天津市电力公司隶属于国家电网公司,担负着整个天津地区的电网规划、建设和供电服务任务。天津电力非常重视企业的信息化发展,通过内部互联网络的建设,实现了企业生产、经营、管理、服务各环节的信息化,形成了高效安全、响应快速、智能化、现代化的信息技术支撑环境,达到企业生产过程自动化、管理方式数字化、决策支持智能化、商务运营电子化的“四化”要求。
随着天津电力信息系统建设的发展,对信息系统的安全防御需求也就提到议事日程上来。特别是近些年来,各种黑客攻击手段层出不穷,安全事件时有发生,电力系统的信息网络作为承载了各种应用业务,存放有涉及资产关键数据的资源平台,也受到了网络黑客群体的关注,而电力系统作为与国计民生息息相关的基础业务系统,一旦遭受攻击,带来的经济损失将不可估量。
针对应用层攻击加强入侵防御
天津电力目前的信息网络按信息性质可分为广域骨干网络、数据中心网络、边界接入网络、办公局域网络。进行安全域划分后,可以发现天津电力重要的业务应用及数据都在数据中心网络集中运行,数据中心网络是天津电力信息网中最重要、最核心的部分,具有较高的安全等级,需要加强安全防护。而此前数据中心与边界接入网络的边界不清晰,不利于数据中心网络安全防护手段的实施。调整网络结构后,需要加强数据中心网络的安全访问控制措施和边界防御措施,但仅依靠原有的防火墙系统,无法满足数据中心网络这一重要安全域的安全防护需求。特别是那些利用系统漏洞进行攻击和传播的黑客工具以及蠕虫病毒,具有更新速度快、变种数量多的特点,传统的访问控制级安全产品对其无能无力,因而亟需一款可以防御应用层攻击的安全产品来抵御这些威胁。
在经过专家评审团的仔细分析后,天津电力公司最终选择了启明星辰公司提供的安全解决方案,并在方案中使用了启明星辰公司自主开发的天清入侵防御系统。
天清入侵防御系统是一款在线式网络入侵防御设备,与其它入侵防御产品不同的是,它采用了启明星辰公司独创的,基于特征与基于原理的检测方式相融合的柔性化检测机制,这项检测机制凝聚了启明星辰公司十余年来在入侵威胁检测领域内的技术积累,在保证了威胁检测的准确性和规则扩充响应及时性的基础上,提升了对变形和未知攻击的识别能力,扩大了攻击检测防御的覆盖范围,特别的,采用了柔性化的检测机制后,对那些变种攻击和零日攻击也有较强的防御能力。
精确阻断保障业务正常运行
启明星辰公司依据对网络安全理念的深入理解,分析了天津电力公司信息化系统建设的需求,结合启明星辰公司在电力系统的网络安全解决方案方面的成功经验,提出了基于入侵防御系统的安全解决方案,该解决方案包括两方面的内容。
首先,清晰化网络边界,物理上区别开数据中心网络与其他网络,建立起边界明晰的安全域。安全域的划分为安全产品的整体效能发挥提供了一个良好的平台,不仅便于安全产品的部署,还为此后引入新IT支撑系统提供了灵活的扩展性,最重要的是为将来的设备集中管理、网络安全产品集中管理奠定了坚实的基础。其次,在数据中心网络边界部署天清入侵防御系统,加强数据中心网络深层入侵威胁防范能力。将入侵防御系统的防御引擎部署在数据中心网络与其他网络(这里主要是广域骨干网络)的边界上,检测、分析和控制那些通过广域骨干网络向数据中心网络的所有网络数据流量,一旦发现有攻击或恶意行为发生,立即给予阻断。
用户可以通过独立部署的入侵防御系统控制台向防御引擎下发控制命令和制定防御策略,同时,控制台还担负着定时更新和向下发布最新入侵事件库的任务。启明星辰公司提供了入侵防御系统事件规则库的在线和离线更新服务,定时发布包含最新攻击威胁特征的事件规则库,紧急情况下(如0day攻击)可实现实时更新。天清入侵防御系统还支持控制台间的分级管理机制,且每一个控制台支持同时管理和连接多个防御引擎,这一功能为此后在其他安全域增加部署入侵防御系统留出了准备空间。
自从引入天清入侵防御系统以来,整个企业的网络边界就像建起了一道坚实的屏障,把原来让IT人员头疼的恶意攻击统统拒之网外,为内部网络的应用提供了一个安全、可靠的环境。从目前系统部署情况来看,本解决方案大大提高了天津电力数据中心网络的深层入侵威胁防御等级,从而保障内部关键业务和关键数据的信息安全。此外,天津电力内部还制定了信息系统安全管理规定、信息系统事故调查及考核办法等一系列安全制度,从领导到员工都提升了安全意识,结合本解决方案提供的自动控制措施,坚实了天津电力信息安全建设的基础。此外,清晰安全域的划分,为今后的网络扩容和发展做好了准备。