专利名称:分布式电力企业信息网络安全管理系统的制作方法
技术领域:
本发明涉及一种分布式电力企业信息网络安全管理系统。
背景技术:
进入21世纪,由于电力企业的管理信息系统(Management InformationSystem, MIS)与Internet或其他外部网络连接,监测管理并过滤电力企业信息网和外部网络之间传递的信息,保护企业内部敏感信息或关键数据达到机密性、可用性、完整性、可控性和可审查性,已经成为一个非常严峻而实际的问题。国内外对网络信息安全极为重视,网络信息安全不仅对保证企业资源和运营安全至关重要,而且,涉及到国家的安全与社会的稳定。随着信息技术的快速发展和广泛应用,电力企业的网络安全问题更加突出。由于其自身的“木桶效应”,个别的网络漏洞或隐患将影响全局的安全,传统单一的网络安全举措已经很难应对各种繁杂的安全问题,急需一种分布式集成网络安全技术的网络安全管理系统(United Threat Management, UTM)进行整体信息化监测与管理。
发明内容
本发明的目的在于提供一种分布式电力企业信息网络安全管理系统,能够解决网络安全技术相互独立、交互协·同差、安全事件响应慢、网络故障定位难、告警失误率高等问题,使IT及安全管理员脱离繁琐的管理工作,提高工作效率。为解决上述问题,本发明提供一种分布式电力企业信息网络安全管理系统,包括:防火墙、网关、入侵防御系统IPS、安全评估系统、访问控制及隔离子系统、防病毒软件、身份认证子系统和备份子系统。进一步的,在上述系统中,包括:安全监控模块、安全预警模块、安全响应模块、安全运维模块和安全评估模块。进一步的,在上述系统中,所述安全监控模块包括:管理主页子模块、全网拓扑子模块、VPN监控子模块、设备监控子模块、事件告警子模块、实时报表子模块和安全态势子模块。进一步的,在上述系统中,所述安全预警模块包括:关联分析子模块、预警规则子模块、安全趋势子模块和威胁趋势子模块。进一步的,在上述系统中,所述安全响应模块包括:告警响应子模块、策略调整子模块、解决指导子模块、攻击朔源子模块和攻击拓扑子模块。进一步的,在上述系统中,所述安全运维模块包括:资产管理子模块、策略管理子模块、知识管理子模块、日志审计子模块、权限管理子模块、人员管理子模块、设备升级子模块和VPN组网子模块。进一步的,在上述系统中,所述安全评估模块包括单机分析子模块和态势分析子模块。
进一步的,在上述系统中,包括管控设备层、管理中心层和控制台层,其中,所述管控设备层管理的对象主要包括:在网络中的防火墙、VPN、IDS、IPS、UTM、路由器、交换机、服务器、计算机;所述管理中心层分析、检测、防御、组织、处理网络中的安全事件、告警、日志、审计、设备运行信息,传递运行数据,并完成各管理功能的处理;所述控制台层,供用户通过IE浏览器登录,远程连接访问所述管理中心层,并可进行设备监控、报警管理、事件分析检测审计等。与现有技术相比,本发明通过防火墙、网关、入侵防御系统IPS、安全评估系统、访问控制及隔离子系统、防病毒软件、身份认证子系统和备份子系统,以及安全监控模块、安全预警模块、安全响应模块、安全运维模块和安全评估模块,解决网络安全技术相互独立、交互协同差、安全事件响应慢、网络故障定位难、告警失误率高等问题,使IT及安全管理员脱离繁琐的管理工作,提高工作效率。
图1是本发明一实施例的网络系统逻辑结构图;图2是本发明一实施例的电力企业信息NSMS功能结构图;图3是本发明一实施例的NSMS及网络安全技术部署图;图4是本发明一实施例的NSMS分布式部署组网图。
具体实施例方式为使本发明的上述 目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式
对本发明作进一步详细的说明。电力企业信息系统具有分散控制管理、统一联合运行的特点。系统的运行涉及到发电厂、变电站、调度中心,发、输、配电系统一体化,系统中集成了各种独立系统和联合电网的控制保护技术、通信技术、运行管理技术等。随着电力信息网络的建设,电力企业关键业务不断拓展,建立在Internet架构上的分布式跨地区、全行业系统内部信息网正在完善,使网络安全的重要性和影响力更加显现,因此,电力信息网络系统的安全“层次化”管理极为重要。网络安全是一个系统的、全局的管理问题,网络系统中的任何一个漏洞,都会导致全网的安全问题,应该用系统工程的观点和方法,需要网络安全的综合及具体措施。电力企业信息系统按业务性质可分为四种:一是电网运行实时控制系统,包括电网自动发电控制系统及支持其运行的调度自动化系统、火电厂分布控制系统、水电厂计算机监控系统、变电所及集控站综合自动化系统、电网继电保护及安全自动装置、电力市场技术支持系统;二是电力营销系统、电量计费系统、负荷管理系统;三是支持企业经营、管理、运营的管理信息系统;四是不直接参与电力企业过程控制、生产管理的各类经营、开发、采购、销售等多种经营公司,电力企业信息NSMS的主要功能需求应当包括:对企业的主要业务信息进行网络安全的集中管理、分析、检测、防御、监控、分布式处理、安全技术及策略的实施、网络攻击及计算机病毒防范、安全审计、应急备份、告警、交互、传输、部署、URL及垃圾邮件过滤和审计等。分布式电力企业信息网络安全管理系统(Network Security ManagementSystem, NSMS)属于计算机网络安全(Network Security)技术领域,是综合计算机科学与技术学科,计算机网络技术、信息安全技术、通信技术、计算数学、密码技术和信息论等多学科的综合性交叉学科的新交叉学科,涉及“攻(攻击)、防(防范)、测(检测)、控(控制)、管(管理)、评(评估)”等多方面的基本理论和实施技术。