提高电力二次系统安全防护的方法
开篇:润墨网以专业的文秘视角,为您筛选了一篇提高电力二次系统安全防护的方法范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
[摘 要]本文首先介绍了电力二次系统安全防护在电网调度自动化方面的意义,提出了以安全分区、横向隔离、网络专用和纵向认证的防护政策,最后提出了二次系统安全防护的关键技术和防护重点。
[关键词]二次系统;安全防护;方法
中图分类号:TM75 文献标识码:A 文章编号:1009-914X(2015)17-0275-01
电力二次系统安全防护主要是针对病毒、木马等恶意代码的侵害,防范入侵者的恶意攻击与破坏,保护电力调度数据网络和系统服务的连续性和电力监控系统和电力调度数据网络的可用性,实现应用系统和设备接入电力二次系统的身份认证,防止非法接入和非授权访问,预防对调度数据网络和应用系统上重要系统操作的抵赖行为,实现电力监控系统和调度数据网安全事件可发现、可跟踪及可审计,最终实现电力监控系统和调度数据网络的安全管理。因此,展开对电力二次系统的安全防护方法的讨论具有重要的现实意义。
1 电力二次系统安全防护概述
电力二次系统安全防护的重点是确保电力实时闭环监控系统及调度数据网络的安全,目标是抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击,特别是能够抵御集团式攻击,防止由此导致一次系统事故或大面积停电事故,及二次系统的崩溃或瘫痪。电力二次系统安全防护总体策略是安全分区、风险隔离、网络专用和纵向认证。根据电力二次系统业务的重要性和对电力一次系统的影响程度进行分区,电网电力二次系统一般分为生产控制大区和管理信息大区,其中生产控制大区分为控制区和非控制区,生产控制大区是重点保护对象。电力二次系统采用不同强度的安全设备实现各安全区的隔离,在生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置实现高强度隔离。省级与地级电力调度数据网应当在专用通道上使用独立的网络设备组网,在物理层面上实现与综合业务数据网及外部公共信息网的安全隔离。各级调控中心和厂站在控制区与调度数据网的纵向连接处应部署经过国家指定部门检测认证的电力专用纵向加密认证装置或加密认证网关以及其它安全设施,为上下级控制系统之间的调度数据网通信提供双向身份认证、数据加密和访问控制服务。
2 二次系统安全防护
2.1 VLAN技术
VLAN即虚拟局域网(Virtual LAN),它也是一种局域网,VLAN 是通过将LAN 中的工作站按一定的方法划分到逻辑网中而形成的。VLAN 的形成并没有改变原有网络的拓扑,网络的视图是一致的。VLAN 是建立在LAN 基础上的,能控制不必要的广播报文的扩散,提高网络带宽利用率,减少资源浪费,划分不同的用户组,对组之间的访问进行限制,提高安全性。VLAN保持了网络的广播通信方式,将对路由器的频带减少到最小程度。同时减少了网络移动和变化的成本。
2.2 MPLS VPN技术
MPLS VPN是一种基于MPLS技术的IP-VPN,是在网络路由和交换设备上应用MPLS 技术,简化核心路由器的路由选择方式,利用结合传统路由技术的标记交换实现的IP 虚拟专用网络(IP VPN),可用来构造宽带的Intranet、Extranet,满足多种灵活的业务需求。VPN(虚拟专用网络),被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过公用网络的安全、稳定的隧道。虚拟专用网络虚拟出来的企业内部专线,它可以通过特殊的加密的通讯协议在连接在Internet 上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路。采用MPLS-VPN 技术可以把现有IP 网络分解成逻辑上隔离的网络,这种逻辑上隔离的网络的应用可以是千变万化的,可以是用在解决企业互连、政府相同/不同部门的互连、也可以用来提供新的业务。
