电力能源调度二次系统安全防护方案研讨

电力调度二次系统安全防护解决方案日期：2008-08-28杭州华三通信技术有限公司电力调度安全现状分析H3C电力调度二次系统安全防护解决方案H3C安全简介H3C电力典型应用案例电力信息系统电力调度系统出口出口调度中心电厂变电站控制系统外部因特网电力二次业务层次电力二次业务包括满足电力生产、经营和管理各环节的必备和必要的所有关联信息系统,用于承载这些业务的电力数据网络主要包括电力调度系统数据网络和电力综合数据通信网络。这两大网络级别与电网五级控制模型相吻合,在两个网络平台上承载了电力调度系统（EMS/SCADA）、电量自动计量系统(TMR)、保护及负荷控制管理信息、办公自动化（OA）、MIS系统、电力市场和营销系统、、配电管理系统（DMS）和呼叫中心（CallCenter）等电力行业信息应用系统。调度二次安全防护发展过程第三阶段:策略防护阶段

2008-第二阶段:技术防护阶段

(2002-2007)第一阶段:简单防护阶段

(2002年以前)Welcome.Password:Welcome.Password:Welcome.Password:现阶段调度二次安全防护概况调度数据网采用VPN技术实现不同安全区业务的隔离厂站业务实现I/II区的横向隔离调度主站实现I/II区的横向隔离DMIS/OMS通过升级改造实现专网专用,在确保电网控制安全的前提下实现初步的生产数据抽取与共享部署防火墙或纵向加密认证加密装置采用网闸实现生产控制与管理大区的数据摆渡电力二次系统安全防护总体策略4、纵向认证3、横向隔离电力通信/信息网或发电信息网控制区生产区管理区信息区电力调度数据网生产控制大区管理信息大区防火墙2、网络专用1、安全分区现阶段存在的潜在风险分析技防为主,策略不明生产网络终端非严格受控接入生产网络非法外联无法有效监控弱口令移动存储介质的滥用补丁升级不及时防不胜防的网络病毒网络行为审计机制未严格贯彻没有统一的安全事件分析机制BCP/DRP流程有待完善电力调度安全现状分析H3C电力调度二次系统安全防护解决方案H3C安全简介H3C电力典型应用案例生产控制区边界安全防御端点准入防御系统EAD端点准入防御系统EAD

控制区非控制区信息区管理区管理信息区物理隔离SPDnetSPTnet或InternetH3C电力二次防护安全解决方案H3CIPS/IDS4－7层防御H3CIPSSecPathFW1－4层防护SecPathFWSecCenterFWACG

IPS/IDS

IPS

FW

FWSecCenterH3C电力调度策略防护解决方案概览

SecPath防火墙安全管理中心SecCenter智能网管中心iMC安全管理平台EADEADEADSecPathIPS/IDSSecBlade服务器区方案描述制定策略网络基础设施加固终端接入软件：进行身份认证和和终端安全状态评估安全防护设备：及时发现或阻断来自I/II及III区的攻击，同时上报安全管理平台，并与之联动安全管理平台：对网络和安全设备统一管理，并提供整网审计报告SGDnet-1/2SGDnet3/4围绕总体策略部署点(接入端点)、线(安全联动)、面(管理平台)相结合的纵深防御电力调度纵深防御总体安全防护策略满足现有电力二次安全防护规范的基本策略对调度一区EMS/SCADA进行重点保护对厂站RTU的接入设备进行重点防护调度网内禁止所有与业务无关的协议及应用横向和纵向通过关闭空闲调度数据网络端口对同一安全区内不需要横向访问的终端实施端口隔离对调度应用终端\通信服务器实现强安全准入检测建立非法外联监控告警机制部署安全事件统一分析及行为审计系统对重要业务系统实施异地灾备(EMS历史数据/TMR/DMIS)建立规范统一的应急相应机制与流程目标:建立基于策略的统一监控和应急联动平台点:通过终端策略准入实现线:安全分析中心及用户行为审计实现面:通过智能管理中心实现接入终端设备省电力调度接入设备防病毒服务器CAMS服务器补丁升级服务器省电力调度安全策略服务器全方位安全准入解决方案电力调度内网控制解决方案省电力公司SwitchRouterFW不合格进入隔离区强制加固隔离区安全认证合法用户非法用户拒绝入网身份认证接入请求企业网络动态授权合格用户不同用户享做不同的网络使用权限你是谁？你安全吗？你可以做什么？预防：终端安全接入响应：安全事件联动核心交换机安全管理中心SecCenter智能网管中心iMC安全管理平台2、设备自动处理后，同时将日志上报给安全管理平台。5、iMC对该用户进行告警、下线等处理EADEADEAD1、用户进行非法或非授权行为告警SecBlade补丁/病毒库/安全代理服务器IPS防火墙3、Seccenter根据预定策略，将需要联动的告警通过iMC进行下发服务器区告警告警电力调度数据中心安全解决方案SecBladeAFCSecBladeIPSSCADA/EMSDTSTMSH3CASE核心交换汇聚交换SecBlade防火墙应用优化安全加固统一安全管理SecCenter安全管理平台iMC电力调度网流量清洗数据中心层次化、组件化安全模型安全管理入侵防护防火墙“拒绝服务”(DOS)防病毒InternetInternetVPN/campus端点准入数据中心应用优化L2交换机：BPDUGuard、端口隔离、五元组绑定、802.1X等实现二层安全保护L2.5MPLS：网络隔离L3路由器/防火墙/AFC/SSL：访问控制和隔离、加密L4网络流量异常分析L5～7

