论文部分内容阅读
【摘 要】随着经济的发展与科技的进步,现代电力系统正朝着大电网、大机组、高电压、高自动化的方向发展.各级电力调度间数据的准确快捷传输就越来越受到广泛的重视. 本文根据呼伦贝尔地区调度数据网的现状做出了初步设计思想。
【关键词】呼伦贝尔调度数据网 建设
一、总则
(一)设计依据
1.受呼伦贝尔供电公司委托开展地区电力调度数据网完善及增加二次安全防护设备工程设计。
2.《国家电网调度数据网接入网技术规范》
3.《国家电网调度数据网第二平面网络(SPDnet-2)总体技术方案》
4.《全国电力二次系统安全防护总体方案》
5.《国家电网公司2011年新建变电站补充规定》
6.国家及行业的相关设计规程、标准等。
(二)设计范围
1.本工程主要完成呼伦贝尔地调接入网的建设,建设范围包括呼伦贝尔地调核心节点、以及呼伦贝尔地区35kV-220kV变电站。
2.本工程设计内容包括呼伦贝尔地调接入网网络拓扑结构、业务需求、应用系统接入方式、网络管理和网络安全措施,相应的设备配置和工程概算。
(三)设计原则
1.本工程设计水平年为2011年,展望2015年。
2.调度组织关系按蒙东地区电网相关规定。
3.在专用通道上,调度数据网以SDH方式使用独立的网络设备组网实现了与电力企业其他数据网的安全隔离。
4.调度数据网由实时子网和非实时子网组成,他们分别连接控制区和非控制区
二、 呼伦贝尔地调电力调度数据网网络业务及技术体制
(一)数据网络业务 呼伦贝尔电力调度数据网承载的业务主要有以下两类:
1.安全Ⅰ区业务
* EMS与RTU或变电站自动化系统的实时数据通信
* EMS之间的实时数据交换
* 广域相量测量系统(WAMS)数据采集
* 实时电力市场辅助控制信息
* 电力系统动态测量及控制数据
* 稳定控制系统
* 五防系统(集控站)
2.安全Ⅱ区业务
* 发电及联络线交换计划、联络线考核
* 调度操作票、检修票等
* 电能量计量计费信息
* 故障录波、保护和安全自动装置有关管理数据
* GPS变电站统一时钟系统数据
* 节能发电调度系统数据
(二)数据网组网技术体制
呼伦贝尔地区电力调度数据网为了统一管理、统一防护,采用IP over SDH技术体制,实现了调度数据网安全策略的完整性和统一性,网络业务的单一性与可控性,技术体制的简单性、一致性。
三、呼伦贝尔地区电力调度数据网网络拓扑
(一)网络拓扑原则
* 满足调度业务实时性、可靠性需求
* 基于电力通信传输网络
* 有利于网络分区的实现
* 便于网络管理、建设和运行
(二)网络结构
根据网络规模,电力调度数据网分为核心层、汇聚层和接入层,其中核心层一般只完成数据交换,是网络业务的交汇中心;而汇聚层位于接入层和核心层之间,可以完成业务的分发和汇聚;接入层可以实现访问控制和质量保护,它主要是将用户业务接入网络。
(三)路由分区及节点设置
呼伦贝尔地调接入网节点设置如下:
核心节点:呼伦贝尔地调
接入节点:呼伦贝尔地区35kV-220kV厂站
(四)骨干网网络拓扑
呼伦贝尔地调接入网网络拓扑如图1所示。
图1 呼伦贝尔地调接入网网络拓扑
(五) 路由协议
呼伦贝尔地调调度数据网内部的路由协议采用OSPF协议(开放最短路径优先协议)。子域与省调数据网采用多进程OSPF协议,并支持BGP协议。
四、传输电路链路配置
(一) 配置原则
呼伦贝尔地区电网调度数据网是基于IP技术的数据网络,其特点是无连接服务及动态路由,对电路的带宽及质量要求较高。
骨干层各骨干节点之间互联通信电路要满足N-1原则,网络传输主路由小于“三跳”。
接入层各接入节点应按就近接入的原则接入骨干网。
(二) 骨干层传输电路链路配置方案
电力调度数据网内部各个骨干节点之间网络通道全部采用光纤。呼伦贝尔地调接入网通道组织如图2所示。
图2 呼伦贝尔地调接入网通道组织
五、调度数据网IP地址分配
(一)网络地址编码及分配应该与网络拓扑(分区)及地址管理体制相结合,这样可以有效的保证地址的唯一性。按照地址功能要求,网络IP地址将分为三部分:
1. 路由设备标志地址
2 .广域网地址
3 .局域网地址
其中,路由设备标志地址和广域网地址为网络内部地址,他们主要用于路由生成和网络管理,局域网地址则用于系统接入。
