电力行业信息安全服务建议
电力行业信息安全服务建议
一、电力行业特点
电力行业是国民经济的基础产业,是一切电子设备正常运行的基础,保证持续、高效的电力供应是关系到国计民生的大事,也是电力部门工作注目的焦点。电力行业与其他行业相比具有分散控制、统一联合运行的特点。系统的运行涉及到发电厂、变电站、调度中心;发、输、配电系统一体化,系统中包括了各种独立系统和联合电网的控制保护技术、通信技术、运行管理技术等。随着电力行业的不断发展,电力的关键业务不断增长,因此信息化应用也不断增强,网络系统中的应用越来越多。同时,随着Internet技术的发展,建立在Internet架构上的跨地区、全行业系统内部信息网开始逐步建立,网上应用着各种电力业务及办公系统。显而易见,电力信息网络系统的网络安全问题愈来愈显得重要。
二、电力行业现状及安全分析
电力系统信息安全是电力系统安全运行和对社会可靠供电的保障,结合电力工业特点,电力工业信息网络系统和电力运行实时控制系统,分析电力系统信息安全存在的问题,电力系统信息没有建立安全体系,只是购买了防病毒软件和防火墙,有的网络连防火墙也没有,没有对网络安全做统一长远的归划。网络中有许多的安全隐患,主要包括以下几个方面:
?信息网络安全意识
传统的电力行业发展重基本建设,轻信息安全。网络结构不太合理,缺乏网络安全观念,不能满足信息安全的要求。在信息安全方面
缺少系统的网络安全体系,缺少有关信息安全的管理手段和防范措施、故障恢复方法和策略以及网络实时安全监视手段。
?缺乏统一的信息安全管理规范
对电力行业来说,生产设备自动化程度高,不间断的生产方式,全网的协同调度,这些特殊的需要都要求其必须有统一的信息安全管理模式。
?网络之间缺乏安全隔离
SCADA(实时采集与监控系统)、EMS(配电管理系统)、OA、MIS 等不同安全等级的网络不恰当地连接在一起,造成信息的非授权访问、机密信息泄露、病毒和黑客攻击横行,甚至导致网络瘫痪,影响正常生产和办公。
?对网络内部的安全威胁缺乏防护、监控和审计机制
?急需建立同电力行业特点相适应的整体的网络安全体系。
三、网络安全解决建议
依据电厂网络整体结构和目前运营模式,我们采用“纵深防御”的设计的理念。
?应用安全层:解决应用平台的安全问题。信息的安全常常归结为应用的安全,目前在电力行业的应用主要有服务器 /客户机(C/S)结构和浏览器/WWW服务器/数据库(B/W/D)结构的应用,很多应
用系统在开发的时候并没有太多考虑安全实现的细节,各个应用系
统的安全防范措施也不能保证一致,这就给应用系统的安全带来隐患。应用层安全措施包括加强应用系统自身的安全控制、采用第三方
应用安全服务平台等。
?安全管理层:加强员工安全意识,从行政管理方面加强信息网的安全,包括安全管理的原则和相关制度等。
?安全服务层:主要从安全评估、安全策略、规则的制定,安全系统维护、安全培训和应急安全服务方面进行考虑。
3.1 安全咨询服务概述
企业或者政府等组织在安全生产管理、运作过程中会时常面临各种各样的信息安全问题,为了更好避免或是应对这些问题,需要一些专业的指导。安全咨询服务正是为客户提供专业信息安全的指导咨询,该服务是贯穿客户整个运营生产过程,从管理、技术、体制、机制提出安全建议或解决方案的服务;是融合发现问题、分析问题、解决问题过程于一体的服务过程。
3.2 信息安全综合服务
信息安全综合服务是安全咨询服务中一种综合性咨询服务,为客户提供三维度全方位(包括管理方面、技术方面和整个信息系统可持续发展的安全服务)的专业信息安全指导咨询,并提供有效解决问题的方案。
信息安全综合服务坚持以技术为基础保障不变,以健全安全管理体系为指导引领着为客户提供各种信息安全服务的咨询,协助客户建立信息系统安全运行维护体
系。从而保障信息系统的安
全运行,最终更好服务于业
务系统的正常运作,让客户
运营保持可持续发展。
