聯(lián)想網(wǎng)御電力業(yè)網(wǎng)絡(luò)安全系統(tǒng)解決方案
隨著計算機技術(shù)、通信技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展,電力系統(tǒng)網(wǎng)上開展的業(yè)務(wù)及應(yīng)用系統(tǒng)越來越多。
隨著計算機技術(shù)、通信技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展,電力系統(tǒng)網(wǎng)上開展的業(yè)務(wù)及應(yīng)用系統(tǒng)越來越多,電力系統(tǒng)網(wǎng)絡(luò)的安全性和可靠性已成為一個非常緊迫的問題。
根據(jù)《全國電力二次系統(tǒng)安全防護總體方案》的要求,調(diào)度自動化系統(tǒng)分為4個安全域,分別是:安全區(qū)Ⅰ(實時控制區(qū))它是電力二次系統(tǒng)中最重要系統(tǒng),安全等級最高,是安全防護的重點與核心;安全區(qū)Ⅱ(非控制生產(chǎn)區(qū));安全區(qū)Ⅲ(生產(chǎn)管理區(qū));安全區(qū)IV(管理信息區(qū))。
因此,根據(jù)以上區(qū)域的劃分,確立了安全解決方案的總的指導(dǎo)原則:分區(qū)防護、突出重點;區(qū)域隔離、網(wǎng)絡(luò)專用;設(shè)備獨立、縱向防護 。
安全區(qū)域間的隔離策略
具體策略如下:
● 安全Ⅰ區(qū)、安全Ⅱ區(qū)的防護策略
實時控制區(qū)與非控制區(qū)的業(yè)務(wù)系統(tǒng)都屬電力生產(chǎn)系統(tǒng),都采用電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò),都在線運行,數(shù)據(jù)交換較多,關(guān)系比較密切,可以作為一個邏輯大區(qū)(生產(chǎn)控制區(qū))。
● 安全Ⅲ區(qū)、安全IV區(qū)的防護策略
生產(chǎn)管理區(qū)和管理信息區(qū)均采用電力數(shù)據(jù)通信網(wǎng)絡(luò)(ATM),數(shù)據(jù)交換較多,關(guān)系比較密切。
● 安全Ⅰ區(qū)、Ⅱ區(qū)與安全Ⅲ區(qū)的防護策略
實時控制區(qū)和非控制區(qū)不得與管理信息區(qū)直接聯(lián)系,實時控制區(qū)和非控制區(qū)與生產(chǎn)管理區(qū)的信息交換必須是單向方式,僅允許純數(shù)據(jù)的單向安全傳輸。反向安全隔離裝置采取簽名認(rèn)證和數(shù)據(jù)過濾措施,僅允許純文本數(shù)據(jù)通過,并嚴(yán)格進行病毒、木馬等惡意代碼的查殺。
● 安全區(qū)域縱向防護策略
在專用通道上建立調(diào)度專用數(shù)據(jù)網(wǎng)絡(luò),實現(xiàn)與其他數(shù)據(jù)網(wǎng)絡(luò)物理隔離。
● 高可靠性和防止單點失效策略
I區(qū)、II區(qū)、III區(qū)都屬于調(diào)度中心管理范疇,IV區(qū)屬于信息中心管理范疇,I區(qū)的高可用性要求非常高,要求達到秒級,而且是實時系統(tǒng);II區(qū)的高可用性達到分鐘級,III區(qū)IV區(qū)的管理系統(tǒng)對于高可用性也非常高,在使用防火墻作為網(wǎng)絡(luò)隔離設(shè)備的時候,使用雙機熱備的方式,以防止單點失效,提高可用性。
防火墻系統(tǒng)建設(shè)方案部署
防火墻系統(tǒng)采用聯(lián)想網(wǎng)御自主研發(fā)的防火墻。首先在電力網(wǎng)絡(luò)系統(tǒng)I區(qū)與II區(qū)之間,III區(qū)與IV區(qū)之間,部署千兆防火墻,防火墻工作在雙機熱備狀態(tài),以全鏈路冗余方式,分別與兩個區(qū)的核心交換機相連。正常情況下兩臺防火墻均處于工作狀態(tài),可以分別承擔(dān)相應(yīng)鏈路的網(wǎng)絡(luò)通信。當(dāng)其中一臺防火墻發(fā)生故障時,網(wǎng)絡(luò)通信自動切換到另外一臺防火墻。切換過程不需要人為操作和其他系統(tǒng)的參與。
入侵檢測系統(tǒng)建設(shè)方案部署
入侵檢測系統(tǒng)采用聯(lián)想網(wǎng)御入侵檢測系統(tǒng)。在I區(qū)、II區(qū)各部署一臺IDS探頭,IDS探頭接在核心交換機的鏡像口上,以旁路偵聽方式,對所有流經(jīng)核心交換機的流量進行檢測。在II區(qū)部署一臺IDS管理中心,以一對多的方式管理兩臺IDS探頭。交換機需要將所有端口的流量鏡像到IDS所連接的端口。在III區(qū)部署一臺IDS探頭。IDS探頭接在核心交換機的鏡像口上,以旁路偵聽方式,對所有流經(jīng)核心交換機的流量進行檢測。在III區(qū)內(nèi)部部署一臺IDS管理中心,接受IDS探頭傳回的信息。IDS控制臺通過網(wǎng)線直接與IDS探頭相連,控制臺與探頭的管理口采用獨立的IP地址,不與III區(qū)內(nèi)的IP地址重疊,保證IDS的安全性。交換機需要將所有端口的流量鏡像到IDS所連接的端口。
