天融信定制电力二次系统安全防护解决方案
2010-11-08
作者:网络
电力二次系统作为电网公司的重要生产系统,长期受到极大的关注,电监会按照安全分区、网络专用、横向隔离、纵向认证的思路,将电力网络划分为一区、二区、三区和四区,其中一区为生产实时控制大区,二区为生产非实时控制大区,三区则为生产管理区,四区主要为管理信息系统和企业ERP系统等。
方案背景
根据《电网和电厂计算机监控系统及调度数据网络安全防护的规定》(以下简称《规定》),对电力系统安全建设具有重要的指导意义。2006年电监会印发了《电力二次系统安全防护总体方案》,提出了省级以上调度中心、地县级调度中心、发电厂、变电站等的二次系统安全防护方案。这些制度和方案对各省电力公司的安全体系建设起着指导意义。
安全需求
本文根据电力二次系统的防护要求,总体按照横向隔离,纵向认证的主体,提出了省级以上调度中心、地县级调度中心、发电厂、变电站、配电等的二次系统安全防护方案,综合采用防火墙、入侵检测、病毒防护、审计、安全管理等多种手段,对二次系统的安全运行提供稳定可靠的运行环境。电力二次系统安全防护工作的具体需求如下:
防病毒、木马等恶意代码的侵害;
保护电力监控系统和电力调度数据网络的可用性和连续性;
保护重要信息在存储和传输过程中的机密性、完整性;
实现应用系统和设备接入电力二次系统的身份认证,防止非法接入和非授权访问;
实现电力监控系统和调度数据网安全事件可发现、可跟踪和可审计;
实现电力监控系统和调度数据网络的安全管理。
设计思路
首先,对于电力调度数据网,按照国家电监会《电力二次系统安全防护规定》的要求,电力调度数据网实现"安全分区、网络专用、横向隔离、纵向认证"。
其次,对于电力企业数据网,依据国家电网公司的指导意见,并结合国家电监会《电力二次系统安全防护规定》的 "安全分区、网络专用、横向隔离、纵向认证"。
方案设计
本方案依据《电力二次系统安全防护规定》和《电力二次系统安全防护总体方案》等系列方案,并结合天融信在电力行业的多年积累,从电力调度数据网和电力企业数据网两个方面讲解了电力二次系统安全防护的重点,系统安全防护示意图如下:
在局域上与其他网络间必须使用电力系统专用隔离装置进行隔离,I区纵向必须使用IP认证装置认证,II区可以使用IP认证装置或硬件防火墙作安全防护;
控制区与非控制区之间应采用国产硬件防火墙、具有访问控制功能的设备或相当功能的设施进行逻辑隔离。
安全区间网络横向和纵向边界可部署IDS探头,对边界网络数据报文进行动态检测,以及时发现网络安全事件。
在生产控制大区部署综合安全管理平台或日志审计系统,对各种网络设备运行日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全防护设备运行日志等进行集中收集、自动分析和告警处理。
安全区内应部署防病毒系统,定期查杀病毒。
调度数据网中路由和交换设备的安全加固。
通过冗余备份机制增强核心网络节点的可靠性。
重要服务器和通信网关定期进行安全评估和加固,条件具备情况下,可采用调度数字证书进行登录的强身份认证。
方案效果
解决生产网络与外部网络的隔离问题。
解决网络重要区域存在的单点故障问题。
解决了访问控制身份认证与授权问题。
解决网络入侵或病毒爆发监控与预警问题。
解决对不同安全产品日志集中审计与风险分析问题。
解决了终端病毒防护能力较弱问题。
解决网络设备和策略存在漏洞问题。
解决对重要业务系统和服务器使用的强身份认证问题。