安康地区调度数据网安全防护研究

2011-10-09 09:46周耀辉
电子设计工程 2011年24期
关键词:数据网安康路由

周耀辉

(安康供电局 陕西 安康 725000)

计算机技术与通信技术的迅猛发展,唤来了网络、信息技术的日新月异。信息化的普及深入对各行各业都产生了极其深远的影响,电力行业也不例外,已融入这浩瀚的信息网络之中。与电力生产、管理系统和输送过程直接相关的信息量在迅速增加,迫切需要对网络信息资源共享。基于电力调度应用系统特点与数据通信的内在效用,组建跨地域的电力调度数据网已悄然兴起。

电力调度数据网是电力生产实时信息传输的网络,是跨地域电力数据通信网的重要业务网络[1-2]。安康电力调度数据网是专门为电力调度生产服务的,网络承载业务主要是包括调度自动化实时信息、电能量计量信息、自动化设备远程管控等业务,是电力系统内各种计算机应用系统实现互联的基础。安康调度数据网是陕西电力调度数据网安康地区的延伸网络,是在现有通信传输网络的基础上,建设一个覆盖安康市各区监控中心及厂站的数据网络,实现安康电网系统生产安全监控信息资源的共享。

1 安康电力调度数据网络安全威胁

目前安康电力调度数据网经过2009年到2010年的建设,已经建成覆盖330~110 kV变电站的双星形网络,目前网络规模覆盖6个集控站,16个110 kV变电站。网络拓扑图如图1所示。

随着电力企业改革的不断推进和电力市场的逐步建立,在调度中心、电厂、变电站之间的数据交换也越来越频繁。特别是随着电力一次设备的改善和通信、网络技术的发展,越来越多的变电站实行无人值班,对于厂、站大量采用远方控制,对电力控制系统和数据网络的安全性、可靠性、实时性提出了新的考验。

安康电力调度数据网网络安全主要存在以下3种安全风险:物理安全,网络安全以及用户安全。

物理层安全是指各种服务器、路由器、交换机、工作站等硬件设备和通信链路的安全。风险的来源有:水灾、火灾、雷击等自然灾害,人为的破坏或误操作,外界的电磁干扰,设备固有的弱点或缺陷等。物理安全的威胁虽然可以直接造成设备的损坏,系统和网络的不可用,破坏力较强,但其发生的概率很小,因此重点考虑网络安全以及用户安全风险。

对于安康电力调度数据网络安全而言,其网络安全威胁主要是来自连接的外部网络。入侵者利用网络及系统中存在的安全漏洞,施加计算机病毒等的恶意攻击,这样的危害可以造成网络瘫痪、系统拒绝服务、信息被窃取、篡改等,从而造成电力系统或国民经济的损失。

图1 安康电力调度数据网网络拓扑结构图Fig.1 Diagram of AnKang power dispatching data network topology

用户安全是指内部人员对网络和系统的攻击及误用等。从网络信息安全问题的发展历程来看,经历了从注重技术到技术、管理双管齐下的转化,到目前为止,“三分技术、七分管理”已成为安全策略设计的普遍共识。加强安全管理是消除用户安全风险的唯一途径。

同时安康调度数据网承载的业务对网络可靠性要求高,网络的可用率、实时业务的传输时延(业务应有不同的优先级)、网络的收敛时间等关键性能必须予以保证。电力调度数据网系统还要求具有较高的安全可靠性,并对IP网络路由的设置与优化有特定的要求。目前大多承载业务的传输频度为秒级,网络节点的业务量相对比较恒定,网络的流量不大。

2 安全防护方案

按照国家电网公司要求,电力调度网络安全性应符合国家经贸委30号令 《电网与电厂计算机监控系统及调度数据网络安全防护规定》及国家电网公司《电力二次系统安全防护总体方案》的要求及相关规定。

按要求,安康电力数据信息分为2个大区既生产控制大区和管理信息大区。生产控制大区分控制区(安全I区)和非控制区(安全II区),控制区业务包括电力数据采集和监控系统、能量管理系统、变电站自动化系统等实时信息;非控制区业务包括调度员培训模拟系统、电能量计量系统等非实时信息;管理信息大区业务包括OMS等。电力调度数据网安全I区与安全II区业务通过VPN实现两区业务之间的安全防护。2个大区网络传输平台互不联网,物理隔离。各应用系统接入网络应采用安全网关和防火墙技术,各区应用系统互联应按要求采取相应的隔离措施。

