文章搜索
 
 
文章正文
电力二次系统安全防护解决方案
作者:管理员    发布于:2014-02-13 15:02:23    文字:【】【】【
摘要:华为通过深入分析电力二次系统业务特点,根据电力二次系统安全防护的原则与要求为电力客户提供专属电力二次系统的安全防护解决方案。该方案针对电力的调度中心、变电站、发电厂等业务场景,通过部署专业安全网关USG、NIP等产品实现电力二次系统安全域之间横向隔离防护和纵向IPSec VPN加密认证。凭借其安全设备的优异性能、卓越安全防御能力,华为致力于为电力二次系统打造永续、安全、可靠的运行环境。

电力企业的二次系统涉及到的数据通信网络主要包括国家电力调度数据网与国家电力数据通信网。国家电力调度数据网络是专用网络,承载业务是电力实时控制业务、在线生产业务以及本网网管业务;国家电力数据通信网为电网公司内联网,承载业务主要为电力综合信息、电力调度生产管理业务、电力内部IP语音视频以及网管业务,该网不经营对外业务。电力二次系统是指各级电力监控系统和调度数据网络以及各级电网管理信息系统(MIS)、电厂管理信息系统、电力通信系统及电力数据通信网络等构成的超级复杂的巨大系统。



电力二次系统安全防护目标

电力二次系统是一个大系统,并且在不断发展变化,电力二次系统安全防护具有系统性和动态性,其安全防护目标会随着安全防护的实施将逐步完善和提高。


1、安全防护

电力二次系统安全防护的重点是确保电力实时闭环监控系统及调度数据网络的安全,目标是抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击,特别是能够抵御集团式攻击,防止由此导致一次系统事故或大面积停电事故,及二次系统的崩溃或瘫痪。


2、风险分析

随着计算机技术、通信技术和网络技术的发展,接入数据网络的电力控制系统越来越多。随着电力改革的推进和电力市场的建立,要求在调度中心、电厂、用户等之间进行的数据交换也越来越多。潜在安全风险增加,需要电力企业未来能够拥有更加完善安全风险分析能力。



电力二次系统安全防护面临挑战

国内外电力中断等事故不断发生,造成巨大经济损失,也给社会与国家安全带来冲击。在追查事故原因的同时,更急需电力企业加快改善电力二次系统安全防护能力,完善电力二次系统安全防护体系建设。


图-1 电力二次系统安全防护目标


随着互联网在电力行业广泛使用,各类Email,web应用与终端PC也逐渐在电力系统普及,使得电力系统内部网络经常遭受病毒,黑客恶意攻击,影响内部业务系统安全运行。目前调度中心、发电厂、变电站在业务系统与数据网络的规划、设计、建造时,对网络安全问题不够重视,使得内部具有实时远方控制功能的监控系统,在没有任何安全隔离防护的情况下与内部MIS系统或者其他数据网络互通,给电网安全运行带来严重隐患。对于电力二次系统常见安全风险主要有旁路控制、完整性破坏、违规授权、内部人员的随意操作、拦截/篡改、信息泄露等等。


1、业务网络边界隔离防护薄弱

在调度中心、发电厂以及变电站中,部署安装大量的电力二次系统业务,然而各类业务系统之间的网络边界缺少必要隔离防护措施,对于内部非法/未授权访问不能进行有效检测,拦截。当内部爆发病毒,恶意攻击行为时,也无法有效阻止扩散、传播。


2、业务系统内部行为监控不足

在电力二次系统对内部网络中,偶然发生各类安全攻击行为不能及时发现,并进行有效阻止,使得威胁不断扩大,进而给电力二次系统安全稳定运行带来更大的破坏。


3、核心业务数据传输安全性差

在调度中心、发电厂以及变电站中,调度数据网承载所有业务系统数据传输,然而对于关键电力二次系统的数据传输依然缺失有效安全保护措施,特别是核心业务数据,或者控制指令,让监听、篡改等恶意行为有机可乘。



方案设计原则

1、分区防护、突出重点

根据系统中业务的重要性和对一次系统的影响程度进行分区,所有系统都必须置于相应的安全区内;对实时控制系统等关键业务采用认证、加密等技术实施重点保护。


2、安全区隔离

采用不同强度的安全隔离设备使各安全区中的业务系统得到有效保护,关键是将实时监控系统与办公自动化系统等实行有效安全隔离,隔离强度应接近或达到物理隔离。


3、网络隔离

在专用通道上建立调度专用数据网络,实现与其他数据网络物理隔离。并通过采用MPLS-VPN 或 IPsec-VPN 在专网上形成多个相互逻辑隔离的VPN,以保障上下级各安全区的纵向互联仅在相同安全区进行,避免安全区纵向交叉。


4、纵向防护

采用认证、加密等手段实现数据的远方安全传输。



华为电力二次系统安全防护方案

华为电力二次系统防护安全解决方案通过调度数据网专网专用,专网内部逻辑安全隔离,避免安全区纵向交叉,安全区隔离采用不同强度隔离手段,实时监控系统与OA有效隔离;纵向防护采用认证、加密、访问控制等手段,根据重要性分区,对关键业务重点保护,实现横向区域访问边界防护与纵向业务数据传输边界防护,各个安全区域内非法攻击,行为进行检测/防御,针对安全一,安全二区核心电力二次系统的业务数据纵向传输需要加密,确保核心业务数据可靠性、可用性。


图-2 华为电力二次系统安全防护解决方案整体框架


华为电力二次系统安全防护方案优势

业界领先的性能&可靠性

安全设备性能优异,海量业务处理:防火墙最高32G吞吐量,15K并发VPN隧道。关键部件冗余配置,成熟的链路转换机制,支持内置Bypass插卡(USG5100/5500支持),为电力二次系统隔离防护提供超长无故障硬件保障,为电力业务系统打造永续的运行环境;



全面安全隔离防护

区域隔离边界部署无瓶颈,清晰规划区域网络边界;提供灵活的包过滤策略,精确控制互访关系;对VPN用户数据包进行折包检测,保障数据通信安全。全面防御来自内部网络各种安全威胁,保证内网安全。领先的漏洞防护技术,针对漏洞(而非攻击代码)提供“虚拟补丁”,让各种攻击变形无所遁形;



优异的带宽容量优化

华为针对电力二次系统防护法规要求,对电网公司信息管理大区,进行横向安全区域访问隔离,纵向安全区的访问控制,提供基于业务应用的IPSec VPN加密隧道,确保电网公司信息管理大区内的各类业务访问安全性、可靠性。具备优异的应用识别能力,通过对主流应用协议的识别控制,可以有效的保障业务QoS,优化网络带宽,通过对P2P、流媒体等应用带宽控制,保障网络资源有效使用,并提高企业IT治理水平;



灵活配置,高效管理

支持基于用户的访问控制、限流、网络应用控制和内容安全、策略路由等技术,提供细粒度的控制权限,抛弃基于IP配置的复杂性,配置更加灵活、控制更加精准;基于WEB界面的专业配置向导,采用人机对话方式引导管理员进行配置,全面提升管理员操作体验。

 
 
脚注信息
四川德瑞信网络系统工程有限责任公司 地址:成都市武侯区科华北路58号
电话:028-85246936 028-85246366   传真:028-85246936-8024
Copyright(C)2013-2014   蜀ICP备14001604号   技术支持:数字天府