能源领域网络安全解决方案

场景需求

——

能源安全是关系国家经济社会发展的全局性、战略性问题，是国家安全战略和总体国家安全观的重要组成部分，是维护国家安全的重要任务之一。在“碳达峰、碳中和”的目标引领下，未来我国的能源体系建设势必要形成以可再生能源为主体的气、电、冷、热、蓄、新能源等协调互济、梯级应用的综合能源系统。随着信息技术和能源行业加速融合，数字化、智能化发展快速演进，为各种能源整合提供了便利，但由于能源网络结构复杂、业务数据等级不同、信息交互要求各异、安全防护需求繁多，能源行业网络安全防护体系面临着巨大的挑战。        

为保障能源的数据安全，应合理划分网络安全区域，实现各业务系统的分级保护，同时又为跨网跨域的业务数据交换做好安全保障。能源网络安全系统应具备三级等保防护能力，能够在统一安全策略下抵御来自外部的各类网络攻击, 并及时发现、 监测攻击行为和处置安全事件, 在自身遭到损害后能够较快恢复绝大部分功能。

 

 

解决方案

——

根据能源大数据平台的实际情况，遵循“纵深防御”的设计原则，基于分区分域的设计思想，将整个网络按“5+1”架构划分为六个安全区域：互联网接入区、电子政务区、专网接入区、核心业务区、内部办公区、运维管理区，其中运维管理区通过带外管理网络实现对五大业务网络的统一运维管理，四个业务网络部署于云平台，内部办公区独立于能源大数据平台之外，但同时与核心业务系统有数据的交互。纵向来看，通过电子政务网上联至国家能源局， 通过专网接入区对接企业专线，完成煤炭、油气、电力、新能源类型试点企业的数据采集。        

如下图所示，多功能安全数据交换系统以密码技术为基础、以安全标记为核心、以态势感知技术为中枢，在六个安全区域之间提供不同级别安全需求的边界防护，构建多层次多功能防护的立体纵深防御安全体系。系统建设符合等保三级规范的要求和能源大数据平台建设的实际需求，性能指标达到业界防火墙水平，具备关键基础设施可用性快速恢复能力，可实现的目标如下：

1. 防范各种已知或未知攻击，保护核心数据资产安全，在核心业务区的边界处，启用物理隔离机制，采用数据摆渡方式，中断原有传输协议并采用私有协议进行数据传输，同时进行数据结构检查，防范数据负载层面可能包含的攻击；

2. 对于跨网跨域以及跨安全等级的数据传输与业务交互，采用基于安全标记技术的强制访问控制机制进行逻辑隔离，对所有主、客体间的访问请求、数据交换进行细粒度的管控与审计；

3. 为保证数据的机密性和完整性，根据实际需求对关键业务和数据的传输采用密码技术，包括校验码技术、消息鉴别码、密码校验函数、散列函数、数字签名等技术手段进行处理；

4. 通过合理部署安全防御设备，并通过统一安全管理服务平台实现对各种安全设备的统一集中管理、配置、监控、分析等，提供全面的、基于统一安全策略的网络安全防御，避免各种已知未知攻击、干扰和非法访问等问题。

 

 

 

方案价值

——

1. 契合能源大数据平台建设，对数据中心各个重点区域实施安全防护，确保跨网域的数据交换安全可控；

2. 高强度的接入防护方案，对互联网接入、电子政务网接入和各地市/企业的专线接入均做出安全防护设计，保障接入数据的可信可靠，杜绝非法攻击；

3. 安全防护方案支持系统冗余配置和弹性扩展部署，网络安全体系可简便升级，随着能源大数据平台的扩容和接入企业的增加而提供实时、全面的防护；

4. 方案采用安全标记、数字认证等可信技术，稳定可靠，可帮助业务平台实现等保三级安全达标。