H3C电力调度二次安全防护解决方案.doc

H3C电力调度二次安全防护解决方案电力调度二次防护背景 近年来，信息技术在电力企业管理、生产管理和过程管理中的应用，提高了电力企业的生产运行和经营管理水平。电力行业是国家重要的能源支柱产业，也是我们日常工作和生活的基础保障。电力行业中对信息安全业务影响最大的两个文件是国家经贸委电网和电厂计算机监控系统及调度数据网络安全防护规定（2002第30号令）和国调中心发布的“全国电力二次系统安全防护总体方案”。这两个文件从政策法规的层面和技术方案的层面，规定了电力企业，尤其是电力调度部门信息安全建设的具体措施，包括各类信息安全产品的采用及部署。各地、各公司正在按方案的要求进行整改和建设。电力调度二次系统安全需求分析电力信息化发展到现在已经走过了一段较长的历程，经历了个人业务信息化，网络大规模建设实现办公电子化的过程，对于企业信息系统的安全建设也做了大量的工作，完成了对信息节点安全和整网区域安全的规范和规定的下发，实现了安全分区，网络专用，横向隔离，纵向认证，完成了电力调度网络的安全防护产品规模部署。目前在电力调度数据网中，比较常用的安全防护手段主要包括：在安全分区之间通过防火墙进行了隔离；安全分区通过网闸实现正向隔离和反向隔离，通过上述措施实现了横向的逻辑隔离，同时采用IDS进行了入侵检测。而各县调虽然也划分了安全区域，但是各安全区之间缺乏横向的逻辑隔离措施。在前期安全系统建设中，已经购买了一些基础性的安全防护产品，但是这些安全产品大部分防护层次低，已经无法满足目前的网络与信息系统安全防护需求。随着电力行业对于信息系统依赖度的不断提高，电力业务系统开始向资源业务整网集中，统一协同，快速响应过渡；对于企业网络安全的需求也逐步转向统一策略，统一规划，统一管理。电力调度二次安全防护解决方案H3C电力调度二次安全防护解决方案通过对电力二次系统安全防护总体要求的深刻理解，提出了统一规划，统一策略，统一管理的统一安全构建体系，从内网安全区域隔离，接入控制，数据中心保护以及统一安全管理四个方面给出了一套符合电力二次系统安全防护总体方案要求的端到端通讯安全保障体系，并在相当多的电力企业等到了实践和应用。1. 内网安全区域隔离1.1. 横向隔离和防护在安全分区之间部署一台H3C SecPath防火墙进行安全隔离，部署一台IPS进行应用层安全防护。同时，H3C IPS可以采用在线/旁路混合部署模式，利用IPS多端口可以将一台设备可以同时当作 IPS和IDS使用，降低投入成本，简化网络结构。图1 H3C IPS可支持在线/旁路混合部署1.2. 纵向隔离和防护各安全区域从省调到地调到各厂站的纵向连接处，目前大多采用了纵向加密设备，没有采用安全防护手段，因此，在各级网络的出口部署一台防火墙，进行安全隔离和防护。同时，由于电力调度网中，采用MPLS VPN组网，从省中心到地调、县调、变电站、电厂，均通过MPLS VPN连接。在各PE与CE设备之间，部署一台SecPath防火墙，采用虚拟防火墙技术，可以对各分支机构的访问做安全控制，每个VPN分配一个虚拟防火墙，配置不同的安全策略，互相之间不影响，避免MPLS VPN中IP地址重叠的问题，并且可以对VPN灵活的增加或删除。图2 H3C SecPath防火墙支持MPLS VPN组网2. 终端安全准入针对接入PC终端进行安全准入控制，防止因为某些终端安全隐患影响到电力调度数据网。PC终端具有较大的安全隐患，不安装杀毒软件、不及时升级病毒库和系统能够补丁、随意接入网络、私设代理服务器、私自访问保密资源等行为会直接影响电力调度网的正常运行，并可能造成重大损失。因此必须建立端点准入机制，对接入电力调度网络的终端强制实施安全策略，严格控制终端用户的网络使用行为，可以加强用户终端的主动防御能力，大幅度提高网络安全。电力调度终端安全准入要求用户接入网络前，通过统一管理的安全策略强制检查用户终端的安全状态，并根据对用户终端安全状态的检查结果实施接入控制策略，对不符合安全标准的用户进行“隔离”并强制用户进行病毒库升级、系统补丁升级等操作；在保证用户终端具备自防御能力并安全接入的前提下，可以通过动态分配ACL、VLAN等合理控制用户的网络权限，从而提升网络的整体安全防御能力。图3 终端安全准入四部曲3. 数据中心保护数据中心的数据十分机密和重要，如果没有完善的安全保护，那么内部的机密信息将受到威胁，包括被窃取、篡改、删除的威胁，而可能导致灾难性的后果。因此，必须能够全方位的保护数据中心业务的安全，不但需要保护数据中心中关键应用和保密数据；并需要增强数据中心的运营效率，增强业务竞争力，而且具有扩展性以支持随时可能出现的新业务流程。 图4 电力调度数据平台安全防护1、 建议数据平台交换机采用H3C S7500E系列交换机，可以通过安全模块方式扩充各种安全功能。安全模块能够简化电力调度网络结构、减少设备单点故障、降低维护成本，相对独立的安全设备更加灵活可靠。2、 部署SecBlade防火墙模块，对数据平台进行分区隔离，并且进行2-4层安全防护。3、 部署SecBlade IPS模块，针对数据平台服务器进行4-7层深度的入侵防护。同时可通过 H3C IPS独有的“虚拟软件补丁”技术对服务器进行漏洞防御。4、 部署SecBlade LB模块，对数据平台的服务器进行智能的动态负载均衡。5、 单独划分安全管理区域，对数据平台的网络和安全设备以及服务器进行有效的统一安全管理。4. 统一安全管理随着电力二次防护系统的发展，需要综合部署各种安全设备。为了管理这些设备，一般传统的手段是通过网络安全设备发送日志到服务器上，进行事后审计。一个大型的网络，包含若干个网络产品。这些网络设备随时发送系统日志信息，每天产生的日志信息多达数万条。任何一个网络管理员很难通过系统日志来准确定位网络发生的安全故障；熟练的网络管理员，可通过系统日志分析，得到有用的网络信息，但响应速度很慢。这个时候，采用网络设备自带的日志功能，已经不能满足用户需求了。H3C SecCenter安全事件统一管理能够提供对全网海量的安全事件和日志的集中收集与统一分析，兼容异构网络中多厂商的各种设备，对收集数据高度聚合存储及归一化处理，实时监控全网安全状况，同时能够根据不同用户需求提供丰富的自动报告，提供具有说服力的网络安全状况与政策符合性审计报告，系统自动执行以上收集、监控、告警、报告、归档等所有任务，使IT及安全管理员脱离繁琐的手工管理工作，极大提高效率，能够集中精力用于更有价值的活动，保障网络安全。图表 5 H3C安全管理中心方案优势 H3C通过采用防火墙和IPS对内网进行区域隔离，EAD检测终端补丁、病毒库升级状态，在接入终端和内网区域之间高效控制病毒和蠕虫的传播，对内部病毒攻击进行全方位立体化控制，保证了内网的安全。 H3C通过在数据中心前端采用虚拟防火墙和IPS深度防御技术针对性地将数据中心分为不同的逻辑区域，每个分区制定不同的安全策略和信任模型，灵活的特性满足了数据中心对安全