(二)网络IP地址分配原则如下:
1.IP地址的规划与划分应该满足本期工程对IP地址的需求,同时要充分考虑未来业务发展,预留相应的地址段;
2.采用VLSM(可变长子网掩码),保证IP地址的利用效率;
3.为了减少网络中信息广播的数量,减小路由器路由表的大小,加快路由器的收敛速度,我们可以采用CIDR(无类别编址)技术; 4.采用结构化的地址空间分配方法,充分考虑地址结构的清晰和路由聚合的可实施性;
5.根据不同业务类型的需要来决定地址空间的大小
六、 网络安全防护
随着计算机网络技术的迅猛发展,网络安全形势也日益严峻和复杂,各种网络安全事件不断发生,从技术、管理和法律等多方面采取综合措施保障网络安全已是世界上各国计算机技术人员的共同目标。
本章将着重从技术上对接入呼伦贝尔地区电网调度数据网各应用系统的安全防护问题及所涉及和可采取的对策加以论述和分析。
(一)安全防护的基本原则
1.系统性原则
2.简单性原则
3.实时、连续、安全相统一的原则
4.需求、风险、代价相平衡的原则
5.实用与先进相结合的原则
6.方便与安全相统一的原则
7.全面防护、突出重点(实时闭环控制部分)的原则
8.分层分区、强化边界的原则
9.整体规划、分步实施的原则
10.责任到人,分级管理,联合防护的原则
(二)安全防护的策略
1.分区防护、突出重点。所有系统都必须置于相应的安全区内,对实时控制系统等关键业务采用认证、加密等技术实施重点保护。
2.安全区隔离:通过使用不同强度的安全隔离设备可以让各安全区中的业务系统得到保护。
3.网络隔离
4.纵向防护。采用认证、加密等手段实现数据的远方安全传输。
(三)安全防护的目标及措施
1.安全防护的目标
为了防止一次系统事故或大面积停电及二次系统的奔溃或瘫痪,安全防护的目标是提高服务质量、抵御病毒、黑客、恶意代码等对系统造成的破坏,尤其是能够抵御集团式攻击。
2.安全防护的措施
根据上述的安全防护目标,安全防护措施主要可以从提高服务质量和提高抗攻击能力两个方面考虑。
(1)提高服务质量的措施
由于呼伦贝尔地区电网调度数据网采用IP技术,骨干网的路由协议为动态路由协议,因此IP包从源端到目的端的路径、带宽和流量是不可控的,也就是说IP技术无法提供端到端的服务保障。为了确保IP网络的服务质量,目前许多组织和网络设备生产厂家都提出各自的解决方案,归纳起来主要有以下几种:
① 虚拟局域网(VLAN)
虚拟局域网就是通过对交换机的连接参数进行设置,将网络上的连接设备进行逻辑分组,这样可以减少不必要的通信量,提高网络的性能。虚拟局域网不提供安全控制。
② 多协议标记交换(MPLS)
多协议标记交换就是在IP包头中增加4字节(32位)的标记,标记交换路由器只在标记定义的路径上转发IP包,这样就大量减少了地址查找和路径计算的工作,从而提高网络的处理能力并降低转发延时,多协议标记交换能够提供一定的安全控制。
③ 业务区分服务
业务区分服务就是对不同业务的IP包的优先级进行设定,然后由具有业务区分功能的路由器根据IP包的优先级来进行拥塞管理和信息流量控制。同样,业务区分服务也不提供安全控制。
(2)提高网络抗攻击能力的措施
目前网络攻击的类型主要包括:
① 窃听报文-攻击者从传输的数据流中获取数据并进行分析,以获取用户名/口令或者是敏感的数据信息。
② IP地址欺骗-攻击者通过改变自己的IP地址来伪装成内部网用户或可信任的外部网络用户,发送特定的报文以扰乱正常的网络数据传输,或者是伪造一些可接受的路由报文(如发送ICMP的特定报文)来更改路由信息,以窃取信息。
③ 源路由攻击-攻击者通过在IP报文的Option域中指定该报文的路由,使报文有可能被发往一些受保护的网络。
④ 端口扫描-通过探测防火墙的端口,来发现系统的漏洞;或者事先知道路由器软件的某个版本存在漏洞,通过查询特定端口,判断是否存在该漏洞。然后利用这些漏洞对路由器进行攻击,使得路由器整个荡掉或无法正常运行。
⑤ 拒绝服务攻击-攻击者的目的是阻止合法用户对资源的访问。比如通过发送大量报文使得网络带宽资源被消耗。
⑥ 应用层攻击-有多种形式,包括探测应用软件的漏洞、“特洛依木马”等。
