论文部分内容阅读
[摘要]针对电力信息网络系统的特点,设计了一种基于分区防护的电力网络信息安全体系结构,并对该系统结构所用的安全隔离技术进行了分析,该设计可提高电力信息网络系统的信息安全。
[关键词]分区防护;电力信息网络;体系结构
引言
电力信息系统包括电力调度自动化系统、能量管理系统EMS、配电自动化系统DAS、配电管理系统DMS、管理信息系统等系统。随着电力信息网络系统的广泛应用,既要防止外部的也要防止内部的各种攻击,电力信息系统信息安全的问题日益突出,已成为影响电力系统生产和经营正常运行的重大问题。由于电力系统是国民经济的基础设施,决定了其网络信息安全既具有一般计算机信息安全的特征,更要考虑高安全要求的特征。针对电力信息网络系统的特点,设计了一种基于分区防护的电力网络信息安全体系结构,并对其所用的安全隔离技术进行了分析,该设计可提高电力信息网络系统的信息安全。
1、电力信息系统网络信息安全的体系结构
电力信息系统网络信息安全的体系结构采取专用网络和公共网络相结合的网络结构,如图1所示,其中,SPDnet(调度信息网)和SPnet(电力信息网)是电力专用网络。为了保障电力系统的安全,根据电力系统各部分对安全的不同要求程度,将电力网络信息系统划分为三层四区,具体分析如下。电力信息业务划分为三层:第一层——自动化系统,第二层——生产管理系统,第三层——电力信息管理系统及办公自动化系统。将三层功能与电力信息网络结构对应起来产生四个安全工作区域:安全区Ⅰ——SPDnet支撑的自动化系统,凡是具有实时监控功能的系统或其中的监控功能部分均应属于该区。如,调度自动化系统、相量同步测量系统、配电自动化系统、变电站自动化系统、发电厂自动监控系统等,是电力系统安全防护的重点。安全区Ⅱ——SPDnet支撑的生产管理系统,原则上不具备控制功能的生产业务和批发交易业务系统属于该区,如,水调自动化系统、电能量计量系统、发电侧电力市场交易系统等。安全区Ⅲ——SPnet支撑的进行生产管理系统,如,调度生产管理系统、雷电检测系统、气象信息接入和客户服务等。安全区Ⅳ——SPnet支撑的电力信息管理系统,如MIS和OAS等。电力网络信息安全的体系结构如图1所示。
从图1中可以看出,电力网络信息安全的体系结构体现了以下安全策略:(1)分区安全防护。根据系统中业务的重要性和对一次系统的影响程度,将电力信息网络系统划分为四个安全工作区,重点保护在安全区Ⅰ中的实时监控系统和安全区Ⅱ中的电力交易系统。(2)网络专用。SPDnet与SPnet通过正向型和反向型专用安全隔离装置实现(接近于)物理隔离,SPDnet提供二个相互逻辑隔离的MPLS-VPN分别与安全区Ⅰ和安全区Ⅱ进行通信。(3)横向隔离。安全区Ⅰ和安全区Ⅱ之间采用逻辑隔离,隔离设备为防火墙,安全区Ⅰ、Ⅱ与安全区Ⅲ、Ⅳ之间实现(接近于)物理隔离,隔离设备为正向型和反向型专用安全隔离装置。(4)纵向认证与防护。安全区Ⅰ、Ⅱ的纵向边界部署具有认证、加密功能的安全网关(即IP认证加密装置);安全区Ⅲ、Ⅳ的纵向边界部署硬件防火墙。(5)胖Ⅲ区瘦Ⅱ区分区方案和对应的数据中心统一支撑平台,为适应电网二次系统应用现状和发展要求,SCADA/EMS等系统的数据需要在Ⅲ区重构,以建立适应网络安全要求的电网调度运行系统数据中心统一支撑平台。(6)安全区Ⅳ通过防火墙与Internet相连接。
2、安全隔离技术
电力系统的信息网络相对Internet来说是一个内部网络,从被动防护的角度来看,内部网络的主要安全防护技术为放火墙、入侵检测技术等;而主动防护则主要采用安全隔离技术等。安全隔离技术主要包括物理、协议隔离技术及防火墙技术。
2.1物理隔离技术。物理隔离技术是指在物理上将内部网与外部网分离,阻断内部网与外部网的连接,内部网与外部网无法通过直接或间接的方式(包括放火墙或代理服务器等)连接。物理隔离是防范黑客入侵、病毒、拒绝服务等网络攻击的简单而有效的手段,电力信息网络系统的安全Ⅰ、Ⅱ区与安全Ⅲ、Ⅳ区之间采用物理隔离以保证其安全。物理隔离为内部网划定了明确的安全边界,使得网络的可控性增强,结合有效的安全管理及监测、审计等安全技术,可以准确地定位网络攻击来源,查找来自内部的攻击制造者。物理隔离可以有效地确保外部网不能通过网络连接而侵入内部网,同时防止内部网信息通过网络连接泄露到外部网。
