文档介绍:H3C电力调度二次安全防护解决方案
电力调度二次防护背景
近年来,信息技术在电力企业管理、生产管理和过程管理中的应用,提高了电力企业的生产运行和经营管理水平。电力行业是国家重要的能源支柱产业,也是我们日常工作和生活的基础保障。
电力行业中对信息安全业务影响最大的两个文件是国家经贸委《电网和电厂计算机监控系统及调度数据网络安全防护规定》([2002]第30号令)和国调中心发布的“全国电力二次系统安全防护总体方案”。这两个文件从政策法规的层面和技术方案的层面,规定了电力企业,尤其是电力调度部门信息安全建设的具体措施,包括各类信息安全产品的采用及部署。各地、各公司正在按方案的要求进行整改和建设。
电力调度二次系统安全需求分析
电力信息化发展到现在已经走过了一段较长的历程,经历了个人业务信息化,网络大规模建设实现办公电子化的过程,对于企业信息系统的安全建设也做了大量的工作,完成了对信息节点安全和整网区域安全的规范和规定的下发,实现了安全分区,网络专用,横向隔离,纵向认证,完成了电力调度网络的安全防护产品规模部署。
目前在电力调度数据网中,比较常用的安全防护手段主要包括:在安全分区之间通过防火墙进行了隔离;安全分区通过网闸实现正向隔离和反向隔离,通过上述措施实现了横向的逻辑隔离,同时采用IDS进行了入侵检测。而各县调虽然也划分了安全区域,但是各安全区之间缺乏横向的逻辑隔离措施。在前期安全系统建设中,已经购买了一些基础性的安全防护产品,但是这些安全产品大部分防护层次低,已经无法满足目前的网络与信息系统安全防护需求。随着电力行业对于信息系统依赖度的不断提高,电力业务系统开始向资源业务整网集中,统一协同,快速响应过渡;对于企业网络安全的需求也逐步转向统一策略,统一规划,统一管理。
电力调度二次安全防护解决方案
H3C电力调度二次安全防护解决方案通过对电力二次系统安全防护总体要求的深刻理解,提出了统一规划,统一策略,统一管理的统一安全构建体系,从内网安全区域隔离,接入控制,数据中心保护以及统一安全管理四个方面给出了一套符合电力二次系统安全防护总体方案要求的端到端通讯安全保障体系,并在相当多的电力企业等到了实践和应用。
1. 内网安全区域隔离
. 横向隔离和防护
在安全分区之间部署一台H3C SecPath防火墙进行安全隔离,部署一台IPS进行应用层安全防护。
同时,H3C IPS可以采用在线/旁路混合部署模式,利用IPS多端口可以将一台设备可以同时当作 IPS和IDS使用,降低投入成本,简化网络结构。
图1 H3C IPS可支持在线/旁路混合部署
. 纵向隔离和防护
各安全区域从省调到地调到各厂站的纵向连接处,目前大多采用了纵向加密设备,没有采用安全防护手段,因此,在各级网络的出口部署一台防火墙,进行安全隔离和防护。同时,由于电力调度网中,采用MPLS VPN组网,从省中心到地调、县调、变电站、电厂,均通过MPLS VPN连接。在各PE与CE设备之间,部署一台SecPath防火墙,采用虚拟防火墙技术,可以对各分支机构的访问做安全控制,每个VPN分配一个虚拟防火墙,配置不同的安全策略,互相之间不影响,避免MPLS VPN中IP地址重叠的问题,并且可以对VPN灵活的增加或删除。
图2 H3C SecPath防火墙支持MPLS V