2004年,国家电力监管委员会发布第5 号令 ——《电力二次系统安全防护规定》;
2005年,电力二次系统安全防护专家组和工作组提出《电力二次系统安全防护总体方案》;
2008年,国家电网信息化工作部印发316号文件——《国家电网公司信息化“SG186”工程安全防护总体方案(试行)》通知……
这些文件均大篇幅地涵盖了电力系统对IT系统治理方面的紧迫要求。有鉴于此,很多电力公司也在结合切身需求,不断改善和提升自身信息安全综合建设的水平。
两大需求背景
某省级电力公司就在贯彻国家电网集团公司的指导要求下,结合自身实际情况,提出了系统网络安全项目的建设需求。
需求总体分为两个部分:
第一, 针对调度系统,需要对网络通信所在各地市枢纽变电站、发电厂、各级电力调度通信中心内部署防火墙或网关类产品,对调度口办公内网的关键服务器部署防护产品;
第二, 针对营销系统,需要对全市的后台数据库中各数据表的操作进行全过程审计,对运维网络中一些维护单位的数据库维护操作进行审核管理,特别是内部关键业务系统的关键数据库部署网络审计类产品。
纵向防御和横向审计的解决方案
经过对网络安全产品以及厂商实力的考察和调研,根据调度系统和业务系统的重要性,该电力公司选择了启明星辰的天清汉马一体化安全网关,部署在各地市枢纽变电站、发电厂、各级电力调度通信中心。
据了解,天清汉马一体化安全网关设备是不同网络或网络安全域之间信息的唯一出入口,兼具防火墙和防病毒等功能,能根据用户网络的安全政策控制(允许、拒绝、监测)出入网络的信息流,既可以确定哪些内部服务允许外部访问、哪些外部服务可由内部人员访问,又可以在中调和地调边界提供入侵防御、防病毒等安全防护功能。纵向防御总体部署示意图1如下:
图1 某省级电力公司纵向防御总体部署示意
在营销网的核心业务系统,需要进行数据库维护等操作的合规审计,该电力公司选择了启明星辰的天玥网络安全审计系统,为电网内各信息系统提供了一个用户管理、应用操作监控审计的管理平台,从而对关键人员的核心操作进行了集中的管理和控制。与此同时,天玥网络安全审计系统支持一个数据中心管理多台审计引擎,同时支持运维、数据库、OA三大种类的网络操作行为审计,通过二维统计、三维统计、折线趋势分析、柱状统计分析等多种统计分析手段为该电力公司针对收集到的网络日志提供了分析,总体部署如下图2所示:
图2 某省级电力公司网络审计总体部署
案例点评
通过部署天清汉马一体化安全网关,该省级电力公司很好地实现了访问控制、木马防御、恶意攻击、病毒、蠕虫、非法外联等核心功能,保证了调度系统横向和纵向边界的访问防护。
通过部署天玥网络安全审计系统,该省级电力公司还解决了对关键人员的核心操作行为进行集中的管理和控制,从而保证了核心数据库系统的正常运行。
特别需要指出的是,这些设备充分考虑了电力系统的厂站分布地域广阔、海拔、气候各异的特点,并表现出了良好的环境适应能力,更符合《电力二次系统安全防护总体方案》的拓扑环境要求,彻底为该电力公司构建了一条全面实时的业务安全防线。