【粤电珠海发电厂】信息安全防御体系建设

成果简介：

依据国家信息安全建设有关规定与电力行业能源局相关信息安全建设，我厂在信息安全方面工作以“积极防御、综合防范”的方针，遵循“统一领导、提前统筹规划、重点优先建设、专责管理”的建设原则。提高我厂网络与信息安全防御能力，保障我厂的网络与信息安全，促进我厂信息安全工作健康发展，通过对MIS网络进行安全建设，从以下几个方面进行整体的安全防御体系建设：

一、        首先从边界着手进行信息安全建设，对我厂出入互联网边界与集团广域网边界进行防火墙、入侵防御系统、防病毒网关建设，采用启明星辰防火墙以网关模式部署于我厂互联网边界，对厂网与互联网应用进行包过滤和状态检测，开放厂内应用，禁止其他高风险通信连接。在互联网边界主干区域以透明模式部署入侵防御系统和防病毒网关，针对正常开放的应用与访问进行攻击防御与病毒检测，预防恶意攻击、木马后门攻击，对厂网互联网应用进行常规的web、mail、文件进行病毒查杀，有效控制来自互联网的安全威胁；对厂内访问互联网透明模式部署深信服上网行为管理，规范厂内访问互联网的行为，降低厂网的安全风险，实现互联网边界安全整体加固。从减少自身信息安全威胁风险，发现安全威胁能立即进行查杀与防御，事后能有效的审计威胁源及威胁形式为以后的运维安全策略进行着重配置作为依据。集团广域网相对于互联网安全形势要高，对于厂网MIS网来说仍然是一个潜在风险，我厂采用启明防火墙与入侵防御系统进行有效的安全防御，杜绝攻击者通过广域网中其他兄弟单位网络跳板方式进行厂网。通过对厂网出口边界安全建设，明显降低我厂的安全风险。

在内部网络边界进行了准入控制系统，部署一套ACK准入控制系统，以单臂方式接入网内，通过子接口对所有的子网进行管理。实现内部终端电脑身份核查，对外来人员进行入网身份审核，同时健康检查外来终端是否携带有病毒，杜绝非法终端入网。实现IP与终端地址、交换机端口视图管理，出现网络终端故障后能快速定位到具体位置，减少运维管理的故障定位时间。