背景

　　智能電網是中國電網乃至世界電網未來的發(fā)展方向，建立高速、雙向、實時、集成的通訊系統(tǒng)是實現智能電網數據獲取、保護和控制的基礎，因此建立高質量的通訊系統(tǒng)是邁向智能電網的第一步。南方電網在智能電網的建設中，以試點先行、逐步推廣為原則，積極引進消化吸收國際上智能電網的關鍵先進技術，并結合南網具體情況與需求再創(chuàng)新，有計劃、分步驟、科學高效地建設智能電網。

　　廣東電網是目前南方電網中最大的省級電網，隨著“9+2”泛珠三角合作戰(zhàn)略的逐步實施和廣東經濟社會的快速、健康、協調發(fā)展，廣東電網的發(fā)展空間將更加廣闊。結合廣東智能電網的規(guī)劃、技術和管理標準、關鍵技術研究等不同方面的內容及廣東電網的中長期發(fā)展目標，分析了廣東電力通訊網面臨的壓力，已然合理制定廣東電力通信網的演進目標和具體方案。

　　關鍵挑戰(zhàn)：

　　廣東電網的調度數據網與綜合信息網以發(fā)展多業(yè)務傳輸平臺（Multi-Service Transfer Platform, MSTP）光通訊為主，并在此基礎之上發(fā)展數據，語音交換，頻率同步，視頻會議系統(tǒng)等應用，到目前為止，廣東電網調度數據網與綜合信息網已經實現網、省、地三級互聯，部分地區(qū)已經延伸到縣級單位，通訊資源的共享有效地擴展了各個應用系統(tǒng)的控制范圍，體現了廣東電網一體化的信息發(fā)展思想，同時也使得廣東電網的綜合信息網面臨更多安全挑戰(zhàn)。

　　來自互聯網安全威脅更復雜：隨著廣東電網綜合信息網的信息化建設不斷完善，面對來自互聯網的安全威脅也加復雜，新的病毒、木馬、DDoS攻擊、APT攻擊等層出不窮，這些新的威脅在綜合信息網內部，以及電網調度自動化、繼電保護和安全裝置，發(fā)電廠控制自動化、變電站自動化、配網自動化，電力負荷裝置、電力市場交易、電力用戶信息采集、智能用電等多個領域不斷產生，使得廣東電網綜合信息網面臨外部的安全威脅更加嚴峻。

　　來自內部網絡安全威脅更多：廣東電網綜合信息網承載電網日常辦公，以及對外電力交易業(yè)務與應用平臺，來自網絡內部非法訪問，網絡資源濫用，病毒肆意擴散，應用與系統(tǒng)的漏洞等威脅已經嚴重影響正常業(yè)務與應用的運營，綜合信息網內部威脅主要體現在以下幾個方面：

　　·內部網絡終端接入點增多，成為主要的安全隱患及威脅來源，如何實現細粒度網絡接入控制與訪問控制；

　　·如何對辦公網內部的敏感數據或者信息實現動態(tài)權限控制，持久保護數據安全；

　　·綜合信息網內部的眾多應用系統(tǒng)與業(yè)務平臺存在不可預計的安全漏洞，來自內部蓄意/惡意攻擊時有發(fā)生；

　　·信息安全制度與安全管理策略如何確保有效的執(zhí)行，如何監(jiān)控網絡應用與優(yōu)化流量，提高ICT網絡資源使用效率，改善統(tǒng)一安全管理與運維。

　　解決方案：

　　為了保障廣東電網綜合信息網能夠有效抵御內外攻擊，廣東電網公司對國內各廠商安全產品進行了嚴格的測試，華為USG6000系列下一代防火墻在性能和安全能力方面表現優(yōu)異，同時有效保障了可靠性、擴展性和易管理要求，成為廣東電網構建智能電網信息安全基礎架構的首選產品，為整個電力綜合信息網提供全面網絡邊界管控與防御。

　　華為根據廣東電網綜合信息網防御要求不同的特點，首先采用USG6650下一代防火墻產品，在互聯網出口邊界和綜合信息網的邊界部署USG6650，提供10G全威脅防護，并針對互聯網出口提供強大的NAT地址轉換功能。同時全網設備通過統(tǒng)一管理中心實現調度管理和報表展現，為廣東電網構建了一套簡潔高效的安全防護體系。

　　USG6000系列是華為2013年發(fā)布的下一代防火墻新品，在滿足Gartner對NGFW定義要求的基礎上，提供6000+應用識別和6維安全管控，是業(yè)界管控能力最精細的下一代防火墻。USG6000系列在能力上緊隨ICT發(fā)展趨勢和威脅趨勢變化，提供基于特征的入侵防護和基于行為的未知威脅防護，為廣東電網提供了全面的網絡安全防護。

　　客戶價值：

　　全威脅防御，保障廣東電網辦公業(yè)務順暢。USG6000系列在提供基于特征匹配的入侵防護和病毒防護能力的基礎上，更基于云端沙箱技術，提供對未知威脅的行為特征分析，可有效防范針對辦公業(yè)務系統(tǒng)的各類未知威脅及APT攻擊。在網絡雙向提供精細的訪問控制和用戶身份認證，提供基于用戶和應用權限管理，即保障了廣東電網辦公業(yè)務的穩(wěn)定開展，也可滿足電力行業(yè)信息安全等級保護的基本要求。

　　高性能防護、高品質用戶體驗，支撐大業(yè)務流量。USG6000系列通過全新的軟硬件設計，可以做到在全威脅防護開啟情況下，性能下降小于50%，在所有參與的安全廠商中，性能下降幅度最小。大于10G的全威脅防護性能有能力同時為每一個業(yè)務系統(tǒng)提供全方位的安全防護。

　　硬件可靠性設計，保障業(yè)務延續(xù)。華為為廣東電網提供的解決方案在電源、風扇、硬盤上均采用冗余設計，同時在每個節(jié)點采用雙機熱備冗余部署，有效降低了每一個環(huán)節(jié)可能帶來的業(yè)務風險，為電力業(yè)務系統(tǒng)的實時性，連續(xù)性提供最佳保障。

　　高效的管理手段，降低TCO。華為USG6000系列在設計開發(fā)過程中引入了全新的管理理念，即基于流量學習的自動化策略配置和優(yōu)化。在設備上線時通過預置模板提供快速部署；上線后通過流量學習與分析，自動生成安全策略建議，不斷的細化安全策略管理。在穩(wěn)定運行后，通過策略學習自動精簡冗余策略，提高策略匹配效率。USG6000系列的自動化管理手段讓廣電電網在缺乏專業(yè)安全管理人員情況下同樣精確開啟了全威脅安全防護，CTO降低30%以上。

　　華為下一代防火墻成為構建廣東智能電網信息安全基礎架構的產品之一，在保障電力業(yè)務安全性和延續(xù)性的同時，嚴格按照電力行業(yè)信息系統(tǒng)安全等保要求進行方案設計，全面提升電力信息系統(tǒng)安全等級保護水平與能力，進一步加強電力信息系統(tǒng)安全等級保護建設，并且獲得廣東電網公司客戶認可與信任，促進華為與廣東電網公司在信息安全建設領域的進一步合作。