IPS应用层威胁识别和抵御：蠕虫、间谍软件、P2P、病毒、攻击等应用加速、应用优化安全管理用户管理(iMC)CampusCoreFWLBSSLNAMFWLBSSLNAMWEBServersapplicationServersdatabaseServersDCCoreDCAggregationDCAccess核心层提供多个分区汇聚模块互联，并连接数据中心核心

汇聚层提供分区对外流量高带宽出口提供增值业务模块部署接入层高密度GE接入上行双链路冗余能力数据中心分层安全部署WebserversApplicationserversDatabaseserversWebserversApplicationserversDatabaseservers独立业务设备分层组网模式集成业务模块分层组网模式FWLBASMEADFWLBASMEADFWFW/IPSASESSLFW/IPSASESSL数据中心分级突出不同安全需求FW电力调度广域网边界安全策略SecPath防火墙EADEADEAD地调与EAD联动SecPath防火墙/IPS省调度中心CAMSSecPathFW/IPS支持：提供丰富的防火墙/VPN/防毒/防垃圾邮件/URL过滤/内容过滤/入侵防范等功能。FW+EAD支持：强制用户准入认证、实施用户隔离、隔离状态解除、基于用户的服务策略实施（ACL、VLAN）电力调度网SecPathIPS电力调度网广域网防火墙虚拟化（多实例）部署电力调度网中，采用MPLS组网，从省中心到地调、县调、变电站、电厂，均通过MPLSVPN连接。在各PE与CE设备之间，部署一台SecPathFW，采用虚拟防火墙技术，可以对各分支机构的访问做安全控制，每个VPN分配一个虚拟防火墙，配置不同的安全策略，互相之间不影响，避免MPLSVPN中IP地址重叠的问题，并且可以对VPN灵活的增加或删除。MPLSSecPathFWSecPathFWVFWVFWVFW省中心县调地调电力调度数据网PEPECECECECE实现电力调度网L2~7层安全防护应用负载均衡基于硬件的应用缓存、压缩和交换应用协议优化（HTTP/TCP协议优化）内容识别与控制高性能硬件平台丰富的网络协议支持丰富的网络业务能力应用层认证、授权和审计应用层加密（SSL)和集中PKI部署应用层保护、IPS技术等应用层内容安全：病毒、DDoS攻击、入侵防护等等应用优化应用安全基础安全物理层链路层网络层传输层会话层表示层应用层WEB服务基础安全深度安全统一安全管理体系建设安全建设可持续发展！网络安全产品安全解决方案安全管理中心安全制度安全服务安全流程为全网安全威胁可视化提供技术平台为安全管理、安全服务提供有效分析数据与安全制度、流程配合实现科学高效管理科学、高效管理安全管理平台事件过滤

