华北电网安全技术交流.ppt
- 文档编号:18890914
- 上传时间:2024-02-09
- 格式:PPT
- 页数:114
- 大小:6.96MB
华北电网安全技术交流.ppt
《华北电网安全技术交流.ppt》由会员分享,可在线阅读,更多相关《华北电网安全技术交流.ppt(114页珍藏版)》请在冰点文库上搜索。
华北电网调度中心安全技术交流华北电网调度中心安全技术交流专业,所以值得信赖!
专业,所以值得信赖!
NSFocusInformationTechnologyCo.Ltd.绿盟科技绿盟科技咨询设计部咨询设计部彭新春彭新春20062006年年99月月2ProfessionalSecuritySolutionProvider提纲提纲电力行业安全现状及风险分析电力行业安全现状及风险分析如何构建信息安全体系安全防护产品简介及选型建议安全风险评估介绍绿盟科技公司简介3ProfessionalSecuritySolutionProvider计算机犯罪带来严重的经济损失计算机犯罪带来严重的经济损失4ProfessionalSecuritySolutionProvider攻击目标和方式的多样化攻击目标和方式的多样化5ProfessionalSecuritySolutionProvider每年发现的漏洞数量飞速上升每年发现的漏洞数量飞速上升每年发现的漏洞数量飞速每年发现的漏洞数量飞速上升上升2004年年CVE全年收集漏洞全年收集漏洞信息信息1707条条绿盟科技到到绿盟科技到到2005年底跟年底跟踪的漏洞也超过了踪的漏洞也超过了2072条条年份年份漏洞数量漏洞数量199974220004042001832200210062003104920041707200522006ProfessionalSecuritySolutionProvider黑客的职业化之路黑客的职业化之路不再是小孩的游戏,而是与不再是小孩的游戏,而是与金钱挂钩金钱挂钩职业入侵者受网络商人或商职业入侵者受网络商人或商业间谍雇佣业间谍雇佣不在网上公开身份,不为人不在网上公开身份,不为人知,但确实存在。
知,但确实存在。
攻击者采用的技术不断深入攻击者采用的技术不断深入和多样和多样7ProfessionalSecuritySolutionProvider我们面临新的安全威胁我们面临新的安全威胁攻击技术已经开始普及攻击技术已经开始普及漏洞挖掘流程专业化,工漏洞挖掘流程专业化,工具自动化。
具自动化。
Zero-day的攻击的攻击无线安全无线安全/手机安全问题手机安全问题开始出现开始出现8ProfessionalSecuritySolutionProvider高高低低19801985199019952000密码猜测密码猜测可自动复制的代码可自动复制的代码密码破解密码破解利用已知的漏洞利用已知的漏洞破坏审计系统破坏审计系统后门后门回话劫持回话劫持擦除痕迹擦除痕迹臭探臭探包欺骗包欺骗GUI远程控制远程控制自动探测扫描自动探测扫描拒绝服务拒绝服务www攻击攻击攻击者攻击者入侵者技术入侵者技术攻击手法攻击手法半开放隐蔽扫描半开放隐蔽扫描控制台入侵控制台入侵检测网络管理检测网络管理DDOS攻击攻击网络钓鱼网络钓鱼Googlehacking2005攻击手法和入侵者技术趋势攻击手法和入侵者技术趋势SQL注入注入9ProfessionalSecuritySolutionProvider为什么会不安全?
为什么会不安全?
