XXXX电厂数据中心私有云安全方案.pdf

1、XXXXXXXX 电厂数据中心电厂数据中心 私有云私有云安全方案安全方案 一一、“统一平台统一平台”云安全云安全防护防护解决方案解决方案 从传统的安全角度出发，很多电厂私有云平台在建设过程中都面临“物理隔离”和“统一平台”两种解决思路的选择。早期，基于传统技术架构和生产安全因素考虑，“物理隔离”方案应用较为广泛。然而，随着网络安全技术和云计算技术的快速发展，现有安全技术已经完全可以解决隔离不同类型应用（VM）的需求。因此，在采取相关安全措施的基础上，“统一平台”方案无论业务层面还是安全层面都具有更高的优势。图 1、生产网与信息网“物理隔离”方案（传统）图 2、生产信息网“统一平台”方案（推荐）

2、下面针对新主流“统一平台”方案（图 2）与传统的“物理隔离”方案（图 1）进行对比分析。为了便于对比，首先简要说明图 2 的方案。该方案引入了云安全防护设备。该设备通过数字化信息管理网（业务网）与私有云平台的计算、存储资源池互联，可对任意的物理资源、逻辑应用（VM）进行有效隔离，可以实现数据包、网络连接、逻辑应用（VM）、物理资源各个颗粒度的数据进行分析、过滤、处理，同时具有防内网渗透、隔离蠕虫类病毒、识别APT 攻击等功能，能够有效保障私有云平台的隔离性及安全性。具体分析如下：（一）业务层面 1、资源使用效率 从云平台业务使用的角度看，“统一平台”具有绝对优势，可以最大限度地统一调度、配置、

3、管理私有云平台中的所有资源；而“物理隔离”方案将私有云中不同的物理资源进行隔离，其实质是将统一的云平台机械地切割成两个（甚至多个）云平台，这就大大降低了云平台对计算、存储资源的统一调度和管理，资源使用效率大大降低。2、系统扩展性“统一平台”方案的系统扩展能力强，对于物理资源扩展、逻辑资源变更等都具有很好的扩展性；而“物理隔离”方案在进行资源扩展时，必须以隔离出的小区域为基本单位进行，无法调度跨区域的闲置资源，扩展性较差。在未来私有云平台扩容、升级过程中都会带来更多困难。3、管理的复杂性“统一平台”使用一套云管理系统即可，其管理配置策略、逻辑应用维护等具有统一的接口，具有较好的一致性，管理相对容

4、易；而“物理隔离”方案因将云平台分割成多个云，因此各个区域的管理配置策略、各个逻辑应用（VM）的维护等方面很可能不一致，导致管理一致性较差，容易导致管理混乱，甚至可能需要多套独立的管理平台，大大增加了管理的复杂性。此外，一旦管理混乱，出现跨区域配置错误，将容易造成严重的安全风险。4、运维成本 由于两种方案在资源利用效率、系统扩展性、管理复杂性等方面的差异，“物理隔离”方案在运维成本上比“统一平台”方案更高。（二）安全层面 1、隔离性“物理隔离”仅能在物理资源这个级别进行隔离，隔离的颗粒度比较粗糙，一般仅能隔离成有限的几个（比如 2 个）区域。而图 2 所示的方案不仅支持物理资源的隔离，而且支持

5、逻辑应用（VM）颗粒度的隔离。其中物理资源隔离和“物理隔离”方案具有相同的隔离效果，而且可以任意地划分隔离组，远远大于“物理隔离”方案所能支持的隔离组。此外，图 2方案支持逻辑应用（VM）级别的隔离，也就是说，既使是驻留在同一物理资源上的不同 VM，也可以被隔离到不同的区域。因此，图 2 的方案在隔离性方面优于“物理隔离”方案（图 1），支持逻辑应用（VM）之间的单向传输，类似于传统的物理网闸功能，比如电厂历史数据库VM 与信息层应用 VM 数据传输往往采用单向传输设计，为私有云平台的安全管理提供了极大的灵活性。2、防内网渗透 内网渗透是“黑客”实施攻击、获取有价值信息过程中最主要的攻击扩展手

6、段。“物理隔离”方案在区域之间具有一定的防内网渗透能力，但区域内几乎没有任何防渗透的能力。而图 2 的方案，不仅可以防止跨区域的内网渗透，甚至对于同一区域的各逻辑应用（VM）之间的渗透也具有良好的防范效果。3、内部防火墙“物理隔离”方案没有任何数据包、网络连接级别的数据控制能力，对于逻辑应用（VM）而言，相当于没有防火墙的能力。而图 2 的方案中，具有数据包、网络连接级别的数据分析和处理能力，从逻辑上看，相当于可以为每个逻辑应用（VM）配置了一台硬件防火墙，而且可以针对不同的逻辑应用（VM）设置不同的防火墙策略，大大增加逻辑应用（VM）抵抗外部攻击的能力，大大提供其安全性。4、防蠕虫能力 蠕虫

