电力系统网络安全解决方案

Power Electricity Industry Security Solution

StoneSoft 电力系统网络安全解决方案

目录

一、关于StoneSoft (3)

二、电力系统的网络安全风险控制 (4)

三、电力系统网络安全解决方案目标 (8)

四、StoneSoft电力系统安全解决方案设计思路 (10)

五、StoneSoft电力系统安全解决方案设计方案说明 (13)

六、StoneSoft网络安全产品介绍 (20)

七、StoneSoft管理系统 (27)

八、StoneSoft产品关键特性 (30)

一、关于StoneSoft

StoneSoft 公司(HEX:SFT1V)是一家全球性的公司，她专注于企业级的网络安全保护和网络商务连续保证。她自有的StoneGate™安全平台整合了防火墙,VPN和IPS，给苛刻的商务应用提供了有效灵活的防护。StoneGate内置了采用负载均衡技术的StoneBeat。

StoneSoft的产品构想是构建能互操作的产品，这些产品通过分布式的安全策略的执行，具有集中的管理,有效的分层防护或者深层防护。Stonesoft提供在那些网络的解决方案中所必须的产品，而这些创建好的网络是安全,有效,可管理以及可升级的。Stonesoft的全球总部在芬兰的赫尔辛基；美洲总部在美国佐治亚洲的亚特兰大；亚太地区总部在新加坡。 Stonesoft 在美洲设有许多办事处，包括墨西哥和巴西。她在欧洲的英国、德国、法国、意大利、荷兰和西班牙都设有办事处。 Stonesoft 在全球拥有超过250名员工。

2005年8月，Stonesoft公司在中国上海成立了办事处。

二、电力系统的网络安全风险控制

事实证明，由于电力系统一直以来网络结构和业务系统的相对封闭性，电力系统出现的网络安全问题也基本产生于内部。但是，随着近年来与外界接口的增加，特别是与银行等合作单位中间业务的接口、网上电力服务、三网融合、数据大集中应用、内部各系统间的互联互通等需求的发展，其安全问题不仅仅局限于内部事件了，来自外界的攻击已越来越多，已经成为电力不可忽视的威胁来源。

但是，未来电力系统网上服务所采用的策略一般是由省局做统一对外服务出口，各级分局或电力公司和电厂将没有对外的出口；从内部业务应用的角度来看，除大量现存的C/S结构以外，还将出现越来越多的内部B/S结构应用。所以，对于电力系统整体来说，主要问题仍有一大部分是内部安全问题。其所面临的威胁大体可分为两种：一是对网络中信息的威胁；二是对网络中设备的威胁。对于电力来说，主要是保护电力业务系统的安全，其核心在于保护电力数据的安全，包括数据存储，数据传输的安全。影响电力系统网络安全的因素很多，有些因素可能是有意的，也可能是无意的误操作；可能是人为的或是非人为的；也有可能是内部或外来攻击者对网络系统资源的非法使用。

2．1针对电力网络信息系统安全的威胁：

2.1.1人为的无意失误

如安全配置不当造成的安全漏洞，用户安全意识不强，用户口令选择不慎，用户将自己的账号随意转借他人或与别人共享信息资源等都会对网络安全带来威胁。电力中心或分中心主机存在系统漏洞，主机管理员安全意识和知识较差,容易被攻击者利用后通过电力网络入侵系统主机，并有可能登录其它重要应用子系统服务器或中心数据库服务器，进而对整个电力系统造成很大的威胁。

2.1.2 人为的恶意攻击

这是计算机网络所面临的最大威胁，黑客的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种：一种是主动攻击，它以各种方式有选择地破坏信息的可用性和完整性；另一类是被动攻击，它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成直接的极大的危害，并导致机密数据的泄漏和丢失。

2.1.3 网络和系统软件的漏洞和“后门”

随着各类网络和操作系统软件的不断更新和升级，由于边界处理不善和质量控制差等综合原因，网络和系统软件存在越来越多的缺陷和漏洞，这些漏洞和缺陷恰恰是黑客进行攻击的首选目标和有利条件，当前世界范围内出现大量黑客攻入电力网络内部的事件，这些事件大部分就是因为安全控制措施不完善所导致的。另外，软件的“后门”有些是软件公司的设计编程人员为了自便而设置的，一般不为外人所知，但一旦“后门”洞开，其造成的后果将不堪设想。同时也存在BO，Netbus等专业黑客后门程序，一旦通过网络植入电力主机，犹如电力系统的信息库被开了几个后门。

2.2 电力系统网络安全风险和威胁的具体表现形式：

各类内外安全风险和威胁的具体表现形式主要有：

z UNIX和Windows主机操作系统存在安全漏洞。

z Oracle，Sybase、MS SQL等主要关系型数据库的自身安全漏洞。

z重要应用系统的安全漏洞，如：MS IIS或Netscape WEB 服务应用的“缓存区溢出”等，使得攻击者轻易获取超级用户权限。

z核心的网络设备，如路由器、交换机、访问服务器、防火墙存在安全漏洞。z利用TCP/IP等网络协议自身的弱点(DDOS分布式拒绝服务攻击)，导致网络瘫痪。

z网络中打开大量的服务端口(如RPC,FTP,TELNET,SMTP,FINGER等)，容易被攻击者利用。

z黑客攻击工具非常容易获得，并可以轻易实施各类黑客攻击，如：特洛伊木马、蠕虫、拒绝服务攻击、分布式拒绝服务攻击、同时可利用ActiveX、Java、JavaScript、VBS等实施攻击。造成网络的瘫痪和关键业务数据的泄漏、篡改甚至毁坏。

z在电力内部网络中非法安装和使用未授权软件。对网络性能和业务造成直接影响。

z系统及网络设备的策略(如防火墙等)配置不当。

z关键主机系统及数据文件被篡改或误改，导致系统和数据不可用，业务中断等。