不可避免的因素不可避免的因素技术发展的局限,系统在设计之初不能认识到所有问题TCP/IP协议在开发过程中并未主要考虑安全问题人类的能力有限,失误和考虑不周在所难免操作系统和应用程序在编码过程中难免引入Bug没有避免的因素没有避免的因素系统实施过程中采用了默认配置而未针对实际情况进行定制和安全优化新的漏洞补丁跟踪、使用不及时拥有者的组织结构,管理和技术体系不够完善技术发展和环境变化使网络安全处于动态之中技术发展和环境变化使网络安全处于动态之中10ProfessionalSecuritySolutionProvider电力企业在信息化过程中存在的现象电力企业在信息化过程中存在的现象在我国电力企业中,信息部门未能受到应有的重视在我国电力企业中,信息部门未能受到应有的重视信息部门在发电企业没有一个专门机构配置,没有规范的建制和岗位信息化作为一项系统工程,需要专门机构来推进,需要企业各个部门相互配合电力信息系统深入到电力生产和管理的全过程,涉及到电力电力信息系统深入到电力生产和管理的全过程,涉及到电力生产各个层面生产各个层面2002年国家电网公司规范了信息网络安全管理从安全政策到安全技术措施等方面实施了电力安全计划的研究和试点计划经济模式下形成的电力企业条块分割、信息闭塞、效率计划经济模式下形成的电力企业条块分割、信息闭塞、效率低下的管理体制已不能适应当前的要求低下的管理体制已不能适应当前的要求电力企业需要启动一轮企业管理革新,从企业战略出发,实行业务调整、流程梳理与优化,引入信息技术的支持11ProfessionalSecuritySolutionProvider电力企业在信息化过程中存在的问题电力企业在信息化过程中存在的问题生产控制自动化的先进性与管理信息化的滞后性并存生产控制自动化的先进性与管理信息化的滞后性并存信息化基础设施相对完善电力营销管理系统得到广泛应用信息化机构建设尚需进一步健全信息安全管理是电力企业信息化重点电力系统信息化缺乏系统性电力系统信息化缺乏系统性电力企业在不同时期不同部门为了满足业务需要进行了一系列信息系统建设各系统之间缺乏联系,信息不共享,业务不能协同开展,对企业管理决策的作用十分有限缺乏统一的标准体系缺乏统一的标准体系尚未制定统一的信息化标准体系,电力企业内部信息系统的信息编码、技术标准、规范也不统一影响了企业内部、上下级企业之间信息的共享与交互造成企业内部“信息孤岛”无处不在、系统不能集成、资源不能共享的局面,严重制约企业信息化建设和应用12ProfessionalSecuritySolutionProvider电力行业电力行业信息化信息化特点特点电力行业是国民经济的基础产业,是保障生活生产秩序正常运行的基础行业!
与其他行业相比,发电企业具有分散控制、统一联合运行的特点建立在Internet架构上的跨地区、全行业系统内部信息网开始逐步建立,网上应用着各种电力业务及办公系统电力信息网络系统的网络安全问题愈来愈显得重要目前主要采取了物理隔离、防火墙和防病毒软件13ProfessionalSecuritySolutionProvider电网安全关系国家发展命脉电网安全关系国家发展命脉2001年8月份,中国电力信息中心的服务器就曾受到了SirCam、CodeRed两种病毒的攻击,对信息系统的正常运行造成了很大影响2003年,美加8.14停电事件造成负荷损失6180万千瓦,停电范围9300多万平方公里,受影响居民5000万人以上,造成增加巨大的经济损失和社会影响2004年,中国出现大面积的“电荒”,拉闸限电等影响人民生活、工业生产的现象屡见不鲜带给我们的启示加快信息化建设,实行统一调度,协调配合,提高防御事故的能力加快建立和完善重大电网事故的应急处理机制14ProfessionalSecuritySolutionProvider电力企业信息系统安全分析电力企业信息系统安全分析网络拓扑逻辑上为星型+树状结构由主干网、区域网、省内网和地区网四级组成各级网络有分支网络和主节点各级信息中心为电力系统全行业提供信息服务安全分析物理层:
硬件设备和通信链路的安全网络层:
相对的内/外网结构;面临拒绝服务、信息窃取、网络瘫痪等威胁应用层:
应用软件的缺陷、网络病毒的侵害系统层:
系统自身的重大漏洞管理层:
安全管理的不完善、安全组织的缺乏15ProfessionalSecuritySolutionProvider电力二次系统安全防护总体示意图电力二次系统安全防护总体示意图16ProfessionalSecuritySolutionProvider电力企业具体风险分析电力企业具体风险分析优先先级风险说明明/举例例0旁路控制(BypassingControls)入侵者对发电厂、变电站发送非法控制命令,导致电力系统事故,甚至系统瓦解。
1完整性破坏(IntegrityViolation)非授权修改电力控制系统配置、程序、控制命令;非授权修改电力交易中的敏感数据。
2违反授权(AuthorizationViolation)电力控制系统工作人员利用授权身份或设备,执行非授权的操作。
3工作人员的随意行为(Indiscretion)电力控制系统工作人员无意识地泄漏口令等敏感信息,或不谨慎地配置访问控制规则等。
4拦截/篡改(Intercept/Alter)拦截或篡改调度数据广域网传输中的控制命令、参数设置、交易报价等敏感数据。
5非法使用(IllegitimateUse)非授权使用计算机或网络资源。
6信息泄漏(InformationLeakage)口令、证书等敏感信息泄密。
7欺骗(Spoof)Web服务欺骗攻击;IP欺骗攻击。
8伪装(Masquerade)入侵者伪装合法身份,进入电力监控系统。
9拒绝服务(Availability,e.g.DenialofService)向电力调度数据网络或通信网关发送大量雪崩数据,造成网络或监控系统瘫痪。
10窃听(Eavesdropping,e.g.DataConfidentiality)黑客在调度数据网或专线通道上搭线窃听明文传输的敏感信息,为后续攻击做准备。
17ProfessionalSecuritySolutionProvider电力行业网络安全分析主要考虑点电力行业网络安全分析主要考虑点1234网络结构设计是否层次分明、分级管理、统一规划的网络接入是否考虑防止多个接入点存在内部各VLAN或区域之间边界划分是否合理,在网络节点互连互通是否根据实际需求进行严格访问控制是否对关键业务系统和非关键业务系统进行逻辑隔离;是否采用QoS的多种技术来优化网络系统是否具备网络异常流量分析及发现机制IP地址规划是否合理。
路由协议是否采用安全的配置是否存在帐号、口令、文件属性等安全问题是否具备有效的、统一漏洞发现、解决机制是否具有服务器的冗余备份机制应用系统是否具有访问验证机制是否具有应用滥用等问题终端系统是否存在系统漏洞,是否及时修补了。
是否具有终端统一管理策略和统一策略下发机制。
是否具有终端防病毒体系。
是否具有终端访问外网的限制措施“三分技术,七分管理”安全管理机制是否应及时完善。
是否具有统一安全管理部门或组织。
是否具有安全巡检、安全事件处罚等措施。
是否具备统一安全管理策略和制度下发机制。
是否具备有效的应急响应流程和方法。
网络网络主机主机终端终端管理管理18ProfessionalSecuritySolutionProvider提纲提纲电力行业安全现状及风险分析如何构建信息安全体系如何构建信息安全体系安全防护产品简介及选型建议安全风险评估介绍绿盟科技公司简介19ProfessionalSecuritySolutionProvider信息安全体系架构示例信息安全体系架构示例安全目标OOTTPPAAPPTTRRAAPPDDRR机构建设人员管理制度管理资产管理物理管理技术管理风险管理安全评估安全防护入侵检测应急恢复组织体系管理体系技术体系信息系统安全体系架构信息系统安全体系架构InformationSystemSecurityFrameworkInformationSystemSecurityFramework核心核心保障保障支撑支撑明确的安全组织体系明确的安全组织体系统一的安全管理策略统一的安全管理策略积