(3) 针对上述“黑客”的攻击手段,本设计建议采取如下措施来提高各应用系统的抗攻击能力。
① 加密技术
采用对称密钥和公开密钥的方法,实现对信息加密以及设备和人员身份的认证。信息经过加密后由于黑客没有密钥,加密信息成为毫无用处的乱码,使黑客无法冒充运行人员对电力系统的设备进行控制操作。加密技术具有很强的抗抵赖性,能够为各种进行过的操作提供行为证据,这就为各种事故的分析带来了便利。
目前对称加密技术所采用的算法最具代表性的是DES算法,此算法采用标准的算术运算和逻辑运算,将明文分成64位的分组进行操作,经16轮完全相同的运算后形成密文。对称加密技术可用于电力系统关口电量等信息的加密。
对于公开密钥使用最广泛、最著名的是RSA算法,它的密钥由公开密钥和私有密钥组成。通过公开密钥和私有密钥对明文的模运算进行加密,通过私有密钥和公开密钥对密文的模运算进行解密。公开密钥密钥技术可用于电力系统的身份认证、控制操作认证、电力市场交易申报加密等。
②入侵检测
入侵检测系统就是指对妨碍系统资源的完整性、机密性和实用性的一系列违反安全策略的行为进行实时检测并提出报告的系统。也就是说入侵检测系统不仅具有接入控制功能,而且可以使针对于网络或系统的入侵行为得到实时的监控,从而检测到非法入侵。 入侵检测系统一般可以分为主机基础检测系统、多重主机检测系统和网络基础检测系统。
主机基础检测系统通过使用在单一主机收集到的检测数据来进行入侵的判断。检测数据是指通过程序的进程来采集的原来用户和现在用户的CPU消耗量、I/O消耗量、进程所使用的文件及使用的系统信息。
多重主机基础检测系统是指使用从几个主机收集到的检测数据来进行入侵判定的系统,也就是说把上面在单一主机收集到的检测数据从几个地方集中到一个系统中,对入侵进行判定。
网络基础检测系统是指收集网络信息数据,对入侵进行判定,它能够通过对普通网络数据包的过滤,收集到资料后,通过这些资料对入侵进行判定。
由于呼伦贝尔地调各应用系统安全防护的重点在于整个网络的安全性上,因此入侵检测系统应考虑配置网络基础检测系统,并应考虑与防火墙的联动机制。
③安全审计
安全审计系统包括以下主要功能:
-生成安全策略,确定和保持系统中用户的责任并审查用户的访问模式。
-发现试图绕过保护机制的访问及访问权限由低级向高级的转移。
-阻止系统的不正当使用。
-对系统问题区进行检测和损失评估。
-提供有效的灾难恢复。
④防火墙
防火墙是一种计算机硬件和软件的组合,它能够在内部和外部网络之间建立起一个安全网关,从而保护内部网络免受非法用户的侵犯。防火墙的产品种类大体可分为两大类:一类为网络级防火墙,另一类为应用级防火墙。网络级防火墙是工作在网络层和传输层的防火墙。应用级防火墙除具有网络级防火墙的功能外,还具备对信息内容过滤的功能,拒绝含有敏感字样或信息的访问,以确保网络的安全。两种级别防火墙相比,应用级防火墙具有更高的安全性,但网络级防火墙具有更高的通信处理速率。因此在选用防火墙时,应从安全性和实时性两个方面来综合考虑。
⑤物理隔离
采用专用的安全隔离装置,对不希望通过网络访问方式通信的两个网络从物理层上进行隔离。隔离装置由正向和反向传输两个部分组成,正向和反向部分的两个网卡分别与两个网络互连并建立TCP连接,在内部两个网卡之间通过非网络方式连接并只允许数据的单项传输,从而阻断了两个网络直接建立TCP连接。在隔离装置的反向部分中,还具有身份认证的功能。
⑥病毒检测
计算机病毒从其危害程度上可分为两大类:一类为良性病毒或称为恶作剧病毒(如小球病毒),这类病毒并不对计算机系统构成损害,但却对程序的进程造成影响,尤其对于实时系统其危害程度是不容忽视的。另一类为恶性病毒(如CIH病毒),这类病毒会对计算机系统带来严重的危害,甚至会带来灾难性的后果。病毒检测是预防计算机病毒的有效措施,它通过对运行中的计算机系统的实时检测,随时发现病毒并进行消毒,从而保证计算机网络的安全。
(四)安全区的划分及隔离要求
1.安全区的划分
根据地调业务系统的数据流程、安全要求和目前状况可以把整个应用系统划分为I实时控制区、II非控制生产区、III生产管理区、IV管理信息区四个安全区。不同的安全区决定了不同的安全等级和防护水平。其中安全区Ⅰ的安全等级最高,安全区II次之,其余依次类推。
