NetEye电力行业网络安全解决方案

(《中国计算机报》－网络应用－成功案例集锦*优秀典范*)
电力信息网络的风险分析

??电力系统各种计算机应用对信息安全的认识距离实际需要差距较大，对新出现的信息安全问题认识不足。

1. 缺乏统一的信息安全管理规范。
2. 急需建立同电力行业特点相适应的计算机信息安全体系。
3. 计算机网络化使过去孤立的局域网在联成广域网后，面临巨大的外部安全攻击。

??首先需要解决的问题是,跟踪分析与比较国内外相关领域信息安全技术发展的前沿及应用情况，及时掌握国际电力工业信息安全技术应用发展动向，结合我国电力工业的特点和企业计算机及信息网络技术应用的实际情况，提出电力系统信息安全体系的总体结构框架，尽早实施电力系统信息安全示范工程。完善补充后建立电力系统信息安全体系标准和基本结构框架，以指导规范电力系统信息安全体系建设工作。

??根据电力企业的特点，信息安全按其业务性质一般可分为四种：

??第一种为电网运行实时控制系统，包括电网自动发电控制系统及支持其运行的调度自动化系统，火电厂分布控制系统（DCS，BMS，DEH，CCS）,水电厂计算机监控系统，变电所及集控站综合自动化系统，电网继电保护及安全自动装置，电力市场技术支持系统。

??第二种为电力营销系统，电量计费系统，负荷管理系统。

??第三种为支持企业经营、管理、运营的管理信息系统。

??第四种为不直接参与电力企业过程控制、生产管理的各类经营、开发、采购、销售等多种经营公司。支持上述各类业务系统正常运营的信息基础设施主要指计算机及信息网络系统、电力通信网络系统。

NetEye应用案例

??下面以某国家电力公司直属子公司为例，介绍NetEye网络安全产品在银行的实际应用。在该案例中，电力网络系统的应用环境如下：

1. 电力信息网已基本覆盖了所有省电力生产、施工、建设、设计、经营等几十家单位，信息网的深度已触及到用电营业所和变电所。

2. 在信息网上承载了财务、物资、用电、生产、劳人、安全监察、计划统计、电网实时信息等子系统和领导综合信息查询、办公自动化、www、mail系统等应用。

3. 省公司本部局域网，它不但承担了与各基层单位的互联，而且还承担了与国家电力公司，省政府经济信息中心（Internet）的互联。

??NetEye防火墙主要应用在各单位局域网内部、省公司局域网与外界（国家电力公司、省经济信息中心、Internet、各基层单位）的连接。在各个网络关键点设置防火墙，总的作用确保网络内部资源的安全。防火墙使用的具体表现如下：

·通过过滤的规则设置，可以方便地控制网络内部资源对外的开放程度，特别是针对国家电力公司、当地政府以及Internet仅仅开放某个IP的特殊端口，有效地限制黑客的侵入；

·通过过滤、IP地址与MAC地址的绑定、客户端认证等规则的应用，可以确定不同的内部用户享受不同的访问外部资源的级别，对于内部用户盗用IP的情况采用IP地址与MAC地址绑定，客户端认证等方式来实现。通过这种方式可以有效地限制内部用户主动将信息通过网络向外界传递；

·双机热备：为了提高系统的可靠性，利用NetEye支持双机热备的功能，在不能停机的关键接点我们相应作了双机热备，有效地提高了系统的可靠性；

·支持多种工作模式：由于企业内部Intranet的特性，内外网勿需做NAT或者人为地分成内外两个不同的网段，只需要作"桥接"即可。而对于Internet出口，则需NAT功能，并支持内外不同的网段，此时需要"路由"的功能，并支持DMZ。在此信息网中防火墙的应用是以上两种工作模式并存，NetEye就能很好地胜任，而早期个别基层单位购买了其它防火墙与电力Intranet连接时只能支持"路由"模式，而不能支持"桥接"模式，不管系统的效率还是实施的方便性都存在一定的"麻烦"；

·NetEye真正实现了对网络第二、三、四层数据包的支持，特别是对TRUNK技术的支持；

·友好的用户界面：只需作简单的培训，用户即可进行规则配置、系统管理、统计。自从此省电力选用NetEye后，通过两次全面的集中培训和现场安装调试培训。