一、行业背景
2006年4月29日,国家电网公司提出了在全系统实施SG186工程的规划。根据规划,SG186工程将实现一体化企业级信息集成平台的建设;依托信息集成平台,建设财务(资金)管理、营销管理、安全生产管理、协同办公管理、人力资源管理、物资管理、项目管理、综合管理八大业务应用;同时建立健全六个信息化保障体系,这六个体系分别是:信息化安全防护体系、标准规范体系、管理调控体系、评价考核体系、技术研究体系和人才队伍体系。
3年来,SG186工程在国电系统内得到广泛、快速的推进,各省电力企业信息化应用水平得到大幅提升。电力行业的特点决定了信息安全是电力行业信息化建设高度重要的环节。电力企业的信息系统一但遭到破坏,造成的影响和损失将十分巨大。
目前,绝大部分电力企业已经构建了较为完善的传统信息安全防护体系。但随着信息化建设的深入和网络技术的不断发展,传统的信息安全防护体系已难以适应新的安全需求,防火墙、入侵检测系统等安全设备都无法有效的防御篡改网页、上传木马、注入攻击、跨站攻击等WEB应用层攻击。近年来,电力企业因WEB应用层漏洞造成的信息安全事故时有发生,例如曾出现过某省公司电力营销数据被恶意篡改的恶性事件。
WEB应用层安全引起了电力企业的高度重视,2007年以来,各省电力公司相继采购了一系列应用安全防护产品以保障外网门户和内网应用的安全。2009年2月,国电将对外网站的防攻击、防篡改技术防护措施和对外服务系统安全防护情况;列入信息安全检查项目中。采用专业的应用安全防护产品,弥补传统信息安全防护体系的漏洞,加强对网站和B/S应用的保护,已经成为电力行业的共识。
二、解决方案
天存早在2005年就在南方电网成功的实施了对门户网站的网页防篡改项目。多年来,天存陆续为东北电网公司、西北电网公司等众多电力企业提供专业的网页防篡改系统和应用防护系统,积累了构建电力行业应用安全保障体系的丰富经验。针对电力行业的信息化应用现状,天存推出了以iGuard网页防篡改系统和iWall应用防火墙为核心的整体应用安全解决方案。
要点:
- 电力行业应用分布于内(ZEPNET)、外网,内外网之间通过数据交换系统进行连通。因此内外网应用将采用单独部署的模式,分别配置各自的发布服务器完成发布与恢复。
- 公司网站访问量大,涉及面广,尤其是95598客户服务网还涉及到电网客户的相关信息,因此仅仅做到防篡改是不够的,还必须对跨站攻击、Cookies窃取等可能损害来访客户利益的应用攻击进行有效防御。因此,对省公司门户网站和95598网站应采用iGuard标准版实现防篡改,采用iWall应用防火墙实现对常见WEB应用层攻击的全面防御。
- 各地市公司网站运行于内网,并且由各地市公司维护,因此应采用分布式部署,即各地市公司单独配置发布服务器。同时,考虑到各地市公司网站的特点,建议采用iGuard标准动态版,在实现网页防篡改的同时,对一些主要的WEB应用层攻击(如注入式攻击)进行防御。
|
