欢迎user
一直以来,由于电力系统网络结构和业务系统的相对封闭性,电力系统出现的网络安全问题基本产生于内部。但是,随着近年来与外界接口的增加,特别是与银行等合作单位中间业务的接口、网上电力服务、三网融合、数据大集中应用、内部各系统间的互联互通等需求的发展,其网络安全问题已不仅仅局限于内部,来自外界的攻击已越来越多,已经成为电力不可忽视的威胁来源。作为中国南方电网有限责任公司的全资子公司,广东电网公司就面临着这样的问题。
据了解,目前,广东电网公司管理着全国最大的省级电网:不仅管理全省全部21个地市供电企业(含29个直管县供电企业687个镇供电所)以及电力调度、通信、设计、基建、物资供应、科研、学校等共42家企事业单位;同时,还代管50个县级供电企业(共961个镇供电所)。一旦发生网络安全问题,所造成的损失将不可估量。因此,如何确保电力系统的网络安全,为人们提供安全、稳定、可靠、优质的电力,成了广东电网公司急需解决的问题。
为了防患于未然,广东电网公司启动了广东省电力系统计算机信息网络安全工程,并决定采用H3C的网络安全解决方案进行建设。方案在保证计算机网络IDC系统物理安全、网络安全、平台安全、数据与信息内容安全、信息基础设施安全的基础上,通过建立完整的网络和信息安全体系,提供高质量的安全服务。具体网络拓扑图示如下:
考虑到电力系统网络业务的特殊性,防火墙产品依然成了此次项目的首选安全设备。H3C方面认为:防火墙产品作为保障网络安全的第一道防线,是与不可信任网络进行联络的唯一纽带。通过部署防火墙,可以通过关注防火墙的安全来保护其内部的网络安全;并且所有的通信流量都通过防火墙进行审记和保存,从而减轻了网络和系统被用于非法和恶意目的的风险。
在实际建设中,广东电网公司把安全防护的重点放在了确保电力调度生产管理系统、电力信息网络系统的安全上,目标确定为抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击,特别是能够抵御集团式攻击,防止由此导致的一次系统事故或大面积停电事故,二次系统的崩溃或瘫痪,以及有关信息管理系统的瘫痪。因此,此次安全项目主要涉及IDC部分的安全防护。
针对这一情况,H3C通过对广东电网公司IDC的结构进行分析,发现由于业务网服务器区等4个服务区集中到IDC中,数据中心将是一个区域数据中心和业务系统集中运行中心,因此要求部署在IDC网络边界的千兆防火墙需要采用状态包过滤技术严格限制访问,并要求采用基于时间的访问控制技术,分时段限制其他用户对IDC网络的访问,从而对防火墙的稳定性、性能、功能要求很高。同时,在结构设计方面,由于电力广域网采用MPLS VPN技术进行互联,系统内部网络管理权限划分较为细致,所以对防火墙的管理方式也提出了较高要求:如在MPLS VPN网络中,各VPN之间需要做安全保护,传统方式是在CE设备前各部署一台防火墙,各自管理及配置;如果只部署一台防火墙,所有VPN共用同一套配置,则无法对不同的VPN实施不同安全策略,也会因为MPLS VPN网络中存在IP地址重叠而造成防火墙的策略配置错误。
因此,在网络建设中,H3C为广东电网公司部署了SecPath 1800F防火墙。通过产品强大的数据处理能力、丰富的安全特性和DoS/DDoS防护等功能,为广东电网公司提供高性能、扩展性好的安全服务。同时,通过SecPath 1800F的虚拟防火墙(Virtual-firewall,Vfw)技术,为各VPN划分出对应的虚拟防火墙,配置不同的安全策略,从而避免MPLS VPN中地址重叠的问题,并可以灵活解决VPN增加或删除的问题。
如今,通过为所辖地市提供统一的防火墙设备,并运用虚拟防火墙技术构建安全隔离区,广州电网公司不仅节省了大量的重复投资,同时,为内网各部门网络安全管理提供了统一的平台,大大简化了内部用户网络安全管理,为构建统一协调的管理模式创造了有利条件。
事实上,H3C的网络安全产品不仅在广东电网公司获得了成功应用,同时,在江西政务信息网、伊利集团、中国建设银行、中国网通、太原钢铁等众多项目中也成功担起了网络安全的重任。截止目前,H3C已经形成了包括端点准入防御解决方案(EAD)、H3C IPS系列产品、SecPath系列防火墙和VPN网关、SecEngine系列IDS和可以直接插到H3C高端交换机上SecBlcde系列安全业务模块等在内的全系列网络安全产品。
前不久在某著名IT媒体举办的千兆防火墙横向比较评测活动中,SecPath 1800F凭借其在性能、功能测试等方面的出色表现,荣获评测“惟一推荐产品奖”。可以看出,经过多年在网络安全市场的经验和技术积累,H3C在网络安全市场领域的优势正在不断释放出来。此次为广东电网公司信息化建设提供安全保障,再次印证了H3C在网络安全领域的强大实力。