一、行业背景
电力行业各单位从国家事业单位转变为企业的运营方式决定了企业必须关注营收,电力企业信息系统的建设极大的提高了生产效率,为企业创造了更多的财富。而随着网络和信息系统的发展,通过网络传播的病毒、恶意代码、黑客等引起的恶意网络行为通过多种手段渗透到企业内部信息系统,时刻威胁着电力企业网络和信息系统的安全,为此,有必要对电力企业信息系统安全做出统一规划,部署安全产品,对电力企业网络和信息系统进行有效的安全防护。
随着电力信息化的全面展开,数字化电力系统正在逐步取代传统电力系统,而众多CS架构电力系统应用也开始适用B/S架构。同时,电力行业的信息安全标准已经出台。
目前,绝大部分电力企业已经构建了较为完善的传统信息安全防护体系。但随着信息化建设的深入和网络技术的不断发展,传统的信息安全防护体系已难以适应新的安全需求,防火墙、入侵检测系统等安全设备都无法有效的防御篡改网页、上传木马、注入攻击、跨站攻击等WEB应用层攻击。近年来,电力企业因WEB应用层漏洞造成的信息安全事故时有发生,例如曾出现过某省公司电力营销数据被恶意篡改的恶性事件。
WEB应用层安全引起了电力企业的高度重视,2007年以来,各省电力公司相继采购了一系列应用安全防护产品以保障外网门户和内网应用的安全。2009年2月,国电将对外网站的防攻击、防篡改技术防护措施和对外服务系统安全防护情况;列入信息安全检查项目中。采用专业的应用安全防护产品,弥补传统信息安全防护体系的漏洞,加强对网站和B/S应用的保护,已经成为电力行业的共识。
二、解决方案
自2009年以来,艾普优一直积极参与电力行业的WEB应用安全防护体系的建设工作。相继在南方电网等企业实施了一系列WEB应用安全项目,北方网站保护系统因其极高的可靠性、优秀的稳定性、优异的性能受到广大电信行业用户的一致好评。
- 电力行业web应用分布于内、外网,内外网之间通过数据交换系统进行连通。因此内外网应用将采用单独部署的模式。
- 公司网站访问量大,涉及面广,尤其是客户服务网还涉及到电网客户的相关信息,因此仅仅做到防篡改是不够的,还必须对跨站攻击、Cookies窃取等可能损害来访客户利益的应用攻击进行有效防御。
因此,艾普优推荐采用北方网站保护系统确保这些应用的安全。
|
