光伏并网须知-电力监控系统如何等保测评——网络安全等级保护测评

作者:领祺安陵容 日期:2023-01-16 阅读量:

为贯彻落实公安部、国家能源局关于发电站电力监控系统安全保护要求,增强光伏发电站电力监控系统安全防护能力,确保电力监控系统安全稳定运行新能源电站、光伏电站的电力监控系统需要进行网络安全等级保护测评和安全防护评估,对系统存在的威胁、脆弱性等进行分析,完善保护措施,使电力监控系统满足国家关于等级保护相应级别的具体要求,增加电力监控系统安全管理的规范性和有效性,提高单位的安全意识,增强电力监控系统网络抗攻击的能力,保证网络和信息系统正常运转。

等保是等级保护的简称。是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。

网络安全等级保护为信息系统、云计算、移动互联、物联网、工业控制系统等定级对象的网络安全建设和管理提供系统性、针对性、可行性的指导和服务,帮助用户提高定级对象的安全防护能力。此外,《网络安全法》第二十一条明确规定国家实行网络安全等级保护制度

做好等级保护工作除了满足国家相关法律法规要求,还可以降低系统的信息安全风险,提升防护能力。

对企业和政府来说,等级保护是一个热门话题。对于企业来说,网络安全等级保护备案证书和测评报告不仅是对产品专业性、安全性和合规性的认可,也是业务发展过程中的重要资质证书。今天,小编将解释为什么企业应该进行等级保护的重要性

什么是等保?

等保即信息安全等级保护,是指在存储、传输和处理这些信息时,对国家重要信息、法人、其他组织和公民的专有信息和公共信息进行安全保护;信息系统中使用的信息安全产品按等级管理;对信息系统中的信息安全事件进行分级响应和处理。

网络安全等级保护是国家信息安全保障的基本制度、基本战略和基本方法。网络安全等级保护是根据重要性等级保护信息和信息载体的一项工作。信息系统的运行和使用单位应当选择符合国家要求的测评根据《信息安全技术网络安全等级保护基本要求》等技术标准,组织定期对信息系统进行测评工作。

对大多数中小企事业单位来说,等保建设都是一件颇为头疼的事情,主要有两个核心痛点:

1. 等保建设流程复杂

中小企事业单位缺乏专职负责安全甚至IT的人员,对等保不熟悉无从下手,部署运维管理成为很大负担。

2. 等保建设投入高

等保建设购买服务和安全设备投入高、业务和政策变化又需要追加新的投入以满足复评和合规要求。

基于等保流程复杂、等保建设投入高等痛点,中小企事业单位在考虑网络安全建设方案时,会更偏好如何省心省力地进行等保建设,以及这一次网络安全建设投入如何能持续有效,更具性价比。

因此一体化的等保一体机方案热度不减,依旧是中小企事业单位等保建设的最佳选择。

客户在网络安全建设时,采用等保一体机方案,可根据自己的需求定制所需的安全能力,如等保二级能力+行为管理能力,等保三级能力+远程安全接入能力等,不止合规,更加满足业务需求,同时机房也变得清爽,运维管理工作量大大降低。

为什么要做等级保护?

()法律规定的要求

《网络安全法》明确规定,信息系统的运行和使用单位应当按照网络安全等级保护制度的要求履行安全保护义务。如果他们拒绝履行,他们将受到相应的惩罚。

()行业要求

在金融、电力、广播电视、医疗、教育等行业,主管单位明确要求从业人员的信息系统开展分级保护工作。

()企业系统安全的需求

信息系统的运行和使用单位可以发现系统内部的安全风险和不足,通过安全整改可以提高系统的安全保护能力,降低被攻击的风险。

涉及等级保护的范围

()省辖市以上党政机关重要网站和办公信息系统;

()电信、广播电视行业的公共通信网络、广播电视传输网络等基础信息网络,以及经营性公共互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统;

()铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商业、水利、国土资源、能源、交通、文化、教育、统计、工商管理、邮政等行业和部门的生产、调度、管理、办公等重要信息系统。

开展信息安全等级保护工作后,将有限的财力、物力和人力投入到重要信息系统的安全保护中,按照标准建立安全保护措施,建立安全保护制度,落实安全责任,加强监督检查,有效保护重要信息系统的安全,可以大大提高我国信息系统安全建设的整体水平。

网络架构,是数据中心的神经脉络

如果把数据中心比作一个,则服务器和存储设备构成了数据中心的器官,而网络(交换机,路由器,防火墙)就是这个数据中心的神经脉络。那本节就针对数据中心的网络架构和一般设计的套路来说了。

01 网络分区与等保

一般情况下,本着灵活、安全、易管理的设计原则,企业都会对数据中心网络的物理设备进行分区。通常情况下,数据中心都会采用核心汇聚接入三层的网络结构,核心用于所有流量的快速转发,而汇聚则是在每个网络分区上,担任网关的功能。