极防御、综合防范积极防御、综合防范20ProfessionalSecuritySolutionProvider如何合理有效的建立安全体系如何合理有效的建立安全体系从安全理论出发安全标准-体系架构-安全策略-控制措施适合集团或总公司进行这方面的工作从安全实践出发发现问题-控制措施-形成体系-持续改进适合省、地市级电网公司针对特定网络/系统进行安全建设21ProfessionalSecuritySolutionProvider从实践出发的安全建设过程从实践出发的安全建设过程分析安全风险外部风险评估(委托评估)内部风险评估(自评估)明确安全需求根据风险评估提炼需求根据日常实践提出需求部署安全产品从风险管理角度进行设计多种技术综合使用、全面防护建设安全管理中心对各类安全产品和技术的综合分析进行持续性风险管理和改进22ProfessionalSecuritySolutionProvider全面风险评估与安全咨询全面风险评估与安全咨询方案设计方案设计风险评估风险评估1122安全规划安全规划资产评估威胁评估脆弱性评估风险评估安全域与边界整合终端管理与控制安全产品部署安全加固一期建设计划一期建设计划安全域划分安全产品部署安全加固实施安全战略安全战略Filter/PrioritizeFilter/Prioritize安全培训体系建设体系建设安全规划安全规划3344安全策略安全制度安全流程安全考核办法一期规划二期规划三期规划安全规划安全规划二期建设计划二期建设计划安全预警服务安全维护服务安全监控服务安全策略推行安全规划安全规划三期建设计划三期建设计划安全策略落实安全运营中心的搭建安全培训安全培训23ProfessionalSecuritySolutionProvider建设信息安全管理体系(建设信息安全管理体系(ISMSISMS)制度建设考核结合电网公司的安全管理现状,针对电力行业业务网络的相关组织、管理策略部分进行必要的建设和加强!
24ProfessionalSecuritySolutionProvider绿盟科技安全设计方法论绿盟科技安全设计方法论安全体系模型NISFIATFPDR安全技术标准ISO15408ISO15852GB50173安全管理标准ISO17799ISO27001ISO13335工程服务标准SSE-CMMITIL选择安全标准体系选择安全标准体系进行风险分析进行风险分析安全域划分CIA评价法威胁类型分析物理攻击主动攻击被动攻击内部越权攻击分发攻击层次风险分析物理网络系统应用管理设计安全策略设计安全策略选择控制措施选择控制措施分级安全策略等级保护原则参照安全标准体系分步实施策略短中长期安全目标实施过程规划选型策略技术选择厂商选择产品选择多安全能力评估防护检测(响应)恢复安全组织建设组织设置人员职责人员管理安全管理体系(ISMS)制度建设风险管理25ProfessionalSecuritySolutionProvider提纲提纲电力行业安全现状及风险分析如何构建信息安全体系安全防护产品简介及选型建议安全防护产品简介及选型建议安全风险评估介绍绿盟科技公司简介26ProfessionalSecuritySolutionProvider安全原理安全原理安全和复杂性成正比,安全和可用性通常成反比安全两难安全两难相对安全相对安全木桶原理木桶原理2/8法则法则蝴蝶效应蝴蝶效应世界上只有相对安全,而没有完美无缺的绝对安全安全性取决于整个体系防护最弱的地方安全性的80%的成果,来自于20%的投入。
