电力通信网数据的安全防护系统及实现研究
2019-01-13任杰王婷宇
任杰 王婷宇
摘 要:当前电网规模复杂度越来越高,对电力通信数据依赖程度也在增加,因此为了保证电网的安全可靠运行,课题将结合相关《全国电力二次系统安全防护总体方案》,对电力通信网数据的安全防护系统进行研究与分析。
关键词:电网安全;电力通信网;安全防护
随着地区电网规模的越来越大其对电力通信数据的安全性要求也越来越高。国家也制定了多项电力通信网络安全防护措施,确保电网电网安全、优质、稳定的运行,根据电网实际需求和网络当前的实际情况,并结合《全国电力二次系统安全防护总体方案》,对电力通信网数据的安全防护系统进行研究和分析。
1 安全防护目标
电力通信网数据的安全防护系统目的在于保证电力数据网络的可靠性、安全性,防止外来力量破坏和攻击电力通信数据网,窃取电网有关的信息,同时防止电力系统因集团式攻击出现电网大面积的一二次电网重大事故,造成社会经济损失、甚至社会不稳定的发生。
2 系统安全防护策略
(1)安全分区。分区防护、突出重点。对电力系统里的所涉及的业务重要程度、一二次系统对电网的影响系数进行分析,并基于影响程度对电力系统中各个业务进行安全分区,同时因对系统内实时控制系统以及电网调度数据进行认证和加密等方面的重点防护措施。
(2)网络专用。对电力数据网络进行独立的构建,确保其与其他的数据信息网络间能够达到物理隔离的效果,同时对电力数据网络进行安全分区,实现子网间的相互隔离,从而达到各个层面上安全区的纵向互联能够在同一安全区域内实现,以防止纵向交叉现象的发生。
(3)横向隔离。采用不同等级的安全隔离措施,以实现系统内各个安全区的业务安全保护,其中利用逻辑隔离实现Ⅰ区和Ⅱ区的安全隔离,Ⅲ区、Ⅳ区和Ⅰ区、Ⅱ区间的隔离程度必须要求几乎能够达到物理隔离。横向隔离的措施具体如下:(a)Ⅰ区、Ⅱ区的隔离措施:考虑到Ⅰ区、Ⅱ区所涉及的业务主要集中电力安全生产上,数据交换相对频繁,两者联系较为紧密,因此可将Ⅰ区、Ⅱ区认定为一个逻辑生产大区,同时利用逻辑隔离实现Ⅰ区和Ⅱ区的安全隔离。(b)Ⅲ区、Ⅳ区的隔离措施:考虑到Ⅲ区、Ⅳ区所涉及的业务主要集中信息管理上,信息交互较为频繁,因此可将Ⅲ区、Ⅳ区认定为另外一个逻辑信息管理大区,同时利用逻辑隔离实现Ⅲ区和Ⅳ区的安全隔离。(c)Ⅲ区、Ⅳ区和Ⅰ区、Ⅱ区间的隔离措施,考虑到Ⅰ区、Ⅱ区和Ⅲ区、Ⅳ区分别为电力安全生产区和信息管理区,两个大区之间不容许有直接的关联,因此在逻辑生产大区向逻辑信息管理大区进行联系时通过单向数据传输的正向隔离措施进行物理隔离,而逻辑信息管理大区向逻辑生产大区进行联系时单向数据传输的反向隔离措施进行物理隔离。
(4)纵向认证。通过系统认证、安全加密、网络访问控制等方面的策略达到电力通信网数据的安全信息交互,同时对纵向边界进行安全保障,可通过加装经认定检测的IP防护加密装置对I区、Ⅱ区间的纵向边界进行安全防护,同时加装高精度的防火墙对Ⅲ区、Ⅳ区间的纵向边界进行安全防护。
3 网络安全防护
(1)网络路由防护。依据相关网络安全技术标准以及电力数据网管理标准,通过虚拟专网技术对电力数据网进行划分,其分别为非实时的调度数据子网和实时的电力调度数据子网。并通过网络路由防护保证电力数据网的安全可靠传输及应用。
(2)网络边界防护。对系统业务接入时采取严格的控制策略,确保接入信息的可信度。电力数据网不容许接入没有通过认证的业务。业务系统边界和电力通信网络进行业务往来时,必须采取有效的访问控制策略,对其通信的业务范围以及方式实现有效的防护控制。逻辑生产安全区与电力通信数据网间的纵向边界应使用有效的安全隔离措施、信息加密以及IP安全认证等有效的策略进行控制。同时电力系统中需实时上传的数据应进行纵向加密策略后上传至电力调度数据网中。
(3)网络设备的安全配置,其主要包含有关闭闲置的网络端口、访问控制系统进行授权、设定安全系数高的访问密码、对IP地址范围进行认定、对设备日志进行安全记录、网管协议主要是SNMPv2 及以上的版本、网络边界OSPF 路由功能进行屏蔽、默认路由进行设定、网络服务进行规定等等。
4 系统实施内容
为了保证数据的安全、可靠,系统采用虚拟专用网络(Virtual Private Network,即VPN)技术组建与系统主站的数据传输通道,并支持加密安全传输协议,同时部署防火墙设备,防止外部非法用户接入。为进一步提升通信安全性,在主站与电站侧分别部署VPN设备,其中平台侧作为VPN服務端,电站侧作为VPN接入端,并选择具有安全机制IPSEC VPN作为隧道协议。采集系统中的监控数据位于电力生产控制安全Ⅰ区,生产管理系统位于电力生产管理信息安全Ⅲ区。Ⅰ区监控服务器到Ⅲ区生产管理服务器之间部署正向隔离装置,保证数据传输满足电力网络安全的规范。
5 结论
课题在系统安全防护目标、系统安全防护策略、网络安全防护、系统实施内容四个方面对电力通信网数据的安全防护系统进行了研究,以确保电网安全、优质、稳定的运行,根据电网实际需求和网络当前的实际情况。
参考文献:
[1]胡春霞.基于大数据的电力通信网的安全防护系统及实现研究[J].中国新通信,2018,20(23):141.
[2]尹君.电力数据网络的应用与安全性[J].电子技术与软件工程,2017(09):193.
[3]张杰.电力二次系统安全防护常用技术浅析[J].中国高新技术企业,2015(04):131-132.