漏洞匹配

锁定位置

告警通知安全管理中心：支持H3C所有设备的管理支持对防火墙、IDS、IPS、UTM、Anti-Virus、Anti-Spam、路由器、交换机、Unix、Linux、Windows等各类IT资源的管理支持安全事件、网络事件、系统事件、应用事件实现面向业务的端到端安全保障服务器客户机桌面安全应用安全技术平面产品集成智能安全渗透网络端到端安全保障解决方案L2~L7层深度安全技术安全产品与网络产品的集成集成了网络技术的安全产品集成了安全技术的网络产品数据中心保护解决方案内网控制解决方案边界防护解决方案远程安全接入解决方案管理平面智能管理统一基础安全管理统一用户认证与授权统一威胁与策略管理OAA开放应用架构CHECKCHECK存储系统数据安全系统安全应用安全用户认证补丁管理病毒库管理用户管理在线备份安全存储异地容灾行为监管解决方案电力调度安全现状分析H3C电力调度二次系统安全防护解决方案H3C安全简介H3C电力典型应用案例H3C：IT安全领域领导者2007年安全市场前三甲均为网络安全融合厂商H3C已成为IT安全领域的领导者之一防火墙/VPN应用国内第一，承建全国最大VPN网络IPS产品国内市场占有率第一全国已有超过40万的用户在使用EAD，市场占有第一安全管理中心市场占有国内第一H3C拥有“防火墙/VPN/UTM、IPS、ASE、ACG、安全统一管理”等业界最全的安全产品及解决方案拥有全球唯一万兆防火墙模块拥有全球最高端40G防火墙F5000-A拥有全球最高清洗能力的异常流量清洗产品AFC数据来源：赛迪顾问2008，01局部安全全局安全智能安全端到端安全解决方案ASICNPFPGAMulti-core万兆安全平台FW/VPN/UTM/IPS/...EAD/Anti-Virus...SecCenter/SecBlade/ACG...CRMERPOASCMP2PWEB2.0...IT应用H3C智能安全渗透网络远程安全接入边界防护安全统一管理平台内网控制行为监管数据中心保护H3C安全解决方案最高端：万兆安全平台

SecBlade防火墙插卡（ForS75E/S95/SR66/SR88）万兆性能、全球第一F5000-A/E超万兆FW/VPN7U、40Gbps吞吐量全球性能最高端防火墙F1000-E，万兆防火墙基于多核多线程技术的万兆防火墙上海电信研究院测试技术排名第一，已规模应用T200系列IPS基于多核的强百兆IPST1000系列IPS真正的千兆IPST5000ACG8800高端千兆IPS最完整：安全产品和解决方案H3C应用网关系列H3CT系列IPS

H3C安全业务管理SecCenterEADiMCBIMSASE5000T200-ET1000-ST1000-MT1000-AACG2000-MH3CSecPathUTMU200-CU200-SU200-MU200-AH3C系列安全模块NSMASMWAN优化SSLVPNFWACGLBAFCNetStreamH3CSecPath防火墙/VPNF5000-A5F1000-AF1000-SF100-EF100-CV100-EF100-A-SIF1000-EV1000-AF100-SF100-AV100-SF1000-CF100-MT200IPST5000-S3ACG8800-S3IAG2000-AIAG5000-A5T200-MT200-A安全咨询与评估H3C拥有业界最完整的安全产品和端到端安全解决方案电力调度安全现状分析H3C电力调度二次系统安全防护解决方案H3C安全简介H3C电力典型应用案例核心路由器F1000-S防火墙SecPathT1000-A调度数据网核心路由器核心交换区业务接入区网管区F1000-S防火墙SecCenterA1000安全管理中心/审计平台SecPathT1000-A典型案例－贵州电力调度网二次安全防护IPSIPS全省及各地市二次安全防护全部采用H3C安全设备。H3CSecBladeII防火墙插卡数据中心/服务器区省调节点安全防护方案典型案例－福建电力调度四级网二次安全防护县调路由器SecPathF100地市调度数据网备调路由器调度I区业务SecPathF100调度II区业务全省80个县调SecPathF100SecPathF100典型案例－湖南电力调度二次安全防护安全Ⅰ区

安全Ⅱ区

安全Ⅲ区

SERVER安全Ⅰ区交换机S3526NE20SERVER安全Ⅱ区交换机NE20反向隔离装置正向隔离装置安全Ⅲ区交换机S3526IPS管理口连接公共管理区IPS管理口连接公共管理区T1000-S（1）T1000-S（1）T1000-S（2）T1000-S（2）典型案例－安徽电力调度二次安全防护调度系统OMS网IPS1000-SIPSManagerIII区交换机1III区交换机2调度报票网省公司MIS网电力调度数据网IPST1000-SIPSManagerI区交换机II区交换机省公司调度数据网隔离装置典型案例－山西电力调度二次安全防护H3CIPST1000-S省调度Ⅲ区OMS服务器群用于省公司及所有11个地市，做电网安全Ⅲ区服务器群的实时在线防御。……省公司MIS网地市Ⅲ区OMS服务器群H3CIPST1000-S地市Ⅲ区OMS服务器群H3CIPST1000-S调度网办公网SecPathF100-E正、反向隔离装置H3CS3100-8C-SIH3CIPS一区交换机拨号访问网管和防病毒服务器WEB服务器安全区I安全区II安全区III安全区IV二区交换机三区交换机DMIS区交换机网管和防病毒服务器调度自动化系统配网自动化系统办公网正、反向隔离装置-SH3CIPSSecPathF1000-S一区交换机拨号访问网管和防病毒服务器WEB服务器二区交换机三区交换机DMIS区交换机网管和防病毒服务器调度自动化系统配网自动化系统公司MISSecPathF1000-SSecPathF1000-SH3CIPSSecPathF1000-S黑龙江省电力调度中心12个地市电力调度中心典型案例－黑龙江省电力调度数据网安全防护H3CIPS200H3CIPS200地市路由器N*155MPOSGE地市路由器防火墙防火墙防火墙H3CIPSH3CIPSH3CIPS核心交换机核心交换机核心交换机GEGE地市路由器兰州电力公司其他地市电力公司Internet省公司广域网局域网局域网局域网典型案例─甘肃电力信息网安全典型案例－国电信息中心IPS案例ISP1ISP2国电信息中心数据中心

