下载提示
- 1.该资料是网友上传的,本站提供全文预览,预览什么样,下载就什么样。
- 2.下载该文档所得收入归上传者、原创者。
- 3.下载的文档,不会出现我们的网址水印。
文档列表
文档介绍
本项目研究电力企业管理信息大区信息内外网络安全隔离及各类终端的安全接入与传输问题,在建设电力企业信息安全三道纵深防线的同时,实现各类接入终端的统一监控管理和审计,其关键技术内容主要包括以下几个方面。
(1) 基于等级保护和可信计算的信息网络隔离及边界接入体系架构研究
为了落实国家对信息安全保障工作的要求,提高电力系统网络和信息系统安全防护能力,保障电力行业信息化建设的安全稳定运行,强化内部信息安全,本项目结合国家信息系统安全等级保护的要求,在原有电力二次系统生产控制大区与管理信息大区单向隔离的基础上,提出电力行业管理信息网络与系统安全隔离方案,建设电网信息安全三道纵深防线,如图1所示。通过技术改造将管理信息大区网络划分为信息内网和信息外网并实施有效的安全隔离,创造性提出了“双网双机、分区分域、等级保护、多层防护”的安全策略。
图1 传统信息安全隔离体系结构图
1)双网双机:管理信息大区划分为信息内网和信息外网,信息内网是内部业务应用承载网络及内部办公网络,可涉及企业商业秘密;信息外网是外部业务网络及互联网用户终端网络,不涉及企业商业秘密。信息内外网分别采用独立的服务器及桌面主机。
2)分区分域:在公司划分为管理信息大区与生产控制大区的基础上,将管理大区的系统依据定级情况及业务系统类型,进行安全域划分,以实现不同安全域的独立化、差异化防护。
3)等级防护:管理信息系统将以实现等级保护为基本出发点进行安全防护体系建设,并参照国家等级保护基本要求进行安全防护措施设计。
4)多层防御:在分域防护的基础上,将各安全域的信息系统划分为边界、网络、主机、应用(数据)四个层次进行安全防护设计,以实现层层递进,纵深防御。
本项目针对智能电网内各互动化业务系统终端接入的安全需求,以可信计算为理论指导,以密码技术为支撑,以身份认证为基础,以数据安全为核心,建立了基于等级保护和可信计算的信息网络隔离与边界接入体系架构(如图2所示),从终端安全、传输可信和边界可控三个层次开拓性地实现了基于等级保护和可信计算的电力系统信息安全纵深防御如图2所示。
图2 基于等级保护和可信计算的信息网络隔离及边界接入体系架构
(1) 基于等级保护和可信计算的信息网络隔离及边界接入体系架构研究
为了落实国家对信息安全保障工作的要求,提高电力系统网络和信息系统安全防护能力,保障电力行业信息化建设的安全稳定运行,强化内部信息安全,本项目结合国家信息系统安全等级保护的要求,在原有电力二次系统生产控制大区与管理信息大区单向隔离的基础上,提出电力行业管理信息网络与系统安全隔离方案,建设电网信息安全三道纵深防线,如图1所示。通过技术改造将管理信息大区网络划分为信息内网和信息外网并实施有效的安全隔离,创造性提出了“双网双机、分区分域、等级保护、多层防护”的安全策略。
图1 传统信息安全隔离体系结构图
1)双网双机:管理信息大区划分为信息内网和信息外网,信息内网是内部业务应用承载网络及内部办公网络,可涉及企业商业秘密;信息外网是外部业务网络及互联网用户终端网络,不涉及企业商业秘密。信息内外网分别采用独立的服务器及桌面主机。
2)分区分域:在公司划分为管理信息大区与生产控制大区的基础上,将管理大区的系统依据定级情况及业务系统类型,进行安全域划分,以实现不同安全域的独立化、差异化防护。
3)等级防护:管理信息系统将以实现等级保护为基本出发点进行安全防护体系建设,并参照国家等级保护基本要求进行安全防护措施设计。
4)多层防御:在分域防护的基础上,将各安全域的信息系统划分为边界、网络、主机、应用(数据)四个层次进行安全防护设计,以实现层层递进,纵深防御。
本项目针对智能电网内各互动化业务系统终端接入的安全需求,以可信计算为理论指导,以密码技术为支撑,以身份认证为基础,以数据安全为核心,建立了基于等级保护和可信计算的信息网络隔离与边界接入体系架构(如图2所示),从终端安全、传输可信和边界可控三个层次开拓性地实现了基于等级保护和可信计算的电力系统信息安全纵深防御如图2所示。
图2 基于等级保护和可信计算的信息网络隔离及边界接入体系架构
本项目研究电力企业管理信息大区信息内外网络安全隔离及各类终端 来自淘豆网www.taodocs.com转载请标明出处.