IPS电力行业网络边界的典型应用方案-电力解决方案.doc

IPS 电力行业网络边界的典型应用方案 -电力解决方案 电力在人类社会生产和生活中的重要地位无可替代。为保障电力系统稳定高效的运行，先进的 IT 系统是整个电力行业不可或缺的重要组成部分。在享受着IT 技术带来的效率的同时， IT 系统的安全也就成为了管理人员所必须的问题。 传统上，由于电力系统的业务结构相对封闭，因此多采用网络物理隔离等模式来进行控制。但是，随着近年来与外界接口的增加，特别是与银行等合作单位中间业务的接口，网上电力服务、三网融合、数据大集中，应用、内部各系统间的互联互通等需求的发展，电力系统的安全问题开始跨越网络出现。网络内外的恶意流量，特别是处于应用层的恶意流量，已经成为电力系统网络不可忽视的威胁来源。在最常见的网络边界， Intenet 出口和合作伙伴网络出口上，风险尤其明显。 在这两个出口上，电力业务系统所面临的风险主要来自于： 来自 Internet 和合作伙伴网络的外在威胁：例如 DoS/DdoS 拒绝服务攻击、缓冲区溢出攻击、 Web 应用攻击、 SQL 注入攻击、 XSS 跨站脚本攻击和木马蠕虫攻击等，这些威胁大多来自于应用层，传统的防火墙等网络访问控制设备只能起到部分的防护作用，迫切需要新的防护手段。 来自网络内部的网络控制不力：例如 P2P 软件滥用网络带宽，即时通讯软件（ IM）导致的信息泄露，在线炒股、在线游戏严重降低工作效率等，对于这些影响业务效率内部的上网行为的管理，传统的手段也难以有效控制，迫切需要新的管理手段。 针对上述需求，某电力企业采用了联想网御 IPS 设备，与原有的防火墙等手段相结合，内外 兼修的为业务系统提供了更完善的防护方案。 面对来自外网的应用层威胁，网络管理人员借助 IPS 的自学习 DoS/DDoS 防范技术，有效防御拒绝服务攻击；借助 IPS 的 web 攻击特征组，有效防御 WEB应用攻击，借助 IPS 的虚拟补丁技术，有效防御木马、蠕虫攻击；借助 IPS 统一检测引擎、深度内容检测和 ASIC 硬件检查等技术，有效防御各种应用层的攻击手段。 而面对来自内部的网络滥用问题，网络管理人员则可以借助联想网御 IPS的上网行为管理功能，禁止或者控制诸如迅雷、电驴、 BT 等在内的 100 多种 P2P应用；全面检测 QQ、 MSN、 Skype、 Web-QQ、 Web-MSN 等 10 多种流行 IM