MailServer

SQLServer

DBServer

WebServer

SQLServerDNSServer接入路由接入路由2台H3CIPS200核心交换InternetInternet西单出口白广路出口典型案例－陕西电力IPS安全防护DMZ省局VPN/防火墙ISP1ISP2H3C千兆IPS流量控制H3C千兆IPS认证平台东门家属区DNS/WEB/MAILS5624P

S85S3928S3928S3928外连单位电力贵州电力调度网黑龙江电力调度网国电信息中心河北电力河南电力陕西电力南方电力山西电力甘肃电力广东电网乌鲁木齐电力调度浙江兰溪电厂湖南鲤鱼江电厂湖南益阳电厂华电集团长沙电厂

……H3C安全产品部分用户名单公共事业湖南通信职业技术学院中石化中原油田设计院中科院中石油天然气运输公司北京公交车队调度安全系统北京地铁10号线AFC汾西矿业集团包头教育局贵阳市电教馆辽宁交通学校网络实验室昆明图书馆文化共享淮浙煤电有限公司浙江省委党校淮南职业技术学院沈阳工业大学长春师范学院四川司法警察学校北京市燕山教委成都地铁AFC系统

……《化妆品术语》起草情况汇报中国疾病预防控制中心环境与健康相关产品安全所一、标准的立项和下达时间2006年卫生部政法司要求各标委会都要建立自己的术语标准。1ONE二、标准经费标准研制经费：3.8万三、标准的立项意义术语标准有利于行业间技术交流、提高标准一致性、消除贸易误差，作为标准体系中的基础标准，术语标准在各个领域的标准体系中均起着重要的作用。随着我国化妆品卫生标准体系建设逐步加快，所涉及的术语和定义的数量也在迅速增长，在此情形下，化妆品术语标准的制定就显得尤为重要。四、标准的制订原则1.合法性遵守《化妆品卫生监督条例》、《化妆品卫生监督条例实施细则》中关于化妆品的定义。2.协调性直接引用或修改采用的方式，与相关标准中的术语和定义相协调。3.科学性对于没有国标或定义不统一的术语，在定义时体现科学性的原则。4.实用性在标准体系中出现频率较高，与行业联系较紧密的术语优先选用。五、标准的起草经过

第一阶段：资料搜集

搜集国内外相关法规、标准、文献并对国外文献如美国21CFR进行翻译。第二阶段：2007年末形成初稿

初稿内容包括一般术语、卫生化学术语、毒理学术语、微生物术语、产品术语、人体安全和功效评价术语，常用英文成份术语等７部分。第三阶段：专家统稿1.2007年12月第一次专家统稿会（修订情况：1.在结构上增加原料功能术语、相关国际组织和科研机构等内容；2.在内容上增加一般术语、产品术语的种类，将化妆品行业的新产品类别纳入本标准；3.对于毒理学、卫生化学、微生物学术语进行修改；4.删除与化妆品联系不紧密、无存在必要的常用英文成分术语。2.2009年1月第二次专家统稿会会议意见：1.修改能引用国家标准的尽量引用国家标准；对存在歧义的个别用词进行修改。2.删除由于本标准中的“产品术语”一章和香化协会所制定的某个标准存在重复，因此删除“产品术语”一章的内容；对“原料功能术语”的内容进行梳理，删除了20余条内容。3.增加专家建议增加“化妆品限用物质”等若干项术语。第四阶段：征求意见2009年2月面向全国公开征求意见。第五阶段：征求意见的处理与形成送审稿。在征求意见的处理阶段再次征求了相关专家的意见。六、标准的内容依据1.《化妆品卫生监督条例》、《化妆品卫生监督条例实施细则》;2.《化妆品卫生规范》;3.美国21CFR；4.相关领域国家标准如：GB5296.3-2008消费品使用说明化妆品通用标签，GB/T14666