论文部分内容阅读
摘要 针对目前电力数据通信网的组网现状以及存在的网络安全风险,本文提出了数据通信网组网结构升级改造方案,从核心层网络 汇聚层到接入层分别进行改造,并对风险终端区域部署单向访问控制策略,保障了风险终端不受到来自未知威胁区域的主动攻击,做好电力数据通信网的网络安全防护工作。
关键字 数据通信网;组网方案;网络安全防护
中图分类号 文献标识码 文章编号
0 引言
2016年11月7日,《网络安全法》由第十二届全国人大常委会表决通过,将于2017年6月1日起施行,这是我国第一部全面规范网络空间安全的基础性法律,是建设网络强国的制度保障。强调包括电力在内的关键信息基础设施是网络安全防护的重中之重,把网络安全上升到国家安全的高度。
电网是关系国计民生和国家能源安全的重要基础设施,其生产运行高度依赖网络和信息化。随着以特高压电网为核心,各级电网协调发展的坚强智能电网建设,对承载电网管理 运行 控制信息的电力数据通信网提出了更高的要求。与此同时,网络攻击威胁日益增加,网络安全边界持续扩大,网络接入用户不断增多,这些因素都有可能对网络安全构成威胁。电力数据通信网作为电力管理信息大区承载数据的网,它的安全已经成为构架坚强智能电网的安全信息通信平台的重要保证。
1 电力数据通信网路由组网现状
目前的数据通信网大都采用分层网络结构,分别为核心层 汇聚层和接入层。其中,核心网络作为上级网络的边界以实现路由的汇聚和转发,汇聚层作为数据通信网的网关设备,接入层采用低端路由设备(具有MPLS VPN功能),整体网络为星形拓扑;公司各层级网络之间通过OSPF协议实现IPV4路由可达,通过BGP+MPLS VPN实现各业务系统之间的逻辑隔离及上级业务系统的互通。
通过分析,目前电力数据通信网在结构上存在以下缺陷:
1)现有网络结构导致核心路由器运行进程过多,既要兼顾与上一级路由器BGP跨域运算,又要向公司内部各汇聚设备学习 分发明细路由条目,此种方式长期运行即不利于设备本身发挥性能,也影响公司整体网络的健壮性,存在较大的网络故障隐患。
2)现有核心路由器之间只有一条互联链路,均为万兆端口;按照目前的网络结构和路由划分,如果某端口模块损坏或光纤跳线损坏造成互联链路故障,将造成整体网络路由震荡,影响管理信息大区业务的正常运行,存在较大的网络安全风险。
2 组网升级改造目标
电力数据通信网建设的总体目标为:数据通信网覆盖市公司行政办公大楼 检修楼 营销楼 县公司 35~500kV变电站 供电所 营业厅及市公司直属单位;短期内承载行政软交换业务,同时满足后续各站点视频监控 视频会议 通信支撑等其他数据业务接入需求;主要节点采用全路由设备组网,支持MPLS VPN,满足多业务数据传输安全需要,并实现端到端的QoS保障;实现主要节点双设备双路由,保证数据通信网络的设备可靠性和通道可靠性。
针对以上目标,提出区域电力数据通信网组网改造目标:
1)公司核心层网络结构更合理,设备横向互联链路更可靠;
2)实施公司整体网络安全防护配置步骤缩减(只需配置在汇聚路由器),效率高,出错率低,并且利于后期维护;
3)各业务 系统节点可针对自身应用访问情况单独配置网络安全防护明细策略,易于后期管理。
3 组网升级方案
3.1 核心层网络升级方案
核心层通过核心路由器实现与信息广域网的互联,同时对市区及县区汇聚层流量进行汇聚和高速转发。核心层网络可采用口字型结构,口字型拓扑网络结构简单明晰,双路由可靠性高,应用业务穿越子网路由直径最短,有助于缩小网络延时,加快网络收敛,提高网络性能。电力数据通信网未来将承载大量视频类业务,流量以汇聚型为主,横向穿越流量较少,收敛型的口字型网络更符合电力数据通信流量特点,因此推荐本次核心层组网结构升级为口字型拓扑网络。
3.2 汇聚层 接入层MCE改造