7、类病毒是私有云平台中各个逻辑应用（VM）面临的严重威胁，私有云常常会因蠕虫泛滥而导致各个逻辑应用（VM）无法提供高效的服务。“物理隔离”方案不具有任何防蠕虫的能力。而图 2 的方案中，云安全防护能够动态变换逻辑网络拓扑，有效防治蠕虫在内网中的传播，保障各逻辑应用（VM）的高效运行。5、广播风暴抑制 广播风暴常常会导致内网通信链路被广播数据包充斥，从而浪费大量带宽，甚至能导致逻辑应用（VM）无法为用户提供正常服务（类似被 DDOS 攻击的效果）。“物理隔离”方案不具有任何抑制广播风暴的能力。而图 2 的方案中，能够将各个逻辑应用（VM）隔离到很多小的区域中（甚至每个应用在单独的区域），从而有效隔

8、离和抑制网络中的广播风暴。6、网络攻击行为识别和防护 网络攻击行为是私有云平台面临的重要威胁。“物理隔离”方案不具有任何防护网络攻击的能力。而图 2 的方案中，云安全防护设备对网络攻击，特别是 APT 攻击（高级持续威胁攻击）具有良好的识别和防护能力，可以大大提供私有云的安全防护能力。二二、控制网与私有云之间的安全接入控制网与私有云之间的安全接入方案方案 伴随着工业化、信息化的两化融合，电厂企业提出管控一体化平台规划方案，电厂实时历史数据库、信息管理系统和弱电系统将全部建立在统一的工业私有云平台上，云平台数据管理信息网络与之间控制网接入，并进行数据交换。控制网络不再以一个独立的网络运行，而要与

9、信息网络互通、互联，基于 TCP/IP 以太网通讯的 OPC 技术在该领域得到广泛应用。生产过程控制系统在近十年的发展中呈现出整体开放的趋势，计算机技术在工控领域的应用使得现代 PLC/DCS 操作站完全是一种 PC+Windows 的模式，控制系统网络也基本都向工业以太网结构发展，开放性越来越强。为了保障控制网络安全，在控制网和信息管理网络之间引入工业防火墙设备。其中控制网安全必须达到两个目标：1、即使信息管理网络出现安全问题，也能保证工厂控制网、生产装置安全稳定运行 对于现代计算机网络，我们认为最可怕的是病毒的急速扩散，它会瞬间令整个网络瘫痪，该防护目标在于阻碍信息网络向控制网络扩散，从而

10、保证装置或工厂的安全稳定运行。2、能够及时准确的确认故障点，并排解决问题 及时发现控制网络中存在的感染及其它问题，准确找到故障的发生点，是维护控制网络安全的前提。1、控制网络区域防护概念解析 生产控制网络或 SCADA 控制网络的安全要点：要点名称 要点描述 达到目标 区域划分 具备相同功能和安全要求的设备在同一区域内 安全等级分区 管道建立 实现区域间执行管道通信 易于控制 通信管控 通过控制区域间管道中通信管理控制来实现设备保护 数据通信可控 推荐采用 Tofino 工业安全方案，Tofino 能够用来分离信息系统网络与过程控制系统网络，分隔不同供应商的控制系统，并隔离关键系统与非关键系统

11、，保护控制系统底层边缘设备（例如操作站、控制器等）。2、Tofino 工业安全解决方案构成 一个完整的 Tofino 安全解决方案包含以下三部分：Tofino 安全模块（TSA）增强型工业环境要求设计，应用于受保护的区域或控制器等关键设备之前。Tofino 可装载安全软插件(LSM)专为 TSA 设计的安全软插件，提供安全服务，如工业通信防火墙、事件与报警管理，OPC/Modbus TCP 通信深度检查、安全设备资产管理、VPN加密等。LSM 可以直接装载到 Tofino 安全模块中，并根据系统需求提供各种定制安全服务。Tofino 中央管理平台（CMP）窗口化的中央管理平台系统及数据库，用于

12、 Tofino安全模块的配置、组态和管理 Tofino 中央管理平台界面截图 3、Tofino 安全解决方案达到的目标 区域隔离：Tofino 工业防火墙插件能够过滤两个区域网络间的通信，这样意味着网络故障会被控制在最初发生的区域内，而不会影响到其它部分。通信管控：通信规则是可以在线通过 CPM 进行预先组态和测试的。实时报警：任何非法的（没有被组态允许的）访问，都会在 CMP 管理平台产生实时报警信息，从而故障问题会在原始发生区域被迅速的发现和解决 一劳永逸：工业级硬件设计，保证模块的稳定性；特有的专有控制通讯协议检查设计理念（白名单理念），告别了传统防火墙的病毒库升级等繁琐工作，在防护的同时也不改变控制网原有应用软件的操作模式，大大降低网络维护量。