一般来说,数据中心的网络分区中,每一个区域会根据预期的流量和服务器的数量,分配不同的业务网段。同时,在一些等保要求较高的区域,还会设置防火墙这样的安全设备,来控制进出这个区域的流量,如下图所示:

wps36.jpg

等保是等级保护的简写,在设置数据中心服务器区域的时候,不同业务的服务器的等级保护是不一样的。比如后台存储,带库,数据库这些服务器的等保和Web、前端、APP的等保就不一样。而在数据中心网络中,防火墙的功能,就是用来划分等保,同时用来控制不同等保之间的互访。

那如何更好的来理解这个等保的概念呢?

wps37.jpg

wps39.jpg

wps39.jpg

在目前的数据中心网络架构中,要考虑到不同等保之间的流量控制,又要考虑到在设计路由的时候的简便和快捷,目前数据中心的防火墙几乎都会采用旁路的方式来部署,再配合汇聚交换机上的VRF来控制流量。

02 数据中心网络分区的方式

分区的划分方式有以下三种,不同分区方式各有优缺点,通常结合使用。

A.按照服务器类型分区

比如x86服务器、小型机、刀片机、大型机、虚拟机进行分类。完全按照服务器型号分类的话,在实际应用中,可能某个企业小型机被大量使用,而大型机几乎没用,就会导致小型机的网络区域流量巨大而大型机这个区域闲置了。所以,现在的数据中心,几乎看不见如此分配区域的情形了。

B.按照应用层次分区

比如WebAPP是前端服务器,而数据库、存储、NFS这些是后端服务器,所以把前端服务器放在一个区域,后端服务器放在一个区域。在有些企业的数据中心,也确实是这么分区的。比如,所有的Web服务器放在综合业务区,把数据库就放在生产管理区(你也看出来,连区域名字都起得那么模糊)。如此分区的好处是便于管理,因为前端服务区域和后端服务区域不在一个等保内,前端服务区域直接面对办公,后端区域则为前端区域服务,如下图所示:

wps40.png

这种区域的设置方式的好处是便于分开管理,但是坏处也是运维起来屁事太多。比如,前端新上线了一个APP,后端需要相应的数据库支持,此时系统运维人员就要找网络运维人员,请他们在后端区的防火墙上开通相应的安全策略。考虑到前端和后端对接也有诸多非网络的问题,加上前端和后端之间又有防火墙的阻碍,所以一旦前端和后端的通信出了问题,网络运维人员就很容易被背锅了。

C.按照应用类型划分

例如核心服务,公共服务,办公区域,隔离区域,开发测试区域进行划分。这种分区的好处就是,一个功能业务的前端服务器和后端服务器都在一个等保内了,在前端和后端对接的时候,网络运维人员不至于因为防火墙策略的原因而背锅。但是这样划分又会显得网络规划有点混乱。对于一些对前期IP地址规划不太重视的管理员来说,可能会对前端服务器和后端服务器的IP地址规划带来些麻烦。比如,给核心服务器区的IP地址段是10.114.128.0/21,在这里有10.114.128.0/24---10.114.135.0/24,整整16C段。但是对于不严谨的管理员来说,可能会让10.114.128.0/24做前端的IP地址,10.114.129.0/24做后端的IP地址,这样的话,前端和后端的IP地址段就交叉了。

如果遇到一种极端的情况,在多级数据中心使用MPLS V.PN网络对接,让前端和后端的流量分流时,这种前端和后端IP地址段一交叉,分流就会显得极其麻烦。

综上所述,每一种分区的方式,都有自己的优点和缺点,所以也要按照实际情况进行分区。

03 数据中心常用网络架构

A.扁平化组网

对于功能单一,服务器数量小于300台的小型数据中心来说,通常情况下都会采用两层式的扁平化组网。也就是汇聚设备担任网关,接入设备就是一个二层设备,打通二层通道的功能。对于扁平化的组网,也分为比较传统的VRRP+MSTP,和堆叠+链路捆绑两种方式进行组网设计。

第一种就是VRRP+MSTP的结构,如下图所示:

wps41.png

相比起第一种非常传统的MSTP+VRRP的架构,第二种胖树结构,则是当前数据中心扁平化组网的常用结构。它的思路是:汇聚交换机必然堆叠,接入交换机按需堆叠,所有冗余链路必须捆绑,形成一个胖树状结构。它的优点就是,既保证了设备的冗余性,提升带宽性能,也能从根本上防止二层环路。但是,要实现设备的堆叠,这个对硬件有要求,所以,这种胖树状结构的组网,成本比起第一种来说要高不少。

wps42.png

B.三层组网架构

对于大型数据中心,功能多样,且要进行功能分区的场合,就会采用标准的三层架构。

在这种组网方式中,交换核心区是整个数据中心网络的枢纽,核心设备通常部署2-4台大容量高端框式交换机,可以是独立部署,也可以通过堆叠技术后成组部署(但是考虑到核心和汇聚之间都是三层连接,且堆叠有一定裂开风险,所以一般核心都会采用独立部署的方式,即核心之间只和汇聚之间有互联,核心之间无互联)

