供电企业业务网络安全解决方案.pdf

《宁夏电力}2009年增刊 供电企业业务网络安全解决方案 汤宁平 (宁夏电力公司电力科学研究院，宁夏 银川市 750011) 摘 要： 通过对网络隔离与信息交换系统的介绍 ，针对某供 电企业的具体 网络现状提 出两种网络 安全解决方案，增强了网络安全性、业务系统应用安全性及数据安全性。 关键词 ： 供 电企业； 网络安全 ； 网络隔离设备 中图分类号：TN915．08 文献标志码： B 文章编号：1672—3643(2009)zk-0159—04 1 前言 添加了网络隔离和信息交换设备 ，从根本上解决了企 业 网络安全和数据安全 的问题。 随着信息化的不断发展，供电企业网络的建设 日 网络安全建设的目标是保障网络安全、顺利地运行； 趋完善，越来越多的日常业务依赖于网络，网络的安全 保障网络各项功能的正常实现并确保企业的核心数据安 运行对供电企业至关重要。由于TCP／IP协议 自身的缺 全，在保护好企业核心竞争力的前提下，提高业务效率。为 陷，在设计中没有考虑网络安全问题。信息分组在路由 了实现这个 目标企业必须从各个层面全方位地考虑网络 器间传递时对任何人而言都是开放的，从而不能防止 的安全风险，既要考虑来 自外网的攻击，又要考虑内网的 其内容被窥视。有效防止互联网的网络攻击和病毒传 安全；既要考虑网络安全，又要考虑信息安全。 播是供电企业网络安全的基本要求。 3 网络隔离与信患交换系统体系结构 2 网络安全建设的目标 3．1 网络隔离与信息交换系统的组成 根据国际安全界的统计，各种计算机网络、存储数 网络隔离与信息交换系统由A网处理系统、B网 据遭受的攻击和破坏80％都是内部人员所为。传统防 处理系统、安全审查系统和专用隔离硬件 4部分组成。 火墙只能实现简单的2到4层的防护，如果把防火墙 系统结构如图l所示。 比喻成一堵墙，那么它只能是一座 “防君子，不防小人” 其中网络隔离与信息交换系统还包括以下安全 的墙，主要针对一些像 IP、端 口等一些静态的信息进行 模块 ： 防护和控制。随着用户对网络安全要求的提高，传统防 (I)入侵检测模块：在A网或B网处理系统都能够 火墙已不能满足用户的需求了。近几年，国际、国内的 进 行人侵检测 ，包括禁止恶意端 口扫描 、禁止 安全公司陆续地在防火墙的基础上集成VPN、网关防 SYNFLOOD攻击、IP接入控制、禁止 ICMP (如PING 病毒、IPS、防拒绝服务攻击等产品功能。但是由于防火 操作)等； 墙技术本身就是安全过滤技术，安全性能不高，就像 (2)系统内核保护模块：在A网或B网处理系统中 TCP／IP协议 自身的缺陷一样，无论如何增加其它功能 嵌入安全加固的操作系统，设置基于内核的IDS等。 都不能从根本上解决问题。基于这样的网络现状，现在 3．2数据传递过程 有越来越多的安全公司和各大企业在网络安全方案中 当数据由A网或B网传向系统另一端时，该系统 收稿 日期 ： 2009--09-08 作者简介： 汤宁平(1976-)，女，工程师，从事计算机网络管理及维护工作。 · l59· 《宁夏电力))2009年增