《精编》某电力公司网络安全技术规范书

《《精编》某电力公司网络安全技术规范书》由会员分享，可在线阅读，更多相关《《精编》某电力公司网络安全技术规范书（59页珍藏版）》请在金锄头文库上搜索。

1、5 1 附件附件 1 华能电力华能电力网络安全网络安全 项目技术规范书项目技术规范书 华能电力网络安全解决方案华能电力网络安全解决方案 1 1 背景介绍背景介绍 3 1 1 项目总述 3 1 2 网络环境总述 3 1 3 信息安全方案的组成 4 1 3 1 信息安全产品的选型原则 4 1 3 2 网络安全现状 5 1 3 3 典型的黑客攻击 5 1 3 4 网络与信息安全平台的任务 7 1 3 5 网络安全解决方案的组成 7 1 3 6 超高安全要求下的网络保护 9 2 安全架构分析与设计安全架构分析与设计 11 2 1 网络整体结构 11 2 2 集中管理和分级管理 12 2 3 华能电力网

2、络安全系统管理中心网络 13 2 4 各地方公司和电厂网络设计 13 2 5 和 INTERNET相连的外部网络设计 14 3 产品选型产品选型 15 3 1 防火墙的选型 15 3 1 1 方正数码公司简介 15 3 1 2 产品概述 16 3 1 3 系统特点 16 3 1 4 方正方御防火墙功能说明 20 3 2 入侵检测产品选型 27 3 2 1 启明星辰公司介绍 28 3 2 2 入侵检测系统介绍 28 3 2 3 天阗 tian 黑客入侵检测系统功能特点 29 3 3 防病毒产品的选型 31 3 3 1 病毒介绍 31 3 3 2 为何使用 CA 公司的 Kill2000 网络防病

3、毒 35 3 3 3 KILL 的技术和优势 36 3 3 4 KILL 与其他同类产品的比较的相对优势 38 3 3 5 KILL 所获得的权威机构认证 39 3 3 6 KILL 病毒防护系统部署方案 39 4 工程实施方案工程实施方案 42 4 1 测试及验收 42 4 1 1 测试及验收描述 42 4 2 系统初验 42 4 2 1 功能测试 42 4 2 2 性能测试 43 5 售后服务和技术支持售后服务和技术支持 43 5 1 为华能电力网络提供安全评估 43 5 2 售后服务内容 44 5 3 保修 45 5 4 保修方式 45 5 5 保修范围 46 5 6 保修期的确认 46

4、 5 7 培训安排 47 5 8 全国服务网络 48 5 9 场地及环境准备 48 5 9 1 常规要求 48 5 9 2 机房电源 地线及同步要求 48 5 9 3 设备场地 通信 49 5 9 4 机房环境 49 5 10 验收清单 50 5 10 1 设备开箱验收清单 50 5 10 2 用户信息清单 51 5 10 3 用户验收清单 52 6 方案整体优势方案整体优势 52 7 方正方御防火墙荣誉证书方正方御防火墙荣誉证书 54 附录一 北京威通网讯网络技术有限公司介绍附录一 北京威通网讯网络技术有限公司介绍 1 背景介绍背景介绍 1 1 项目总述项目总述 本项目是华能国际电力股份有限

5、公司为其内网及下属电厂作网络安全保护 中的防火墙选型和实施部分 关于入侵检测系统和防病毒系统 我们建议使用启 明星辰的天阗黑客入侵检测与预警系统和冠群金辰的 kill 网络防病毒系统 华 能国际电力股份有限公司网络整体结构是 个通过 WAN 连接的二级网络 整 个网络分为内网和外网两个网 内外网之间物理隔离 网络中心与下属 15 个电 厂通过网络进行数据传输 在网络每一级的节点上具有一个局域网 在二级网 络上运行着电力业务系统 办公自动化服务等 1 2 网络环境总述网络环境总述 华能电力网络安全系统是非涉密的内部业务工作处理网络 传输 处理 查询工作中非涉密的信息 该网由与网络中心和 15 个

