东软NetEye网络安全解决方案

　　随着Internet的迅速发展，信息安全问题面临新的挑战。电力系统信息安全问题已威胁到电力系统的安全、稳定、经济、优质运行，影响着“数字电力系统”的实现进程。

　　研究电力系统信息安全问题、开发相应的应用系统、制定电力系统信息遭受外部攻击时的防范与系统恢复措施等信息安全战略是当前信息化工作的重要内容。电力系统信息安全已经成为电力企业生产、经营和管理的重要组成部分。

　　东软软件股份有限公司（原东大阿尔派）成立于1991年。是国内首家上市的软件企业，也是中国最大的专业化软件公司之一。公司注册资本2.8亿元人民币，现有员工3300余人，其中博士、硕士、学士及留学归国人员占85%。公司拥有28家控股子公司，7个研发中心，在华南、华东、华北、华中、西南、西北、山东和东北等八大区域设有“虚拟总部”，在国内30多个主要城市,以及香港、美国、日本等地区和国家设有分支机构,在形成国内软件行业最大的营销服务网络及研发和技术支持体系。

　　东软长期致力于网络安全产品的开发设计，投入大量的资金和高技术人才从事网络安全产品的研究，开发设计工作。目前东软已经拥有一支120多人的精通网络技术，网络安全技术的高级网络安全咨询顾问，高级软件设计师，开发人员的队伍。东软公司已成功开发出具有自主版权的安全产品：防火墙、VPN、IDS等网络安全设备和系统，并获得公安部、国家安全部、国家保密局等国家信息安全保密主管部门的许可或认证。目前，安全产品已广泛的应用于政府、公安，金融、电信、教育、能源等行业，并赢得用户的广泛赞誉。

　　公司通过在全国的8大“虚拟总部”和30多家分支机构，结成严密的服务网络，服务专线800 890 8000在技术支持、用户培训及售后服务方面，向广大客户提供系统、全面、及时、周到的服务。

　　目前电力系统的信息化应用

　　目前电力系统信息化建设硬件环境已经基本构建完成，硬件设备数量和网络建设状况良好，在进、销、存和生产制造等关键环节已部分实施了信息化。目前，中国电力行业的IT应用主要包括电网(国调,网省地市以及县级)调度自动化系统、电力市场技术支持系统、用电营销信息系统、配网自动化以及企业ERP等。计算机及信息网络系统在电力生产、建设、经营、管理、科研、设计等各个领域有着十分广泛的应用，尤其在电网调度自动化、厂站自动控制、管理信息系统、电力市场技术支持系统、电力营销系统、电力负荷管理、计算机辅助设计、科学计算以及教育培训等方面取得了较好的应用效果，在安全生产、节能降耗、降低成本、缩短工期、提高劳动生产率等方面取得了明显的社会效益和经济效益，同时也逐步健全和完善了信息化管理机制，培养和建立了一支强有力的技术队伍，有力促进了电力工业的发展。以后将会发展办公自动化系统、财务管理信息系统、客户服务支持系统、远程教育培训系统等其他信息系统。

　　电力网络系统的应用环境电力通信网以光纤通信为主的现代化电力通信传输干线网络，高速数据通信网络平台。主要由国家电力调度数据一级网，有大区二级网，(区、市)建成三级网，覆盖各级调度中心和直调发电厂、变电站。电力信息网是以电力信息主干网络为中心，辐射各发、供电、施工、修造、学校、医院等单位的计算机信息网络系统。主干网多为千兆以太网，广域网连接多个单位和分支机构。包括：电科院、电力医院,供电公司、发电厂等和其它单位。通过ISP接入国际互联网。电网运行控制系统。

