“网络安全三人行”之电力篇
行业专家:东软电力事业部技术总监??????马玉成
安全专家:东软股份信息安全产品策划部部长??王虎
主 持 人:《计算机世界》报编辑记者 ???? 宋乐永
见《计算机世界报》
第41期 D30、D31
|
|
 |
 |
 |
挑战来自联网
宋乐永:网络的复杂性和行业的特殊性,带来了多样化的网络安全需求。东软在电力行业已耕耘多年,能否谈谈在实施电力信息化项目,尤其是开发电力营销系统和客户服务系统的时候,主要遇到了哪些安全难题?
马玉成:在现有的电力营销和客户服务系统中,安全问题还不是很突出,因为各个子系统都是独立运行。电力系统目前最关注的安全问题是调度运行系统与办公及营销系统等联网后的安全问题,其中最担心的是对调度控制的影响,如电网调度的误操作等。
王虎:电力安全关乎百姓生活、社会稳定。国家对电力系统的调度、运行都有极高的安全要求,比电信的安全和可靠性要求还要高,因为电信出问题只是不能联络和通讯,而电力调度出问题会影响企业生产、人们生活甚至社会安定。
??电力行业的特点是,信息化程度高,而且高度依赖信息化,一旦有不法分子进行破坏活动,造成的危害程度将很难估量;另外就是电力系统的实时性,电力是不能存储的,要求高度的实时性。所以任何国家都把电力系统的安全性、可靠性要求放在非常重要的位置。
宋乐永: 电力的这种行业特点,对安全产品提出了哪些要求?
王虎: 电力行业高安全性、可靠性的要求,导致电力行业对网络和信息安全产品的需求较其他行业有着比较特殊的地方:既要高度依赖于现有信息系统,又要保障该系统和应用的安全,因此对于网络安全产品、安全解决方案的选择达到了近乎苛刻的程度。
马玉成:电力系统数据安全的第一层就是调度运行,不仅要防范系统外部的侵入,还要防范系统内部干扰。这在技术上目前还有难度,在没有可靠的手段之前,电力企业只好选择不与外界联网,甚至不与行业内部的其他信息系统联网。但从信息化的角度看,现在又到了非联不可的时候。
王虎: 就现阶段而言,电力调度与其他系统联网后的安全问题,是目前电力信息化安全问题的焦点和核心;其次是调度系统内部的安全保密、防止滥用的问题。
宋乐永: 要求如此之高的电力安全系统,在西方发达国家是怎样做的?
王虎:西方发达国家将电力系统的安全性等同于国防系统的安全性。由于一些国家限制安全技术的出口,目前还没有看到国外具体安全技术的明确描述,但西方国家对安全策略、安全产品的投入都非常大!
马玉成:电力调度运行的安全问题是具有行业特点的,前些时间国家电力公司提出了《关于调度与其他信息系统联网后的安全要求》,就《关于调度与其他信息系统联网后的安全要求》本身看,绝不低于国防安全的要求,甚至一些西方国家的电力安全系统也没有达到国家电力公司的要求水平。
电力安全“三保险”
宋乐永:东软在实施电力信息化项目方面,目前遇到的难题是什么?
马玉成: 东软正在开展的电力移动收费业务以及移动受理变更业务有可能会给营销系统的安全带来一些问题。所谓电力移动收费,就是供电公司将收费终端搬到汽车上,利用移动局的GSM、GPRS联入电力系统局域网,用于固定收费站的临时网络故障、偏远地区的定点收费等。对于电力的移动收费和移动变更受理,移动局虽然承诺保证安全问题,但还是存在移动局内部的隐患,需要东软提供一种手段让电力局放心。这样的应用模式带来的安全挑战将更加严峻,如何保障联入的人员就是供电公司认可的人?如何保障通过移动的GSM、GPRS传输过来的信息就是可靠的、没有被窃听和修改过的信息?
宋乐永: 对这种收费方式中的安全难题,你们有什么高招?
王虎: 一方面要靠网络服务提供商(比如中国移动)本身的安全措施,另一方面要靠电力系统自身的高“免疫力”。一般情况下,软件系统供应商控制不了ISP方面的安全措施,但对于电力系统本身,强大的安全保障是必须的。
王虎: 根据多年电力行业应用的经验,东软为电力系统的网络安全提供了一套“内外兼顾、稳定可靠”的安全保障体系。这套安全保障体系的框架是依托东软的NetEye Platform,结合全套的NetEye系列的安全产品,在东软遍布全国32个分支机构、100多名经过严格培训的安全专家、工程师的专业安全服务下,为用户构筑了一道有“三层保险”的安全防线。最外层是东软的NetEye防火墙,具有基于状态检测的应用级流过滤的防火墙体系架构,也是迄今为止在国内应用最为广泛的防火墙产品之一,连续两年被IDC评为占据市场份额第一的国内防火墙产品。在电力行业,东软在国内的10多个省大规模部署这种防火墙产品,其中有三个省是全省范围所有的省、市级节点全部部署,个别省份的电力行业达到几百套的部署量。在防火墙之后的第二道安全闸门是NetEye IDS,东软的IDS与其他产品相比更加适合在电力系统部署,因为电力系统是国家重要的命脉部门,一般不使用国外的IDS产品;同时,东软的NetEye IDS产品独有的应用层信息恢复的功能很好地解决了内部人员的攻击、滥用和误操作的问题。
??最近,一位信息中心主任向我反映,东软防火墙和IDS强大的日志、审计功能为他们提供了细粒度的审计能力。目前国家有多个部门正在对于网上不良信息的传播进行治理和监控,如何保证电力企业内部不出现类似情况以及出现了类似情况如何迅速地找到问题的源头,东软的NetEye系列的防火墙和IDS产品很好地完成了这个功能。在很好地对Internet入口进行保护,并成功地进行了网络分割之后,IDS产品又对于内、外网的攻击、误用进行了很好的监控,下面需要的就是安全的网络互联和信息传递。比如有时候,电力系统的员工出差时要对内网的服务器进行操作、省局要与市局进行安全的数据传递等,NetEye VPN很好地解决了这个问题:VPN对于利用公网传输重要的数据是非常有效的安全手段。这也符合目前电力系统的普遍的接入方式。
??除了第一层防火墙、第二层IDS保护外,第三层的VPN的保护更加重要。对于需要保护的终端,可以安装NetEye移动客户端软件,与总部的VPN大网关进行安全互联,这样就可以保证所传输的数据的安全、保密和可靠性。
宋乐永: 您刚才说的这三层安全保护网现在东软的电力案例中有没有得到应用?