2.安全区横向及纵向隔离要求
(1)横向隔离
安全区I、II不得与安全区III、IV之间直接联系,安全区I、II与安全区III、IV之间采用经有关部门认定核准的专用安全隔离设备进行物理隔离,全隔离装置分为正向型和反向型两种,正向型用于安全区I/II到安全区III的单向数据传递;反向型用于安全区III到安全区I/II的单向数据传递,仅允许纯数据的单向安全传输。
(2)纵向隔离
-安全区I、II均接入电力调度数据网,两个安全区分别通过实时VPN和非实时VPN实现逻辑隔离。IP认证加密装置使用的认证密钥应由省调统一颁发和管理。
-在不具备签发电力调度系统内部数字证书的条件时,安全区Ⅰ、Ⅱ不得开通远程拨号服务。
-安全区III经防火墙接入电力数据通信网,使用电力数据通信网划分出的调度VPN通信。
-传统的基于专线通道的通信不涉及网络安全问题,本设计不予考虑。
-本设计对于安全区IV不做要求。
3.安全区内部安全防护要求
(1)对安全区Ⅰ及安全区Ⅱ的要求:
禁止安全区Ⅰ、Ⅱ内部的E-mail服务。禁止安全区Ⅰ的Web服务。允许安全区Ⅱ内部及纵向Web服务。安全区Ⅰ、Ⅱ的重要业务(如SCADA)应该采用认证加密机制。安全区Ⅰ、Ⅱ内的相关系统间必须分别通过内部、外部网关和中央交换机、接入交换机来对内和对外通信,绝不允许利用本系统交换机直接与其它系统进行通信。在不具备签发电力调度系统内部数字证书的条件时,对安全区Ⅰ、Ⅱ不开通本地拨号访问服务。安全区Ⅰ、Ⅱ应该部署安全审计措施,边界上应部署入侵检测系统。安全区Ⅰ、Ⅱ必须采取防恶意代码措施。
(2)对安全区Ⅲ要求:
安全区Ⅲ允许开通E-mail、Web服务。
安全区III内的相关系统间必须分别通过内部、外部网关和中央交换机、接入交换机来对内和对外通信,绝不允许利用本系统交换机直接与其它系统进行通信。
对安全区Ⅲ拨号访问服务必须配置具有IPsec VPN客户端接入功能的防火墙,并设置必要的安全策略对接入的用户访问的范围和资源做出明确的限制。
安全区Ⅲ必须采取防恶意代码措施。
(3)本方案对安全区Ⅳ不做详细要求。
(五)调度数据网安全防护实施方案
根据以上安全防护要求,呼伦贝尔地区电网调度数据网应采取以下安全防护措施: 1.网段划分
呼伦贝尔地区电网调度数据网划分为逻辑隔离的实时子网和非实时子网,实时子网主要用于接入控制区(安全区I)的业务,包括能量管理系统(EMS)、电力数据采集和监控系统(集控中心监控系统、变电所RTU或综自等);非实时子网主要用于接入非控制区(安全区II)的业务,包括电能量计量系统等。
2.本期呼伦贝尔地调接入网I区和II区采用IP纵向加密认证装置。
七、应用系统接入方式
(一)应用系统接入原则
1.调度端(县调除外)应用系统统一接入骨干网,应用系统间采用域内MPLS-VPN互联。
2.厂站端应用系统接入相应接入网,调度端到厂站通信采用跨域MP-EBGP方式互联,保证仅跨越一个域。
3.调度端采用双机双卡分别接入双网。
4.厂站端应采用双机双卡分别接入双网,对于扩卡有问题的老系统,采用双机单卡方式,双机分别接入双网。
5.双机应为负载均衡方式。
6.对于不支持网络方式的应用系统,可选用串口方式进行过渡。
7.对于流量较大的新应用功能,原则上接入调度数据网第二平面。
8.按电力二次系统安全防护要求,应用系统应配置安全防护设施。
(二) 应用系统接入方式
呼伦贝尔地调应用系统接入方式如图3所示,220kV厂站应用系统接入方式如图4所示,35kV-110kV厂站应用系统接入方式如图5所示。
图3 呼伦贝尔地调应用系统接入方式
图4 220kV厂站应用系统接入方式
图5 35kV-110kV厂站应用系统接入方式
八、结束语
呼伦贝尔电力调度数据网本着"统一规划设计、统一技术体制、统一路由策略、统一组织实施"的原则而组建,本工程主要完成呼伦贝尔调度数据网的建设,在今后的建设中我们还需不断将其优化和完善。
参考文献:
[1]郭建平(导师:赵洪山;董国防).华北电力大学(河北)硕士论文.电网调度网络安全防护体系结构及关键技术研究.2008(05).
