智能電網(wǎng)信息安全的關(guān)鍵挑戰

　　智能電網(wǎng)是中國電網(wǎng)乃至世界電網(wǎng)未來(lái)的發(fā)展方向，建立高速、雙向、實(shí)時(shí)、集成的通訊系統是實(shí)現智能電網(wǎng)數據獲取、保護和控制的基礎，因此建立高質(zhì)量的通訊系統是邁向智能電網(wǎng)的第一步。南方電網(wǎng)在智能電網(wǎng)的建設中，以試點(diǎn)先行、逐步推廣為原則，積極引進(jìn)消化吸收國際上智能電網(wǎng)的關(guān)鍵先進(jìn)技術(shù)，并結合南網(wǎng)具體情況與需求再創(chuàng )新，有計劃、分步驟、科學(xué)高效地建設智能電網(wǎng)。

　　廣東電網(wǎng)是目前南方電網(wǎng)中最大的省級電網(wǎng)，隨著(zhù)“9+2”泛珠三角合作戰略的逐步實(shí)施和廣東經(jīng)濟社會(huì )的快速、健康、協(xié)調發(fā)展，廣東電網(wǎng)的發(fā)展空間將更加廣闊。結合廣東智能電網(wǎng)的規劃、技術(shù)和管理標準、關(guān)鍵技術(shù)研究等不同方面的內容及廣東電網(wǎng)的中長(cháng)期發(fā)展目標，分析了廣東電力通訊網(wǎng)面臨的壓力，已然合理制定廣東電力通信網(wǎng)的演進(jìn)目標和具體方案。

　　智能電網(wǎng)信息安全的關(guān)鍵挑戰

　　廣東電網(wǎng)的調度數據網(wǎng)與綜合信息網(wǎng)以發(fā)展多業(yè)務(wù)傳輸平臺（Multi-ServiceTransferPlatform，MSTP）光通訊為主，并在此基礎之上發(fā)展數據，語(yǔ)音交換，頻率同步，視頻會(huì )議系統等應用，到目前為止，廣東電網(wǎng)調度數據網(wǎng)與綜合信息網(wǎng)已經(jīng)實(shí)現網(wǎng)、省、地三級互聯(lián)，部分地區已經(jīng)延伸到縣級單位，通訊資源的共享有效地擴展了各個(gè)應用系統的控制范圍，體現了廣東電網(wǎng)一體化的信息發(fā)展思想，同時(shí)也使得廣東電網(wǎng)的綜合信息網(wǎng)面臨更多安全挑戰。

　　來(lái)自互聯(lián)網(wǎng)安全威脅更復雜：隨著(zhù)廣東電網(wǎng)綜合信息網(wǎng)的信息化建設不斷完善，面對來(lái)自互聯(lián)網(wǎng)的安全威脅也加復雜，新的病毒、木馬、DDoS攻擊、APT攻擊等層出不窮，這些新的威脅在綜合信息網(wǎng)內部，以及電網(wǎng)調度自動(dòng)化、繼電保護和安全裝置，發(fā)電廠(chǎng)控制自動(dòng)化、變電站自動(dòng)化、配網(wǎng)自動(dòng)化，電力負荷裝置、電力市場(chǎng)交易、電力用戶(hù)信息采集、智能用電等多個(gè)領(lǐng)域不斷產(chǎn)生，使得廣東電網(wǎng)綜合信息網(wǎng)面臨外部的安全威脅更加嚴峻。

　　來(lái)自?xún)炔烤W(wǎng)絡(luò )安全威脅更多：廣東電網(wǎng)綜合信息網(wǎng)承載電網(wǎng)日常辦公，以及對外電力交易業(yè)務(wù)與應用平臺，來(lái)自網(wǎng)絡(luò )內部非法訪(fǎng)問(wèn)，網(wǎng)絡(luò )資源濫用，病毒肆意擴散，應用與系統的漏洞等威脅已經(jīng)嚴重影響正常業(yè)務(wù)與應用的運營(yíng)，綜合信息網(wǎng)內部威脅主要體現在以下幾個(gè)方面：

　　內部網(wǎng)絡(luò )終端接入點(diǎn)增多，成為主要的安全隱患及威脅來(lái)源，如何實(shí)現細粒度網(wǎng)絡(luò )接入控制與訪(fǎng)問(wèn)控制；

　　如何對辦公網(wǎng)內部的敏感數據或者信息實(shí)現動(dòng)態(tài)權限控制，持久保護數據安全；

　　綜合信息網(wǎng)內部的眾多應用系統與業(yè)務(wù)平臺存在不可預計的安全漏洞，來(lái)自?xún)炔啃钜?惡意攻擊時(shí)有發(fā)生；

　　信息安全制度與安全管理策略如何確保有效的執行，如何監控網(wǎng)絡(luò )應用與優(yōu)化流量，提高ICT網(wǎng)絡(luò )資源使用效率，改善統一安全管理與運維。

