榕基网络入侵检测系统在电力行业的应用案例

发表于:2007-06-23来源:作者:点击数: 标签:
电力行业关系到国计民生,是我国经济快速发展的重要基石。 电力系统的信息化建设有力地推动了电力行业生产、办公、服务水平,随着电力系统网络规模的不断发展和信息化水平的不断提高,信息安全建设作为保障生产的一个重要组成部分,越来越多地受到重视并被提

   

    电力行业关系到国计民生,是我国经济快速发展的重要基石。

电力系统的信息化建设有力地推动了电力行业生产、办公、服务水平,随着电力系统网络规模的不断发展和信息化水平的不断提高,信息安全建设作为保障生产的一个重要组成部分,越来越多地受到重视并被提到议事日程上来。


    据来自有关部门的资料,目前电力系统存在的一些信息安全问题已明显地威胁到电力系统的安全和稳定,,影响着“数字电力系统”的实现进程。研究电力系统信息安全问题、开发相应的应用系统、制定电力系统信息遭受外部攻击时的防范与系统恢复措施,是电力行业当前信息化工作的重要内容。电力系统信息安全已经成为电力企业生产、经营和管理的重要组成部分。


    榕基入侵检测系统(RJ-IDS)是榕基网安公司除了漏洞扫描系统外的一条全新产品线,该产品是一种动态的入侵检测与响应系统,除了能对高速网络上的数据包捕获、分析、结合特征库进行相应的模式匹配外,还具有强大的行为和事件统计分析功能,能够自动检测可疑行为,及时发现来自网络外部或内部的攻击,并可以实时响应,切断攻击方的连接,帮助企业最大限度的保护公司内部的网络安全


    网络构架描述


    国内电力行业某省级公司,随着业务需求的进一步扩展,原有的网络及系统平台已经不能满足应用需求,从保障业务系统高效、稳定和安全运行等方面考虑,必须升级优化现有系统,其中提高网络的安全性是重中之重。


    该公司信息系统基础设施包括电力系统网络、局域网和互联网三个部分。电力系统网络是承载该公司与各个子公司内部业务交流的核心平台,局域网是该公司内部日常办公的主要载体,外部信息的获取和发布通过互联网来完成。


    该公司的局域网于2001年建成并投入运行,核心交换机为Cisco Catalyst 6509.以千兆下联十多台设在各部门的百兆交换机,均为Cisco Catalyst 3524XL/3550系列交换机,并划分了多个VLAN;在网络出口处,该公司通过Cisco 7401交换机与Inte.net连接,Internet接入边界有最基本的安全设备,一台硬件防火墙和一台VPN设备。


    公司提供包括WWW、SMTP、FTP等互联网应用服务,目前开设了一个内部信息发布、员工交流站点和一个对外展示企业形象的站点,公司还架设了一个供300多人使用的邮件系统。同时公司还拥有很多的重要应用系统,其中包括企业OA系统和各种信息管理系统。



    目前大流量的应用主要集中在局域网内,因此局域网的压力很大;大部分的应用必须跨广域网,但由于应用刚刚起步,因此跨广域网的流量不很大,随着信息化建设的逐步深入,广域网潜在的瓶颈将会严重影响应用的普及;公司与各个子公司之间以VPN相连。



    安全需求分析


    用户目前主要的管理信息系统包括EAM(企业设备管理系统Enterprise Asset Management)、财务系统、生产调度系统、办公自动化系统和生产调度监视系统等。这些关键系统同时运行在该公司统一的电力系统网络平台之上,系统之间存在业务逻辑交叉和数据交换,因此系统的安全具有很大的关联性,特别是对于互联网接入的安全需要特别的关注。


    经过一段时间的检测分析发现,该用户网络主要存在如下威胁:1.  网上存在大量的端口扫描试探、发送垃圾邮件等网络滥用行为;2.  发现部分主机由于未及时安装补丁程序或设置不当、口令强度不够等原因而被黑客入侵,并被安装后门程序;3.  拒绝服务攻击发生频率不高,但一般影响较大;4.  蠕虫病毒传播和泛滥,危害不可小视。


    部署实施策略


    尽管防火墙能够通过强化网络安全策略抵御来自外部网络的非法访问,但对网络内部发起的攻击无能为力。为此,采用了榕基基于网络的实时入侵检测技术,动态监测来自于外部网络和内部网络的所有访问行为。当检测到来自内外网络针对或通过防火墙的攻击行为,会及时响应,并通知防火墙实时阻断攻击源,从而进一步提高了系统的抗攻击能力,更有效地保护了网络资源,提高了防御体系级别。


    入侵检测系统可以和防火墙获取相同的网络数据,当入侵检测系统发现异常攻击时,立即通知防火墙,防火墙迅速做出反应阻止当前攻击事件的继续,从而使得攻击失败,这样的防御体系能够对攻击作出实时的防御,达到安全处理应急事件的目的。目前榕基RJ-IDS入侵检测系统已经可以和市场上大部分主流防火墙(超过20种)进行联动阻断入侵者,如天融信、东软、亿阳、三星等。


    根据用户网络的实际状况,在千兆主干网络上部署了具备超强检测能力的榕基千兆型网络入侵检测系统RJ-IDS 1000-F,以此检测逃避防火墙拦截的攻击流。在内部网段上,由于最可能受到的是来自内部人员的攻击和内植木马病毒的攻击,所以在各个VLAN内部部署百兆型网络入侵检测系统RJ-IDS 100,随时检测内部的网络威胁。


    榕基RJ-IDS入侵检测系统是一个分布式的基于B/S的网络入侵检测系统。分布式的结构利于应用的扩展,B/S结构应用在网络环境中非常方便。实时地将告警日志按各种条件进行分类有助于帮助管理员迅速地发现某些特定攻击。榕基RJ-IDS入侵检测系统可以按多种标准动态地切换告警日志的分类,包括高、中、低风险、资产等,对历史攻击事件可以进行事件分析综合查询。


    经过一段时间的运行,榕基RJ-IDS入侵检测系统在防范外部攻击和阻止内部非法访问方面取得了良好的成效,根据统计分析后的数据显示,部署后该用户的网络安全状态得到了极大的改善,网络中信息流通更加畅通,企业员工的满意度很高。

原文转自:http://www.ltesting.net