　　省调及各个地区调度均配有调度自动化系统。各级调度、厂、站实时信息按调度管辖权限划分送至有关调度。电网AGC在安全约束条件下，按频率、联络线潮流实时对水、火电厂机组自动发电控制。电网继电保护及安全自动装置中，220kV及以上超高压电网均采用微机保护及安全自动装置；66kV及以下基本实现微机保护及安全自动装置，少部分设备仍为原装置正在逐步淘汰。电网通信系统光纤覆盖率还较低，与数字微波、模拟微波共同承担电力系统通信服务各项功能，正在建设的综合业务通讯网（ATM）是以光纤为主，数字微波为辅的环状、网格化的电力通信网。

　　电力网络系统安全现状分析

　　电力系统信息安全是电力系统安全运行和对社会可靠供电的保障，是一项涉及电网调度自动化、继电保护及安全装置、厂、站自动化、配电网自动化、电力负荷控制、电力市场交易、电力营销、信息网络系统等有关生产、经营和管理方面的多领域、复杂的大型系统工程。结合电力工业特点，电力工业信息网络系统和电力运行实时控制系统，分析电力系统信息安全存在的问题，电力系统信息没有建立安全体系，只是购买了防病毒软件和防火墙。有的网络连防火墙也没有，没有对网络安全做统一长远的归划。网络中有许多的安全隐患。

　　电力信息网络的风险分析

　　计算机及信息网络安全意识亟待提高。由于近十几年计算机信息技术高速发展，计算机信息安全策略和技术也取得了非常大的进展。电力系统各种计算机应用对信息安全的认识距离实际需要差距较大，对新出现的信息安全问题认识不足。

　　缺乏统一的信息安全管理规范。电力系统虽然对计算机安全一直非常重视，但由于各种原因，目前还没有一套统一、完善的能够指导整个电力系统计算机及信息网络系统安全运行的管理规范。

　　急需建立同电力行业特点相适应的计算机信息安全体系。近几年来，计算机在整个电力系统的生产、经营、管理等方面应用越来越多。但是，在计算机安全策略、安全技术、和安全措施投入较少。所以，为保证电力系统安全、稳定、高效运行，应建立一套结合电力计算机应用特点的计算机信息安全体系。

　　计算机网络化使过去孤立的局域网在联成广域网后，面临巨大的外部安全攻击。电力系统较早的计算机系统一般都是内部的局域网，并没有同外界连接。所以，早期的计算机安全只是防止意外破坏或者内部人员的安全控制就可以了，但现在就必须要面对国际互联网上各种安全攻击，如网络病毒和电脑“黑客”等。

　　总结以上风险主要在以下几个层次：

　　实现电力系统安全首先需要解决的问题就是在跟踪分析与比较国内外相关领域信息安全技术发展的前沿及应用情况，及时掌握国际电力工业信息安全技术应用发展动向，结合我国电力工业的特点和企业计算机及信息网络技术应用的实际情况，提出电力系统信息安全体系的总体结构框架，尽早实施电力系统信息安全示范工程。完善补充后建立电力系统信息安全体系标准和基本结构框架，以指导规范电力系统信息安全体系建设工作。

　　根据电力企业的特点，信息安全按其业务性质一般可分为四种：一种为电网运行实时控制系统，包括电网自动发电控制系统及支持其运行的调度自动化系统，火电厂分布控制系统（DCS，BMS，DEH，CCS）,水电厂计算机监控系统，变电所及集控站综合自动化系统，电网继电保护及安全自动装置，电力市场技术支持系统。第二种为电力营销系统，电量计费系统，负荷管理系统。第三种为支持企业经营、管理、运营的管理信息系统。第四种为不直接参与电力企业过程控制、生产管理的各类经营、开发、采购、销售等多种经营公司。支持上述各类业务系统正常运营的信息基础设施主要指计算机及信息网络系统、电力通信网络系统。

　　东软NetEye网络安全实现方案

　　针对电力网络的特点，东软股份自行开发了，具有自主版权的一系列网络安全产品，NetEye防火墙3.1是NetEye防火墙系列中的最新版本，该系统在性能，可靠性，管理性等方面较NetEye防火墙3.0大大提高，达到了运营级的水准，是一个“运营级的防火墙”。防火墙分高，中，低档,以适合不同的网络环境和用户，增加性能价格比；防火墙的NetEye防火墙3.1集成了VPN功能，有效的保证了数据在网络中的安全传输。

