域网STK180带库FCFC存储备份管理存储备份管理光纤存域网局域网局域网STKL80带库STKL80带库STKL80带库基层单位光纤存域网10GB波分STK180带库FAStT700阵列柜辽宁电力中央数据备份中心辽宁电力沈阳数据备份中心2003-2004年辽宁电力信息网数据备份系统

四、辽宁电力网络信息安全监管平台系统

为什么要建立网络信息安全监管平台及系统

1、信息网络配置了大量的安全产品，如防火墙、入侵监测、防病毒系统、PKI-CA证书系统等。

2、管理策略的有效实施是保证电力网络信息安全的基础。实践经验表明：60-70%取决于管理策略的有效实施，30-40%取决于信息技术。

3、技术复杂、发展速度快、培训学习跟不上。

4、涉及面广、需求多变人员少