2.3 IDS技术
IDS(即入侵检测技术)采用协议分析、模式匹配、异常检测等技术、通过将交换机上关键接入端口的数据报文镜像到IDS 检测引擎(IDS 探头)的接入端口,实现对网络流量、数据包的动态监视、记录和管理、对异常事件进行告警等。能在生产控制大区和管理类信息大区部署入侵检测系统,对关键业务系统和网络边界的关键路径信息进行实时检测,实现安全事件的可发现、可追踪、可审计。
3.1 安全区间横向网络边界隔离防护
通过采用不同强度的安全设备对安全区之间实施横向隔离保护,特别是对生产控制大区与管理信息大区之间,其数据通信采用单向传输控制,以有效抵御病毒、黑客等各种攻击和渗透。控制区与非控制区之间采用硬件防火墙或具有ACL 访问控制功能的交换机或路由器等设备进行逻辑隔离。逻辑隔离设备应具备状态检测、数据过滤和地址转换等基本功能,可以对传输的地址、协议、端口和数据流的方向进行控制。访问控制策略只允许控制区与非控制区主动建立链接,禁止从非控制区反向访问控制区,确需反向访问时,必须对访问的地址、协议和端口实施严格的访问控制。
3.2 安全区与远方通信的纵向安全防护
在控制区与调度数据网实时VPN的网络边界设置纵向加密认证网关;在非控制区与调度数据网实时VPN的网络边界设置硬件防火墙是电力二次系统安全防护的键技术措施之一。纵向加密认证网关采用电力专用密码与认证技术,为各级通信提供认证与加密服务,实现数据传输的机密性、完整性保护,以及提供协议报文的过滤和处理功能,实现断到端的选择性保护。生产控制大区存在使用公用通信网络的,则需设置公网通信机,且边界设置装用安全隔离装置。对采用专线的,可以暂不设置加密设备。对特大型调度,安全区纵向网络边界可部署IDS探头,对数据报文进行动态检测。
3.3 调度数据网安全防护
调度数据网是生产控制大区专用的广域数据网络,应在专用通道上,采用独立网络设备组网,在物理层面上实现与综合业务网和公共信息网的安全隔离。各级调度数据网应避免形成不同安全区的纵向交叉连接,严禁与企业综合业务数据网、公用数据网等直接互联,且不允许远程拨号维护。对调度数据网络中的核心和关键点网络设备,必须采用双机冗余备份机制,保证调度数据网络系统的高可靠性。对路由器和交换机的网络服务和端口要进行严格限定、避免使用默认路由、关闭网络边界、关闭OSPF路由功能、关闭路由器的源路由功能、采用增强的SNMPv2及以上版本的网管协议、设置受信的网络地址范围、开启访问控制列表、记录设备日志、封闭空闲的网络端口等。
3.4 安全区内部安全防护
安全区内部的安全防护包括生产控制大区和管理信息大区的内部防护。生产控制大区内部防护措施包括对重要的服务器和通信网关必须进行安全加固,登陆口令的长度必须在8位以上且必须定期更换,且应采用调度数字证书进行登陆的强省份验证。安全区Ⅰ/Ⅱ内部有网络互联关系的应使用互联设备的ACL访问控制功能,避免系统间的直接互通;调控中心可在生产控制大区部署综合告警平台或日志审计系统,对各种网络运行日志、操作系统运行日志、数据库访问日志、安全设备运行日志等进行集中收集、自动分析和告警处理。管理信息大区根据业务系统划分安全区或安全网段,并通过交换机的ACL或防火墙对关键业务系统实施安全防护,纵向互联边界应部署防火墙。
4 结语
建立健全的电力二次系统安全防护体系,在总体防护安全策略下保护系统免受侵害,防止电力二次系统的安全事件引发或导致电力一次系统事故或大面积停电事故,保障电网安全稳定运行。
参考文献
[1] 李劲.论述广西电力二次系统安全防护技术原则[J].广西电力,2005 年,第04期:18-22页.
[2] 梁智强,范颖.电力二次系统安全防护的DDoS攻击原理及防御技术[J].计算机安全,2010年,第09期:3-6页.
[3] 杨丽.安全网关在电力二次系统安全防护中的应用研究[D].河北保定:华北电力大学,2008年.