2.2协议隔离技术。协议隔离技术是在内部网与外部网的连接端点处,配置协议隔离器来隔离内外网。协议隔离器使用了两台不同设备上的通用网络接口分别连接内部与外部网,而设备之间通过使用专用密码通信协议的专用接口卡进行互连。通常情况下,内外网是断开的,只有当有信息交换时,内外网才会通过协议隔离器连通。
2.3防火墙技术。防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的潜在的破坏性侵入。它可以通过检测、限制或更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。通过设置防火墙相关参数,可以实现数据包过滤、应用级网关和代理服务等安全功能。
3、结束结
由于电力系统是国民经济的基础设施,关系到国计民生,这就决定了其网络信息安全的设计除了要考虑其一般计算机网络信息安全的特征外,更要考虑其实时运行控制系统的更高安全要求,本文设计了一种基于分区防护的电力网络信息安全体系结构,分析了其所用的安全隔离技术,该设计可提高电力信息网络系统的信息安全。
参考文献
[1]王刚军,张学松,郭志忠.电力信息安全的监控与分析[J].电网技术,2004,vol.28(9):50~53.
[2]高新华,王文,马骁.电力信息网络安全隔离设备的研究[J].电网技术,2003,vol.27(9):69~72.
[3]胡炎,谢小荣,辛耀中.电力信息系统现有安全设计方法分析比较[J].电网技术,2006,vol.30(4):36~42.
[4]贺文华,陈志刚,胡玉平,陈代武.基于物理隔离技术的网络系统网络安全技术与应用,2008, (1):55~63.
[5]谢志玉,毕婧.防火墙技术研究[J].信息与电脑(理论版),2011,(1):32~38.
[关键词]分区防护;电力信息网络;体系结构
引言
电力信息系统包括电力调度自动化系统、能量管理系统EMS、配电自动化系统DAS、配电管理系统DMS、管理信息系统等系统。随着电力信息网络系统的广泛应用,既要防止外部的也要防止内部的各种攻击,电力信息系统信息安全的问题日益突出,已成为影响电力系统生产和经营正常运行的重大问题。由于电力系统是国民经济的基础设施,决定了其网络信息安全既具有一般计算机信息安全的特征,更要考虑高安全要求的特征。针对电力信息网络系统的特点,设计了一种基于分区防护的电力网络信息安全体系结构,并对其所用的安全隔离技术进行了分析,该设计可提高电力信息网络系统的信息安全。
1、电力信息系统网络信息安全的体系结构
电力信息系统网络信息安全的体系结构采取专用网络和公共网络相结合的网络结构,如图1所示,其中,SPDnet(调度信息网)和SPnet(电力信息网)是电力专用网络。为了保障电力系统的安全,根据电力系统各部分对安全的不同要求程度,将电力网络信息系统划分为三层四区,具体分析如下。电力信息业务划分为三层:第一层——自动化系统,第二层——生产管理系统,第三层——电力信息管理系统及办公自动化系统。将三层功能与电力信息网络结构对应起来产生四个安全工作区域:安全区Ⅰ——SPDnet支撑的自动化系统,凡是具有实时监控功能的系统或其中的监控功能部分均应属于该区。如,调度自动化系统、相量同步测量系统、配电自动化系统、变电站自动化系统、发电厂自动监控系统等,是电力系统安全防护的重点。安全区Ⅱ——SPDnet支撑的生产管理系统,原则上不具备控制功能的生产业务和批发交易业务系统属于该区,如,水调自动化系统、电能量计量系统、发电侧电力市场交易系统等。安全区Ⅲ——SPnet支撑的进行生产管理系统,如,调度生产管理系统、雷电检测系统、气象信息接入和客户服务等。安全区Ⅳ——SPnet支撑的电力信息管理系统,如MIS和OAS等。电力网络信息安全的体系结构如图1所示。
