电力二次系统安全概述
近年来,信息技术在电力企业管理、生产管理和过程管理中的应用,提高了电力企业的生产运行和经营管理水平。电力行业是国家重要的能源支柱产业,也是我们日常工作和生活的基础保障。
电力行业中对信息安全业务影响最大的两个文件是国家经贸委《电网和电厂计算机监控系统及调度数据网络安全防护规定》([2002]第30号令)和国调中心发布的“全国电力二次系统安全防护总体方案”。这两个文件从政策法规的层面和技术方案的层面,规定了电力企业,尤其是电力调度部门信息安全建设的具体措施,包括各类信息安全产品的采用及部署。各地、各公司正在按方案的要求进行整改和建设。
电力二次系统安全需求分析
近年来电力网络系统与外界接口的增加,特别是与银行等预算单位中间业务的接口、网上电力服务、数据大集中应用等需求的发展,改变了一直以来网络结构和业务系统的相对封闭性,使得安全问题不仅仅源于内部事件,来自外界的攻击已越来越多。网络应用的扩大,网络安全风险变得更加严重和复杂,原来由单个计算机安全事故引起的损害可能通过网络传播到其他系统和主机,引起大范围的瘫痪和损失;另外,加上网络用户人员缺乏安全控制机制和对网络安全政策及防护意识的认识不足,这些风险可谓日益加重。
根据上述分析电力二次系统面临的安全风险主要有以下几点:
网络边界不清--无法对边界安全设备进行统一策略管理
生产网络终端非受控接入--无法对接入终端进行统一认证
内部职工网络行为不受监控--无法对终端行为统一策略管理
带宽滥用--无法针对业务进行带宽管理
核心资产缺乏有效的防护--缺乏核心系统的业务层保护
缺乏灾备及应急恢复流程控制--缺少数据备份和异地灾备
安全意识/策略/管理薄弱--缺乏安全管理规范和安全意识培养
基于上述问题电力行业对于企业信息系统的安全建设也做了大量的工作,完成了对信息节点安全和整网区域安全的规范和规定的下发,实现了安全分区,网络专用,横向隔离,纵向认证,完成了电力调度网络和信息网络的安全防护产品规模部署,但是随着电力系统“SG186”项目的开展,电力业务系统开始向资源业务整网集中,统一协同,快速响应过渡;对于企业网络安全的需求也逐步转向统一策略,统一规划,统一管理。
H3C结合电力二次安全防护系统的上述需求提出了针对性的“iSPN安全统一管理平台”解决方案,面向终端安全策略部署保障,数据中心安全策略部署,广域网安全策略部署,网络安全风险管理部署四大方面,提供电力二次防护系统端到端的一体化安全防护。
二次安全防护安全解决方案
终端安全策略部署
目前电力二次防护系统针对病毒、蠕虫的防御体系还是以孤立的单点防御为主,如在个人计算机上安装防病毒软件、防火墙软件等。当发现新的病毒或新的网络攻击时,一般是由网络管理员发布病毒告警或补丁升级公告,要求网络中的所有计算机安装相关防御软件。从企业病毒泛滥、损失严重的结果来看,当前的防御方式并不能有效应对病毒和蠕虫的威胁,存在严重不足。
H3C端点准入防御(EAD,Endpoint Admission Defense)EAD提供了一个全新的安全防御体系,将防病毒功能与网络接入控制相融合,加强了对用户终端的集中管理,提高了网络终端的主动抵抗能力。EAD方案通过安全客户端、安全策略服务器、接入设备以及防病毒软件的联动,可以将不符合安全要求的终端限制在“隔离区” 内,防止“危险”终端对网络安全的损害,避免“易感”终端受病毒、蠕虫的攻击,从而大幅度提升了网络抵御新兴安全威胁的能力。
数据中心安全策略部署
随着SG186项目在电力系统的进行,大量的业务系统开始进行整合和统一协同,数据大集中的给业务的统一规划,统一策略,统一管理带来了可能,也给数据中心的安全防护提出了更高的要求。
H3C针对电力二次系统数据中心在新形势下的安全需求提出了数据中心安全策略部署方案,按照网络分区的思想,数据中心分为不同的逻辑区域,每个分区制定不同的安全策略和信任模型,建立设备登录用户名和口令管理机制,配置设备管理IP,对设备进行集中管理,关闭无用的服务、口令加密、增加访问控制配置,必要时升级设备的软件版本,提高设备自身的安全性。
