防火墙

随着新型电力系统建设推进，电网的并网主体类型更多、数量更大、场景更丰富，要求电网对外更加开放，网络对外暴露面扩大，由此将面临更多的安全风险。国家关键信息基础设施安全保护方面明确提出对资产暴露面的安全保护相关要求，而对多源异构的网络设备、防火墙、各类网关等网络关键节点的策略数据的可视化、集中化、智能化的运行管理是有效监测、预警和管理电网资产和业务对外暴露面的重要措施之一。 本汇报以安全策略可视化仿真能力支撑电网的网络安全和运维场景为主题，介绍技术方案框架、落地场景和应用价值等。

2024年6月17日，国家电网公司进行了2024年数字化项目第二次设备招标采购。共包括40类物资。分别为：SDN交换机、安全操作系统、安全接入网关、安全校核、报表软件、成熟套装软件、磁盘阵列、电能量计量、电网调度控制系统、调度管理、调度计划、调控云平台、定制化服务器、恶意代码监测系统、服务器密码机、负载均衡器、光模块、机架式服务器、可信验证系统、密码卡、培训仿真、入侵检测装置、实时监控、数据库软件、台式工作站、网络安全管理应用（CSM）、网络安全监测装置、网络交换机、网络路由器、系统集成、显示器、新能源预测、信息安全网络隔离装置、运维网关、运行评估、在线分析、支撑平台、智慧物联网关、专用防火墙、自动控制。

工程名称湖南长沙望城500千伏变电站工程，建设时间2019年6月1日开工，2020年6月30日建成投产。工程概况总占地面积7.1公顷，围墙内占地面积4.18公顷，总建筑面积1244.17平方米，本期新建两组500千伏主变压器、500千伏出线4回、220千伏出线10回、无功补偿装置4组。工程亮点大量采用装配式围墙、装配式防火墙、预制成品检查井等装配式建构筑物，减少现场作业，提高施工效率；最大限度节约资源并减少影响环境的施工作业，实现节能、节地、节水、节材和环境保护。

工业防火墙HC-ISG®是国内首款专用于工业控制安全领域的防火墙产品，能够有效对SCADA、DCS、PCS、PLC、RTU等工业控制系统进行信息安全防护。 HC-ISG®主要解决工业基础设施在网络环境中受到病毒、黑客、敌对势力的恶意攻击以及工作人员误操作时的安全防护问题。 HC-ISG®通过了公安部检测、国家信息安全测评中心检测，取得了CE、FCC等认证和销售许可证，广泛应用于各工业现场，包括核设施、钢铁、有色、石油天然气、化工、发电、电网、城市燃气、机械、环保监测、城市供水、供热、水利枢纽、隧道、港口、铁路、城市轨道交通、民航以及其他与国家基础设施和国计民生紧密相关的工业控制系统和网络。

今年年初，业内首个全风场级双馈机组电气及控制策略技改项目实现顺利交付，据项目业主反馈，自全场并网至今，整机故障同比下降80%以上，变流器故障率同比下降100%，达成了安全性与可靠性提升的改造初衷。

配电网是经济社会发展的重要基础设施，是供电服务的“最后一公里”。国家电网公司响应党中央号召，着力优化电力营商环境，提升电力客户用电体验，在配电网建设领域投资全面提速。但配电网建设管理难度也随之增大。管理人员数量少与承担工作量大的矛盾，参建人员技术、技能水平低与建设标准高的矛盾，人身、资金安全风险不断加大与企业安全发展的矛盾日益凸显。 2017年，国家电网公司设备部选取九家省公司探索移动互联应用在配电网工程管理中的应用成效。2018年，完成系统开发，实现全面推广应用，取得了良好的应用效果。 该成果解决了两大难题，一是解决了配电网工程管理全过程从线下迁移到线上的难题。配电网工程全过程管理涉及规划计划、工程物资、现场安全、工程质量、资金管理、档案管理等多个专业。工程点多、线长、面广，参建人员素质参差不齐，按照以往的管控模式，难以实现配网工程精益化管理。本成果通过构建环环相扣的项目计划、物资管理、现场安全、建设质量、结算决算及工程档案全流程管理体系，以及省级公司、地市公司、县级公司全方位管控标准，实现了配电网工程管理领域的提质增效。二是解决了内外网、不同管理系统之间互联互通及信息安全的问题。全新的配电网工程管控体系需要兼顾移动互联网的高效率和信息内网存储的安全性。成果采用面向服务（SOA）的架构，提供RESTful风格的服务，移动应用服务层构建采用SG-UAP平台。在互联网和信息外网之间构建了防火墙和安全交互平台，在信息外网和信息内网之间设置了网络隔离装置，通过了中国电科院6项安全测试，实现了通过手机APP采集数据，通过移动智能互动平台接入系统，将数据保存在安全的内网服务器，实现内外网贯通，达到与ERP、PMS等相关信息系统数据共享的目的。 该成果利用移动互联、大数据分析、图像识别等新技术，落实“新基建”核心理念，实现配电网工程管理与移动互联网应用的融合，能够提高管理效率、服务基层工作，能够发挥数据价值、实现信息高效共享，顺应了技术发展的潮流，具有创新性和技术上的先进性。 经过两年的应用，产生了应用效益。一是促进配电网工程资金、人身安全管理提升，促进了设备、建设质量的提升，管理效益显著。二是提高参建各方工作效率，降低管理成本，经济效益突出。以宁夏公司为例，年均减少人工成本300万元，间接减少其他管理成本63万元。三是顺应移动互联网和物联网技术发展趋势，对低效落后的配电网工程管理体系进行了创新和变革，推动配电网建设管理领域转型升级，具备可推广性。

