電力行業安全解決方案

裝置獨立不同安全區域的系統必須使用不同的網路交換機裝置。

縱向防護採用認證、加密等手段實現資料的遠方安全傳輸。

設計思路

安全ⅰ區、安全ⅱ區的防護策略

實時控制區與非控制區的業務系統都屬電力生產系統，都採用電力排程資料網路，都**執行，資料交換較多，關係比較密切，可以作為乙個邏輯大區（生產控制區）。它們之間須採用經有關部門認定核准的硬體防火牆或相當裝置進行邏輯隔離。

安全ⅲ區、安全iv區的防護策略

生產管理區和管理資訊區均採用電力資料通訊網路(atm)，資料交換較多，關係比較密切，它們之間的隔離建議採用經有關部門認定核准的邏輯隔離裝置。

安全ⅰ區、ⅱ區與安全ⅲ區的防護策略

實時控制區和非控制區不得與管理資訊區直接聯絡，實時控制區和非控制區與生產管理區的資訊交換必須是單向方式，僅允許純資料的單向安全傳輸。反向安全隔離裝置採取簽名認證和資料過濾措施，僅允許純文字資料通過，並嚴格進行病毒、木馬等惡意**的查殺。

安全區域縱向防護策略

在專用通道上建立排程專用資料網路，實現與其他資料網路物理隔離。並通過採用mpls-vpn或ipsec-vpn在專網上形成多個相互邏輯隔離的vpn，以保障上下級各安全區的縱向互聯僅在相同安全區進行，避免安全區縱向交叉。

高可靠性和防止單點失效策略

i區、ii區、iii區都屬於排程中心管理範疇，iv區屬於資訊中心管理範疇，i區的高可用性要求非常高，要求達到秒級，而且是實時系統；ii區的高可用性達到分鐘級，iii區iv區的管理系統對於高可用性也非常高，在使用防火牆作為網路隔離裝置的時候，使用雙機熱備的方式，以防止單點失效，提高可用性。

方案部署

根據以上設計思路，結合國調總結要求，本次安全建設總體部署方案如圖所示。

防火牆系統建設裝置部署方案

防火牆系統採用聯想網御自主研發的防火牆。首先在電力網路系統i區與ii區之間，iii區與iv區之間，部署千兆防火牆，防火牆工作在雙機熱備狀態，以全鏈路冗餘方式，分別與兩個區的核心交換機相連。正常情況下兩台防火牆均處於工作狀態，可以分別承擔相應鏈路的網路通訊。

當其中一台防火牆發生故障時，網路通訊自動切換到另外一台防火牆。切換過程不需要人為操作和其他系統的參與，切換時間可以以秒計算。另外，在iii區的縱向出口處，部署一台千兆防火牆，負責與遠方系統通訊時的安全保護。

入侵檢測系統建設裝置部署方案

入侵檢測系統採用聯想網御入侵檢測系統。在i區、ii區各部署一台ids探頭，ids探頭接在核心交換機的映象口上，以旁路偵聽方式，對所有流經核心交換機的流量進行檢測。在ii區部署一台ids管理中心，以一對多的方式管理兩台ids探頭。

交換機需要將所有埠的流量映象到ids所連線的埠。在iii區部署一台ids探頭。ids探頭接在核心交換機的映象口上，以旁路偵聽方式，對所有流經核心交換機的流量進行檢測。

在iii區內部部署一台ids管理中心，接受ids探頭傳回的資訊。ids控制台通過網線直接與ids探頭相連，控制台與探頭的管理口採用獨立的ip位址，不與iii區內的ip位址重疊，保證ids的安全性。交換機需要將所有埠的流量映象到ids所連線的埠。

實施效果

聯想網御已經在多個省、地市級電力排程部門實施了二次系統安全防護方案，聯想產品以穩定的產品質量、靈活的系統適應性、豐富的冗餘設計方案以及方便的使用管理特點，幫助各地電力排程部門提高了關鍵系統的安全防護水平，為電力安全生產打下了技術基礎。