電力系統網絡安全隔離設計
前言:想要寫出一篇引人入勝的文章?我們特意為您整理了電力系統網絡安全隔離設計范文,希望能給你帶來靈感和參考,敬請閱讀。
隨著我國社會經濟水平的不斷提高,推動了電力信息化的深入發展。電力企業間的信息網絡數據交換逐漸頻繁,并且企業信息網絡電力控制的系統數量也逐漸增加,所以,與電力企業相關的信息網絡在電力系統中的作用變得越來越重要,信息網絡的安全性也具有一定的現實意義。
1電力系統網絡安全研究
1.1實時控制區
該控制區的主要業務與電力系統中發電和供電具有直接的聯系,主要供調度人員與運行操作人員使用。信息數據的實時性能夠以秒級顯示,并且對網絡自身的實時安全性能具有極高的要求。實時控制區在電力的二次系統中發揮著重要的作用,同時也是電力企業網絡安全重點的保護對象,其安全的等級比較高。其中較為典型的系統主要包括調度的自動化系統與變電站自動化系統等等。
1.2非控制生產區
該區域的主要業務系統就是沒有控制能力與批發交易的系統,此外,在系統內部無需控制的部分也屬于該區域。非控制生產區的實時性主要是以分或者小時顯示的。比較具有代表性的系統就是電能量計量系統、通信監控系統等等。該生產區主要是供實際運行計劃的工作人員與發電側電力市場的交易員使用。
1.3生產管理區
生產管理區主要的業務系統是支撐企業的經營與管理的電力生產管理信息的系統。具有代表性的系統主要就是統計報表系統與調度生產管理系統等等。在該區域內部的生產系統需要采取相應的安全防護措施,并提供WEB的服務。其中,生產管理區域的外部通信的邊界主要就是電力數據信息的通信網。
1.4管理信息區
該區域的主要業務系統就是沒有進行直接參與電力企業過程控制與生產管理的經營與采購以及銷售等的管理信息系統。主要的典型系統就是辦公自動化系統及MIS系統等等。
2.1電力系統隔離裝置技術要求
第一,有效的完成安全區間非網絡形式的安全信息數據交換,同時要確保不同時將安全隔離裝置的內部與外部的處理系統連接。第二,保證表示層與應用層的數據信息以完全單向的傳輸形式進行傳輸。第三,實行透明的工作方式,包括虛擬主機的IP地址并將MAC的地址進行隱藏。第四,根據IP、傳輸端口與協議以及MAC等綜合的報文進行過濾與訪問的控制。第五,積極支持NAT的應用。第六,有效避免穿透性TCP的聯接。不允許將內網與外網的應用網關直接創建TCP的聯接,應將內外網應用網關間TCP的聯接進行合理的分解,在隔離裝置的內部與外部進行TCP的虛擬聯接。但是,隔離裝置內部與外部的兩網卡是處于非網絡連接的狀態,并且只能進行數據信息的單向傳輸。第七,應用層需要具備能夠定制的解析能力,并且能夠支持其對特殊標記的識別功能。第八,使用安全且方便的維護與管理措施。保證通過管理人員的證書認證,并形成圖形化的界面進行管理。第九,專用的安全隔離裝置自身需要具備較強的安全防護能力。其中的安全性主要包括的就是安全固化的操作系統以及非INTEL指令系統中的微處理器,還有就是能夠抵御DoS外的具有已知性的網絡攻擊。
2.2電力系統的組成要素
整個電力系統主要包括兩部分,其一是隔離系統,其二是相關配置的管理程序。而隔離系統是由內網關的程序與外網關的程序以及檢測控制的單元三部分組成。而配置管理程序中的工具主要有客戶端配置的界面與證書的認證模塊等。
2.3電力系統隔離裝置的具體工作流程
隔離系統的軟件主要包括以下幾個模塊:內外網的處理模塊、硬件的檢測與控制單元以及相應的管理模塊。圖1為電力系統實際的工作流程圖。
2.3.1內網處理模塊內網處理模塊主要是對ARP的請求進行處理并回應。在收到內網的ARP請求時,及時的返回ARP的返回包。而在接收到外網的ARP請求時,需要對虛擬地址進行仔細的查找,再將ARP虛擬的回應包返回。在網卡上所獲得的信息數據,如果使用的是外網關信息數據,一定要進行MAC與傳輸協議以及IP和傳輸端口的報文過濾。全面仔細的對NAT的規則進行檢查,并按照相應的規則將數據包中的源IP地址進行合理的替換,此外,還包括源MAC地址與端口號的替換,確保將其記錄在相應的連接信息數據表格中。進行校驗碼的重新驗證與計算,并且要使用隔離卡將其及時的發送到外網中。積極的接受外網利用隔離卡所發送的TCP信號,在對其進行地址的還原以后,進行相應的計算校驗,最終將其發送給內網。
2.3.2外網處理模塊在網卡上所獲得的數據信息如果是利用外網關數據信息發送的,應與CAM表格進行對比。若發送到內網TCP信號,應將其轉發至內網關內。積極接受內網發來的信息數據,并將其送至最終的地址,將具體的地址信息記錄在CAM表格中。最重要的是,要有效的制止外網主動的進行連接。
2.3.3硬件檢測與控制單元對協議的數據信息長度進行分析,并將其發至內網TCP應答處。如果沒有數據信息就送至內網的處理模塊處,也可以直接丟棄。
3結束語
網絡隔離技術是與其他技術進行合理的結合來有效提高系統安全性的技術。但是,目前階段,網絡的隔離技術仍存在問題。因為網絡隔離技術主要對網絡信息數據進行審查,并且要通過協議的審查與身份的認證以及相關內容的審查,所以,一定程度上會影響到網絡傳輸的速率,應對此問題加以關注,并采取針對性的方法進行有效的解決,進而促進電力系統網絡隔離工作的進一步發展。
作者:李江 范方俊