从解决日常防火墙运维工作中困难和问题出发，文章基于JSON开发了防火墙策略标准化工具，实现对不同格式的防火墙策略的统一管理。同时，对策略进行分类，在此之上提出了一种策略标准化配置方法。通过比对主机开放端口与防火墙策略，提出了一种策略优化方法，可有效解决策略冗余、交叉、高风险等问题，提高了防火墙策略维护效率，提升了信息系统的安全与稳定。

随着计算机技术和通信技术快速发展，计算机系统正面临着越来越多的攻击，计算机系统的安全性已成为世界各国研究的热点。本文针对计算机系统的安全体系结构，主要介绍了 ISO7498-2 安全体系结构和自适应网络安全系统模型，然后分别从信息安全和物理安全两个方面阐述了安全技术的要求，最后详细研究了计算机安全系统的核心技术:加密技术和防火墙技术。

本项目将风险管理理论与电力企业信用管理相结合，通过梳理全业务、全流程、全过程的风险点，制定风险处置策略，构建了电力企业信用风险地图，初步建设全维度的信用管理体系，有效夯实企业诚信管理基础，显著提升信用风险控制水平，在电网企业乃至电力行业具有一定的代表性，对筑牢电力企业失信风险防火墙，推动建成社会信用体系具有一定的指引作用。本项目应用风险管理理论，建立了失信风险“事前防控”、“事中管理”、“事后问责”的全方位闭环控制体系，实现了企业风险管理的延伸，对于强化诚信企业品牌有显著效应；本项目广泛应用大数据分析技术与信息化技术，实现了企业关键风险点的数据化管理，对于有效控制企业失信风险乃至经营风险有显著提升作用。本项目适应国家推动建设社会信用体系政策，充分结合传统电力企业管理实际，深入剖析电力企业经营发展中潜在的风险因子，具有广泛的适用性和推广价值，能够在电网企业、发电企业等电力企业广泛应用。本项目关于信用管理的理念及管控工具能够在整个电力企业加以推广应用，对于提高电力企业整体信用管理水平具有较强的辐射带动作用，实现与国家建设社会信用体系的同步。

为深化新型资金管理体系建设，国网保定供电公司通过构建盈利负债双模拟体系、实施资金精益化管理，完善智能应用系统，促进了存量资金高效运作、流量资金精益管理、增量资金集中管控：建立盈利负债双模拟经营管控机制。围绕生产经营和资产运营核心要素，科学设定内部利润和资产负债率“双模拟”考核指标，建立“2大关键指标+8个业务支撑指标+9个质量效率指标”的指标体系，横向上业务支撑指标和质量效率指标与主要业务强关联，贯通业财管理链路，以业务指标改善促进管理效能提升；纵向上压实各级经营责任，将经营压力有效传导至各环节，调动全员增收、节支、降耗、提效的主观能动性。深化资金集约精益化管理。深入推进“1233”新型资金管理体系建设，推动资金管理方式转型升级，持续提升资金效率、效益和安全水平。建立两个结算池，推进所有业务先入池。实现所有收付款业务由前端发起、信息全流程在线反映、收款结算池和付款结算池自动形成、资金安全可控在控。开展现金流“按日排程”，优化资金安排。通过“按日排程”精准匹配资金收支预算，实现日清月结，提升资金周转率，建立资金“日调度、周平衡、月分析”机制。实施预算全程管控，强化预算管理。以业务预算为基础，以进度控制为主线，完善预算反馈和动态分析，实现预算管理的规范化、高效化。深化资金审批机制，完善制度流程。按照“加强预算管理、业务归口管理、分类分级审批、支付要件完整”原则，厘清各部门职责界面。强化资金安全保障，落实防范措施。明确安全主体责任，构建三级安全责任链。安全规则全流程嵌入，深化动态监控，优化事中监控。健全智能自动化辅助功能。引入大数据商业智能工具（简称BI），打造智能分析平台。按照“起于指标、重在行动、止于成效”的思路与要求，采用BI作为重要的数据分析支撑工具;推广银企自动对账，拓展智能对账功能,为资金安全管控增加防火墙。 自以效益为导向的智慧资金管理体系构建工作开展以来，国网保定供电公司聚焦资金管理内外部环境与管控难点，围绕“保障供应、提高效率、防范风险”三大核心定位，积极创新管理机制，强化系统交互功能，实现数据分析智能化，提升了资金管理科学化、精细化水平。企业资金管控能力显著增强、业财协同管理深度融合、资金风险得到有效控制。