电力调度二次系统安全防护解决方案08082.ppt

电力调度二次系统安全防护解决方案,日期：2008-08-28,杭州华三通信技术有限公司,电力调度安全现状分析H3C电力调度二次系统安全防护解决方案H3C安全简介H3C电力典型应用案例,电力二次业务层次,电力二次业务包括满足电力生产、经营和管理各环节的必备和必要的所有关联信息系统,用于承载这些业务的电力数据网络主要包括电力调度系统数据网络和电力综合数据通信网络。这两大网络级别与电网五级控制模型相吻合,在两个网络平台上承载了电力调度系统（EMS/SCADA）、电量自动计量系统(TMR)、保护及负荷控制管理信息、办公自动化（OA）、MIS系统、电力市场和营销系统、配电管理系统（DMS）和呼叫中心（CallCenter）等电力行业信息应用系统。,调度二次安全防护发展过程,第三阶段:策略防护阶段2008-,第二阶段:技术防护阶段(2002-2007),第一阶段:简单防护阶段(2002年以前),现阶段调度二次安全防护概况,调度数据网采用VPN技术实现不同安全区业务的隔离,厂站业务实现I/II区的横向隔离,调度主站实现I/II区的横向隔离,DMIS/OMS通过升级改造实现专网专用,在确保电网控制安全的前提下实现初步的生产数据抽取与共享,部署防火墙或纵向加密认证加密装置,采用网闸实现生产控制与管理大区的数据摆渡,电力二次系统安全防护总体策略,4、纵向认证,3、横向隔离,电力通信/信息网或发电信息网,控制区,生产区,管理区,信息区,电力调度数据网,生产控制大区,管理信息大区,防火墙,2、网络专用,1、安全分区,现阶段存在的潜在风险分析,技防为主,策略不明生产网络终端非严格受控接入生产网络非法外联无法有效监控弱口令移动存储介质的滥用补丁升级不及时防不胜防的网络病毒网络行为审计机制未严格贯彻没有统一的安全事件分析机制BCP/DRP流程有待完善,电力调度安全现状分析H3C电力调度二次系统安全防护解决方案H3C安全简介H3C电力典型应用案例,生产控制区,边界安全防御,端点准入防御系统EAD,端点准入防御系统EAD,控制区,非控制区,信息区,管理区,管理信息区,物理隔离,SPDnet,SPTnet或Internet,H3C电力二次防护安全解决方案,H3CIPS/IDS47层防御,H3CIPS,SecPathFW14层防护,SecPathFW,SecCenter,FW,ACG,IPS/IDS,IPS,FW,FW,SecCenter,H3C电力调度策略防护解决方案概览,SecPath防火墙,安全管理中心SecCenter,智能网管中心iMC,安全管理平台,EAD,EAD,EAD,SecPathIPS/IDS,SecBlade,制定策略网络基础设施加固终端接入软件：进行身份认证和和终端安全状态评估安全防护设备：及时发现或阻断来自I/II及III区的攻击，同时上报安全管理平台，并与之联动安全管理平台：对网络和安全设备统一管理，并提供整网审计报告,SGDnet-1/2,SGDnet3/4,围绕总体策略部署点(接入端点)、线(安全联动)、面(管理平台)相结合的纵深防御,电力调度纵深防御总体安全防护策略,满足现有电力二次安全防护规范的基本策略对调度一区EMS/SCADA进行重点保护对厂站RTU的接入设备进行重点防护调度网内禁止所有与业务无关的协议及应用横向和纵向通过关闭空闲调度数据网络端口对同一安全区内不需要横向访问的终端实施端口隔离对调度应用终端通信服务器实现强安全准入检测建立非法外联监控告警机制部署安全事件统一分析及行为审计系统对重要业务系统实施异地灾备(EMS历史数据/TMR/DMIS)建立规范统一的应急相应机制与流程,目标:建立基于策略的统一监控和应急联动平台,点:通过终端策略准入实现,线:安全分析中心及用户行为审计实现,面:通过智能管理中心实现,接入终端设备,省电力调度接入设备,防病毒服务器,CAMS服务器,补丁升级服务器,省电力调度安全策略服务器,全方位安全准入解决方案,电力调度内网控制解决方案,省电力公司,Switch,Router,FW,你是谁？,你安全吗？,你可以做什么？,预防：终端安全接入,响应：安全事件联动,核心交换机,安全管理中心SecCenter,智能网管中心iMC,安全管理平台,2、设备自动处理后，同时将日志上报给安全管理平台。