针对数据中心多业务分区的特点提供虚拟防火墙解决方案,在一台物理防火墙上虚拟出多台逻辑上的防火墙,具有各自的管理员,并配置完全不同的安全策略,各台虚拟防火墙的安全策略互不影响。通过IPS深度防护设备提供攻击抵御,虚拟软件补丁,DoS/DDoS攻击抵御,木马通讯控制。结合独立网管系统保障数据中心任何时间和任何情况下对网络设备和服务器进行维护。
广域网安全策略部署
电力信息系统广域网承载折包含企业办公自动化系统(OA)、MIS/ERP/EAM/SCM和用电营销系统等。接入用户复杂,应用繁多,并且与外部网络(包括银行及Internet)有接口,易受到来自于外网的黑客入侵、DDoS攻击,来自于内网的恶意攻击等,同时由移动存储设备、便携机等带入的蠕虫和病毒也是一大威胁。另外,企业网络中还会充斥大量的非关键应用(P2P,IM等),将会大量占用宝贵的网络资源,让关键应用无法正常工作,会给企业带来巨大的损失。
通过H3C SecPath UTM产品和 IPS部署和使用,能够实现对外网黑客入侵和DDoS攻击,内网非法访问和恶意攻击,蠕虫和病毒等安全威胁的有效防御,可对P2P,即时聊天等业务无关流量进行流量管理,保证关键业务的网络带宽。
网络安全风险管理部署
随着电力二次防护系统的发展,需要综合部署各种安全设备。为了管理这些设备,我们传统的手段都是通过网络安全设备发送日志到服务器上,进行事后审计。一个大型的网络,包含若干个网络产品。这些网络设备随时发送系统日志信息,每天产生的日志信息多达数万条。任何一个网络管理员很难通过系统日志来准确定位网络发生的安全故障;熟练的网络管理员,可通过系统日志分析,得到有用的网络信息,但响应速度很慢。这个时候,采用网络设备自带的日志功能,已经不能满足用户需求了。
H3C SecCenter安全事件统一管理能够提供对全网海量的安全事件和日志的集中收集与统一分析,兼容异构网络中多厂商的各种设备,对收集数据高度聚合存储及归一化处理,实时监控全网安全状况,同时能够根据不同用户需求提供丰富的自动报告,提供具有说服力的网络安全状况与政策符合性审计报告,系统自动执行以上收集、监控、告警、报告、归档等所有任务,使IT及安全管理员脱离繁琐的手工管理工作,极大提高效率,能够集中精力用于更有价值的活动,保障网络安全。
方案优势
H3C安全统一管理平台可以做到全网的统一管理、统一分析以及安全策略的统一下发,保证电力二次防护系统的安全运行。
H3C安全统一管理平台以开放的安全管理平台为框架,将安全体系中各层次的安全产品、网络设备、用户终端、网络服务等纳入一个紧密的统一管理平台中,通过终端,数据中心,广域网接入,安全风险管理等策略集中部署,在现有安全设施的基础上构建一个智能安全防御体系,大幅度提高电力二次系统网络的整体安全防御能力。
H3C 安全管理中心由策略管理、事件采集、分析决策、协同响应四个组件构成,与网络中的安全产品、网络设备、网络服务、用户终端等独立功能部件通过各种信息交互接口形成一个完整的协同防御体系。
成功案例
广东电力IDC安全部署方案
方案概述
广东电网公司管理着全国最大的省级电网:不仅管理全省全部21个地市供电企业(含29个直管县供电企业和687个镇供电所)以及电力调度、通信、设计、基建、物资供应、科研、学校等共42家企事业单位;同时,还代管50个县级供电企业(共961个镇供电所)。一旦发生网络安全问题,所造成的损失将不可估量。为了确保电力系统的网络安全,为人们提供安全、稳定、可靠、优质的电力,广东电网公司启动了省电力系统计算机信息网络安全工程。
考虑到电力系统网络业务的特殊性,防火墙产品依然成了此次项目的首选安全设备。H3C为广东电网公司部署了多台SecPathF1800/F1000防火墙。SecPath强大的数据处理能力、丰富的安全特性和DoS/DDoS防护等功能,为广东电网公司提供了性能高、扩展性好的安全服务
方案总结
H3C电力二次安全防护解决方案通过对电力系统现阶段的需求分析,提出了统一规划,统一策略,统一管理的统一安全构建体系,从终端防护,数据中心安全,广域网安全,以及安全管理四个方面给出了一套面向电力业务系统的端到端通讯安全保障体系,希望这套解决方案的推出会对电力二次安全防护体系未来的发展提供一定的参考和借鉴意义,H3C相信面向业务基于统一安全策略构建的管理安全网络是未来企业网络安全发展的必然趋势。
解决方案订购信息