6、电厂单位组成 在给地方 局域网出入口安装防火墙 在关键部位安放入侵检测系统 而且所有的服务器 和普通 PC 机需要安装防病毒软件 而且这些防火墙和入侵检测系统需要集中 在数据中心进行管理和审计 1 3 信息安全方案的组成信息安全方案的组成 1 3 1 1 3 1 信息安全产品的选型原则信息安全产品的选型原则 华能电力网络安全系统是一个要求高可靠性和安全性的网络系统 若干重 要的公文信息在网络传输过程中不可泄露 如果数据被黑客修改或者删除 那 么就会严重的影响工作 所以华能电力网络安全系统安全产品的选型事关重大 要提到国家战略的高度来衡量 否则一旦被黑客或者敌国攻入 其代价将是不 能想象的 华能

7、电力网络安全系统网络安全系统方案必须遵循如下原则 全局性原则 安全威胁来自最薄弱的环节 必须从全局出发规 划安全系统 华能电力网络安全系统安全体系 遵循中心统一规划 各 电厂分别实施的原则 综合性原则 网络安全不单靠技术措施 必须结合管理 当前 我国发生的网络安全问题中 管理问题占相当大的比例 在各地方建立 网络安全设施体系的同时必须建立相应的制度和管理体系 均衡性原则 安全措施的实施必须以根据安全级别和经费限度 统一考虑 网络中相同安全级别的保密强度要一致 节约性原则 整体方案的设计应该尽可能的不改变原来网络的 设备和环境 以免资源的浪费和重复投资 集中性原则 所有的防火墙产品要求在数据中心

8、可以进行集中 管理 这样才能保证在数据中心的服务器上可以掌握全局 角色化原则 防火墙产品在管理上面不仅在数据中心可以完全 控制外 在地方还需要分配适当的角色使地方可以在自己的权利下修改 和查看防火墙策略和审计 目前 很多公开的新闻表明美国国家安全局 NSA 有可能在许多美国大 软件公司的产品中安装 后门 其中包括一些应用广泛的操作系统 为此德国 军方前些时候甚至规定在所有牵涉到机密的计算机里 不得使用美国的操作系 统 作为信息安全的保障 我们在安全产品选型时强烈建议使用国内自主开发 的优秀的网络安全产品 将安全风险降至最低 在为各安全产品选型时 我们立足国内 同时保证所选产品的先进性及可 靠性

9、 并要求通过国家各主要安全测评认证 1 3 2 1 3 2 网络安全现状网络安全现状 Internet 正在越来越多地融入到社会的各个方面 一方面 随着网络用户成 分越来越多样化 出于各种目的的网络入侵和攻击越来越频繁 另一方面 随 着 Internet 和以电子商务为代表的网络应用的日益发展 Internet 越来越深地渗 透到各行各业的关键要害领域 Internet 的安全包括其上的信息数据安全 日益 成为与政府 军队 企业 个人的利益休戚相关的 大事情 尤其对于政府和 军队而言 如果网络安全问题不能得到妥善的解决 将会对国家安全带来严重 的威胁 2000 年二月 在三天的时间里 黑客使美

10、国数家顶级互联网站 Yahoo Amazon eBay CNN 陷入瘫痪 造成了十几亿美元的损失 令美 国上下如临大敌 黑客使用了 DDoS 分布式拒绝服务 的攻击手段 用大量 无用信息阻塞网站的服务器 使其不能提供正常服务 在随后的不到一个月的 时间里 又先后有微软 ZDNet 和 E TRADE 等著名网站遭受攻击 国内网站也未能幸免于难 新浪 当当书店 EC123 等知名网站也先后受 到黑客攻击 国内第一家大型网上连锁商城 IT163 网站 3 月 6 日开始运营 然 而仅四天 该商城突遭网上黑客袭击 界面文件全部被删除 各种数据库遭到 不同程度的破坏 致使网站无法运作 客观地说 没有任

11、何一个网络能够免受安全的困扰 依据 Financial Times 曾做过的统计 平均每 20 秒钟就有一个网络遭到入侵 仅在美国 每年由于网 络安全问题造成的经济损失就超过 100 亿美元 1 3 3 1 3 3 典型的黑客攻击典型的黑客攻击 黑客们进行网络攻击的目的各种各样 有的是出于政治目的 有的是员工 内部破坏 还有的是出于好奇或者满足自己的虚荣心 随着 Internet 的高速发 展 也出现了有明确军事目的的军方黑客组织 在典型的网络攻击中 黑客一般会采取如下的步骤 自我隐藏自我隐藏 黑客使用通过 rsh 或 telnet 在以前攻克的主机上跳转 通过错误 配置的 proxy 主机跳