,5、iMC对该用户进行告警、下线等处理,EAD,EAD,EAD,1、用户进行非法或非授权行为,SecBlade,补丁/病毒库/安全代理服务器,IPS,防火墙,3、Seccenter根据预定策略，将需要联动的告警通过iMC进行下发,服务器区,电力调度数据中心安全解决方案,SecBladeAFC,SecBladeIPS,SCADA/EMS,DTS,TMS,H3CASE,核心交换,汇聚交换,SecBlade防火墙,应用优化,安全加固,统一安全管理,SecCenter,安全管理平台,iMC,电力调度网,流量清洗,数据中心层次化、组件化安全模型,安全管理,入侵防护,防火墙,“拒绝服务”(DOS),防病毒,VPN/campus,端点准入,数据中心,应用优化,安全管理用户管理(iMC),CampusCore,WEBServers,applicationServers,databaseServers,DCCore,DCAggregation,DCAccess,核心层提供多个分区汇聚模块互联，并连接数据中心核心,汇聚层提供分区对外流量高带宽出口提供增值业务模块部署,接入层高密度GE接入上行双链路冗余能力,数据中心分层安全部署,Webservers,Applicationservers,Databaseservers,Webservers,Applicationservers,Databaseservers,独立业务设备分层组网模式,集成业务模块分层组网模式,FW,数据中心分级突出不同安全需求,FW,电力调度广域网边界安全策略,SecPath防火墙,EAD,EAD,EAD,地调,与EAD联动,SecPath防火墙/IPS,省调度中心,CAMS,SecPathFW/IPS支持：提供丰富的防火墙/VPN/防毒/防垃圾邮件/URL过滤/内容过滤/入侵防范等功能。FW+EAD支持：强制用户准入认证、实施用户隔离、隔离状态解除、基于用户的服务策略实施（ACL、VLAN）,电力调度网,SecPathIPS,电力调度网广域网防火墙虚拟化（多实例）部署,电力调度网中，采用MPLS组网，从省中心到地调、县调、变电站、电厂，均通过MPLSVPN连接。在各PE与CE设备之间，部署一台SecPathFW，采用虚拟防火墙技术，可以对各分支机构的访问做安全控制，每个VPN分配一个虚拟防火墙，配置不同的安全策略，互相之间不影响，避免MPLSVPN中IP地址重叠的问题，并且可以对VPN灵活的增加或删除。,MPLS,SecPathFW,SecPathFW,VFW,VFW,VFW,省中心,县调,地调,电力调度数据网,PE,PE,CE,CE,CE,CE,实现电力调度网L27层安全防护,应用负载均衡基于硬件的应用缓存、压缩和交换应用协议优化（HTTP/TCP协议优化）内容识别与控制,高性能硬件平台丰富的网络协议支持丰富的网络业务能力,应用层认证、授权和审计应用层加密（SSL)和集中PKI部署应用层保护、IPS技术等应用层内容安全：病毒、DDoS攻击、入侵防护等等,应用优化,应用安全,基础安全,物理层,链路层,网络层,传输层,会话层,表示层,应用层,WEB服务,基础安全,深度安全,统一安全管理体系建设,网络安全产品,安全解决方案,安全管理中心,安全制度,安全服务,安全流程,为全网安全威胁可视化提供技术平台,为安全管理、安全服务提供有效分析数据,与安全制度、流程配合实现科学高效管理,科学、高效管理,安全管理平台,事件过滤漏洞匹配锁定位置告警通知,安全管理中心：支持H3C所有设备的管理支持对防火墙、IDS、IPS、UTM、Anti-Virus、Anti-Spam、路由器、交换机、Unix、Linux、Windows等各类IT资源的管理支持安全事件、网络事件、系统事件、应用事件,实现面向业务的端到端安全保障,服务器,客户机,桌面安全,应用安全,技术平面,产品集成,智能安全渗透网络,端到端安全保障,解决方案,L2L7层深度安全技术,安全产品与网络产品的集成,集成了网络技术的安全产品,集成了安全技术的网络产品,数据中心保护解决方案,内网控制解决方案,边界防护解决方案,远程安全接入解决方案,管理平面,智能管理,统一基础安全管理,统一用户认证与授权,统一威胁与策略管理,OAA开放应用架构,CHECK,CHECK,存储系统,数据安全,系统安全,应用安全,用户认证,补丁管理,病毒库管理,用户管理,在线备份,安全存储,异地容灾,行为监管解决方案,电力调度安全现状分析H3C电力调度二次系统安全防护解决方案H3C安全简介H3C电力典型应用案例,H3C：IT安全领域领导者,2007年安全市场前三甲均为网络安全融合厂商H3C已成为IT安全领域的领导者之一防火墙/VPN应用国内第一，承建全国最大VPN网络IPS产品国内市场占有率第一全国已有超过40万的用户在使用EAD，市场占有第一安全管理中心市场占有国内第一,H3C拥有“防火墙/VPN/UTM、IPS、ASE、ACG、安全统一管理”等业界最全的安全产品及解决方案拥有全球唯一万兆防火墙模块拥有全球最高端40G防火墙F5000-A拥有全球最高清洗能力的异常流量清洗产品AFC,数据来源：赛迪顾问2008，01,局部安全,全局安全,智能安全,端到端安全解决方案,ASIC,NP,FPGA,Multi-core