如何让防火墙在电力系统中发挥最大价值

 
??电力网络系统的应用环境

??电力通信网以光纤通信为主的现代化电力通信传输干线网络，高速数据通信网络平台。主要由国家电力调度数据一级网，有大区二级网，(区、市)建成三级网，覆盖各级调度中心和直调发电厂、变电站。电力信息网是以电力信息主干网络为中心，辐射各发、供电、施工、修造、学校、医院等单位的计算机信息网络系统。主干网多为千兆以太网，广域网连接多个单位和分支机构。包括：电科院、电力医院、供电公司、发电厂等和其它单位。通过ISP接入国际互联网。电网运行控制系统。

??省调及各个地区调度均配有调度自动化系统。各级调度、厂、站实时信息按调度管辖权限划分送至有关调度。电网AGC在安全约束条件下，按频率、联络线潮流实时对水、火电厂机组自动发电控制。电网继电保护及安全自动装置中，220kV及以上超高压电网均采用微机保护及安全自动装置；66kV及以下基本实现微机保护及安全自动装置，少部分设备仍为原装置正在逐步淘汰。电网通信系统光纤覆盖率还较低，与数字微波、模拟微波共同承担电力系统通信服务各项功能，正在建设的综合业务通讯网（ATM）是以光纤为主，数字微波为辅的环状、网格化的电力通信网。

??电力网络系统安全现状分析

??电力系统信息安全是电力系统安全运行和对社会可靠供电的保障，是一项涉及电网调度自动化、继电保护及安全装置、厂、站自动化、配电网自动化、电力负荷控制、电力市场交易、电力营销、信息网络系统等有关生产、经营和管理方面的多领域、复杂的大型系统工程。结合电力工业特点，电力工业信息网络系统和电力运行实时控制系统，分析电力系统信息安全存在的问题，电力系统信息没有建立安全体系，只是购买了防病毒软件和防火墙。有的网络连防火墙也没有，没有对网络安全做统一长远的归划。网络中有许多的安全隐患。

??网络安全应用案例

　　某省电力公司是国家电力公司直属子公司，电力信息网已基本覆盖了所有省电力生产、施工、建设、设计、经营等几十家单位，信息网的深度已触及到用电营业所和变电所。在信息网上承载了财务、物资、用电、生产、劳人、安全监察、计划统计、电网实时信息等子系统和领导综合信息查询、办公自动化、www、mail系统等应用。

??省公司本部局域网，它不但承担了与各基层单位的互联，而且还承担了与国家电力公司，省政府经济信息中心（Internet）的互联。所有应用系统的安全可靠运行首先必须建立在安全可靠的网络系统基础之上。网络安全主要表现在以下几个方面：

??单位内部网络的安全性

??与外部的联结的安全性

??内部各单位网络之间的安全性

??防火墙主要应用在各单位局域网内部安全见图一、省公司局域网与外界（国家电力公司、省经济信息中心、Internet、各基层单位）的连接图二。

??图一：局域网内部信息安全拓扑结构图：


??图二：某省电力信息网总的拓扑结构

??在图一和图二上我们针对网络关键点设置防火墙，总的作用确保网络内部资源的安全。防火墙使用的具体表现如下：

??通过过滤的规则设置可以使得我们方便地控制网络内部资源对外的开放程度，特别是针对国家电力公司、当地政府以及Internet仅仅开放某个IP的特殊端口，有效地限制黑客的侵入；

??通过过滤、IP地址与MAC地址的绑定、客户端认证等规则的应用，可以确定不同的内部用户享受不同的访问外部资源的级别，对于内部用户盗用IP的情况采用IP地址与MAC地址绑定，客户端认证等方式来实现。通过这种方式可以有效地限制内部用户主动将信息通过网络向外界传递；

??双机热备：为了提高系统的可靠性，利用防火墙支持双机热备的功能，在不能停机的关键接点我们相应作了双机热备，有效地提高了系统的可靠性；

??支持多种工作模式：由于企业内部Intranet的特性，内外网勿需做NAT或者人为地分成内外两个不同的网段，只需要作“桥接”即可。而对于Internet出口，则需NAT功能，并支持内外不同的网段，此时需要“路由”的功能，并支持DMZ。在此信息网中防火墙的应用是以上两种工作模式并存，防火墙就能很好地胜任，而早期个别基层单位购买了其它防火墙与电力Intranet连接时只能支持“路由”模式，而不能支持“桥接”模式，不管系统的效率还是实施的方便性都存在一定的“麻烦”；

??防火墙真正实现了对网络第二、三、四层数据包的支持，特别是对TRUNK技术的支持；

??结束语

??东软认为网络安全是一个系统的、全局的管理问题，网络上的任何一个漏洞，都会导致全网的安全问题，我们应该用系统工程的观点、方法，分析网络的安全及具体措施。安全措施主要包括：行政法律手段、各种管理制度（人员审查、工作流程、维护保障制度等）以及专业措施（识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等）。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络，包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用，也只有从系统综合整体的角度去看待、分析，才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则，根据规定的安全策略制定出合理的网络安全体系结构。这样才能真正做到整个系统的安全。