聯想網御電力業網絡安全系統解決方案

2013-09-25 10:03:24 EP電力信息化網　點擊量：評論 (0)

隨著計算機技術、通信技術和網絡技術的發展，電力系統網上開展的業務及應用系統越來越多。

隨著計算機技術、通信技術和網絡技術的發展，電力系統網上開展的業務及應用系統越來越多，電力系統網絡的安全性和可靠性已成為一個非常緊迫的問題。

根據《全國電力二次系統安全防護總體方案》的要求，調度自動化系統分為4個安全域，分別是：安全區Ⅰ（實時控制區）它是電力二次系統中最重要系統，安全等級最高，是安全防護的重點與核心；安全區Ⅱ（非控制生產區）；安全區Ⅲ（生產管理區）；安全區IV（管理信息區）。

因此，根據以上區域的劃分，確立了安全解決方案的總的指導原則：分區防護、突出重點；區域隔離、網絡專用；設備獨立、縱向防護。

安全區域間的隔離策略

具體策略如下：

● 安全Ⅰ區、安全Ⅱ區的防護策略

實時控制區與非控制區的業務系統都屬電力生產系統，都采用電力調度數據網絡，都在線運行，數據交換較多，關系比較密切，可以作為一個邏輯大區（生產控制區）。

● 安全Ⅲ區、安全IV區的防護策略

生產管理區和管理信息區均采用電力數據通信網絡(ATM)，數據交換較多，關系比較密切。

● 安全Ⅰ區、Ⅱ區與安全Ⅲ區的防護策略

實時控制區和非控制區不得與管理信息區直接聯系，實時控制區和非控制區與生產管理區的信息交換必須是單向方式，僅允許純數據的單向安全傳輸。反向安全隔離裝置采取簽名認證和數據過濾措施，僅允許純文本數據通過，并嚴格進行病毒、木馬等惡意代碼的查殺。

● 安全區域縱向防護策略

在專用通道上建立調度專用數據網絡，實現與其他數據網絡物理隔離。

● 高可靠性和防止單點失效策略

I區、II區、III區都屬于調度中心管理范疇，IV區屬于信息中心管理范疇，I區的高可用性要求非常高，要求達到秒級，而且是實時系統；II區的高可用性達到分鐘級，III區IV區的管理系統對于高可用性也非常高，在使用防火墻作為網絡隔離設備的時候，使用雙機熱備的方式，以防止單點失效，提高可用性。

防火墻系統建設方案部署

防火墻系統采用聯想網御自主研發的防火墻。首先在電力網絡系統I區與II區之間，III區與IV區之間，部署千兆防火墻，防火墻工作在雙機熱備狀態，以全鏈路冗余方式，分別與兩個區的核心交換機相連。正常情況下兩臺防火墻均處于工作狀態，可以分別承擔相應鏈路的網絡通信。當其中一臺防火墻發生故障時，網絡通信自動切換到另外一臺防火墻。切換過程不需要人為操作和其他系統的參與。

入侵檢測系統建設方案部署

入侵檢測系統采用聯想網御入侵檢測系統。在I區、II區各部署一臺IDS探頭，IDS探頭接在核心交換機的鏡像口上，以旁路偵聽方式，對所有流經核心交換機的流量進行檢測。在II區部署一臺IDS管理中心，以一對多的方式管理兩臺IDS探頭。交換機需要將所有端口的流量鏡像到IDS所連接的端口。在III區部署一臺IDS探頭。IDS探頭接在核心交換機的鏡像口上，以旁路偵聽方式，對所有流經核心交換機的流量進行檢測。在III區內部部署一臺IDS管理中心，接受IDS探頭傳回的信息。IDS控制臺通過網線直接與IDS探頭相連，控制臺與探頭的管理口采用獨立的IP地址，不與III區內的IP地址重疊，保證IDS的安全性。交換機需要將所有端口的流量鏡像到IDS所連接的端口。