为客户提供的信息安全服务包括不限于以下几种:信息安全评估服务、安全体系建设咨询(ISO27001)、安全管理策略、信息安全培训、一体化体系管理服务、安全产品租借服务、安全加固与优化服务、数据库专项服务、网络防病毒服务安全巡检服务、运程监控服务、紧急响应服务、安全事件处理、应急预案制定服务、ITIL运维服务、信息安全通告等等。
通过高品质的信息安全综合服务,客户可以消除对信息安全的各种疑惑,加强技术防范同时提高管理意识,技术、管理两者相互融合并最终实现全方位预防和解决潜在的信息安全隐患,保障信息安全。
3.3信息安全规划服务
3.3.1 信息安全规划概述
正所谓“磨刀不误砍柴工”。同样在信息安全建设中,事前花点时间做好规划再进行实施,这
样会大大提高信息安全建设的
效率。信息安全规划服务就相当
于为客户磨好这样一把锋利尖
锐的刀。
信息安全规划服务基于信息
系统安全体系框架,根据客户信
息系统的安全现状,结合国家与行业政策标准要求,为客户量身设计整体安全体系框架、安全策略与技术解决方案、安全建设规划等,满
足全面性、合规性、持续性的信息安全保障需求。
3.3.2 信息安全规划服务细则
如何为客户磨好这把刀呢?分三个步骤:首先深入了解客户信息安全建设基本情况,对物理环境、基础架构、应用、数据、网络等信息展开调查并进行安全需求分析,提供整体信息安全框架规划与安全防护产品技术解决方案;其次根据风险评估的结果和提取的安全需求描述实施相应的安全保障措施,提供安全策略设计;最后从管理、组织和技术等多方面进行综合考虑,帮助客户建立信息安全保障机制,实现管理与技术的双层面安全。
通过体系规划咨询服务,客户可获得下列收益:
1.整体规划:信息系统前期做到全面覆盖、整体规划,可
以尽量避免后期的安全问题;
2.针对性满足客户业务需求:根据客户组织结构特点、网
络特点、业务特点,基于未来业务发展的信息战略及架构进行
规划设计;
3.符合标准:依据国家信息安全政策、符合相关法规标准
要求进行合理规划。满足后期相关认证或测评的要求;
4.保障信息安全、提高效率、节约成本;
5.可持续发展:满足信息系统全生命周期的持续安全保障
要求。
3.4IT战略规划咨询
3.4.1 客户面临的挑战
?IT如何与业务结合以适应市场的快速变化;
?如何建立可靠的IT基础设施以保障业务的安全运行;
?如何集成内部各应用系统,如何增强与合作伙伴,上下游的紧密关系;
?如何降低IT的运维成本和降低IT业务的复杂性以集中精力于核心业务;
?如何利用新的技术快速的获得竞争优势。
以独特的IT规划方法论为指导,帮助企业建立以客户为中心的企业信息架构,加速企业的资源优化整合,提供可预期的IT建设路
线图、IT投资和业务回报,实现IT的有序建设,提高企业IT建设应对业务变化和抗风险的能力,改善客户服务质量,保障企业IT投资回报的可预见和最大化。
3.4.2 IT战略规范服务细则
IT战略规划服务分为:评估分析;规划设计;实施计划三阶段。
3.5CloudFence网站保护系统
3.5.1 概述
CloudFence网站保护系统,通过先进的云计算平台,为用户提供一站式的安全解决方案,网站在“零部署”、“零维护”的情况下,
防止诸如XSS、SQL注入、木马、零日攻击、僵尸网络等各种网站安全问题。同时,CloudFence综合采用跨运营商智能调度、页面优化、页面缓存等技术,进一步提升访问速度,降低故障率,从而整体提升网站的用户体验。在将来,CloudFence将进一步以云计算为基础,专注于“后PC”时代基于Web的各种应用的安全问题,让Web应用因云计算而大放异彩,因CloudFence而更加专注。
3.5.2 功能介绍
?网站优化加速
功能强大的网站优化加速功能,提供遍布全国的内容分发节点,将您的网站内容自动分发到离用户最近的节点服务器,给用户提供就近服务。而用户无需安装任何软件或控件,优化用户体验,提高您的网站搜索引擎排名的同时为您的网站节省连接数,节省带宽,减少资源占用。
?网站漏洞扫描