在局域网内的CE设备上运行VPN多实例,可以实现将一台物理路由器划分为多个虚拟的路由器,由一台路由器完成多个传统路由器的功能。从而,解决局域网内部业务分离 保证业务安全性的问题。运行了VPN多实例的CE设备稱为Multi-VPN-Instance CE,即MCE。MCE将PE功能扩展到CE设备,扩展了BGP/MPLS VPN体系。将BGP/MPLS VPN的私有性和安全性扩展到一个用户网络内部的分支办公室或部门,而不是局限在PE节点,以较低的成本解决了局域网内部业务分离和安全性问题。通过MCE,多个用户可以共享一个CE,减少了设备使用量,简化了管理。MCE不需要支持MPLS BGP/OSPF互操作功能,是不支持MPLS和BGP/MPLS VPN的低端设备上非常重要的功能。
3.3 基于TCP协议的访问控制策略
在现有网络架构上阻止危险网段对主机网段的访问,同时允许主机网段访问危险网段中部分主机,以便硬件防火墙对市 县供电公司的风险终端,如Windows XP等无法提供安全补丁的系统,进行有效的安全防护。
访问控制列表(Access Control List,ACL)是路由器和交换机接口的指令列表,用来控制端口进出的数据包。
虚拟专用网络(Virtual Private Network,VPN)是建立的专用网络,可以对通讯进行加密。目前公司使用的为三层MPLS VPN技术,是在网络路由设备上应用多标签标记交换(Multiprotocol Label Switching,MPLS)技术,MPLS VPN技术安全性高 业务综合能力强 转发效率高适用于大型企事业单位。 此次单向访问控制策略基于TCP协议,因TCP协议为面向对象的协议,设备通讯前需建立TCP连接。建立TCP连接需要三次交互(三次握手),第一次交互为申请建立主机发出SYN数据包向目的主机申请建立连接,发出SYN数据包时申请主机会将自己的状态更改为申请已发送的状态;第二次交互为目的主机收到SYN数据包,并向申请主机反馈一个SYN+ACK的数据包,并将自己的状态调整为已接收建立连接申请状态;第三次交互为申请主机收到SYN+ACK的数据包,向目的主机发送一个ACK确认的数据包,并将TCP连接建立状态更改为已建立,到此两台主机间的TCP连接完全建立。阻止三次交互中的任意一次交互都可以使TCP连接建立不成功,进一步分析连接建立过程后,我们可以发现第二次交互的SYN+ACK数据包是由目的主机作为发送源,申请主机位目的地址,可以根据可能遭到攻击的目的主机IP地址作为访问控制依据,以实现TCP协议的单向访问策略,保护目的主机无法被危险网段主动建立TCP连接。
4 结束语
对电力数据通信网组网现状 网络安全问题进行分析,提出网络升级方案并进行了全面阐述。新建的数据网具有高可靠性 大容量 高传输速率等优点,较好地解决了区域电力数据通信网中存在的网络故障隐患,提高了区域电力通信网的网络安全防护能力,为区域电力数据通信网的建设提供了思路和参考。
参考文献:
1.田村康男, 提兆旭, 曹长征. 电力系统规划与运行[M]. OHM社, 1997.
2. Kelly Jackson Higgins. Power Company Branches Into Network Service.中国科学院计算机网络信息中心网络报社,2000.6
3.D.E.N.Davies, 黎荣龙. 21世纪通信=COMMUNICATIONS AFTER AD 2000[M]. 北京邮电大学出版社, 1995.
4.叶颖. 漳州地区电力通信数据网解决方案[J]. 中国高新技术企业, 2012(z1):130-132.
5.网络通信技术实用大全 张维华 主编 上海科技文献出版社 1999.9
6.晏烨. 电力数据通信网安全分析及解决方案[J]. 华东科技:學术版, 2016(7):178-178.
