信息服务的立体安全需求

当今，无论是企业、政府、还是学校及科研机构，都开始广泛的利用信息化手段提升自身的能力，利用各种信息设施有效地提高自身的运营效率。然而在从信息化过程获得好处的同时，给许多信息化单位造成重大损失的信息安全问题同样也在困扰着这些单位。因此如何解决信息化所带来的各种各样的安全威胁，就成为摆在每个用户面前的严峻问题。

一、信息服务面临的安全问题

信息技术在电力行业经营管理中的广泛应用，信息安全问题越来越显得重要。电力系统信息安全问题威胁到电力系统的安全、稳定、经济、优质的运行，影响着数字电力系统信息化的实现进程。维护网络安全，确保业务系统的稳定可靠、防止“内外部黑客”的攻击，制定电力系统信息遭受外部攻击时的应急响应措施等都是电力网络信息系统安全不可忽视的组成部分。

近年来，信息技术在电力企业管理、生产管理和过程管理中的应用，提高了电力企业的生产运行和经营管理水平。电力行业是国家重要的能源支柱产业，也是我们日常工作和生活的基础保障。

全国电力行业覆盖了五大发电集团和两大电网公司，电力网络采用全网统一调度，分级管理的管理模式。安全防护的核心业务系统包括二次系统，电力市场监控系统，完成生产过程中控制、调节、保护和监测管理的信息系统。其运行的基础网络平台包括调度数据网和数据通信网。电力系统核心网络按业务类型划分，可以分成四大区域：实时控制区、非控制区、生产管理区和管理信息区。

2002年国家经贸委根据我国电网调度系统的具体情况发布了《电网和电厂计算机监控系统及调度数据网络安全防护规定》，电网和电厂围绕着加强电力调度数据网络安全、保证电力安全生产等方面作了大量工作，采取了许多有效措施防止病毒入侵和黑客攻击。但在网络建设、网络划分及网络连接等过程中仍然存在不同程度的隐患。为了使电力调度数据网络安全在建设、运行、维护和管理等方面有章可循、有法可依，2005年国家电力监管委员会又颁布了《电力二次系统安全防护规定》。

曙光公司一直专注于电力行业并致力于提供从网络平台到应用系统的行业全面解决方案，各种广泛的行业成功经验帮助我们准确、深入、全面地掌握电力行业的需求，这是我们的核心竞争力。

二、信息服务的立体安全需求

信息服务是一个综合系统，涉及网络系统、主机系统两个层次。

网络系统的模型是一个分层次的拓扑结构，通常采用五层模型，即物理层、数据链路层、网络层、传输层、应用层。

主机系统也可以分为两个层次：操作系统、应用服务，因此信息服务的安全防护也需采用分层次的拓扑防护措施。即一个完整的信息服务安全解决方案应该覆盖网络与主机的各个层次，并且与安全管理相结合。以该思想为出发点，曙光公司提出了“全方位、深度的立体安全防护”的集群安全解决方案。

本文给出的是信息服务的网络安全的基础设施——防火墙的安全解决方案。

电力系统的安全解决方案

一、电力信息系统安全风险分析
　　由于近年来电力网络系统与外界接口的增加，特别是与银行等预算单位中间业务的接口、网上电力服务、数据大集中应用等需求的发展，改变了一直以来网络结构和业务系统的相对封闭性，使得安全问题不仅仅源于内部事件，来自外界的攻击也已越来越多。网络应用的扩大，网络安全风险变得更加严重和复杂，原来由单个计算机安全事故引起的损害可能通过网络传播到其他系统和主机，引起大范围的瘫痪和损失；另外，加上网络用户人员缺乏安全控制机制和对网络安全政策及防护意识的认识不足，这些风险可谓日益加重。归结起来，针对电力网络系统安全的威胁主要涉及：

