首页 > 信息安全 > 正文

看新一代防火墙如何破解电网系统安全难题

2010-06-08 08:43:00  来源:赛迪网

摘要:广东电网是目前全国最大的省级电网,供电面积覆盖广东省全省,供电人口9615万,供售电量连续14年稳居全国各省市首位。就是这样一个大规模、业务庞杂的电网系统,其对信息安全的建设
关键词: 安全方案 防火墙

  广东电网是目前全国最大的省级电网,供电面积覆盖广东省全省,供电人口9615万,供售电量连续14年稳居全国各省市首位。就是这样一个大规模、业务庞杂的电网系统,其对信息安全的建设却一直也没有放松过,反而非常重视并不断加强。

据了解,广东电网的二次系统防护建设是严格按照电监会《电力二次系统安全防护规定》和《电力系统安全防护总体方案》来执行的,并专门制订了《广东电力二次安全防护建设规范》。这样做的目的,就是要在整个广东电网系统内,建立起以分区模型为核心的安全防护体系,通过横向隔离、纵向防护等手段来强化各区各层之间的边界。

那么,究竟广东电网是如何实施横向隔离和纵向防护的呢?

广东电网二次系统防护建设中的三大安全需求

广东电网系统内的各级调度中心、直调电厂和变电站内部基于计算机和网络技术的业务系统,原则上都可以划分为生产控制大区和管理信息大区,而生产控制大区又可分为控制区和非控制区。

具体对应的安全需求如下:

首先,控制区和非控制区通过双链路连接互为备份,每条链路上都需要部署一台防火墙,并要求两台防火墙之间能够同步流量和会话信息,互相作为备份;

其次,在控制区的纵向,需要通过加密认证网关来连接上下级单位,同时在非控制区的纵向,也是通过两条链路互为备份,并通过防火墙来达到纵向隔离和安全备份的目的。

第三,除了对冗余备份的要求,二次系统中所采用的安全设备还要求具有高性能、快速转发的特点。这是因为电力二次系统的稳定运行直接影响到用电的安全。尤其是在实时控制区,调度自动化系统SCADA/EMS、电厂自动监控系统、变电站自动化系统、继电保护系统、电能量计量系统等业务系统都要求实时采集电网的运营数据,这些都对网络的传输时延、容错性提出了非常高的要求。

启明星辰天清汉马防火墙为广东电网解决安全

最终,在这次二次系统的安全防护中,广东电网公司主要的供电局,如广州、佛山、东莞等,均采用了启明星辰的天清汉马防火墙来提供保护,部署示意图如图1所示。

据广东电网系统的相关负责人表示,首先,公司部署的天清汉马防火墙采用的是高性能硬件平台,通过专有的HA协议实现了系统安全防护的高可用性;其次,两台防火墙之间通过主备的方式在实现双机热备的基础上,还实现了流量分担和业务备份,同时该防火墙还可以将网络的连接信息在两台设备之间进行完整备份,在探测到链路故障时,能够实现毫秒级的全状态切换,不会对业务产生影响,确保了二次系统实时控制业务的高可靠性;

第三,该防火墙设备还具有NETFLOW(流量分析)等实用功能,能够将每天流经防火墙的流量信息,以及防火墙相关的日志信息自动生成报表发送给管理员,便于管理员掌控区域网络的安全状态,而通过天清集中管理中心则能够对各地市规模部署的防火墙设备进行统一状态监控,便于IT管理机构从宏观上掌握全网的安全状态。

在部署方面,为广东电网所称道的正是天清汉马防火墙支持各种网络情况下的接入,在实际使用中可以快速部署。

此外,对于更广泛的电力行业用户而言,诸如启明星辰天清汉马防火墙在性能、功能方面的出色保障,以及易部署和易维护的特点,必定也是用户朋友提升系统安全防护建设的不二选择。另据了解,除广东电网所属的南方电网外,启明星辰天清汉马防火墙在国家电网各网省公司中也有着大规模的成熟应用,并成为国家电网防火墙框架采购协议两个入围品牌之一。天清汉马防火墙已经成为国内电力行业主流的网络安全产品。

 

(责任编辑:董建伟)

 


第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。