华体会备用网在线讯:电力行业按电监会二次系统安全防护总体方案实现了“安全分区、网络专用、横向隔离、纵向认证”,有效地保证了确保电力实时闭环监控系统及调度数据网络的安全,防止了由此导致一次系统事故或大面积停电事故,及二次系统的崩溃或瘫痪。通过内外网隔离方案,特别是数据库正反向隔离装置有效地保障了电力系统避免受到Internet的攻击。
但在整体的安全方案中,对于电力系统敏感信息的防泄露,电力业务数据的防篡改工作始终没有作为工作重点;在管理信息管理信息大区在数据库集中存储各应用的大量敏感信息和与电力用户利益密切相关的经营数据,在管理大区中存在着大量的维护人员和外包工作人员,这样对电力经营数据的泄露和篡改造成极大风险,间接对电力生产系统的安全运转造成威胁。
等级保护对数据库安全建设的总体目标,一是要保证核心数据库自身的安全性,确保数据库不会受到攻击造成业务系统的瘫痪;二是在数据库使用过程中及时发现安全问题,防患于未然,按修复建议进行安全加固;三是要求保证数据的保密性和完整性,对核心数据库中的敏感数据进行有效的安全防护,确保关键数据不泄密,不被违规篡改。
本方案通过对电力行业敏感信息泄露安全威胁的分析,对数据库安全进行整体设计与规划,通过全系列数据库安全产品相互之间分工协作,共同形成整体的防护体系,覆盖了数据库安全防护的事前诊断、事中控制和事后分析。
一.现有的电力安全体系架构
现有的电力安全防护体系主要包括三个方面:
A、分区隔离、网络专用
根据对电网运转正常性的要求,将电网划分为不同级别的系统,分成四个大区,四个大区之间实现隔离。采用这种机制的主要目的是保障系统的可靠性和稳定性,防止低级别的,对系统有攻击性、危害性的代码和程序流入更高安全级别的系统。
B、内外网隔离
管理信息大区与互联网采用单向隔离装置和数据库隔离装置实现内外网隔离;将所有的数据库布置在内网中,所有需要提供互联网访问的Web应用系统放在外网,通过数据库隔离装置保障只有数据库通讯协议能够通过隔离装置访问到内网的数据库;隔离装置通过对数据库协议的解析和控制,实现外部系统对数据库的攻击行为的防护。
