安全案例:天清汉马UTM为上海电力保驾护航

作为2008年北京奥运会的协办城市,上海市同北京市一起,为奥运会的成功举办做了大量的准备工作,这其中上海电力所提供的基础保障工作更是重中之重。为确保奥运会安全稳定供电,上海电力公司以确保大电网运行安全、确保涉奥场馆和重要用户供电安全为核心,制定了奥运保电总体方案,全力以赴做好迎峰度夏工作。

在奥运保电方案中,对现有的业务和网络进行整改,提高电力系统的安全水平是重要的一环。经过谨慎评估,上海市电力公司最终选择了启明星辰的天清汉马USG一体化安全网关(UTM)来为电力调度网提供安全保障。

1.低延迟确保数据的实时传输

上海市电力公司是从事电力输、配、售的特大型企业,肩负着为整个上海市行政区提供电力保障的重任。

电力调度网是电力二次系统中最重要的部分,其主要业务包括调度自动化系统SCADA/EMS、电厂自动监控系统、变电站自动化系统、继电保护系统、故障录波信息管理系统、电能量计量系统等。这些业务需要采集电力设备运行的实时数据,对设备运行进行实时监控,因此对业务网络中数据传输的实时性有着严格的要求。

启明星辰天清汉马UTM采用了高性能的硬件架构和一体化的软件设计,在提供多种安全防护特性的同时,还能够保证高性能、低延迟。在启用病毒检测和入侵防御的情况下,其小包延迟只有数us,完全满足电力调度网对实时性的要求。

2.一体化引擎提供更高的安全保障

在电力调度系统传统的解决方案中,防火墙可以提供网络层的访问控制,但对更高层的威胁无能为力。为了及时发现网络中的入侵和威胁,电力调度网络中通常都部署了入侵检测系统(IDS)设备。通过IDS的部署,系统管理员可以对整个网络的流量有比较清晰的把握,并从IDS给出的报警中识别出网络入侵行为。但是由于IDS是旁路部署的,主要作用是集中在风险管理上,并不主动防御所发现的攻击行为,因此需要在线式的实时防护产品实现防御功能。

作为天清汉马UTM基本的功能模块,其防火墙功能可以提供完善的状态检测和访问控制功能。除此之外,天清汉马UTM还提供网关防病毒、入侵防御(IPS)、抗拒绝服务攻击等高级安全特性。以入侵防御为例,天清汉马UTM能够针对缓冲溢出攻击、木马后门、安全漏洞攻击、蠕虫病毒、数据库攻击等各种入侵提供有效的防范,并能够实时阻断,提高了安全性。

3.集中管理中心保证规模部署中的可管理性

在本项目中,启明星辰天清汉马UTM成功部署于上海市电力调度中心以及下属的地调、区调、超高压调度等20余个业务网点。在这样大规模的部署中,如何监控各业务网点设备的运行情况是一个难题。而通过天清汉马UTM集中管理中心,可以完美解决这一问题。

天清汉马UTM集中管理中心提供基于设备组的集中配置、实时监控、统一升级功能。通过集中配置,管理员可以对组内的设备统一下发安全策略;通过实时监控,管理员在中心机房足不出户就可以掌握各个地、区调度中心天清汉马的运行状况,以及各设备上承载业务的具体情况;另外,通过集中管理中心,可以统一部署病毒库、入侵防御特征库的升级策略,这样各网点的设备可以定期、自动地从中心服务器下载升级包,使设备能够提供最新的安全防护能力。