7.尹薇薇. 杭州电力数据通信网建设方案研究[J]. 电力信息与通信技术, 2014, 12(10):31-36.
关键字 数据通信网;组网方案;网络安全防护
中图分类号 文献标识码 文章编号
0 引言
2016年11月7日,《网络安全法》由第十二届全国人大常委会表决通过,将于2017年6月1日起施行,这是我国第一部全面规范网络空间安全的基础性法律,是建设网络强国的制度保障。强调包括电力在内的关键信息基础设施是网络安全防护的重中之重,把网络安全上升到国家安全的高度。
电网是关系国计民生和国家能源安全的重要基础设施,其生产运行高度依赖网络和信息化。随着以特高压电网为核心,各级电网协调发展的坚强智能电网建设,对承载电网管理 运行 控制信息的电力数据通信网提出了更高的要求。与此同时,网络攻击威胁日益增加,网络安全边界持续扩大,网络接入用户不断增多,这些因素都有可能对网络安全构成威胁。电力数据通信网作为电力管理信息大区承载数据的网,它的安全已经成为构架坚强智能电网的安全信息通信平台的重要保证。
1 电力数据通信网路由组网现状
目前的数据通信网大都采用分层网络结构,分别为核心层 汇聚层和接入层。其中,核心网络作为上级网络的边界以实现路由的汇聚和转发,汇聚层作为数据通信网的网关设备,接入层采用低端路由设备(具有MPLS VPN功能),整体网络为星形拓扑;公司各层级网络之间通过OSPF协议实现IPV4路由可达,通过BGP+MPLS VPN实现各业务系统之间的逻辑隔离及上级业务系统的互通。
通过分析,目前电力数据通信网在结构上存在以下缺陷:
1)现有网络结构导致核心路由器运行进程过多,既要兼顾与上一级路由器BGP跨域运算,又要向公司内部各汇聚设备学习 分发明细路由条目,此种方式长期运行即不利于设备本身发挥性能,也影响公司整体网络的健壮性,存在较大的网络故障隐患。
2)现有核心路由器之间只有一条互联链路,均为万兆端口;按照目前的网络结构和路由划分,如果某端口模块损坏或光纤跳线损坏造成互联链路故障,将造成整体网络路由震荡,影响管理信息大区业务的正常运行,存在较大的网络安全风险。
2 组网升级改造目标
电力数据通信网建设的总体目标为:数据通信网覆盖市公司行政办公大楼 检修楼 营销楼 县公司 35~500kV变电站 供电所 营业厅及市公司直属单位;短期内承载行政软交换业务,同时满足后续各站点视频监控 视频会议 通信支撑等其他数据业务接入需求;主要节点采用全路由设备组网,支持MPLS VPN,满足多业务数据传输安全需要,并实现端到端的QoS保障;实现主要节点双设备双路由,保证数据通信网络的设备可靠性和通道可靠性。
针对以上目标,提出区域电力数据通信网组网改造目标:
1)公司核心层网络结构更合理,设备横向互联链路更可靠;
2)实施公司整体网络安全防护配置步骤缩减(只需配置在汇聚路由器),效率高,出错率低,并且利于后期维护;
3)各业务 系统节点可针对自身应用访问情况单独配置网络安全防护明细策略,易于后期管理。
3 组网升级方案
3.1 核心层网络升级方案
核心层通过核心路由器实现与信息广域网的互联,同时对市区及县区汇聚层流量进行汇聚和高速转发。核心层网络可采用口字型结构,口字型拓扑网络结构简单明晰,双路由可靠性高,应用业务穿越子网路由直径最短,有助于缩小网络延时,加快网络收敛,提高网络性能。电力数据通信网未来将承载大量视频类业务,流量以汇聚型为主,横向穿越流量较少,收敛型的口字型网络更符合电力数据通信流量特点,因此推荐本次核心层组网结构升级为口字型拓扑网络。
3.2 汇聚层 接入层MCE改造