[2]周宁(导师:朱庆生;何建军).重庆大学硕士论文.重庆电网二次系统安全防护体系结构及关键技术研究.2005(10)
[3]杨丽(导师:王保义).华北电力大学(河北)硕士论文.安全网关在电力二次系统安全防护中的应用研究.2008(12)
[4]徐力(导师:李海锋;谢幸生).华南理工大学硕士论文.中山电力二次系统安全防护的应用研究.2011(10)
【关键词】呼伦贝尔调度数据网 建设
一、总则
(一)设计依据
1.受呼伦贝尔供电公司委托开展地区电力调度数据网完善及增加二次安全防护设备工程设计。
2.《国家电网调度数据网接入网技术规范》
3.《国家电网调度数据网第二平面网络(SPDnet-2)总体技术方案》
4.《全国电力二次系统安全防护总体方案》
5.《国家电网公司2011年新建变电站补充规定》
6.国家及行业的相关设计规程、标准等。
(二)设计范围
1.本工程主要完成呼伦贝尔地调接入网的建设,建设范围包括呼伦贝尔地调核心节点、以及呼伦贝尔地区35kV-220kV变电站。
2.本工程设计内容包括呼伦贝尔地调接入网网络拓扑结构、业务需求、应用系统接入方式、网络管理和网络安全措施,相应的设备配置和工程概算。
(三)设计原则
1.本工程设计水平年为2011年,展望2015年。
2.调度组织关系按蒙东地区电网相关规定。
3.在专用通道上,调度数据网以SDH方式使用独立的网络设备组网实现了与电力企业其他数据网的安全隔离。
4.调度数据网由实时子网和非实时子网组成,他们分别连接控制区和非控制区
二、 呼伦贝尔地调电力调度数据网网络业务及技术体制
(一)数据网络业务 呼伦贝尔电力调度数据网承载的业务主要有以下两类:
1.安全Ⅰ区业务
* EMS与RTU或变电站自动化系统的实时数据通信
* EMS之间的实时数据交换
* 广域相量测量系统(WAMS)数据采集
* 实时电力市场辅助控制信息
* 电力系统动态测量及控制数据
* 稳定控制系统
* 五防系统(集控站)
2.安全Ⅱ区业务
* 发电及联络线交换计划、联络线考核
* 调度操作票、检修票等
* 电能量计量计费信息
* 故障录波、保护和安全自动装置有关管理数据
* GPS变电站统一时钟系统数据
* 节能发电调度系统数据
(二)数据网组网技术体制
呼伦贝尔地区电力调度数据网为了统一管理、统一防护,采用IP over SDH技术体制,实现了调度数据网安全策略的完整性和统一性,网络业务的单一性与可控性,技术体制的简单性、一致性。
三、呼伦贝尔地区电力调度数据网网络拓扑
(一)网络拓扑原则
* 满足调度业务实时性、可靠性需求
* 基于电力通信传输网络
* 有利于网络分区的实现
* 便于网络管理、建设和运行
(二)网络结构
根据网络规模,电力调度数据网分为核心层、汇聚层和接入层,其中核心层一般只完成数据交换,是网络业务的交汇中心;而汇聚层位于接入层和核心层之间,可以完成业务的分发和汇聚;接入层可以实现访问控制和质量保护,它主要是将用户业务接入网络。
(三)路由分区及节点设置
呼伦贝尔地调接入网节点设置如下:
核心节点:呼伦贝尔地调
接入节点:呼伦贝尔地区35kV-220kV厂站
(四)骨干网网络拓扑
呼伦贝尔地调接入网网络拓扑如图1所示。
图1 呼伦贝尔地调接入网网络拓扑
(五) 路由协议
呼伦贝尔地调调度数据网内部的路由协议采用OSPF协议(开放最短路径优先协议)。子域与省调数据网采用多进程OSPF协议,并支持BGP协议。
四、传输电路链路配置
(一) 配置原则
呼伦贝尔地区电网调度数据网是基于IP技术的数据网络,其特点是无连接服务及动态路由,对电路的带宽及质量要求较高。
骨干层各骨干节点之间互联通信电路要满足N-1原则,网络传输主路由小于“三跳”。
接入层各接入节点应按就近接入的原则接入骨干网。
(二) 骨干层传输电路链路配置方案
电力调度数据网内部各个骨干节点之间网络通道全部采用光纤。呼伦贝尔地调接入网通道组织如图2所示。
图2 呼伦贝尔地调接入网通道组织
五、调度数据网IP地址分配
(一)网络地址编码及分配应该与网络拓扑(分区)及地址管理体制相结合,这样可以有效的保证地址的唯一性。按照地址功能要求,网络IP地址将分为三部分:
1. 路由设备标志地址
2 .广域网地址
3 .局域网地址
其中,路由设备标志地址和广域网地址为网络内部地址,他们主要用于路由生成和网络管理,局域网地址则用于系统接入。
