前言:想要寫出一篇引人入勝的文章?我們特意為您整理了電力系統(tǒng)網(wǎng)絡(luò)安全隔離設(shè)計(jì)范文,希望能給你帶來靈感和參考,敬請閱讀。
隨著我國社會經(jīng)濟(jì)水平的不斷提高,推動了電力信息化的深入發(fā)展。電力企業(yè)間的信息網(wǎng)絡(luò)數(shù)據(jù)交換逐漸頻繁,并且企業(yè)信息網(wǎng)絡(luò)電力控制的系統(tǒng)數(shù)量也逐漸增加,所以,與電力企業(yè)相關(guān)的信息網(wǎng)絡(luò)在電力系統(tǒng)中的作用變得越來越重要,信息網(wǎng)絡(luò)的安全性也具有一定的現(xiàn)實(shí)意義。
1電力系統(tǒng)網(wǎng)絡(luò)安全研究
1.1實(shí)時(shí)控制區(qū)
該控制區(qū)的主要業(yè)務(wù)與電力系統(tǒng)中發(fā)電和供電具有直接的聯(lián)系,主要供調(diào)度人員與運(yùn)行操作人員使用。信息數(shù)據(jù)的實(shí)時(shí)性能夠以秒級顯示,并且對網(wǎng)絡(luò)自身的實(shí)時(shí)安全性能具有極高的要求。實(shí)時(shí)控制區(qū)在電力的二次系統(tǒng)中發(fā)揮著重要的作用,同時(shí)也是電力企業(yè)網(wǎng)絡(luò)安全重點(diǎn)的保護(hù)對象,其安全的等級比較高。其中較為典型的系統(tǒng)主要包括調(diào)度的自動化系統(tǒng)與變電站自動化系統(tǒng)等等。
1.2非控制生產(chǎn)區(qū)
該區(qū)域的主要業(yè)務(wù)系統(tǒng)就是沒有控制能力與批發(fā)交易的系統(tǒng),此外,在系統(tǒng)內(nèi)部無需控制的部分也屬于該區(qū)域。非控制生產(chǎn)區(qū)的實(shí)時(shí)性主要是以分或者小時(shí)顯示的。比較具有代表性的系統(tǒng)就是電能量計(jì)量系統(tǒng)、通信監(jiān)控系統(tǒng)等等。該生產(chǎn)區(qū)主要是供實(shí)際運(yùn)行計(jì)劃的工作人員與發(fā)電側(cè)電力市場的交易員使用。
1.3生產(chǎn)管理區(qū)
生產(chǎn)管理區(qū)主要的業(yè)務(wù)系統(tǒng)是支撐企業(yè)的經(jīng)營與管理的電力生產(chǎn)管理信息的系統(tǒng)。具有代表性的系統(tǒng)主要就是統(tǒng)計(jì)報(bào)表系統(tǒng)與調(diào)度生產(chǎn)管理系統(tǒng)等等。在該區(qū)域內(nèi)部的生產(chǎn)系統(tǒng)需要采取相應(yīng)的安全防護(hù)措施,并提供WEB的服務(wù)。其中,生產(chǎn)管理區(qū)域的外部通信的邊界主要就是電力數(shù)據(jù)信息的通信網(wǎng)。
1.4管理信息區(qū)
該區(qū)域的主要業(yè)務(wù)系統(tǒng)就是沒有進(jìn)行直接參與電力企業(yè)過程控制與生產(chǎn)管理的經(jīng)營與采購以及銷售等的管理信息系統(tǒng)。主要的典型系統(tǒng)就是辦公自動化系統(tǒng)及MIS系統(tǒng)等等。
2電力系統(tǒng)隔離裝置設(shè)計(jì)應(yīng)用
2.1電力系統(tǒng)隔離裝置技術(shù)要求
第一,有效的完成安全區(qū)間非網(wǎng)絡(luò)形式的安全信息數(shù)據(jù)交換,同時(shí)要確保不同時(shí)將安全隔離裝置的內(nèi)部與外部的處理系統(tǒng)連接。第二,保證表示層與應(yīng)用層的數(shù)據(jù)信息以完全單向的傳輸形式進(jìn)行傳輸。第三,實(shí)行透明的工作方式,包括虛擬主機(jī)的IP地址并將MAC的地址進(jìn)行隱藏。第四,根據(jù)IP、傳輸端口與協(xié)議以及MAC等綜合的報(bào)文進(jìn)行過濾與訪問的控制。第五,積極支持NAT的應(yīng)用。第六,有效避免穿透性TCP的聯(lián)接。不允許將內(nèi)網(wǎng)與外網(wǎng)的應(yīng)用網(wǎng)關(guān)直接創(chuàng)建TCP的聯(lián)接,應(yīng)將內(nèi)外網(wǎng)應(yīng)用網(wǎng)關(guān)間TCP的聯(lián)接進(jìn)行合理的分解,在隔離裝置的內(nèi)部與外部進(jìn)行TCP的虛擬聯(lián)接。但是,隔離裝置內(nèi)部與外部的兩網(wǎng)卡是處于非網(wǎng)絡(luò)連接的狀態(tài),并且只能進(jìn)行數(shù)據(jù)信息的單向傳輸。第七,應(yīng)用層需要具備能夠定制的解析能力,并且能夠支持其對特殊標(biāo)記的識別功能。第八,使用安全且方便的維護(hù)與管理措施。保證通過管理人員的證書認(rèn)證,并形成圖形化的界面進(jìn)行管理。第九,專用的安全隔離裝置自身需要具備較強(qiáng)的安全防護(hù)能力。其中的安全性主要包括的就是安全固化的操作系統(tǒng)以及非INTEL指令系統(tǒng)中的微處理器,還有就是能夠抵御DoS外的具有已知性的網(wǎng)絡(luò)攻擊。