　　解決方案：

　　為了保障廣東電網(wǎng)綜合信息網(wǎng)能夠有效抵御內外攻擊，廣東電網(wǎng)公司對國內各廠(chǎng)商安全產(chǎn)品進(jìn)行了嚴格的測試，華為USG6000系列下一代防火墻在性能和安全能力方面表現優(yōu)異，同時(shí)有效保障了可靠性、擴展性和易管理要求，成為廣東電網(wǎng)構建智能電網(wǎng)信息安全基礎架構的首選產(chǎn)品，為整個(gè)電力綜合信息網(wǎng)提供全面網(wǎng)絡(luò )邊界管控與防御。

　　華為根據廣東電網(wǎng)綜合信息網(wǎng)防御要求不同的特點(diǎn)，首先采用USG6650下一代防火墻產(chǎn)品，在互聯(lián)網(wǎng)出口邊界和綜合信息網(wǎng)的邊界部署USG6650，提供10G全威脅防護，并針對互聯(lián)網(wǎng)出口提供強大的NAT地址轉換功能。同時(shí)全網(wǎng)設備通過(guò)統一管理中心實(shí)現調度管理和報表展現，為廣東電網(wǎng)構建了一套簡(jiǎn)潔高效的安全防護體系。

　　USG6000系列是華為2013年發(fā)布的下一代防火墻新品，在滿(mǎn)足Gartner對NGFW定義要求的基礎上，提供6000+應用識別和6維安全管控，是業(yè)界管控能力最精細的下一代防火墻。USG6000系列在能力上緊隨ICT發(fā)展趨勢和威脅趨勢變化，提供基于特征的入侵防護和基于行為的未知威脅防護，為廣東電網(wǎng)提供了全面的網(wǎng)絡(luò )安全防護。

　　客戶(hù)價(jià)值：

　　全威脅防御，保障廣東電網(wǎng)辦公業(yè)務(wù)順暢。USG6000系列在提供基于特征匹配的入侵防護和病毒防護能力的基礎上，更基于云端沙箱技術(shù)，提供對未知威脅的行為特征分析，可有效防范針對辦公業(yè)務(wù)系統的各類(lèi)未知威脅及APT攻擊。在網(wǎng)絡(luò )雙向提供精細的訪(fǎng)問(wèn)控制和用戶(hù)身份認證，提供基于用戶(hù)和應用權限管理，即保障了廣東電網(wǎng)辦公業(yè)務(wù)的穩定開(kāi)展，也可滿(mǎn)足電力行業(yè)信息安全等級保護的基本要求。

　　高性能防護、高品質(zhì)用戶(hù)體驗，支撐大業(yè)務(wù)流量。USG6000系列通過(guò)全新的軟硬件設計，可以做到在全威脅防護開(kāi)啟情況下，性能下降小于50%，在所有參與的安全廠(chǎng)商中，性能下降幅度最小。大于10G的全威脅防護性能有能力同時(shí)為每一個(gè)業(yè)務(wù)系統提供全方位的安全防護。

　　硬件可靠性設計，保障業(yè)務(wù)延續。華為為廣東電網(wǎng)提供的解決方案在電源、風(fēng)扇、硬盤(pán)上均采用冗余設計，同時(shí)在每個(gè)節點(diǎn)采用雙機熱備冗余部署，有效降低了每一個(gè)環(huán)節可能帶來(lái)的業(yè)務(wù)風(fēng)險，為電力業(yè)務(wù)系統的實(shí)時(shí)性，連續性提供最佳保障。

　　高效的管理手段，降低TCO。華為USG6000系列在設計開(kāi)發(fā)過(guò)程中引入了全新的管理理念，即基于流量學(xué)習的自動(dòng)化策略配置和優(yōu)化。在設備上線(xiàn)時(shí)通過(guò)預置模板提供快速部署；上線(xiàn)后通過(guò)流量學(xué)習與分析，自動(dòng)生成安全策略建議，不斷的細化安全策略管理。在穩定運行后，通過(guò)策略學(xué)習自動(dòng)精簡(jiǎn)冗余策略，提高策略匹配效率。USG6000系列的自動(dòng)化管理手段讓廣電電網(wǎng)在缺乏專(zhuān)業(yè)安全管理人員情況下同樣精確開(kāi)啟了全威脅安全防護，CTO降低30%以上。

　　華為下一代防火墻成為構建廣東智能電網(wǎng)信息安全基礎架構的產(chǎn)品之一，在保障電力業(yè)務(wù)安全性和延續性的同時(shí)，嚴格按照電力行業(yè)信息系統安全等保要求進(jìn)行方案設計，全面提升電力信息系統安全等級保護水平與能力，進(jìn)一步加強電力信息系統安全等級保護建設，并且獲得廣東電網(wǎng)公司客戶(hù)認可與信任，促進(jìn)華為與廣東電網(wǎng)公司在信息安全建設領(lǐng)域的進(jìn)一步合作。