电力系统业务安全防线要纵横兼修
近年来,国家电网集团公司对信息安全的指导要求逐步在加强。 2004年,国家电力监管委员会发布第5号令——《电力二次系统安全防护规定》; 2005年,电力二次系统安全防护专家组和工作组提出《电力二次系
近年来,国家电网集团公司对信息安全的指导要求逐步在加强。
2004年,国家电力监管委员会发布第5 号令 ——《电力二次系统安全防护规定》;
2005年,电力二次系统安全防护专家组和工作组提出《电力二次系统安全防护总体方案》;
2008年,国家电网信息化工作部印发316号文件——《国家电网公司信息化“SG186”工程安全防护总体方案(试行)》通知……
这些文件均大篇幅地涵盖了电力系统对IT系统治理方面的紧迫要求。有鉴于此,很多电力公司也在结合切身需求,不断改善和提升自身信息安全综合建设的水平。
两大需求背景
某省级电力公司就在贯彻国家电网集团公司的指导要求下,结合自身实际情况,提出了系统网络安全项目的建设需求。
需求总体分为两个部分:
第一,针对调度系统,需要对网络通信所在各地市枢纽变电站、发电厂、各级电力调度通信中心内部署防火墙或网关类产品,对调度口办公内网的关键服务器部署防护产品;
第二,针对营销系统,需要对全市的后台数据库中各数据表的操作进行全过程审计,对运维网络中一些维护单位的数据库维护操作进行审核管理,特别是内部关键业务系统的关键数据库部署网络审计类产品。
纵向防御和横向审计的解决方案
经过对网络安全产品以及厂商实力的考察和调研,根据调度系统和业务系统的重要性,该电力公司选择了启明星辰的天清汉马一体化安全网关,部署在各地市枢纽变电站、发电厂、各级电力调度通信中心。
据了解,天清汉马一体化安全网关设备是不同网络或网络安全域之间信息的唯一出入口,兼具防火墙和防病毒等功能,能根据用户网络的安全政策控制(允许、拒绝、监测)出入网络的信息流,既可以确定哪些内部服务允许外部访问、哪些外部服务可由内部人员访问,又可以在中调和地调边界提供入侵防御、防病毒等安全防护功能。
图1 某省级电力公司纵向防御总体部署示意
在营销网的核心业务系统,需要进行数据库维护等操作的合规审计,该电力公司选择了启明星辰的天玥网络安全审计系统,为电网内各信息系统提供了一个用户管理、应用操作监控审计的管理平台,从而对关键人员的核心操作进行了集中的管理和控制。与此同时,天玥网络安全审计系统支持一个数据中心管理多台审计引擎,同时支持运维、数据库、OA三大种类的网络操作行为审计,通过二维统计、三维统计、折线趋势分析、柱状统计分析等多种统计分析手段为该电力公司针对收集到的网络日志提供了分析,总体部署如下图2所示:
案例点评
通过部署天清汉马一体化安全网关,该省级电力公司很好地实现了访问控制、木马防御、恶意攻击、病毒、蠕虫、非法外联等核心功能,保证了调度系统横向和纵向边界的访问防护。
通过部署天玥网络安全审计系统,该省级电力公司还解决了对关键人员的核心操作行为进行集中的管理和控制,从而保证了核心数据库系统的正常运行。
特别需要指出的是,这些设备充分考虑了电力系统的厂站分布地域广阔、海拔、气候各异的特点,并表现出了良好的环境适应能力,更符合《电力二次系统安全防护总体方案》的拓扑环境要求,彻底为该电力公司构建了一条全面实时的业务安全防线。
2004年,国家电力监管委员会发布第5 号令 ——《电力二次系统安全防护规定》;
2005年,电力二次系统安全防护专家组和工作组提出《电力二次系统安全防护总体方案》;
2008年,国家电网信息化工作部印发316号文件——《国家电网公司信息化“SG186”工程安全防护总体方案(试行)》通知……
这些文件均大篇幅地涵盖了电力系统对IT系统治理方面的紧迫要求。有鉴于此,很多电力公司也在结合切身需求,不断改善和提升自身信息安全综合建设的水平。
两大需求背景
某省级电力公司就在贯彻国家电网集团公司的指导要求下,结合自身实际情况,提出了系统网络安全项目的建设需求。
需求总体分为两个部分:
第一,针对调度系统,需要对网络通信所在各地市枢纽变电站、发电厂、各级电力调度通信中心内部署防火墙或网关类产品,对调度口办公内网的关键服务器部署防护产品;
第二,针对营销系统,需要对全市的后台数据库中各数据表的操作进行全过程审计,对运维网络中一些维护单位的数据库维护操作进行审核管理,特别是内部关键业务系统的关键数据库部署网络审计类产品。
纵向防御和横向审计的解决方案
经过对网络安全产品以及厂商实力的考察和调研,根据调度系统和业务系统的重要性,该电力公司选择了启明星辰的天清汉马一体化安全网关,部署在各地市枢纽变电站、发电厂、各级电力调度通信中心。
据了解,天清汉马一体化安全网关设备是不同网络或网络安全域之间信息的唯一出入口,兼具防火墙和防病毒等功能,能根据用户网络的安全政策控制(允许、拒绝、监测)出入网络的信息流,既可以确定哪些内部服务允许外部访问、哪些外部服务可由内部人员访问,又可以在中调和地调边界提供入侵防御、防病毒等安全防护功能。
图1 某省级电力公司纵向防御总体部署示意
在营销网的核心业务系统,需要进行数据库维护等操作的合规审计,该电力公司选择了启明星辰的天玥网络安全审计系统,为电网内各信息系统提供了一个用户管理、应用操作监控审计的管理平台,从而对关键人员的核心操作进行了集中的管理和控制。与此同时,天玥网络安全审计系统支持一个数据中心管理多台审计引擎,同时支持运维、数据库、OA三大种类的网络操作行为审计,通过二维统计、三维统计、折线趋势分析、柱状统计分析等多种统计分析手段为该电力公司针对收集到的网络日志提供了分析,总体部署如下图2所示:
案例点评
通过部署天清汉马一体化安全网关,该省级电力公司很好地实现了访问控制、木马防御、恶意攻击、病毒、蠕虫、非法外联等核心功能,保证了调度系统横向和纵向边界的访问防护。
通过部署天玥网络安全审计系统,该省级电力公司还解决了对关键人员的核心操作行为进行集中的管理和控制,从而保证了核心数据库系统的正常运行。
特别需要指出的是,这些设备充分考虑了电力系统的厂站分布地域广阔、海拔、气候各异的特点,并表现出了良好的环境适应能力,更符合《电力二次系统安全防护总体方案》的拓扑环境要求,彻底为该电力公司构建了一条全面实时的业务安全防线。
责任编辑:和硕涵
免责声明:本文仅代表作者个人观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
我要收藏
个赞
-
发电电力辅助服务营销决策模型
2019-06-24电力辅助服务营销 -
绕过安卓SSL验证证书的四种方式
-
网络何以可能
2017-02-24网络