2.2電力系統(tǒng)的組成要素
整個(gè)電力系統(tǒng)主要包括兩部分,其一是隔離系統(tǒng),其二是相關(guān)配置的管理程序。而隔離系統(tǒng)是由內(nèi)網(wǎng)關(guān)的程序與外網(wǎng)關(guān)的程序以及檢測控制的單元三部分組成。而配置管理程序中的工具主要有客戶端配置的界面與證書的認(rèn)證模塊等。
2.3電力系統(tǒng)隔離裝置的具體工作流程
隔離系統(tǒng)的軟件主要包括以下幾個(gè)模塊:內(nèi)外網(wǎng)的處理模塊、硬件的檢測與控制單元以及相應(yīng)的管理模塊。圖1為電力系統(tǒng)實(shí)際的工作流程圖。
2.3.1內(nèi)網(wǎng)處理模塊內(nèi)網(wǎng)處理模塊主要是對ARP的請求進(jìn)行處理并回應(yīng)。在收到內(nèi)網(wǎng)的ARP請求時(shí),及時(shí)的返回ARP的返回包。而在接收到外網(wǎng)的ARP請求時(shí),需要對虛擬地址進(jìn)行仔細(xì)的查找,再將ARP虛擬的回應(yīng)包返回。在網(wǎng)卡上所獲得的信息數(shù)據(jù),如果使用的是外網(wǎng)關(guān)信息數(shù)據(jù),一定要進(jìn)行MAC與傳輸協(xié)議以及IP和傳輸端口的報(bào)文過濾。全面仔細(xì)的對NAT的規(guī)則進(jìn)行檢查,并按照相應(yīng)的規(guī)則將數(shù)據(jù)包中的源IP地址進(jìn)行合理的替換,此外,還包括源MAC地址與端口號的替換,確保將其記錄在相應(yīng)的連接信息數(shù)據(jù)表格中。進(jìn)行校驗(yàn)碼的重新驗(yàn)證與計(jì)算,并且要使用隔離卡將其及時(shí)的發(fā)送到外網(wǎng)中。積極的接受外網(wǎng)利用隔離卡所發(fā)送的TCP信號,在對其進(jìn)行地址的還原以后,進(jìn)行相應(yīng)的計(jì)算校驗(yàn),最終將其發(fā)送給內(nèi)網(wǎng)。
2.3.2外網(wǎng)處理模塊在網(wǎng)卡上所獲得的數(shù)據(jù)信息如果是利用外網(wǎng)關(guān)數(shù)據(jù)信息發(fā)送的,應(yīng)與CAM表格進(jìn)行對比。若發(fā)送到內(nèi)網(wǎng)TCP信號,應(yīng)將其轉(zhuǎn)發(fā)至內(nèi)網(wǎng)關(guān)內(nèi)。積極接受內(nèi)網(wǎng)發(fā)來的信息數(shù)據(jù),并將其送至最終的地址,將具體的地址信息記錄在CAM表格中。最重要的是,要有效的制止外網(wǎng)主動的進(jìn)行連接。
2.3.3硬件檢測與控制單元對協(xié)議的數(shù)據(jù)信息長度進(jìn)行分析,并將其發(fā)至內(nèi)網(wǎng)TCP應(yīng)答處。如果沒有數(shù)據(jù)信息就送至內(nèi)網(wǎng)的處理模塊處,也可以直接丟棄。
3結(jié)束語
網(wǎng)絡(luò)隔離技術(shù)是與其他技術(shù)進(jìn)行合理的結(jié)合來有效提高系統(tǒng)安全性的技術(shù)。但是,目前階段,網(wǎng)絡(luò)的隔離技術(shù)仍存在問題。因?yàn)榫W(wǎng)絡(luò)隔離技術(shù)主要對網(wǎng)絡(luò)信息數(shù)據(jù)進(jìn)行審查,并且要通過協(xié)議的審查與身份的認(rèn)證以及相關(guān)內(nèi)容的審查,所以,一定程度上會影響到網(wǎng)絡(luò)傳輸?shù)乃俾?,?yīng)對此問題加以關(guān)注,并采取針對性的方法進(jìn)行有效的解決,進(jìn)而促進(jìn)電力系統(tǒng)網(wǎng)絡(luò)隔離工作的進(jìn)一步發(fā)展。
作者:李江 范方俊