　　东软NetEye IDS 2.0是东软股份最新开发的具有自主版权的网络入侵监测系统。利用独创的数据包截取技术对网络进行不间断的监控，扩大网络防御的纵深，采用先进的基于网络数据流实时智能分析技术判断来自网络内部和外部的入侵企图，进行报警，响应和防范。是防火墙之后的第二道安全闸门。

　　应用案例

　　某省电力公司是国家电力公司直属子公司，电力信息网已基本覆盖了所有省电力生产、施工、建设、设计、经营等几十家单位，信息网的深度已触及到用电营业所和变电所。在信息网上承载了财务、物资、用电、生产、劳人、安全监察、计划统计、电网实时信息等子系统和领导综合信息查询、办公自动化、www、mail系统等应用。

　　省公司本部局域网，它不但承担了与各基层单位的互联，而且还承担了与国家电力公司，省政府经济信息中心（Internet）的互联。所有应用系统的安全可靠运行首先必须建立在安全可靠的网络系统基础之上。网络安全主要表现在以下几个方面：

　　单位内部网络的安全性与外部的联结的安全性内部各单位网络之间的安全性NetEye防火墙主要应用在各单位局域网内部安全见图一、省公司局域网与外界（国家电力公司、省经济信息中心、Internet、各基层单位）的连接图二。

　　图一：局域网内部信息安全拓扑结构图：

　　图二：某省电力信息网总的拓扑结构

　　在图一和图二上我们针对网络关键点设置防火墙，总的作用确保网络内部资源的安全。防火墙使用的具体表现如下：

　　通过过滤的规则设置可以使得我们方便地控制网络内部资源对外的开放程度，特别是针对国家电力公司、当地政府以及Internet仅仅开放某个IP的特殊端口，有效地限制黑客的侵入；通过过滤、IP地址与MAC地址的绑定、客户端认证等规则的应用，可以确定不同的内部用户享受不同的访问外部资源的级别，对于内部用户盗用IP的情况采用IP地址与MAC地址绑定，客户端认证等方式来实现。通过这种方式可以有效地限制内部用户主动将信息通过网络向外界传递；双机热备：为了提高系统的可靠性，利用NetEye支持双机热备的功能，在不能停机的关键接点我们相应作了双机热备，有效地提高了系统的可靠性；支持多种工作模式：由于企业内部Intranet的特性，内外网勿需做NAT或者人为地分成内外两个不同的网段，只需要作“桥接”即可。而对于Internet出口，则需NAT功能，并支持内外不同的网段，此时需要“路由”的功能，并支持DMZ。在此信息网中防火墙的应用是以上两种工作模式并存，NetEye就能很好地胜任，而早期个别基层单位购买了其它防火墙与电力Intranet连接时只能支持“路由”模式，而不能支持“桥接”模式，不管系统的效率还是实施的方便性都存在一定的“麻烦”；NetEye真正实现了对网络第二、三、四层数据包的支持，特别是对TRUNK技术的支持；友好的用户界面：只需作简单的培训，用户即可进行规则配置、系统管理、统计。自从此省电力选用NetEye后，通过两次全面的集中培训和现场安装调试培训。

　　结束语

　　网络安全是一个系统的、全局的管理问题，网络上的任何一个漏洞，都会导致全网的安全问题，我们应该用系统工程的观点、方法，分析网络的安全及具体措施。安全措施主要包括：行政法律手段、各种管理制度（人员审查、工作流程、维护保障制度等）以及专业措施（识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等）。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络，包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用，也只有从系统综合整体的角度去看待、分析，才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则，根据规定的安全策略制定出合理的网络安全体系结构。这样才能真正做到整个系统的安全。