根據(jù)《全國電力二次系統(tǒng)安全防護總體方案》的要求,調(diào)度自動化系統(tǒng)分為4個安全域,分別是:安全區(qū)Ⅰ(實時控制區(qū))它是電力二次系統(tǒng)中最重要系統(tǒng),安全等級最高,是安全防護的重點與核心;安全區(qū)Ⅱ(非控制生產(chǎn)區(qū));安全區(qū)Ⅲ(生產(chǎn)管理區(qū));安全區(qū)IV(管理信息區(qū))。
因此,根據(jù)以上區(qū)域的劃分,確立了安全解決方案的總的指導(dǎo)原則:分區(qū)防護、突出重點;區(qū)域隔離、網(wǎng)絡(luò)專用;設(shè)備獨立、縱向防護 。
安全區(qū)域間的隔離策略
具體策略如下:
● 安全Ⅰ區(qū)、安全Ⅱ區(qū)的防護策略
實時控制區(qū)與非控制區(qū)的業(yè)務(wù)系統(tǒng)都屬電力生產(chǎn)系統(tǒng),都采用電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò),都在線運行,數(shù)據(jù)交換較多,關(guān)系比較密切,可以作為一個邏輯大區(qū)(生產(chǎn)控制區(qū))。
● 安全Ⅲ區(qū)、安全IV區(qū)的防護策略
生產(chǎn)管理區(qū)和管理信息區(qū)均采用電力數(shù)據(jù)通信網(wǎng)絡(luò)(ATM),數(shù)據(jù)交換較多,關(guān)系比較密切。
● 安全Ⅰ區(qū)、Ⅱ區(qū)與安全Ⅲ區(qū)的防護策略
實時控制區(qū)和非控制區(qū)不得與管理信息區(qū)直接聯(lián)系,實時控制區(qū)和非控制區(qū)與生產(chǎn)管理區(qū)的信息交換必須是單向方式,僅允許純數(shù)據(jù)的單向安全傳輸。反向安全隔離裝置采取簽名認(rèn)證和數(shù)據(jù)過濾措施,僅允許純文本數(shù)據(jù)通過,并嚴(yán)格進行病毒、木馬等惡意代碼的查殺。
● 安全區(qū)域縱向防護策略
在專用通道上建立調(diào)度專用數(shù)據(jù)網(wǎng)絡(luò),實現(xiàn)與其他數(shù)據(jù)網(wǎng)絡(luò)物理隔離。
● 高可靠性和防止單點失效策略
I區(qū)、II區(qū)、III區(qū)都屬于調(diào)度中心管理范疇,IV區(qū)屬于信息中心管理范疇,I區(qū)的高可用性要求非常高,要求達到秒級,而且是實時系統(tǒng);II區(qū)的高可用性達到分鐘級,III區(qū)IV區(qū)的管理系統(tǒng)對于高可用性也非常高,在使用防火墻作為網(wǎng)絡(luò)隔離設(shè)備的時候,使用雙機熱備的方式,以防止單點失效,提高可用性。
防火墻系統(tǒng)建設(shè)方案部署
防火墻系統(tǒng)采用聯(lián)想網(wǎng)御自主研發(fā)的防火墻。首先在電力網(wǎng)絡(luò)系統(tǒng)I區(qū)與II區(qū)之間,III區(qū)與IV區(qū)之間,部署千兆防火墻,防火墻工作在雙機熱備狀態(tài),以全鏈路冗余方式,分別與兩個區(qū)的核心交換機相連。正常情況下兩臺防火墻均處于工作狀態(tài),可以分別承擔(dān)相應(yīng)鏈路的網(wǎng)絡(luò)通信。當(dāng)其中一臺防火墻發(fā)生故障時,網(wǎng)絡(luò)通信自動切換到另外一臺防火墻。切換過程不需要人為操作和其他系統(tǒng)的參與。
入侵檢測系統(tǒng)建設(shè)方案部署
入侵檢測系統(tǒng)采用聯(lián)想網(wǎng)御入侵檢測系統(tǒng)。在I區(qū)、II區(qū)各部署一臺IDS探頭,IDS探頭接在核心交換機的鏡像口上,以旁路偵聽方式,對所有流經(jīng)核心交換機的流量進行檢測。在II區(qū)部署一臺IDS管理中心,以一對多的方式管理兩臺IDS探頭。交換機需要將所有端口的流量鏡像到IDS所連接的端口。在III區(qū)部署一臺IDS探頭。IDS探頭接在核心交換機的鏡像口上,以旁路偵聽方式,對所有流經(jīng)核心交換機的流量進行檢測。在III區(qū)內(nèi)部部署一臺IDS管理中心,接受IDS探頭傳回的信息。IDS控制臺通過網(wǎng)線直接與IDS探頭相連,控制臺與探頭的管理口采用獨立的IP地址,不與III區(qū)內(nèi)的IP地址重疊,保證IDS的安全性。交換機需要將所有端口的流量鏡像到IDS所連接的端口。
責(zé)任編輯:和碩涵
免責(zé)聲明:本文僅代表作者個人觀點,與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實,對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關(guān)內(nèi)容。
我要收藏
個贊
-
發(fā)電電力輔助服務(wù)營銷決策模型
2019-06-24電力輔助服務(wù)營銷 -
電力線路安全工作的組織措施和技術(shù)措施分別是什么?
-
兩會保電進行時丨陜西電力部署6項重點任務(wù)
-
發(fā)電電力輔助服務(wù)營銷決策模型
2019-06-24電力輔助服務(wù)營銷 -
繞過安卓SSL驗證證書的四種方式
-
網(wǎng)絡(luò)何以可能
2017-02-24網(wǎng)絡(luò)