(二)网络IP地址分配原则如下:
1.IP地址的规划与划分应该满足本期工程对IP地址的需求,同时要充分考虑未来业务发展,预留相应的地址段;
2.采用VLSM(可变长子网掩码),保证IP地址的利用效率;
3.为了减少网络中信息广播的数量,减小路由器路由表的大小,加快路由器的收敛速度,我们可以采用CIDR(无类别编址)技术; 4.采用结构化的地址空间分配方法,充分考虑地址结构的清晰和路由聚合的可实施性;
5.根据不同业务类型的需要来决定地址空间的大小
六、 网络安全防护
随着计算机网络技术的迅猛发展,网络安全形势也日益严峻和复杂,各种网络安全事件不断发生,从技术、管理和法律等多方面采取综合措施保障网络安全已是世界上各国计算机技术人员的共同目标。
本章将着重从技术上对接入呼伦贝尔地区电网调度数据网各应用系统的安全防护问题及所涉及和可采取的对策加以论述和分析。
(一)安全防护的基本原则
1.系统性原则
2.简单性原则
3.实时、连续、安全相统一的原则
4.需求、风险、代价相平衡的原则
5.实用与先进相结合的原则
6.方便与安全相统一的原则
7.全面防护、突出重点(实时闭环控制部分)的原则
8.分层分区、强化边界的原则
9.整体规划、分步实施的原则
10.责任到人,分级管理,联合防护的原则
(二)安全防护的策略
1.分区防护、突出重点。所有系统都必须置于相应的安全区内,对实时控制系统等关键业务采用认证、加密等技术实施重点保护。
2.安全区隔离:通过使用不同强度的安全隔离设备可以让各安全区中的业务系统得到保护。
3.网络隔离
4.纵向防护。采用认证、加密等手段实现数据的远方安全传输。
(三)安全防护的目标及措施
1.安全防护的目标
为了防止一次系统事故或大面积停电及二次系统的奔溃或瘫痪,安全防护的目标是提高服务质量、抵御病毒、黑客、恶意代码等对系统造成的破坏,尤其是能够抵御集团式攻击。
2.安全防护的措施
根据上述的安全防护目标,安全防护措施主要可以从提高服务质量和提高抗攻击能力两个方面考虑。
(1)提高服务质量的措施
由于呼伦贝尔地区电网调度数据网采用IP技术,骨干网的路由协议为动态路由协议,因此IP包从源端到目的端的路径、带宽和流量是不可控的,也就是说IP技术无法提供端到端的服务保障。为了确保IP网络的服务质量,目前许多组织和网络设备生产厂家都提出各自的解决方案,归纳起来主要有以下几种:
① 虚拟局域网(VLAN)
虚拟局域网就是通过对交换机的连接参数进行设置,将网络上的连接设备进行逻辑分组,这样可以减少不必要的通信量,提高网络的性能。虚拟局域网不提供安全控制。
② 多协议标记交换(MPLS)
多协议标记交换就是在IP包头中增加4字节(32位)的标记,标记交换路由器只在标记定义的路径上转发IP包,这样就大量减少了地址查找和路径计算的工作,从而提高网络的处理能力并降低转发延时,多协议标记交换能够提供一定的安全控制。
③ 业务区分服务
业务区分服务就是对不同业务的IP包的优先级进行设定,然后由具有业务区分功能的路由器根据IP包的优先级来进行拥塞管理和信息流量控制。同样,业务区分服务也不提供安全控制。
(2)提高网络抗攻击能力的措施
目前网络攻击的类型主要包括:
① 窃听报文-攻击者从传输的数据流中获取数据并进行分析,以获取用户名/口令或者是敏感的数据信息。
② IP地址欺骗-攻击者通过改变自己的IP地址来伪装成内部网用户或可信任的外部网络用户,发送特定的报文以扰乱正常的网络数据传输,或者是伪造一些可接受的路由报文(如发送ICMP的特定报文)来更改路由信息,以窃取信息。
③ 源路由攻击-攻击者通过在IP报文的Option域中指定该报文的路由,使报文有可能被发往一些受保护的网络。
④ 端口扫描-通过探测防火墙的端口,来发现系统的漏洞;或者事先知道路由器软件的某个版本存在漏洞,通过查询特定端口,判断是否存在该漏洞。然后利用这些漏洞对路由器进行攻击,使得路由器整个荡掉或无法正常运行。
⑤ 拒绝服务攻击-攻击者的目的是阻止合法用户对资源的访问。比如通过发送大量报文使得网络带宽资源被消耗。
⑥ 应用层攻击-有多种形式,包括探测应用软件的漏洞、“特洛依木马”等。
(3) 针对上述“黑客”的攻击手段,本设计建议采取如下措施来提高各应用系统的抗攻击能力。
① 加密技术