从图1中可以看出,电力网络信息安全的体系结构体现了以下安全策略:(1)分区安全防护。根据系统中业务的重要性和对一次系统的影响程度,将电力信息网络系统划分为四个安全工作区,重点保护在安全区Ⅰ中的实时监控系统和安全区Ⅱ中的电力交易系统。(2)网络专用。SPDnet与SPnet通过正向型和反向型专用安全隔离装置实现(接近于)物理隔离,SPDnet提供二个相互逻辑隔离的MPLS-VPN分别与安全区Ⅰ和安全区Ⅱ进行通信。(3)横向隔离。安全区Ⅰ和安全区Ⅱ之间采用逻辑隔离,隔离设备为防火墙,安全区Ⅰ、Ⅱ与安全区Ⅲ、Ⅳ之间实现(接近于)物理隔离,隔离设备为正向型和反向型专用安全隔离装置。(4)纵向认证与防护。安全区Ⅰ、Ⅱ的纵向边界部署具有认证、加密功能的安全网关(即IP认证加密装置);安全区Ⅲ、Ⅳ的纵向边界部署硬件防火墙。(5)胖Ⅲ区瘦Ⅱ区分区方案和对应的数据中心统一支撑平台,为适应电网二次系统应用现状和发展要求,SCADA/EMS等系统的数据需要在Ⅲ区重构,以建立适应网络安全要求的电网调度运行系统数据中心统一支撑平台。(6)安全区Ⅳ通过防火墙与Internet相连接。
2、安全隔离技术
电力系统的信息网络相对Internet来说是一个内部网络,从被动防护的角度来看,内部网络的主要安全防护技术为放火墙、入侵检测技术等;而主动防护则主要采用安全隔离技术等。安全隔离技术主要包括物理、协议隔离技术及防火墙技术。
2.1物理隔离技术。物理隔离技术是指在物理上将内部网与外部网分离,阻断内部网与外部网的连接,内部网与外部网无法通过直接或间接的方式(包括放火墙或代理服务器等)连接。物理隔离是防范黑客入侵、病毒、拒绝服务等网络攻击的简单而有效的手段,电力信息网络系统的安全Ⅰ、Ⅱ区与安全Ⅲ、Ⅳ区之间采用物理隔离以保证其安全。物理隔离为内部网划定了明确的安全边界,使得网络的可控性增强,结合有效的安全管理及监测、审计等安全技术,可以准确地定位网络攻击来源,查找来自内部的攻击制造者。物理隔离可以有效地确保外部网不能通过网络连接而侵入内部网,同时防止内部网信息通过网络连接泄露到外部网。
2.2协议隔离技术。协议隔离技术是在内部网与外部网的连接端点处,配置协议隔离器来隔离内外网。协议隔离器使用了两台不同设备上的通用网络接口分别连接内部与外部网,而设备之间通过使用专用密码通信协议的专用接口卡进行互连。通常情况下,内外网是断开的,只有当有信息交换时,内外网才会通过协议隔离器连通。
2.3防火墙技术。防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的潜在的破坏性侵入。它可以通过检测、限制或更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。通过设置防火墙相关参数,可以实现数据包过滤、应用级网关和代理服务等安全功能。
3、结束结
由于电力系统是国民经济的基础设施,关系到国计民生,这就决定了其网络信息安全的设计除了要考虑其一般计算机网络信息安全的特征外,更要考虑其实时运行控制系统的更高安全要求,本文设计了一种基于分区防护的电力网络信息安全体系结构,分析了其所用的安全隔离技术,该设计可提高电力信息网络系统的信息安全。
参考文献
[1]王刚军,张学松,郭志忠.电力信息安全的监控与分析[J].电网技术,2004,vol.28(9):50~53.
[2]高新华,王文,马骁.电力信息网络安全隔离设备的研究[J].电网技术,2003,vol.27(9):69~72.
[3]胡炎,谢小荣,辛耀中.电力信息系统现有安全设计方法分析比较[J].电网技术,2006,vol.30(4):36~42.
[4]贺文华,陈志刚,胡玉平,陈代武.基于物理隔离技术的网络系统网络安全技术与应用,2008, (1):55~63.
[5]谢志玉,毕婧.防火墙技术研究[J].信息与电脑(理论版),2011,(1):32~38.