广东电网是目前全国最大的省级电网,供电面积覆盖广东省全省,供电人口9615万,供售电量连续14年稳居全国各省市首位。就是这样一个大规模、业务庞杂的电网系统,其对信息安全的建设却一直也没有放松过,反而非常重视并不断加强。
据了解,广东电网的二次系统防护建设是严格按照电监会《电力二次系统安全防护规定》和《电力系统安全防护总体方案》来执行的,并专门制订了《广东电力二次安全防护建设规范》。这样做的目的,就是要在整个广东电网系统内,建立起以分区模型为核心的安全防护体系,通过横向隔离、纵向防护等手段来强化各区各层之间的边界。
那么,究竟广东电网是如何实施横向隔离和纵向防护的呢?
广东电网二次系统防护建设中的三大安全需求
广东电网系统内的各级调度中心、直调电厂和变电站内部基于计算机和网络技术的业务系统,原则上都可以划分为生产控制大区和管理信息大区,而生产控制大区又可分为控制区和非控制区。
具体对应的安全需求如下:
首先,控制区和非控制区通过双链路连接互为备份,每条链路上都需要部署一台防火墙,并要求两台防火墙之间能够同步流量和会话信息,互相作为备份;
其次,在控制区的纵向,需要通过加密认证网关来连接上下级单位,同时在非控制区的纵向,也是通过两条链路互为备份,并通过防火墙来达到纵向隔离和安全备份的目的。
第三,除了对冗余备份的要求,二次系统中所采用的安全设备还要求具有高性能、快速转发的特点。这是因为电力二次系统的稳定运行直接影响到用电的安全。尤其是在实时控制区,调度自动化系统SCADA/EMS、电厂自动监控系统、变电站自动化系统、继电保护系统、电能量计量系统等业务系统都要求实时采集电网的运营数据,这些都对网络的传输时延、容错性提出了非常高的要求。
启明星辰天清汉马防火墙为广东电网解决安全
最终,在这次二次系统的安全防护中,广东电网公司主要的供电局,如广州、佛山、东莞等,均采用了启明星辰的天清汉马防火墙来提供保护,部署示意图如图1所示。
据广东电网系统的相关负责人表示,首先,公司部署的天清汉马防火墙采用的是高性能硬件平台,通过专有的HA协议实现了系统安全防护的高可用性;其次,两台防火墙之间通过主备的方式在实现双机热备的基础上,还实现了流量分担和业务备份,同时该防火墙还可以将网络的连接信息在两台设备之间进行完整备份,在探测到链路故障时,能够实现毫秒级的全状态切换,不会对业务产生影响,确保了二次系统实时控制业务的高可靠性;
第三,该防火墙设备还具有NETFLOW(流量分析)等实用功能,能够将每天流经防火墙的流量信息,以及防火墙相关的日志信息自动生成报表发送给管理员,便于管理员掌控区域网络的安全状态,而通过天清集中管理中心则能够对各地市规模部署的防火墙设备进行统一状态监控,便于IT管理机构从宏观上掌握全网的安全状态。
图1:天清汉马防火墙部署示意
在部署方面,为广东电网所称道的正是天清汉马防火墙支持各种网络情况下的接入,在实际使用中可以快速部署。
此外,对于更广泛的电力行业用户而言,诸如启明星辰天清汉马防火墙在性能、功能方面的出色保障,以及易部署和易维护的特点,必定也是用户朋友提升系统安全防护建设的不二选择。另据了解,除广东电网所属的南方电网外,启明星辰天清汉马防火墙在国家电网各网省公司中也有着大规模的成熟应用,并成为国家电网防火墙框架采购协议两个入围品牌之一。天清汉马防火墙已经成为国内电力行业主流的网络安全产品。
用户评论