采用对称密钥和公开密钥的方法,实现对信息加密以及设备和人员身份的认证。信息经过加密后由于黑客没有密钥,加密信息成为毫无用处的乱码,使黑客无法冒充运行人员对电力系统的设备进行控制操作。加密技术具有很强的抗抵赖性,能够为各种进行过的操作提供行为证据,这就为各种事故的分析带来了便利。
目前对称加密技术所采用的算法最具代表性的是DES算法,此算法采用标准的算术运算和逻辑运算,将明文分成64位的分组进行操作,经16轮完全相同的运算后形成密文。对称加密技术可用于电力系统关口电量等信息的加密。
对于公开密钥使用最广泛、最著名的是RSA算法,它的密钥由公开密钥和私有密钥组成。通过公开密钥和私有密钥对明文的模运算进行加密,通过私有密钥和公开密钥对密文的模运算进行解密。公开密钥密钥技术可用于电力系统的身份认证、控制操作认证、电力市场交易申报加密等。
②入侵检测
入侵检测系统就是指对妨碍系统资源的完整性、机密性和实用性的一系列违反安全策略的行为进行实时检测并提出报告的系统。也就是说入侵检测系统不仅具有接入控制功能,而且可以使针对于网络或系统的入侵行为得到实时的监控,从而检测到非法入侵。 入侵检测系统一般可以分为主机基础检测系统、多重主机检测系统和网络基础检测系统。
主机基础检测系统通过使用在单一主机收集到的检测数据来进行入侵的判断。检测数据是指通过程序的进程来采集的原来用户和现在用户的CPU消耗量、I/O消耗量、进程所使用的文件及使用的系统信息。
多重主机基础检测系统是指使用从几个主机收集到的检测数据来进行入侵判定的系统,也就是说把上面在单一主机收集到的检测数据从几个地方集中到一个系统中,对入侵进行判定。
网络基础检测系统是指收集网络信息数据,对入侵进行判定,它能够通过对普通网络数据包的过滤,收集到资料后,通过这些资料对入侵进行判定。
由于呼伦贝尔地调各应用系统安全防护的重点在于整个网络的安全性上,因此入侵检测系统应考虑配置网络基础检测系统,并应考虑与防火墙的联动机制。
③安全审计
安全审计系统包括以下主要功能:
-生成安全策略,确定和保持系统中用户的责任并审查用户的访问模式。
-发现试图绕过保护机制的访问及访问权限由低级向高级的转移。
-阻止系统的不正当使用。
-对系统问题区进行检测和损失评估。
-提供有效的灾难恢复。
④防火墙
防火墙是一种计算机硬件和软件的组合,它能够在内部和外部网络之间建立起一个安全网关,从而保护内部网络免受非法用户的侵犯。防火墙的产品种类大体可分为两大类:一类为网络级防火墙,另一类为应用级防火墙。网络级防火墙是工作在网络层和传输层的防火墙。应用级防火墙除具有网络级防火墙的功能外,还具备对信息内容过滤的功能,拒绝含有敏感字样或信息的访问,以确保网络的安全。两种级别防火墙相比,应用级防火墙具有更高的安全性,但网络级防火墙具有更高的通信处理速率。因此在选用防火墙时,应从安全性和实时性两个方面来综合考虑。
⑤物理隔离
采用专用的安全隔离装置,对不希望通过网络访问方式通信的两个网络从物理层上进行隔离。隔离装置由正向和反向传输两个部分组成,正向和反向部分的两个网卡分别与两个网络互连并建立TCP连接,在内部两个网卡之间通过非网络方式连接并只允许数据的单项传输,从而阻断了两个网络直接建立TCP连接。在隔离装置的反向部分中,还具有身份认证的功能。
⑥病毒检测
计算机病毒从其危害程度上可分为两大类:一类为良性病毒或称为恶作剧病毒(如小球病毒),这类病毒并不对计算机系统构成损害,但却对程序的进程造成影响,尤其对于实时系统其危害程度是不容忽视的。另一类为恶性病毒(如CIH病毒),这类病毒会对计算机系统带来严重的危害,甚至会带来灾难性的后果。病毒检测是预防计算机病毒的有效措施,它通过对运行中的计算机系统的实时检测,随时发现病毒并进行消毒,从而保证计算机网络的安全。
(四)安全区的划分及隔离要求
1.安全区的划分
根据地调业务系统的数据流程、安全要求和目前状况可以把整个应用系统划分为I实时控制区、II非控制生产区、III生产管理区、IV管理信息区四个安全区。不同的安全区决定了不同的安全等级和防护水平。其中安全区Ⅰ的安全等级最高,安全区II次之,其余依次类推。
2.安全区横向及纵向隔离要求
(1)横向隔离