二、信息网络安全体系层面

电力系统虽然制定了指导整个电力信息网络系统安全运行的管理规范，但尚未建立同电力行业特点相适应的健全的信息网络安全体系。面临着包括网络边界安全风险：不同安全域之间的网络连接没有有效访问控制措施，来自Internet的访问请求可达各服务器资源，存在潜在的扫描攻击、DOS攻击、非法侵入等；业务安全风险：缺乏严格的验证机制导致非法用户使用关键业务系统，不同业务系统之间缺少较细粒度的访问控制；数据传输的安全风险：如调度数据网的数据在不同级调度中心之间进行交互时被窃听；系统基础平台安全风险：全网所有终端和服务器的平台安全，系统或设备的安全漏洞所带来的风险；病毒安全风险：全网任何一点感染病毒都将带来巨大的破坏，网络化的环境需要网络化的防病毒方案，多层次的防护体系。所以，保证电力系统安全、稳定、高效运行，建立一套结合电力行业特点的信息网络安全体系。

三、方案设计原则

（1）安全性原则：充分保证系统的安全性。使用的信息安全产品和技术方案在设计和实现的全过程中有具体的措施来充分保证其安全性。
（2）可靠性原则：保证产品质量和可靠性，对项目实施过程实现严格的技术管理和设备的冗余配置，保证系统的可靠性。
（3）先进性原则：具体技术和技术方案应保证整个系统具有技术领先性和持续发展性。
（4）可推广性原则：方案及其采用的技术应该支持系统规模的扩大和网点数量的增加，易于广泛推广。
（5）可扩展性原则：IT技术的发展和变化非常迅速，方案采用的技术具有良好的可扩展性，充分保护当前的投资和利益。
（6）可管理性原则：所有安全系统都应具备在线式的安全监控和管理模式。

曙光防火墙产品介绍

一、电力信息系统安全风险分析

曙光天罗TLFW-1000系列防火墙基于专用安全操作系统，具有系统管理、安全策略、安全检测、日志管理、网络计费、虚拟专网等多项强大的安全功能，弥补了传统包过滤防火墙的很多不足，可谓防火墙中的精品。

一体化的软硬件设计

曙光天罗TLFW1000H防火墙将软件系统与硬件紧密结合，发挥硬件最高效能，提高系统自身安全性。绝大部分应用功能都运行在内核态或芯片直接完成操作。只有管理系统设计到操作系统和用户态的部分应用。绝大部分系统功能是通过“芯片<->驱动程序<->内核”的方进行。

此外，系统在不同状态转换中使用零拷贝的技术，即：在系统内部，一个数据包到来后一直到离开只有一个副本！而对于一般的系统数据处理需要经过三次拷贝，其中一次拷贝所需要的系统开销相当于接收/发送3～5个数据包。避免数据包副本在系统内部的拷贝是提高系统效率的主要方法之一。

多接口结构体系

曙光天罗TLFW1000H防火墙具有五个的物理上相互独立的网络接口，是一种典型的多接口体系结构。使用物理上相互独立的网络接口，将受控网络从物理上隔离开来，提高了安全保护的能力，同时方便网络的互连和接入。曙光天罗TLFW1000H防火墙最多可以支持到12个物理接口，并且在每个物理接口上还可以配置多达256个虚拟接口，可以满足任何规模用户网络环境的需求。

注：通过虚拟网络接口和VLAN的配置，可以实现在一个防火墙上虚拟出多个子系统，每个子系统好像是相互独立的，这也就是行业内所描述的虚拟防火墙。

基于状态的包过滤

曙光天罗TLFW1000H防火墙可以基于连接的状态进行数据包过滤，极大地提高了系统的性能。状态包过滤，包括两个不同的理解方式。

其一，状态包过滤是指可以根据数据流（会话）的状态进行有针对性地规则过滤，比如可以拒绝从一台主机发起的请求，但允许这台主机应答外部用户的请求，可以通过防火墙对主机通讯的状态字进行针对性过滤，拒绝这台主机发出的TCP syn 标志的数据包；

其二，防火墙可以根据会话的状态进行不同的过滤流程。比如对于初始的会话，防火墙可以进行较为详细的过滤，一旦会话被认为是可信的，防火墙就会降低会话的检测流程，从而大大提高了防火墙的运行效率。这一功能就是行业内宣称的“自适应”防火墙，曙光天罗TLFW1000H防火墙在这种自动辨别能力上可以做到2~7层的自适应。一般厂商子能做到2~4层。