集中处理已知的和最可能的威胁比花费精力处理未知的和不大可能的威胁更有用(2/8法则)一个微小的疏忽,如果不加以及时注意,有可能会给整个安全防护体系带来非常大的危害27ProfessionalSecuritySolutionProvider安全技术产品安全技术产品安防体系的基本保证安防体系的基本保证网络安防更需要完善的整体防卫架构网络安防更需要完善的整体防卫架构网络安防更需要完善的整体防卫架构网络安防更需要完善的整体防卫架构防火墙防火墙访问控制访问控制防病毒防病毒入侵检测入侵检测虚拟专用网虚拟专用网漏洞评估漏洞评估28ProfessionalSecuritySolutionProvider安全防护是一个过程安全防护是一个过程安全防护是一个周而复始、循环上升的过程安全防护是一个周而复始、循环上升的过程安全防护是一个周而复始、循环上升的过程安全防护是一个周而复始、循环上升的过程q100%100%100%100%安全的网络是不存在的;安全的网络是不存在的;安全的网络是不存在的;安全的网络是不存在的;q安防系统需要不断的变化和安防系统需要不断的变化和安防系统需要不断的变化和安防系统需要不断的变化和调整;调整;调整;调整;q安防工作是循序渐进、不断安防工作是循序渐进、不断安防工作是循序渐进、不断安防工作是循序渐进、不断完善的过程。
完善的过程。
完善的过程。
完善的过程。
29ProfessionalSecuritySolutionProvider安全技术产品选型安全技术产品选型以需求为导向,选择最适合需求的产品对于产品的选型,可参考各类产品的指标来源按照实际需求定制相应的测试方案考虑案例应用30ProfessionalSecuritySolutionProvider电力系统安全防护技术电力系统安全防护技术1备份与恢复2防病毒措施3防火墙4入侵检测/保护5主机防护6数字证书与认证7专用安全隔离装置8IP认证加密装置9WEB服务的使用与防护10Email的使用11远程拨号访问12计算机系统本地访问控制13线路加密设备14安全“蜜罐”诱骗15应用程序安全16关键应用系统服务器安全增强17安全审计31ProfessionalSecuritySolutionProvider防火墙的基本概念防火墙的基本概念防火墙是一种高级访问控制设备,是置于不同网络安全域之间的一防火墙是一种高级访问控制设备,是置于不同网络安全域之间的一系列部件的组合,是不同网络安全域间通信流的唯一通道,能根据企系列部件的组合,是不同网络安全域间通信流的唯一通道,能根据企业有关安全政策控制业有关安全政策控制(允许、拒绝、监视、记录允许、拒绝、监视、记录)进出网络的访问行为。
进出网络的访问行为。
不可信的网络及服务器可信任的网络防火墙路由器InternetIntranet供外部访问的服务及资源可信任的用户不可信的用户DMZ32ProfessionalSecuritySolutionProvider防火墙的主要技术种类防火墙的主要技术种类p应用层代理技术应用层代理技术(ApplicationProxy)(ApplicationProxy)p包过滤技术包过滤技术(PacketFiltering)(PacketFiltering)p状态包过滤技术状态包过滤技术(StatefulStatefulPacketFiltering)PacketFiltering)应用层表示层会话层传输层网络层数据链路层物理层33ProfessionalSecuritySolutionProvider数据包数据包数据包数据包查找对应查找对应的控制策的控制策略略拆开数据包拆开数据包根据策略决定如根据策略决定如何处理该数据包何处理该数据包数据TCP报头IP报头分组过滤判断信息企业内部网企业内部网屏蔽路由器屏蔽路由器数据包数据包防火墙包过滤技术的基本原理防火墙包过滤技术的基本原理数据包数据包UDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource控制策略34ProfessionalSecuritySolutionProvider数据包数据包数据包数据包查找对应查找对应的控制策的控制策略略拆开数据包拆开数据包根据策略决定如根据策略决定如何处理该数据包何处理该数据包企业内部网企业内部网屏蔽路由器屏蔽路由器数据包数据包防火墙状态检测包过滤技术的基本原理防火墙状态检测包过滤技术的基本原理数据包数据包数据3TCP报头IP报头分组过滤判断信息数据2TCP报头IP报头数据1TCP报头IP报头数据1TCP报头IP报头数据状态检测控制策略控制策略35ProfessionalSecuritySolutionProvider