瑞星为福建电力打造整体防御系统-福建信息主管（CIO）网

瑞星为福建电力打造整体防御系统

作者：佚名来源：瑞星@eNet 发布时间：2005年10月08日点击数：

1. 用户介绍

　　福建省电力有限公司（以下见称福建电力）是国家电力公司全资子公司，国有特大型电力企业，目前，公司所属单位厦门电业局、嵩屿电厂、漳平电厂、水口水电厂、电力调度通信中心、泉州电业局等六家企业均已获得国家电力公司一流企业称号。　　

　　2. 复杂的网络环境

　　福建电力由于是国有特大型电力企业，除了本身的17个部门，还有直属单位33个、二级单位8个、直属的合资联营单位18个，正式员工约2.3万人；与全省61个县（市、区）的供电企业签订代管协议，实现代管60个。公司除了内部各部门之间需要及时、有效地进行沟通以外，公司同下属直属单位之间，公司同下属二级单位之间，公司同联营单位之间，公司同多种经营企业之间，公司同代管供电企业之间，也要有不同层次的沟通，所以福建电力采用了先进的网络化管理方式，通过网络将各个机构之间有机地联系起来。

　　福建电力的机构庞大，网络拓扑结构复杂。总公司与各个电业局之间的网络通过先进的微波设备进行资料传输。中心路由器作为各个电业局路由器组群的中心路由设备进行每个网段的管理与控制。

　　总公司拥有Web服务器、Mail服务器、DNS服务器、数据库服务器等多种专业服务器，其中DNS服务器在Internet注册，用于解析福建电力网络系统对外公开的域名。各个电业局也拥有单独的多种服务器，并拥有合法的域名和MX记录。总公司内部网络包含三个大的子网系统，使用DHCP协议动态分配IP地址，利用路由设备管理内部各个网段。

　　总公司内部是采用局域网技术进行网络互联，在总公司与各下属单位、合作单位采用外联网（Extranet）技术进行分级管理控制与信息的有限共享，而公司对外接入互联网，在互联网上进行窗口宣传。

　　由以上可以看出，福建电力的网络层次繁多，子网与主机数量庞大，必须经过非常严密的分析才可能提供安全的解决方案。　　

　　3. 极高的安全需求

　　电力行业是国家的重点单位，关系到国计民生，因此有很强的信息保密与安全需求，在内部网络访问控制方面，由于公司内部机构众多，而且各个下属公司与总公司是耦合的：平时独立经营，必要时又要接受总公司的战略指示，另外，电力公司的合作单位也非常多，公司与合作单位之间也会不同程度的网络访问，这就要求必须建立起一个权限非常完善的合理网络，每一层网络都要保证不同权限的正常访问。

　　在对外的安全保护方面，由于不可避免地要与外网相联，就必须时刻防备来自外部的黑客、病毒的安全威胁。

　　此外，计算机病毒对整个网络和各种应用的正常使用影响是最大的，由于自身内部因业务的需要实现内部网络的互通，同时各个单位和部门、单位又和Internet是互通的，这就给病毒的传播提供很好的环境，特别是网络蠕虫病毒严重影响正常工作的使用。　　

　　4. 瑞星的整体安全解决方案

　　4.1 方案设计前分析

　　瑞星公司针对福建电力复杂的网络特性与很高的网络安全需求，经过详细的分析，认为福建电力的整体方案必须兼顾以上方面需求，具体的需求有如下几方面：

　　a) 保持原网络拓扑结构不变，由于电力系统网络大多已经建立完整，网络拓扑结构也已经确定，所以安全、经济的整体解决方案的实施应以尽量不修改原网络拓扑结构。

　　b) 建立完整统一的安全体系，由总公司统一安全策略和安全体系设计，管理和监督直属、合作单位建立安全体系。

　　c) 建立多级的安全管理体系结构，由于福建电力总公司的直属、合作单位较多，各个单位间有不同的安全访问和安全需求，整个安全体系应在统一管理的指导思想下，根据各部门、单位特点建立分级管理单元。

　　d) 根据目前网络的安全需求重点是在以计算机病毒防护为主，同时保护总公司与各下属单位、合作单位之间的网络安全，明确各个网络的访问安全阻止外部和内部的黑客攻击。

　　e) 建立统一品牌的安全防护网，由于网络规模较大，涉及到的安全产品的种类和数量较庞大，如品牌不统一容易造成将来在产品的互通性、兼容性、安全性、维护和管理造成一定困难和不方便。

　　4.2 方案实施

　　针对以上问题和分析，在比较了多种方案之后，福建电力最终选择了瑞星的整体安全解决方案。

　　4.2.1 防毒

　　我们采用了瑞星网络版杀毒软件的多级系统中心方式：总公司建立总病毒管理中心，管理总公司内部的计算机病毒防护工作，同时监督、指导和管理其它各个单位病监控毒管理中心，各个分支机构都建立一个独立的病毒监控、管理系统中心，管理本机构网络计算机的防病毒工作。通过建立多级管理员，减轻中心管理员的工作量，提高管理效率。整个网络中所有计算机的瑞星杀毒软件的升级由瑞星病毒监控管理系统中心负责统一自动升级，无须管理员、客户端进行任何操作。同时，各客户端的病毒事件会自动上报到其所在的管理中心，下级管理中心会自动把本中心的病毒事件日志自动上报给上级管理中心，实现行业内全网络的远程控制和病毒日志审计。

　　4.2.2 反黑

　　在这里我们采用以三大层次的重点防黑策略。

　　在总公司与外部网之间，我们使用了瑞星应用级防火墙，用于保护总公司内部子网和福建电力对外提供的WWW服务器、Mail服务器和DNS域名服务器的安全。

　　在总公司与各电业局之间，我们使用了瑞星应用级防火墙对使用本地电信提供的DDN专线上Internet网络的各个电业局，只提供内部向Internet网络的代理访问，不提供Internet网络向内部的访问。

　　在各个电业局与下属发电电厂之间，我们使用了瑞星防火墙普通网桥透明工作模式，这样可以在不更改网络原有结构的前提下实现安全隔离。

　　4.2.3 监测

　　尽管防火墙能够通过强化网络安全策略抵御来自外部网络的非法访问，但对网络内部发起的攻击无能为力。为此，我们采用了瑞星基于网络的实时入侵检测技术，动态监测来自于外部网络和内部网络的所有访问行为。当检测到来自内外网络针对或通过防火墙的攻击行为，会及时响应，并通知防火墙实时阻断攻击源，从而进一步提高了系统的抗攻击能力，更有效地保护了网络资源。

　　以下是经过安全设计后的福建电力的网络拓扑图：　　
瑞星整体防御系统

　　5. 后记

　　瑞星为福建电力提供了全方位的服务，除了针对需求提供定制研发方案之外，在方案实施过程中，从安装调试到技术支持，都提供了详细、周到的服务。在方案实施之后，瑞星的售后服务体系在系统的维护方面又做了细致的工作，这一切都保证了整个方案的完善实施与稳定运行。而且，由于瑞星的所有软件产品都具有完全自主的知识产权，而且产品用模块化进行开发，不但保证了系统本身的安全，而且可扩充性也非常好。另外，瑞星软件的可操作性也很强，有很友好的界面系统，无须用户具备专业背景知识，避免了因为操作不当而导致的安全问题。事实证明，整个方案是科学、有效的，我们开始设定的目标都得到了完满的解决。

上一篇：刘建国的逻辑：那五年百度在做什么？

下一篇：剑鱼网络安全监控审计系统解决方案