HC电力调度二次安全防护解决方案.docVIP

H3C电力调度二次安全防护解决方案 电力调度二次防护背景 近年来，信息技术在电力企业管理、生产管理和过程管理中的应用，提高了电力企业的生产运行和经营管理水平。电力行业是国家重要的能源支柱产业，也是我们日常工作和生活的基础保障。 电力行业中对信息安全业务影响最大的两个文件是国家经贸委《电网和电厂计算机监控系统及调度数据网络安全防护规定》（[2002]第30号令）和国调中心发布的“全国电力二次系统安全防护总体方案”。这两个文件从政策法规的层面和技术方案的层面，规定了电力企业，尤其是电力调度部门信息安全建设的具体措施，包括各类信息安全产品的采用及部署。各地、各公司正在按方案的要求进行整改和建设。 电力调度二次系统安全需求分析 电力信息化发展到现在已经走过了一段较长的历程，经历了个人业务信息化，网络大规模建设实现办公电子化的过程，对于企业信息系统的安全建设也做了大量的工作，完成了对信息节点安全和整网区域安全的规范和规定的下发，实现了安全分区，网络专用，横向隔离，纵向认证，完成了电力调度网络的安全防护产品规模部署。 目前在电力调度数据网中，比较常用的安全防护手段主要包括：在安全分区之间通过防火墙进行了隔离；安全分区通过网闸实现正向隔离和反向隔离，通过上述措施实现了横向的逻辑隔离，同时采用IDS进行了入侵检测。而各县调虽然也划分了安全区域，但是各安全区之间缺乏横向的逻辑隔离措施。在前期安全系统建设中，已经购买了一些基础性的安全防护产品，但是这些安全产品大部分防护层次低，已经无法满足目前的网络与信息系统安全防护需求。随着电力行业对于信息系统依赖度的不断提高，电力业务系统开始向资源业务整网集中，统一协同，快速响应过渡；对于企业网络安全的需求也逐步转向统一策略，统一规划，统一管理。 电力调度二次安全防护解决方案 H3C电力调度二次安全防护解决方案通过对电力二次系统安全防护总体要求的深刻理解，提出了统一规划，统一策略，统一管理的统一安全构建体系，从内网安全区域隔离，接入控制，数据中心保护以及统一安全管理四个方面给出了一套符合电力二次系统安全防护总体方案要求的端到端通讯安全保障体系，并在相当多的电力企业等到了实践和应用。 1. 内网安全区域隔离 1.1. 横向隔离和防护 在安全分区之间部署一台H3C SecPath防火墙进行安全隔离，部署一台IPS进行应用层安全防护。 同时，H3C IPS可以采用在线/旁路混合部署模式，利用IPS多端口可以将一台设备可以同时当作 IPS和IDS使用，降低投入成本，简化网络结构。 图1 H3C IPS可支持在线/旁路混合部署 1.2. 纵向隔离和防护 各安全区域从省调到地调到各厂站的纵向连接处，目前大多采用了纵向加密设备，没有采用安全防护手段，因此，在各级网络的出口部署一台防火墙，进行安全隔离和防护。同时，由于电力调度网中，采用MPLS VPN组网，从省中心到地调、县调、变电站、电厂，均通过MPLS VPN连接。在各PE与CE设备之间，部署一台SecPath防火墙，采用虚拟防火墙技术，可以对各分支机构的访问做安全控制，每个VPN分配一个虚拟防火墙，配置不同的安全策略，互相之间不影响，避免MPLS VPN中IP地址重叠的问题，并且可以对VPN灵活的增加或删除。 图2 H3C SecPath防火墙支持MPLS VPN组网 2. 终端安全准入 针对接入PC终端进行安全准入控制，防止因为某些终端安全隐患影响到电力调度数据网。 PC终端具有较大的安全隐患，不安装杀毒软件、不及时升级病毒库和系统能够补丁、随意接入网络、私设代理服务器、私自访问保密资源等行为会直接影响电力调度网的正常运行，并可能造成重大损失。 因此必须建立端点准入机制，对接入电力调度网络的终端强制实施安全策略，严格控制终端用户的网络使用行为，可以加强用户终端的主动防御能力，大幅度提高网络安全。 电力调度终端安全准入要求用户接入网络前，通过统一管理的安全策略强制检查用户终端的安全状态，并根据对用户终端安全状态的检查结果实施接入控制策略，对不符合安全标准的用户进行“隔离”并强制用户进行病毒库升级、系统补丁升级等操作；在保证用户终端具备自防御能力并安全接入的前提下，可以通过动态分配ACL、VLAN等合理控制用户的网络权限，从而提升网络的整体安全防御能力。 图3 终端安全准入四部曲 3. 数据中心保护 数据中心的数据十分机密和重要，如果没有完善的安全保护，那么内部的机密信息将受到威胁，包括被窃取、篡改、删除的威胁，而可能导致灾难性的后果。因此，必须能够全方位的保护数据中心业务的安全，不但需要保护数据中心中关键应用和保密数据；并需要增强数据中心的运营效率，增强业务竞争力，而且具有扩展性以支持随时可能出现的新业务流程。 图4 电力调度数据平台安全防护 1、 建议数据平台交