网络安全 频道

华为NGFW构建广东智能电网安全架构

  背景

  智能电网是中国电网乃至世界电网未来的发展方向,建立高速、双向、实时、集成的通讯系统是实现智能电网数据获取、保护和控制的基础,因此建立高质量的通讯系统是迈向智能电网的第一步。南方电网在智能电网的建设中,以试点先行、逐步推广为原则,积极引进消化吸收国际上智能电网的关键先进技术,并结合南网具体情况与需求再创新,有计划、分步骤、科学高效地建设智能电网。

  广东电网是目前南方电网中最大的省级电网,随着“9+2”泛珠三角合作战略的逐步实施和广东经济社会的快速、健康、协调发展,广东电网的发展空间将更加广阔。结合广东智能电网的规划、技术和管理标准、关键技术研究等不同方面的内容及广东电网的中长期发展目标,分析了广东电力通讯网面临的压力,已然合理制定广东电力通信网的演进目标和具体方案。

  关键挑战:

  广东电网的调度数据网与综合信息网以发展多业务传输平台(Multi-Service Transfer Platform, MSTP)光通讯为主,并在此基础之上发展数据,语音交换,频率同步,视频会议系统等应用,到目前为止,广东电网调度数据网与综合信息网已经实现网、省、地三级互联,部分地区已经延伸到县级单位,通讯资源的共享有效地扩展了各个应用系统的控制范围,体现了广东电网一体化的信息发展思想,同时也使得广东电网的综合信息网面临更多安全挑战。

  来自互联网安全威胁更复杂:随着广东电网综合信息网的信息化建设不断完善,面对来自互联网的安全威胁也加复杂,新的病毒、木马、DDoS攻击、APT攻击等层出不穷,这些新的威胁在综合信息网内部,以及电网调度自动化、继电保护和安全装置,发电厂控制自动化、变电站自动化、配网自动化,电力负荷装置、电力市场交易、电力用户信息采集、智能用电等多个领域不断产生,使得广东电网综合信息网面临外部的安全威胁更加严峻。

  来自内部网络安全威胁更多:广东电网综合信息网承载电网日常办公,以及对外电力交易业务与应用平台,来自网络内部非法访问,网络资源滥用,病毒肆意扩散,应用与系统的漏洞等威胁已经严重影响正常业务与应用的运营,综合信息网内部威胁主要体现在以下几个方面:

  内部网络终端接入点增多,成为主要的安全隐患及威胁来源,如何实现细粒度网络接入控制与访问控制;

  如何对办公网内部的敏感数据或者信息实现动态权限控制,持久保护数据安全;

  综合信息网内部的众多应用系统与业务平台存在不可预计的安全漏洞,来自内部蓄意/恶意攻击时有发生;

  信息安全制度与安全管理策略如何确保有效的执行,如何监控网络应用与优化流量,提高ICT网络资源使用效率,改善统一安全管理与运维。

  解决方案:

  为了保障广东电网综合信息网能够有效抵御内外攻击,广东电网公司对国内各厂商安全产品进行了严格的测试,华为USG6000系列下一代防火墙在性能和安全能力方面表现优异,同时有效保障了可靠性、扩展性和易管理要求,成为广东电网构建智能电网信息安全基础架构的首选产品,为整个电力综合信息网提供全面网络边界管控与防御。

  华为根据广东电网综合信息网防御要求不同的特点,首先采用USG6650下一代防火墙产品,在互联网出口边界和综合信息网的边界部署USG6650,提供10G全威胁防护,并针对互联网出口提供强大的NAT地址转换功能。同时全网设备通过统一管理中心实现调度管理和报表展现,为广东电网构建了一套简洁高效的安全防护体系。

  USG6000系列是华为2013年发布的下一代防火墙新品,在满足Gartner对NGFW定义要求的基础上,提供6000+应用识别和6维安全管控,是业界管控能力最精细的下一代防火墙。USG6000系列在能力上紧随ICT发展趋势和威胁趋势变化,提供基于特征的入侵防护和基于行为的未知威胁防护,为广东电网提供了全面的网络安全防护。

  客户价值:

  全威胁防御,保障广东电网办公业务顺畅。USG6000系列在提供基于特征匹配的入侵防护和病毒防护能力的基础上,更基于云端沙箱技术,提供对未知威胁的行为特征分析,可有效防范针对办公业务系统的各类未知威胁及APT攻击。在网络双向提供精细的访问控制和用户身份认证,提供基于用户和应用权限管理,即保障了广东电网办公业务的稳定开展,也可满足电力行业信息安全等级保护的基本要求。

  高性能防护、高品质用户体验,支撑大业务流量。USG6000系列通过全新的软硬件设计,可以做到在全威胁防护开启情况下,性能下降小于50%,在所有参与的安全厂商中,性能下降幅度最小。大于10G的全威胁防护性能有能力同时为每一个业务系统提供全方位的安全防护。

  硬件可靠性设计,保障业务延续。华为为广东电网提供的解决方案在电源、风扇、硬盘上均采用冗余设计,同时在每个节点采用双机热备冗余部署,有效降低了每一个环节可能带来的业务风险,为电力业务系统的实时性,连续性提供非常好的保障。

  高效的管理手段,降低TCO。华为USG6000系列在设计开发过程中引入了全新的管理理念,即基于流量学习的自动化策略配置和优化。在设备上线时通过预置模板提供快速部署;上线后通过流量学习与分析,自动生成安全策略建议,不断的细化安全策略管理。在稳定运行后,通过策略学习自动精简冗余策略,提高策略匹配效率。USG6000系列的自动化管理手段让广电电网在缺乏专业安全管理人员情况下同样精确开启了全威胁安全防护,CTO降低30%以上。

  华为下一代防火墙成为构建广东智能电网信息安全基础架构的产品之一,在保障电力业务安全性和延续性的同时,严格按照电力行业信息系统安全等保要求进行方案设计,全面提升电力信息系统安全等级保护水平与能力,进一步加强电力信息系统安全等级保护建设,并且获得广东电网公司客户认可与信任,促进华为与广东电网公司在信息安全建设领域的进一步合作。

0
相关文章