王虎: 我前面提到的电力系统用户中,至少有两个省(华东一个、华南一个)使用了这种安全架构。
马玉成: 用VPN对应用软件会不会有影响,因为目前GPRS的带宽本来就不高?
王虎:VPN的速度影响在现有的网络带宽下,比如一般GPRS也就不到100k,是可以忽略不计的。在安全深入各个市电力系统、县电力系统的过程中,东软的另外一款安全产品—灵巧网关将越来越显示强大的生命力。它更加适合部署于中小企业、分支机构,因为它具有灵活的广域网接入方式,具有非常“傻瓜式”的规则配置方式以及基本免维护的特性,具有非常高的安全性和性价比。同时灵巧网关还具有VPN模块,是一款灵活、低价、方便的安全接入产品。
宋乐永:东软的安全产品给客户带来的安全可靠,表现在哪些方面?
王虎: 东软的安全解决方案和产品带给用户的是非常灵活的部署、可靠的保障和细致的安全策略。具体表现为以下几个方面:
??1. 网络管理人员可以随心所欲地配置安全产品、安全策略,可以非常容易地体现其安全意旨。例如某网管员,部署一台防火墙限制某个人不许上网,可有一天,领导要求允许这个人上网,但是不允许工作时间上网,这就需要进行规则的调整,但如果防火墙不支持基于时间的规则配置,就达不到领导的要求。
??2. 要求安全产品具有高度的可靠性。这里面有两层含义: 一是要求防火墙本身安全、可靠,如果安全产品本身不安全、可靠,总是死机,如何保障网络的安全可靠?二是要求防火墙对于网络环境具有高度适应性,用户的网络和应用千差万别,有的跑动态路由协议,有的有特殊的网络设备,安全产品必须适合这些要求,而东软的安全产品非常好地满足了这些要求。
宋乐永: 能否介绍一下东软的流过滤技术在电力行业的应用中,给客户带来的实实在在的好处?
王虎: 东北某电力公司部署东软的安全产品的时候,正值红色代码病毒攻击,由于NetEye防火墙和IDS的成功部署,有效拦截并进行了报警,避免了病毒在该公司内部的大面积爆发。这是一个简单的例子,这样的例子还有很多。
??流过滤防火墙提供了在透明模式下防火墙细粒度的应用层的访问控制。这一点是业界非常先进的,防火墙工作于透明模式,没有IP地址,但是基于流过滤的技术架构的防火墙,可以完全控制应用层的信息,进行详细的访问控制和日志审计。
电力改革为东软开路
宋乐永: 目前正在进行的电力体制改革倍受业界瞩目,近期的电力体制改革将给电力安全产品带来怎样的市场机会?
马玉成: 电力的体制改革目前还只在上层,对于省、地市一级形势还不明朗。总体来说,电力体制改革会使核算单位细分,基层的独立性会更强,基层单位与当地的横向联系会更多,必然打破原来行业封闭的现象; 对信息安全产品的需求必然急剧上升,同时对安全产品的性能要求也会非常苛刻。改革以后,基层企业独立性增强,信息的安全就是企业的生命—它们将不会轻易相信安全产品,但对于好的安全产品也会不惜代价。
王虎:我想这些改革和调整一定会对那些质量差、服务差的企业有重大冲击,对于东软这样的规范、有规模、服务好的企业一定有益处: 因为一直以来人们认为安全的门槛太低,进入的企业太多。有报道说,全国有1300多家与网络安全产品有关的企业,但是98%的企业是30人以下的小公司。这样的公司的产品很难满足电力企业的苛刻要求。
宋乐永: 改革对安全产品需求更加苛刻表现在哪些方面,东软对抢占改革带来的新市场做了什么准备?
王虎: 东软在产品质量、产品线和服务方面都做了充分准备,迎接电力系统的改革。在产品质量方面,东软更加注重产品的日志、丰富的审计功能,并且在产品的可靠性方面下了大力气;在产品线方面,丰富了防火墙产品线,增加了灵巧网关;在服务方面,东软重新整合了服务资源,成立了产品服务中心,统一调配东软安全服务资源;在销售方面,东软今年整合了销售资源和部门,成立了网络安全产品营销中心,由东软股份有限公司总裁王勇峰亲自兼任这个安全产品营销中心的总经理。
东软网络安全 微信号:Neusoft_NetEye