安全区I、II不得与安全区III、IV之间直接联系,安全区I、II与安全区III、IV之间采用经有关部门认定核准的专用安全隔离设备进行物理隔离,全隔离装置分为正向型和反向型两种,正向型用于安全区I/II到安全区III的单向数据传递;反向型用于安全区III到安全区I/II的单向数据传递,仅允许纯数据的单向安全传输。
(2)纵向隔离
-安全区I、II均接入电力调度数据网,两个安全区分别通过实时VPN和非实时VPN实现逻辑隔离。IP认证加密装置使用的认证密钥应由省调统一颁发和管理。
-在不具备签发电力调度系统内部数字证书的条件时,安全区Ⅰ、Ⅱ不得开通远程拨号服务。
-安全区III经防火墙接入电力数据通信网,使用电力数据通信网划分出的调度VPN通信。
-传统的基于专线通道的通信不涉及网络安全问题,本设计不予考虑。
-本设计对于安全区IV不做要求。
3.安全区内部安全防护要求
(1)对安全区Ⅰ及安全区Ⅱ的要求:
禁止安全区Ⅰ、Ⅱ内部的E-mail服务。禁止安全区Ⅰ的Web服务。允许安全区Ⅱ内部及纵向Web服务。安全区Ⅰ、Ⅱ的重要业务(如SCADA)应该采用认证加密机制。安全区Ⅰ、Ⅱ内的相关系统间必须分别通过内部、外部网关和中央交换机、接入交换机来对内和对外通信,绝不允许利用本系统交换机直接与其它系统进行通信。在不具备签发电力调度系统内部数字证书的条件时,对安全区Ⅰ、Ⅱ不开通本地拨号访问服务。安全区Ⅰ、Ⅱ应该部署安全审计措施,边界上应部署入侵检测系统。安全区Ⅰ、Ⅱ必须采取防恶意代码措施。
(2)对安全区Ⅲ要求:
安全区Ⅲ允许开通E-mail、Web服务。
安全区III内的相关系统间必须分别通过内部、外部网关和中央交换机、接入交换机来对内和对外通信,绝不允许利用本系统交换机直接与其它系统进行通信。
对安全区Ⅲ拨号访问服务必须配置具有IPsec VPN客户端接入功能的防火墙,并设置必要的安全策略对接入的用户访问的范围和资源做出明确的限制。
安全区Ⅲ必须采取防恶意代码措施。
(3)本方案对安全区Ⅳ不做详细要求。
(五)调度数据网安全防护实施方案
根据以上安全防护要求,呼伦贝尔地区电网调度数据网应采取以下安全防护措施: 1.网段划分
呼伦贝尔地区电网调度数据网划分为逻辑隔离的实时子网和非实时子网,实时子网主要用于接入控制区(安全区I)的业务,包括能量管理系统(EMS)、电力数据采集和监控系统(集控中心监控系统、变电所RTU或综自等);非实时子网主要用于接入非控制区(安全区II)的业务,包括电能量计量系统等。
2.本期呼伦贝尔地调接入网I区和II区采用IP纵向加密认证装置。
七、应用系统接入方式
(一)应用系统接入原则
1.调度端(县调除外)应用系统统一接入骨干网,应用系统间采用域内MPLS-VPN互联。
2.厂站端应用系统接入相应接入网,调度端到厂站通信采用跨域MP-EBGP方式互联,保证仅跨越一个域。
3.调度端采用双机双卡分别接入双网。
4.厂站端应采用双机双卡分别接入双网,对于扩卡有问题的老系统,采用双机单卡方式,双机分别接入双网。
5.双机应为负载均衡方式。
6.对于不支持网络方式的应用系统,可选用串口方式进行过渡。
7.对于流量较大的新应用功能,原则上接入调度数据网第二平面。
8.按电力二次系统安全防护要求,应用系统应配置安全防护设施。
(二) 应用系统接入方式
呼伦贝尔地调应用系统接入方式如图3所示,220kV厂站应用系统接入方式如图4所示,35kV-110kV厂站应用系统接入方式如图5所示。
图3 呼伦贝尔地调应用系统接入方式
图4 220kV厂站应用系统接入方式
图5 35kV-110kV厂站应用系统接入方式
八、结束语
呼伦贝尔电力调度数据网本着"统一规划设计、统一技术体制、统一路由策略、统一组织实施"的原则而组建,本工程主要完成呼伦贝尔调度数据网的建设,在今后的建设中我们还需不断将其优化和完善。
参考文献:
[1]郭建平(导师:赵洪山;董国防).华北电力大学(河北)硕士论文.电网调度网络安全防护体系结构及关键技术研究.2008(05).
[2]周宁(导师:朱庆生;何建军).重庆大学硕士论文.重庆电网二次系统安全防护体系结构及关键技术研究.2005(10)
[3]杨丽(导师:王保义).华北电力大学(河北)硕士论文.安全网关在电力二次系统安全防护中的应用研究.2008(12)
[4]徐力(导师:李海锋;谢幸生).华南理工大学硕士论文.中山电力二次系统安全防护的应用研究.2011(10)