分区内的汇聚层和接入层通过堆叠实现二层破环。

下图为大家展示了一个当前主流的数据中心三层组网架构图:

wps43.png

刚才的拓扑图中,各个大区域之间的防火墙采用了旁路的连接方式。防火墙采用旁路连接的目的,也是为了提升可扩展性,并且可以兼容动态路由。而这种结构,要想实现核心汇聚接入之间的流量进入防火墙,就需要使用VRF在汇聚交换机上隔离路由了。所以,VRF在这个地方,起到的作用是隔离路由,起到一个化旁路为串联的作用。

本文的难点,也正好是汇聚交换机上使用VRF时,这个业务流的逻辑图如何画出。实际上,我本人在刚接到这个项目的时候,也是花了一段时间来理解这个VRF和旁路防火墙之间的关系的。下面我可以简单为大家说一下划业务流的方法。

所谓单一等保,实际上就是汇聚下方的所有业务网段可以直接访问,流量无需经过防火墙控制。在这种情况下,就只需要一个VRF,把汇聚核心和汇聚防火墙之间的流量隔离开即可。

物理连接图如下:

wps44.jpg

由于汇聚、接入,包括防火墙做了双机或者堆叠,所以在此时可以将汇聚、接入先暂时画成单个设备,这样物理结构就不会太复杂了。

wps45.png

然后,去掉汇聚层设备的图标,用一个方框来代替。在方框内部添加两个小方框,代表两个拥有独立三层路由的虚拟设备,与核心连接的是全局路由,与接入连接的是VRF路由。然后,防火墙上画出两条线,分别与全局路由小框和“VRF”小框互联。防火墙与汇聚连接的两条线,可以是不同的物理接口,也可以是不同的子接口。如下图所示:

wps46.png

最后,去掉汇聚层设备位置的大方块,将防火墙全局路由小框和“VRF”小框之间,这样,一个单一等保级别的,化旁路为串联的流量图就完成了。

wps47.jpg

两个等保级别,这就要求了两个等保级别内的业务在互访时,流量需要经过防火墙。这里你就要记住:一个等保一个VRF,不同等保级别的流量要放在不同的VRF内。

在画双等保逻辑流量的时候,采用的方式和单一等保逻辑流量的方式是一样的。第一步,仍然是把双机结构改成单机结构,所不同的是,防火墙和汇聚之间,需要画三条线。总之,汇聚下面有N个等保,汇聚和防火墙之间就画N+1条线。

wps48.jpg

然后,去掉汇聚层设备的图标,用一个方框来代替。在方框内部添加三个小方框,代表三个拥有独立三层路由的虚拟设备,接入层交换机换成两个,分别代表等保1的接入和等保2的接入。

wps49.jpg

然后,去掉大方框,将防火墙全局路由小方框和“VRF-1”“VRF-2”小方块之间,先形成如下图所示的结构:

wps50.jpg

最后,将两个等保“VRF”的小方块,分别连接在防火墙的两边,这样,一个双等保的化旁路为串联的业务流逻辑图就画好了,根据标注的接口编号和规划的IP地址,就可以写配置脚本了。而且串联的逻辑图画好以后,也立刻能够知道静态路由该如何规划了。

记住一点:全局“VRF-1”“VRF-2”上标注的接口,其实全是汇聚交换机的。

wps51.jpg

记住这个方式,以后遇到旁路防火墙,下面有N多个等保的业务流,也可以按照这个方式去照葫芦画瓢了。

04 数据中心未来的发展

随着大数据时代的到来,企业数据中心承载的业务越来越多,新业务上线越来越快。为了满足业务的需要,传统数据中心网络将逐渐向具备弹性、简单和开放特征的新一代数据中心网络演进。

A.弹性

弹性是指网络能够实现灵活、平滑扩展以适应业务不断发展的需要。弹性扩展包括设备级、系统级和数据中心级的扩展。

设备级弹性扩展:网络设备需要具备持续的平滑扩容能力。例如接入交换机可以提供25GE/40GE的接入能力,核心交换机能提供百T以上的交换容量,高密度的100GE/400GE接口等。

系统级弹性扩展:数据中心网络需要支持更大规模的二层网络。例如提供X万台10GE服务器接入的能力。

数据中心级弹性扩展:数据中心互联网络要能够支持多个数据中心的资源整合,实现更大规模虚拟机跨数据中心迁移。

B.简单

简单就在于要能够让网络更好的为业务服务,能够根据业务来调度网络资源,例如要能够实现网络资源和IT资源的统一呈现与管理,能够实现从业务到逻辑网络再到物理网络的平滑转换等。

C.开放

传统网络的管理维护是封闭的,独立于计算、存储等IT资源。网络开放以后,可以打破原有的封闭环境,使网络设备可以与更多的SDN控制器、第三方管理插件、虚拟化平台等协同工作,从而打造更灵活的端到端数据中心解决方案。


分享到: