技术领域
[0001] 本
发明涉及一种水电厂电力监控系统,特别是一种水电厂电力监控系统安全基线。
背景技术
[0002] 信息安全加固是指通过一定的技术和管理规范手段,提高网络和主机系统的规范性、安全性和抗攻击能力,是保障电力系统信息安全的关键环节。而信息系统安全往往需要在安全付出成本与所能够承受的安全
风险之间进行平衡,而安全基线正是这个平衡的合理的分界线。所以,安全基线是一个信息系统的最小安全保证,是该信息系统最基本需要满足的安全要求。
[0003] 但目前水电厂所用的电力监控系统均采用系统集成商或开发商以默认出厂配置交付的系统和设备,用户方也没有完善和适用的安全加固策略,导致该管理系统在使用时存在完整性和适用性较差的问题,使系统的功能模
块无法与水电厂当前的物理环境完全对应,也不能满足用户对系统不同功能的需求和对电力系统的完全监控。此外,由于这类管理系统自身的安全性较低,导致系统对用户
鉴别、
访问控制、审计策略和恶意代码防范的作用较差,存在被侵入和破坏的风险。因此,现有用于水电厂的电力监控系统存在完整性和适用性低、安全性差的问题。
发明内容
[0004] 本发明的目的在于,提供一种水电厂电力监控系统安全基线。它具有完整性和适用性高、安全性好的特点。
[0005] 本发明的技术方案:一种水电厂电力监控系统安全基线,包括业务应用域,业务应用域分别连接有互联网服务域、内部互联域、外部互联域、员工接入域、安全管理域和第三方接入域,所述互联网服务域、员工接入域和第三方接入域分别与安全管理域相互连接,安全管理域外侧连接有维护管理域,所述外部互联域一侧连接有无线接入域,所述互联网服务域、外部互联域和无线接入域一侧均连接有边界防护域。
[0006] 前述的一种水电厂电力监控系统安全基线中,所述业务应用域、内部互联域、安全管理域、互联网服务域和外部互联域内均设有
防火墙。
[0007] 前述的一种水电厂电力监控系统安全基线中,所述边界防护域包括入侵检测系统、入侵防御系统、日志审计系统、运维审计系统和应用防火墙。
[0008] 前述的一种水电厂电力监控系统安全基线中,所述安全管理域的管理范围包括用户及账号命名、信息系统及设备逻辑命名、网络安全区域划分、网络远程接入、网络终端准入、上网行为管理、机房运行监控、管理员行为审计和终端与介质防护。
[0009] 前述的一种水电厂电力监控系统安全基线中,所述维护管理域包括网络运行维护模块、应用系统运行维护模块、主机
数据库系统运行维护模块和机房运行维护模块。
[0010] 前述的一种水电厂电力监控系统安全基线中,所述业务应用域包括大坝监测系统、现地控制系统、综合监控系统和水情测报系统。
[0011] 前述的一种水电厂电力监控系统安全基线中,所述业务应用域和安全管理域均连接有灾备系统域。
[0012] 前述的一种水电厂电力监控系统安全基线中,所述安全管理域外侧连接有开发测试域。
[0013] 前述的一种水电厂电力监控系统安全基线中,不同域之间经华为路由器或Cisco路由器相互连接。
[0014] 本发明与
现有技术相比,通过互联网服务域、内部互联域、外部互联域和员工接入域与业务应用域的相互连接,使不同区域和需求的用户可以分别从不同的接入域进入业务应用域内,提高了本发明的完全性和适用性,并且通过对各接入域的划分使系统可以方便对网络设备和账号的管理权限进行划分和限制,提高了本发明的安全性和工作
稳定性;通过安全管理域可以针对不同的接入域分别关闭网络设备中不安全的服务并实现限制访问,确保网络设备只承载业务所需的网络服务,并对不同IP地址的用户提供安全机制保证;通过边界防护域还可以对从互联网服务域、外部互联域和无线接入域进入系统的账户进行进一步的防护和监控工作,从而降低外来用户通过恶意代码对系统造成损害,进一步提高了本发明的安全性;通过由坝监测系统、现地控制系统、综合监控系统和水情测报系统组成的业务应用域可以使各系统和水电厂内的各物理环境相互配合,实现对水电厂电力的完全监控;通过由网络运行维护模块、应用系统运行维护模块、主机数据库系统运行维护模块和机房运行维护模块组成的维护管理域可以分别对各系统和接入域进行维护和管理,从而进一步提高了本发明的适用性和完整性;通过灾备系统域可以分别对水电厂内各监控系统进行灾备监测,是监测系统在监测到数值异常时能够通过灾备系统域及时发现和处理,提高本发明的安全性;通过设置在不同域内的防火墙可以进一步起到账号权限加固和恶意代码防范的作用,使系统整体对侵入或恶意破坏行为的防护效果提高。所以,本具有完整性和适用性高、安全性好的特点。
附图说明
[0015] 图1是本发明的连接示意图。
[0016] 附图中的标记为:1-业务应用域,2-互联网服务域,3-内部互联域,4-外部互联域,5-员工接入域,6-安全管理域,7-第三方接入域,8-维护管理域,9-无线接入域,10-边界防护域,11-灾备系统域,12-开发测试域。
具体实施方式
[0017] 下面结合附图和
实施例对本发明作进一步的说明,但并不作为对本发明限制的依据。
[0018] 实施例。一种水电厂电力监控系统安全基线,构成如图1所示,包括业务应用域1,业务应用域1分别连接有互联网服务域2、内部互联域3、外部互联域4、员工接入域5、安全管理域6和第三方接入域7,所述互联网服务域2、员工接入域5和第三方接入域7分别与安全管理域6相互连接,安全管理域6外侧连接有维护管理域8,所述外部互联域4一侧连接有无线接入域9,所述互联网服务域2、外部互联域4和无线接入域9一侧均连接有边界防护域10。
[0019] 所述业务应用域1、内部互联域3、安全管理域6、互联网服务域2和外部互联域4内均设有防火墙,防火墙可选用绿盟科技的NX3-G2000防火墙、山石网科通信技术有限公司的SG-6000-E2300防火墙或东软集团的FW5120防火墙。
[0020] 所述边界防护域10包括入侵检测系统、入侵防御系统、日志审计系统、运维审计系统和应用防火墙;所述入侵检测系统可选用绿盟科技的NIDS-NX600网络入侵检测系统,入侵防御系统可选用启明星辰信息技术集团的NIPS600D入侵检测防御系统,日志审计系统可选用启明星辰信息技术集团的CA2300网络安全审计系统,运维审计系统可选用杭州安恒信息技术有限公司的USM-200运维审计与风险控制系统,应用防火墙可选用启明星辰信息技术集团的WAG-WAF110应用安全网关。
[0021] 所述安全管理域6的管理范围包括用户及账号命名、信息系统及设备逻辑命名、网络安全区域划分、网络远程接入、网络终端准入、上网行为管理、机房运行监控、管理员行为审计和终端与介质防护。
[0022] 所述维护管理域8包括网络运行维护模块、应用系统运行维护模块、主机数据库系统运行维护模块和机房运行维护模块。
[0023] 所述业务应用域1包括大坝监测系统、现地控制系统、综合监控系统和水情测报系统。
[0024] 所述业务应用域1和安全管理域6均连接有灾备系统域11。
[0025] 所述安全管理域6外侧连接有开发测试域12。
[0026] 不同域之间经华为的AP3010路由器或Cisco的AIR-CT2500路由器相互连接。
[0027] 本发明的工作原理:本发明通过互联网服务域2、内部互联域3、外部互联域4和员工接入域5与业务应用域1的相互连接,使不同区域和需求的用户可以分别从不同的接入域进入业务应用域1内;通过对各接入域的划分使系统可以方便对网络设备和账号的管理权限进行划分和限制;通过安全管理域6可以针对不同的接入域分别关闭网络设备中不安全的服务并实现限制访问,确保网络设备只承载业务所需的网络服务,并对不同IP地址的用户提供安全机制保证;通过边界防护域10可以对从互联网服务域2、外部互联域4和无线接入域9进入系统的账户进行进一步的防护和监控工作,从而降低外来用户通过恶意代码对系统造成损害;通过由坝监测系统、现地控制系统、综合监控系统和水情测报系统组成的业务应用域1可以使各系统和水电厂内的各物理环境相互配合,实现对水电厂电力的完全监控;通过由网络运行维护模块、应用系统运行维护模块、主机数据库系统运行维护模块和机房运行维护模块组成的维护管理域8可以分别对各系统和接入域进行维护和管理。通过设置在不同域内的防火墙可以进一步起到账号权限加固和恶意代码防范的作用,使系统整体对侵入或恶意破坏行为的防护效果提高。本发明通过业务应用域1内的各应用功能模块,可以起到信息安全组织机构、信息安全检查开展、安全管理制度落实、技术防护手段建设、应急处置工作、信息技术产品使用、信息安全教育培训和安全隐患排查整改的作用,从而符合水电厂所需的完全性和适用性。通过安全管理域6能够起到网络技术管理、
服务器技术管理、储存系统技术管理、数据库系统技术管理、生产应用系统技术管理、防病毒系统技术管理、办公系统技术管理、个人技术机技术管理和机房技术管理的作用,从而保证本发明系统的稳定运行并进一步提高系统的完全性和安全性。