多级过滤

曙光天罗TLFW1000H防火墙可以基于数据包的源地址、目的地址、源端口、目标端口、协议标志位等进行过滤，提高了系统的防护能力。这里的多级是说曙光天罗TLFW1000H防火墙不仅可以进行2~7层的过滤，而且可以对同一个会话同时进行多个层次，多个级别的过滤。如，在链路层上，曙光天罗TLFW1000H防火墙可以直接支持基于MAC地址的管理模式。再比如，对于Web服务可以进行包过滤、应用层检测同时进行，既提高的安全性也提升了服务的质量和性能。

注：管理员可以根据MAC地址设定规则，这种管理模式特可以避免用户更改IP地址后的不确定性，特别是和内部使用DHCP动态分配地址的网络环境。

高级路由管理

曙光天罗TLFW1000H防火墙提供业界最灵活的高级路由管理能力，将网络管理变成网管人员的一种享受。曙光天罗TLFW1000H防火墙的路由管理可以分为路由表和路由策略表两个共同作用的快速表，使得路由控制更加灵活（可根据源/目的IP或子网定义策略）。内部设定100个路由优先级，特别是适于大型网络的改造。

强大的NAT能力

网络地址转换对Internet隐藏内部地址，防止内部地址公开。这一功能可以克服IP寻址方式的诸多限制，完善内部寻址模式。把未注册的IP地址映射成合法地址，就可以对Internet进行访问。曙光天罗TLFW1000H防火墙支持源地址转换和目标地址转换，并支持端口映射（SNAT/DNAT/PAT）。

注：天罗TLFW防火墙的NAT部分，特别加入了轮询能力，可以进行简单的负载均衡。对外链路和对内部服务器都可以实现。结合地址池的配置，防火墙还可以对内部网络用户分配多个IP地址进行均衡的SNAT转换。天罗TLFW防火墙的链路均衡和这里的轮询机制不同，比NAT的均衡要灵活详尽的多。

SSN服务区

曙光天罗TLFW1000H防火墙支持安全服务器网络（SSN——Security Server Network），将提供信息访问服务的服务器安装于该网络区域内，与内、外网络从物理上隔离开来，并提供专门的安全保护。SSN概念有别于传统的所谓DMZ停火区模式，它是一种更为积极的安全防护理念：一般情况下，SSN主机不允许主动向内、外网发起连接请求，只允许向内、外网回应其请求数据包；外网用户也只能访问SSN上的主机，不能访问内部网主机。即SSN与外部网之间受防火墙保护，同时SSN与内部网之间也受防火墙保护，即使SSN受破坏，内部网络仍处于防火墙保护之下。

基于规则的带宽管理

曙光天罗TLFW1000H防火墙的带宽管理粒度细致，方便灵活。曙光天罗TLFW1000H防火墙能够指定进行带宽管理的网络接口，支持多达8级。可以根据不同的协议、源/目的端口和源/目的地址（段）、时间六元组的任意组合进行控制。举例说明：我们打算限制特定网段对特定服务器的Web服务器的访问速率，曙光天罗TLFW1000H防火墙可以轻松的完成这一操作。

内置入侵检测

曙光天罗TLFW1000H防火墙内置简单入侵检测系统，能够检测到常用的攻击方式。由于曙光公司拥有自主知识产权的主机型和网络型IDS软件，所以在防火墙中嵌入一个精简的入侵检测模块对于提高防火墙的安全性有着显著的作用。

三权分立机制

曙光天罗TLFW1000H防火墙在设计时充分考虑了防火墙本身的安全性。在设计上把防火墙的管理员分为超级管理员、系统管理员、安全策略员、日志审计员。使得在同一时刻，只能有一位防火墙的管理员来对防火墙进行管理，同时将管理员的账号和IP地址捆绑，在管理员登录防火墙系统时对其账号、密码、IP地址进行全面检查，从根本上保证了防火墙系统的安全性。