数据包数据包数据包数据包查找对应查找对应的控制策的控制策略略拆开数据包拆开数据包根据策略决定如根据策略决定如何处理该数据包何处理该数据包企业内部网企业内部网屏蔽路由器屏蔽路由器数据包数据包防火墙应用层代理技术的基本原理防火墙应用层代理技术的基本原理数据包数据包数据TCP报头IP报头分组过滤判断信息应用代理判断信息控制策略控制策略36ProfessionalSecuritySolutionProvider防火墙的用途防火墙的用途q控制对网点的访问和封锁网点信息的泄露控制对网点的访问和封锁网点信息的泄露q能限制被保护子网的泄露能限制被保护子网的泄露q具有审计作用具有审计作用q能强制安全策略能强制安全策略37ProfessionalSecuritySolutionProviderq防火墙不能防备病毒防火墙不能防备病毒q防火墙对不通过它的连接无能为力防火墙对不通过它的连接无能为力q防火墙不能防备内部人员的攻击防火墙不能防备内部人员的攻击q限制有用的网络服务限制有用的网络服务q防火墙不能防止防火墙的攻击防火墙不能防止防火墙的攻击防火墙的弱点防火墙的弱点38ProfessionalSecuritySolutionProvider电力行业防火墙的部署电力行业防火墙的部署防火墙产品可以部署在安全区I与安全区II之间(横向),实现两个区域的逻辑隔离、报文过滤、访问控制等功能。
对于调度数据专网条件不完善的地方,还需要考虑在调度数据接入处部署(纵向),以保证本地调度系统的安全。
防火墙安全策略主要是基于业务流量的IP地址、协议、应用端口号、以及方向的报文过滤。
39ProfessionalSecuritySolutionProvider防火墙产品的选型因素防火墙产品的选型因素网络结构适应性边界出口链路的带宽、数量的要求安全级别的不同对于设立多网段的要求应用系统适应性对特定应用的支持功能和性能对应用层信息过滤的要求对应用系统是否具有负载均衡能力关键的性能指标吞吐量、丢包率、延迟、背靠背、最大并发连接数、每秒新建立连接数可靠性、可用性和易用性冗余能力集中控管作用安全域之间的有效隔离严格的访问控制40ProfessionalSecuritySolutionProvider入侵检测系统的概念入侵检测系统的概念q防火墙不能彻底消除网络入侵的威胁;防火墙不能彻底消除网络入侵的威胁;q入侵检测系统入侵检测系统(IDS(IDS:
IntrusiondetectionIntrusiondetectionsystem)system)用于监控网络和计算机系统被入侵或用于监控网络和计算机系统被入侵或滥用的征兆;滥用的征兆;qIDSIDS系统以后台进程的形式运行,发现可疑情系统以后台进程的形式运行,发现可疑情况,立即通知有关人员;况,立即通知有关人员;qIDSIDS是监控和识别攻击的标准解决方案,是安是监控和识别攻击的标准解决方案,是安防体系的重要组成部分;防体系的重要组成部分;q假如说防火墙是一幢大楼的门锁,那入侵检假如说防火墙是一幢大楼的门锁,那入侵检测系统就是这幢大楼里的监视系统。
测系统就是这幢大楼里的监视系统。
41ProfessionalSecuritySolutionProvider监控室监控室=控制中心控制中心后门后门保安保安=防火墙防火墙摄像机摄像机=探测引擎探测引擎CardKeyCardKey形象地说,它就是网络摄象机,能够捕获并记录网络上的所有数据,同时它也是形象地说,它就是网络摄象机,能够捕获并记录网络上的所有数据,同时它也是智能摄象机,能够分析网络数据并提炼出可疑的、异常的网络数据,它还是智能摄象机,能够分析网络数据并提炼出可疑的、异常的网络数据,它还是XX光光摄象机,能够穿透一些巧妙的伪装,抓住实际的内容。
它还不仅仅只是摄象机,摄象机,能够穿透一些巧妙的伪装,抓住实际的内容。
它还不仅仅只是摄象机,还包括保安员的摄象机,能够对入侵行为自动地进行反击:
阻断
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 华北 电网 安全技术 交流