12、转等各种技术来隐藏他们的 IP 地址 更高级一点的黑客 精通利用电话交换侵入主机 网络侦探和信息收集网络侦探和信息收集 在利用 Internet 开始对目标网络进行攻击前 典型 的黑客将会对网络的外部主机进行一些初步的探测 黑客通常在查找其他弱点 之前首先试图收集网络结构本身的信息 通过查看上面查询来的结果列表 通 常很容易建立一个主机列表并且开始了解主机之间的联系 黑客在这个阶段使 用一些简单的命令来获得外部和内部主机的名称 例如 使用 nslookup 来执行 ls finger 外部主机上的用户等 确认信任的网络组成确认信任的网络组成 一般而言 网络中的主控主机都会受到良好的安全 保护

13、黑客对这些主机的入侵是通过网络中的主控主机的信任成分来开始攻击 的 一个网络信任成员往往是主控主机或者被认为是安全的主机 黑客通常通 过检查运行 nfsd 或 mountd 的那些主机输出的 NFS 开始入侵 有时候一些重要 目录 例如 etc home 能被一个信任主机 mount 确认网络组成的弱点确认网络组成的弱点 如果一个黑客能建立你的外部和内部主机列表 他 就可以用扫描程序 如 ADMhack mscan nmap 等 来扫描一些特定的远程弱点 启动扫描程序的主机系统管理员通常都不知道一个扫描器已经在他的主机上运 行 因为 ps 和 netstat 都被特洛伊化来隐藏扫描程序 在对外

14、部主机扫描之后 黑客就会对主机是否易受攻击或安全有一个正确的判断 有效利用网络组成的弱点有效利用网络组成的弱点 当黑客确认了一些被信任的外部主机 并且同 时确认了一些在外部主机上的弱点 他们就要尝试攻克主机了 黑客将攻击一 个被信任的外部主机 用它作为发动攻击内部网络的据点 要攻击大多数的网 络组成 黑客就要使用程序来远程攻击在外部主机上运行的易受攻击服务程序 这样的例子包括易受攻击的 Sendmail IMAP POP3 和诸如 statd mountd pcnfsd 等 RPC 服务 获得对有弱点的网络组成的访问权获得对有弱点的网络组成的访问权 在攻克了一个服务程序后 黑客就要 开始清除他

15、在记录文件中所留下的痕迹 然后留下作后门的二进制文件 使其 以后可以不被发觉地访问该主机 目前 黑客的主要攻击方式有 欺骗 通过伪造 IP 地址或者盗用用户帐号等方法来获得对系统的非授权使 用 例如盗用拨号帐号 窃听 利用以太网广播的特性 使用监听程序来截获通过网络的数据包 对信息进行过滤和分析后得到有用的信息 例如使用 sniffer 程序窃听用户密码 数据窃取 在信息的共享和传递过程中 对信息进行非法的复制 例如 非法拷贝网站数据库内重要的商业信息 盗取网站用户的个人信息等 数据篡改 在信息的共享和传递过程中 对信息进行非法的修改 例如 删除系统内的重要文件 破坏网站数据库等 拒绝服务 使

16、用大量无意义的服务请求来占用系统的网络带宽 CPU 处理 能力和 IO 能力 造成系统瘫痪 无法对外提供服务 典型的例子就是 2000 年 年初黑客对 Yahoo 等大型网站的攻击 黑客的攻击往往造成重要数据丢失 敏感信息被窃取 主机资源被利用和 网络瘫痪等严重后果 如果是对军用和政府网络的攻击 还会对国家安全造成 严重威胁 1 3 4 1 3 4 网络与信息安全平台的任务网络与信息安全平台的任务 网络与信息安全平台的任务就是创建一个完善的安全防护体系 对所有非 法网络行为 如越权访问 病毒传播 恶意破坏等等 做到事前预防 事中报 警并阻止 事后能有效的将系统恢复 在上文对黑客行为的描述中 我们可以看出 网络上任何一个安全漏洞都 会给黑客以可乘之机 著名的木桶原理 木桶的容量由其最短的木板决定 在 网络安全里尤其适用 所以 我们的方案必须是一个完整的网络安全解决方案 对网络安全的每一个环节 都要有仔细的考虑 1 3 5 1 3 5 网络安全解决方案的组成网络安全解决方案的组成 针对前文对黑客入侵的过程的描述 为了更为有效的保证网络安全 方正 数码提出了两个理念 立体安全防护体系立体安全