在局域网内的CE设备上运行VPN多实例,可以实现将一台物理路由器划分为多个虚拟的路由器,由一台路由器完成多个传统路由器的功能。从而,解决局域网内部业务分离 保证业务安全性的问题。运行了VPN多实例的CE设备稱为Multi-VPN-Instance CE,即MCE。MCE将PE功能扩展到CE设备,扩展了BGP/MPLS VPN体系。将BGP/MPLS VPN的私有性和安全性扩展到一个用户网络内部的分支办公室或部门,而不是局限在PE节点,以较低的成本解决了局域网内部业务分离和安全性问题。通过MCE,多个用户可以共享一个CE,减少了设备使用量,简化了管理。MCE不需要支持MPLS BGP/OSPF互操作功能,是不支持MPLS和BGP/MPLS VPN的低端设备上非常重要的功能。
3.3 基于TCP协议的访问控制策略
在现有网络架构上阻止危险网段对主机网段的访问,同时允许主机网段访问危险网段中部分主机,以便硬件防火墙对市 县供电公司的风险终端,如Windows XP等无法提供安全补丁的系统,进行有效的安全防护。
访问控制列表(Access Control List,ACL)是路由器和交换机接口的指令列表,用来控制端口进出的数据包。
虚拟专用网络(Virtual Private Network,VPN)是建立的专用网络,可以对通讯进行加密。目前公司使用的为三层MPLS VPN技术,是在网络路由设备上应用多标签标记交换(Multiprotocol Label Switching,MPLS)技术,MPLS VPN技术安全性高 业务综合能力强 转发效率高适用于大型企事业单位。 此次单向访问控制策略基于TCP协议,因TCP协议为面向对象的协议,设备通讯前需建立TCP连接。建立TCP连接需要三次交互(三次握手),第一次交互为申请建立主机发出SYN数据包向目的主机申请建立连接,发出SYN数据包时申请主机会将自己的状态更改为申请已发送的状态;第二次交互为目的主机收到SYN数据包,并向申请主机反馈一个SYN+ACK的数据包,并将自己的状态调整为已接收建立连接申请状态;第三次交互为申请主机收到SYN+ACK的数据包,向目的主机发送一个ACK确认的数据包,并将TCP连接建立状态更改为已建立,到此两台主机间的TCP连接完全建立。阻止三次交互中的任意一次交互都可以使TCP连接建立不成功,进一步分析连接建立过程后,我们可以发现第二次交互的SYN+ACK数据包是由目的主机作为发送源,申请主机位目的地址,可以根据可能遭到攻击的目的主机IP地址作为访问控制依据,以实现TCP协议的单向访问策略,保护目的主机无法被危险网段主动建立TCP连接。
4 结束语
对电力数据通信网组网现状 网络安全问题进行分析,提出网络升级方案并进行了全面阐述。新建的数据网具有高可靠性 大容量 高传输速率等优点,较好地解决了区域电力数据通信网中存在的网络故障隐患,提高了区域电力通信网的网络安全防护能力,为区域电力数据通信网的建设提供了思路和参考。
参考文献:
1.田村康男, 提兆旭, 曹长征. 电力系统规划与运行[M]. OHM社, 1997.
2. Kelly Jackson Higgins. Power Company Branches Into Network Service.中国科学院计算机网络信息中心网络报社,2000.6
3.D.E.N.Davies, 黎荣龙. 21世纪通信=COMMUNICATIONS AFTER AD 2000[M]. 北京邮电大学出版社, 1995.
4.叶颖. 漳州地区电力通信数据网解决方案[J]. 中国高新技术企业, 2012(z1):130-132.
5.网络通信技术实用大全 张维华 主编 上海科技文献出版社 1999.9
6.晏烨. 电力数据通信网安全分析及解决方案[J]. 华东科技:學术版, 2016(7):178-178.
7.尹薇薇. 杭州电力数据通信网建设方案研究[J]. 电力信息与通信技术, 2014, 12(10):31-36.