天津市電力公司隸屬于國家電網公司,擔負著整個天津地區的電網規劃、建設和供電服務任務。天津電力非常重視企業的信息化發展,通過內部互聯網絡的建設,實現了企業生產、經營、管理、服務各環節的信息化,形成了高效安全、響應快速、智能化、現代化的信息技術支撐環境,達到企業生產過程自動化、管理方式數字化、決策支持智能化、商務運營電子化的“四化”要求。
隨著天津電力信息系統建設的發展,對信息系統的安全防御需求也就提到議事日程上來。特別是近些年來,各種黑客攻擊手段層出不窮,安全事件時有發生,電力系統的信息網絡作為承載了各種應用業務,存放有涉及資產關鍵數據的資源平臺,也受到了網絡黑客群體的關注,而電力系統作為與國計民生息息相關的基礎業務系統,一旦遭受攻擊,帶來的經濟損失將不可估量。
針對應用層攻擊加強入侵防御
天津電力目前的信息網絡按信息性質可分為廣域骨干網絡、數據中心網絡、邊界接入網絡、辦公局域網絡。進行安全域劃分后,可以發現天津電力重要的業務應用及數據都在數據中心網絡集中運行,數據中心網絡是天津電力信息網中最重要、最核心的部分,具有較高的安全等級,需要加強安全防護。而此前數據中心與邊界接入網絡的邊界不清晰,不利于數據中心網絡安全防護手段的實施。調整網絡結構后,需要加強數據中心網絡的安全訪問控制措施和邊界防御措施,但僅依靠原有的防火墻系統,無法滿足數據中心網絡這一重要安全域的安全防護需求。特別是那些利用系統漏洞進行攻擊和傳播的黑客工具以及蠕蟲病毒,具有更新速度快、變種數量多的特點,傳統的訪問控制級安全產品對其無能無力,因而亟需一款可以防御應用層攻擊的安全產品來抵御這些威脅。
在經過專家評審團的仔細分析后,天津電力公司最終選擇了啟明星辰公司提供的安全解決方案,并在方案中使用了啟明星辰公司自主開發的天清入侵防御系統。
天清入侵防御系統是一款在線式網絡入侵防御設備,與其它入侵防御產品不同的是,它采用了啟明星辰公司獨創的,基于特征與基于原理的檢測方式相融合的柔性化檢測機制,這項檢測機制凝聚了啟明星辰公司十余年來在入侵威脅檢測領域內的技術積累,在保證了威脅檢測的準確性和規則擴充響應及時性的基礎上,提升了對變形和未知攻擊的識別能力,擴大了攻擊檢測防御的覆蓋范圍,特別的,采用了柔性化的檢測機制后,對那些變種攻擊和零日攻擊也有較強的防御能力。
精確阻斷保障業務正常運行
啟明星辰公司依據對網絡安全理念的深入理解,分析了天津電力公司信息化系統建設的需求,結合啟明星辰公司在電力系統的網絡安全解決方案方面的成功經驗,提出了基于入侵防御系統的安全解決方案,該解決方案包括兩方面的內容。
首先,清晰化網絡邊界,物理上區別開數據中心網絡與其他網絡,建立起邊界明晰的安全域。安全域的劃分為安全產品的整體效能發揮提供了一個良好的平臺,不僅便于安全產品的部署,還為此后引入新IT支撐系統提供了靈活的擴展性,最重要的是為將來的設備集中管理、網絡安全產品集中管理奠定了堅實的基礎。其次,在數據中心網絡邊界部署天清入侵防御系統,加強數據中心網絡深層入侵威脅防范能力。將入侵防御系統的防御引擎部署在數據中心網絡與其他網絡(這里主要是廣域骨干網絡)的邊界上,檢測、分析和控制那些通過廣域骨干網絡向數據中心網絡的所有網絡數據流量,一旦發現有攻擊或惡意行為發生,立即給予阻斷。
用戶可以通過獨立部署的入侵防御系統控制臺向防御引擎下發控制命令和制定防御策略,同時,控制臺還擔負著定時更新和向下發布最新入侵事件庫的任務。啟明星辰公司提供了入侵防御系統事件規則庫的在線和離線更新服務,定時發布包含最新攻擊威脅特征的事件規則庫,緊急情況下(如零日攻擊)可實現實時更新。天清入侵防御系統還支持控制臺間的分級管理機制,且每一個控制臺支持同時管理和連接多個防御引擎,這一功能為此后在其他安全域增加部署入侵防御系統留出了準備空間。
深層防御 效果顯著
自從引入天清入侵防御系統以來,整個企業的網絡邊界就像建起了一道堅實的屏障,把原來讓IT人員頭疼的惡意攻擊統統拒之網外,為內部網絡的應用提供了一個安全、可靠的環境。從目前系統部署情況來看,本解決方案大大提高了天津電力數據中心網絡的深層入侵威脅防御等級,從而保障內部關鍵業務和關鍵數據的信息安全。此外,天津電力內部還制定了信息系統安全管理規定、信息系統事故調查及考核辦法等一系列安全制度,從領導到員工都提升了安全意識,結合本解決方案提供的自動控制措施,堅實了天津電力信息安全建設的基礎。此外,清晰安全域的劃分,為今后的網絡擴容和發展做好了準備。