,万兆安全平台,FW/VPN/UTM/IPS/.,EAD/Anti-Virus.,SecCenter/SecBlade/ACG.,CRM,ERP,OA,SCM,P2P,WEB2.0,.,IT应用,H3C智能安全渗透网络,远程安全接入,边界防护,安全统一管理平台,内网控制,行为监管,数据中心保护,H3C安全解决方案,最高端：万兆安全平台,SecBlade防火墙插卡（ForS75E/S95/SR66/SR88）万兆性能、全球第一,F5000-A/E超万兆FW/VPN7U、40Gbps吞吐量全球性能最高端防火墙,F1000-E，万兆防火墙基于多核多线程技术的万兆防火墙上海电信研究院测试技术排名第一，已规模应用,T200系列IPS基于多核的强百兆IPS,T1000系列IPS真正的千兆IPS,T5000,ACG8800,高端千兆IPS,最完整：安全产品和解决方案,H3C应用网关系列,H3CT系列IPS,H3C安全业务管理,SecCenter,EAD,iMC,BIMS,ASE5000,T200-E,T1000-S,T1000-M,T1000-A,ACG2000-M,H3CSecPathUTM,U200-C,U200-S,U200-M,U200-A,H3C系列安全模块,NSM,ASM,WAN优化,SSLVPN,FW,ACG,LB,AFC,NetStream,H3CSecPath防火墙/VPN,F5000-A5,F1000-A,F1000-S,F100-E,F100-C,V100-E,F100-A-SI,F1000-E,V1000-A,F100-S,F100-A,V100-S,F1000-C,F100-M,T200,IPS,T5000-S3,ACG8800-S3,IAG2000-A,IAG5000-A5,T200-M,T200-A,安全咨询与评估,H3C拥有业界最完整的安全产品和端到端安全解决方案,电力调度安全现状分析H3C电力调度二次系统安全防护解决方案H3C安全简介H3C电力典型应用案例,核心路由器,F1000-S防火墙,SecPathT1000-A,调度数据网,核心路由器,核心交换区,业务接入区,网管区,F1000-S防火墙,SecCenterA1000安全管理中心/审计平台,SecPathT1000-A,典型案例贵州电力调度网二次安全防护,IPS,IPS,全省及各地市二次安全防护全部采用H3C安全设备。,H3CSecBladeII防火墙插卡,数据中心/服务器区,省调节点安全防护方案,典型案例福建电力调度四级网二次安全防护,县调路由器,SecPathF100,地市调度数据网,备调路由器,调度I区业务,SecPathF100,调度II区业务,全省80个县调,SecPathF100,SecPathF100,典型案例湖南电力调度二次安全防护,安全区,安全区,安全区,SERVER,安全区交换机,S3526,NE20,SERVER,安全区交换机,NE20,反向隔离装置,正向隔离装置,安全区交换机,S3526,IPS管理口连接公共管理区,IPS管理口连接公共管理区,T1000-S（1）,T1000-S（1）,T1000-S（2）,T1000-S（2）,典型案例安徽电力调度二次安全防护,调度系统OMS网,IPS1000-S,IPSManager,III区交换机1,III区交换机2,调度报票网,省公司MIS网,电力调度数据网,IPST1000-S,IPSManager,I区交换机,II区交换机,省公司调度数据网,隔离装置,典型案例山西电力调度二次安全防护,H3CIPST1000-S,省调度区OMS服务器群,用于省公司及所有11个地市，做电网安全区服务器群的实时在线防御。,省公司MIS网,地市区OMS服务器群,H3CIPST1000-S,地市区OMS服务器群,H3CIPST1000-S,调度网,办公网,SecPathF100-E,正、反向隔离,装置,H3CS3100,-,8C,-,SI,H3CIPS,一区交换机,拨号访问,网管和防病毒服务器,WEB,服务器,安全区,I,安全区,II,安全区,III,安全区,IV,二区交换机,三区交换机,DMIS,区交换机,网管和防病毒服务器,调度自动化系统,配网自动化系统,办公网,正、反向隔离,装置,-,S,H3CIPS,SecPathF1000-S,一区交换机,拨号访问,网管和防病毒服务器,WEB,服务器,二区交换机,三区交换机,DMIS区交换机,网管和防病毒服务器,调度自动化系统,配网自动化系统,公司MIS,SecPathF1000-S,SecPathF1000-S,H3CIPS,SecPathF1000-S,黑龙江省电力调度中心,12个地市电力调度中心,典型案例黑龙江省电力调度数据网安全防护,H3CIPS200,H3CIPS200,地市路由器,N*1