网络安全管理系统属于统一威胁管理新技术,可将网络安全信息资源的统一配置、监控、预警、评估、响应,策略、检测、防御、响应一体化,并提供病毒及漏洞攻击防御、URL及垃圾邮件过滤和审计等。可对电力企业的网络安全信息及时进行采集、统一控制和管理,协同交互、互相支撑、有机联动,具有极为重要而广泛的应用,对于其他相近或相关学科在网络信息安全管理、检测、防御和安全信息处理等方面也有较好地应用和重要的作用。本实施例在分析地区电力信息系统的网络状况及NSMS需求的基础上,设计出一种新的适合地区电力企业信息的分布式NSMS架构,构建出分布式NSMS的功能结构和逻辑结构,并概述了对电力企业信息NSMS的功能实现,以及NSMS网络安全技术的部署策略和方式。通过动态监网络之间的信息交换和访问行为,实现对网络安全的有效管理,可有效地保证电力企业生产、运行、经营的正常进行。(I)电力企业信息网安全层次结构分析从电力企业信息网安全层次结构分析,具有不同层次与安全强度的网络安全防护框架。第一是分层管理。电力信息网可分为四级网,每级为一层,层间使用网络防火墙进行网络隔离。第二是分区管理 。结合电力企业信息安全的特点,分析相关业务系统的重要程度和数据流程、现状和安全要求,可将电力企业信息系统分为四个安全区:1实时控制区、II非控制生产区、III生产管理区和IV管理信息区,可确定不同的安全等级和防护水平。区间可以采用网络物理隔离措施,对实时控制区等关键业务实施重点防护,并采用不同强度的安全隔离设备使各安全区中的业务系统得到有效保护。I)实时控制区。是安全防御核心,其业务系统是对电力生产的重要环节,通过调度数据网络或专用通道进行实时监控。主要系统为:调度自动化系统(SCADA/EMS)、配电自动化系统、变电站自动化系统、发电厂自动监控系统、电力调度数据网SPInet — VPNl,以及继电保护、安全自动控制系统、低频/低压自动减载系统、负荷控制系统等。2)非控制生产区。其业务系统主要以非控制方式实现电力生产的必要功能,主要包括水调自动化系统、继电保护及故障录波信息管理系统、电能量计量系统、批发电力交易系统、调度员培训模拟系统(DTS)等。3)生产管理区。主要以非控制方式对电力生产进行管理,主要包括:SPMS(Scheduling Production Management System)、统计报表系统、雷电监测系统、气象信息接入等。4)管理信息区。具有电力信息管理和办公自动化功能,包括管理信息系统(MIS)、办公自动化系统(0A)、客户服务等。电力企业信息网安全监管平台层次结构及管理业务,如表I所示:
权利要求
1.一种分布式电力企业信息网络安全管理系统,其特征在于,包括:防火墙、网关、入侵防御系统IPS、安全评估系统、访问控制及隔离子系统、防病毒软件、身份认证子系统和备份子系统。
2.如权利要求1所述的分布式电力企业信息网络安全管理系统,其特征在于,包括:安全监控模块、安全预警模块、安全响应模块、安全运维模块和安全评估模块。
3.如权利要求2所述的分布式电力企业信息网络安全管理系统,其特征在于,所述安全监控模块包括:管理主页子模块、全网拓扑子模块、VPN监控子模块、设备监控子模块、事件告警子模块、实时报表子模块和安全态势子模块。
4.如权利要求2所述的分布式电力企业信息网络安全管理系统,其特征在于,所述安全预警模块包括:关联分析子模块、预警规则子模块、安全趋势子模块和威胁趋势子模块。
5.如权利要求2所述的分布式电力企业信息网络安全管理系统,其特征在于,所述安全响应模块包括:告警响应子模块、策略调整子模块、解决指导子模块、攻击朔源子模块和攻击拓扑子模块。
6.如权利要求2所述的分布式电力企业信息网络安全管理系统,其特征在于,所述安全运维模块包括:资产管理子模块、策略管理子模块、知识管理子模块、日志审计子模块、权限管理子模块、人员管理子模块、设备升级子模块和VPN组网子模块。
7.如权利要求2所述的分布式电力企业信息网络安全管理系统,其特征在于,所述安全评估模块包括单机分析子模块和态势分析子模块。
8.如权利要求1所述的分布式电力企业信息网络安全管理系统,其特征在于,包括管控设备层、管理中心层和控制台层,其中, 所述管控设备层管理的对象主要包括:在网络中的防火墙、¥ 队105、1 5、^¥、路由器、交换机、服务器、计算机; 所述管理中心层分析、检测、防御、组织、处理网络中的安全事件、告警、日志、审计、设备运行信息,传递运行数据,并完成各管理功能的处理; 所述控制台层,供用户通过IE浏览器 登录,远程连接访问所述管理中心层,并可进行设备监控、报警管理、事件分析检测审计等。
全文摘要
本发明提供了一种分布式电力企业信息网络安全管理系统,通过防火墙、网关、入侵防御系统IPS、安全评估系统、访问控制及隔离子系统、防病毒软件、身份认证子系统和备份子系统,以及安全监控模块、安全预警模块、安全响应模块、安全运维模块和安全评估模块,解决网络安全技术相互独立、交互协同差、安全事件响应慢、网络故障定位难、告警失误率高等问题,使IT及安全管理员脱离繁琐的管理工作,提高工作效率。
文档编号H04L29/06GK103227797SQ20131016703
公开日2013年7月31日 申请日期2013年5月8日 优先权日2013年5月8日
发明者贾铁军, 冯兆红 申请人:上海电机学院