客戶需求分析
2009年,國家電網(wǎng)公司發(fā)布《智能變電站技術(shù)導則》企業(yè)標準����,首次明確了智能變電站定義�,并對智能變電站發(fā)展思路�、建設(shè)理念提出了系統(tǒng)性要求��?�!笆濉卑l(fā)展規(guī)劃中�����,將智能電網(wǎng)建設(shè)列入國家戰(zhàn)略����。“十三五”期間�����,國家電網(wǎng)公司還將繼續(xù)推進智能電網(wǎng)和智能變電站建設(shè)��,預(yù)計會再建8000多座智能變電站;因此��,智能變電站一直是“堅強智能電網(wǎng)”的基石和重要支撐���,是推動新一輪能源革命的基礎(chǔ)平臺之一�。近年來����,我國一直在堅定不移地推進智能變電站建設(shè)���,同時我國智能變電站建設(shè)成果在國際推廣時�,具有極強的適應(yīng)性和兼容性�。
智能變電站采用三層兩網(wǎng)設(shè)計,三層分別為過程層����、間隔層和站控層,兩網(wǎng)為過程層網(wǎng)絡(luò)和站控層網(wǎng)絡(luò)���。
同時IEC61850標準是未來變電站發(fā)展建設(shè)的基礎(chǔ)�����,是基于通用網(wǎng)絡(luò)通信平臺的變電站自動化系統(tǒng)唯一國際標準���,對智能變電站內(nèi)的設(shè)備提出了明確的要求�����,包括可靠性���、可用性、時延等要求����,如何針對變電站建立一套安全防護體系是目前需要考慮的問題。
主要問題如下:
(1)需抵御黑客����、病毒、惡意代碼�����、木馬等通過各種形式對變電站系統(tǒng)發(fā)起的惡意破壞和攻擊�,防止變電站系統(tǒng)癱瘓。
(2)邊界防護����,需實現(xiàn)多區(qū)域的邏輯隔離�、并進行報文過濾�����、訪問控制等功能�。
(3)智能變電站的關(guān)鍵設(shè)施需冗余備份,避免單點故障����。
客戶需求分析
■邊界安全防護
對于網(wǎng)絡(luò)各個網(wǎng)絡(luò)邊界而言����,每個單獨地網(wǎng)絡(luò)系統(tǒng)都是一個獨立的網(wǎng)絡(luò)安全區(qū)域,因此在網(wǎng)絡(luò)邊界處配置一臺高性能防火墻系統(tǒng)��,制定安全的訪問策略�����,不僅可以有效地保護內(nèi)部網(wǎng)絡(luò)中的系統(tǒng)和數(shù)據(jù)安全��,還可以防止各網(wǎng)絡(luò)之間有意無意地探測和攻擊行為����。
通過防火墻可以把安全信任網(wǎng)絡(luò)和非安全網(wǎng)絡(luò)進行隔離����。目前����,防火墻主要是采取狀態(tài)的包過濾技術(shù),過濾模塊位于TCP/IP網(wǎng)絡(luò)協(xié)議的數(shù)據(jù)鏈路層和IP層之間���,能夠監(jiān)控每一個通過網(wǎng)絡(luò)的封包���。可以根據(jù)每個數(shù)據(jù)包的源MAC地址�����、目的MAC地址����、源IP地址、目的IP地址���、協(xié)議����、源端口、目的端口以及數(shù)據(jù)包通過的時間����,決定是否對這個數(shù)據(jù)包予以放行,或者把它過濾掉����。
防火墻作為網(wǎng)絡(luò)邊界安全防護設(shè)備,一直以來都是網(wǎng)絡(luò)中不可缺少的“守門員”�,十幾年來,防火墻在網(wǎng)絡(luò)邊界大力提升了網(wǎng)絡(luò)安全性并逐步擺脫了網(wǎng)絡(luò)吞吐量瓶頸的障礙�。
◆ 防火墻放置在邊界,實現(xiàn)了網(wǎng)絡(luò)安全隔離�����。
◆ 防火墻上劃分不同區(qū)域����,保護業(yè)務(wù)系統(tǒng)免受病毒�����、木馬的攻擊。
◆ 在防火墻上配置安全訪問策略����,設(shè)置訪問權(quán)限,保護內(nèi)部網(wǎng)絡(luò)的安全���。
■應(yīng)用層防護
齊杉科技的下一代防火墻支持基于深度應(yīng)用����、協(xié)議檢測�、分析的入侵防御技術(shù),能有效防御如DoS�����、代碼攻擊����、病毒、后門黑客攻擊或入侵的方法以及各種攻擊手段�����,如掃描、嗅探���、后門���、惡意代碼、拒絕服務(wù)�����、分布式拒絕服務(wù)�、欺騙等各種攻擊規(guī)則,實現(xiàn)L2~7層的安全防護���。主要功能如下:
防范網(wǎng)絡(luò)攻擊事件:針對應(yīng)急平臺敏感數(shù)據(jù)處理區(qū)域��,入侵防御功能采用細粒度檢測技術(shù)����,協(xié)議分析技術(shù)�����,誤用檢測技術(shù)�,協(xié)議異常檢測,可有效防止各種攻擊和欺騙�����。針對端口掃描類���、木馬后門����、緩沖區(qū)溢出�、IP碎片攻擊等進行監(jiān)視和報警。
防范拒絕服務(wù)攻擊:在防火墻進行邊界防范的基礎(chǔ)上����,開啟入侵防御功能能夠應(yīng)付各種SNA類型和應(yīng)用層的強力攻擊行為,包括消耗目的端的各種資源如網(wǎng)絡(luò)帶寬、系統(tǒng)性能等攻擊�����。主要防范的攻擊類型有TCP Flood�����,UDP Flood�����,Ping Abuse等;
審計�����、查詢策略:能夠完整記錄多種應(yīng)用協(xié)議(HTTP�、FTP、SMTP�����、POP3����、TELNET等)的內(nèi)容。記錄內(nèi)容包括��,攻擊源IP����、攻擊類型、攻擊目標�、攻擊時間等信息,并按照相應(yīng)的協(xié)議格式進行回放�����,清楚再現(xiàn)入侵者的攻擊過程����,重現(xiàn)內(nèi)部網(wǎng)絡(luò)資源濫用時泄漏的保密信息內(nèi)容。同時必須對重要安全事件提供多種報警機制����。
客戶價值
◆ 高可靠
通過部署雙機設(shè)備,實現(xiàn)冗余���,當主設(shè)備出現(xiàn)故障時�,即刻切換至備設(shè)備���,有效保證業(yè)務(wù)可靠�����。
◆ 高安全
通過部署齊杉科技的下一代防火墻�,實現(xiàn)L2~7層的安全防護�����,針對變電站的安全加固手段有效提升變電站的安全防護能力,降低變電站的安全風險�。