根据上述要求,从以下几个方面设计了安康电力调度数据网的安全防护方案。

2.1 通过MPLS VPN隔离不同类型业务

MPLS VPN具有安全性高、扩展性强、QoS保证、成本低、易于实现、管理等特性。因而可在公共网络平台上构建电力调度数据网中基于MPLS的VPN[3]。

MPLS VPN由于在公网中使用LSP隧道进行标签交换,较之普通的IP转发具有更好的安全级别。通过两大类VPN(安全区I与安全区II),确保2种不同业务间的设备无法获知对方的路由信息。在同一种业务中通过对M PLS VPN中的RT(Route—Target)属性的合理设置,可保证即使是相同的业务,如没有互访需求,也无法相互访问。

2.2 路由认证和保护

路由认证(Routing Authentication)就是运行于不同设备的相同动态路由协议之间,对相互传递的路由刷新报文进行的确认,以使设备能接受真正而安全的路由刷新报文。 目前,多数路由协议支持路由认证,并且实现的方式大体相同。认证过程有基于明文的,也有基于更安全的MD5校验。M D5认证与明文认证的过程类似,只不过密钥不在网络上以明文方式直接传送。路由器将使用MD5算法产生一个密钥的“消息摘要”,代替密钥本身发送出去,这样可保证没有人可在密钥传输的过程中窃取到密钥信息。使用MD5认证算法的路由协议有:OSPF、RIP版本 2、BGP4、EIGRP。 目前安康电力调度数据网使用OSPF算法。

2.3 关闭IP功能服务

有些I P特性对局域网来说是有用的,但对广域网或城域网节点的设备是不适用的。如这些特性被恶意攻击者利用,会增加网络的危险。因此,网络设备应具备关闭这些IP功能的能力。1)IP源路由选项开关。由于IP源路由选项忽略了报文传输路径中的各设备的中间转发过程,不管转发接口的工作状态,可能被恶意攻击者利用,刺探网络结构。因此,设备应能关闭I P源路由选项功能。2)重定向开关。网络设备向同一个子网的主机发送ICMP重定向报文,请求主机改变路由。一般情况下,设备仅向主机而不向其他设备发送ICMP重重定向报文。但一些恶意的攻击可能跨越网段向另外一个网络的主机发送虚假的重定向报文,以期改变主机的路由表,干扰主机正常的IP报文转发。3)定向广播报文转发开关。在接口上进行配置,禁止目的地址为子网广播地址的报文从该接口转发,以防止smurf攻击。因此,设备应能关闭定向广播报文的转发,缺省应为关闭状态。4)ICMP协议的功能开关。很多常见的网络攻击利用了ICMP协议功能。ICMP协议允许网络设备中间节点 (路由器)向其他设备节点和主机发送差错或控制报文;主机也可用ICMP协议与网络设备或另一台主机通信。对ICMP的防护比较复杂,因为ICMP中一些消息已作废,而有一些消息在基本传送中不使用,但另外一些则是常用的消息。因此ICMP协议处理中应根据这3种差别对不同的ICMP消息处理,以减少ICMP对网络安全的影响[4]。

2.4 可靠性保证

电力能源是国家经济发展的基础,而电力调度数据网的可靠运行则是电力安全生产的保障。特别是随着信息化、数字化的发展,整个社会对电力的依赖性空前提高。一旦能源中断,将会使整个信息环境陷于瘫痪,引起巨大的经济损失和严重的后果。因此在电力调度数据网的设计实施中必须对网络的可靠性进行详尽的考虑和设计。

网络系统的可靠性由两部分组成,即承载网络的可靠性和应用系统的可靠性。应用系统的可靠性主要由服务器、存储设备、应用程序、数据库等的可靠性构成,由上层应用保证;承载网络的可靠性则包括网络拓扑组网结构的可靠性及组网设备可靠性。下面对安康电力调度数据网中承载网络的可靠性设计进行说明。

2.4.1 组网结构可靠性设计

网络组网结构的可靠性,主要是对网络互联通道的备份考虑和设计,通过备份线路及设备的备份,保证任何时刻、任何节点之间都有可达的路由。

1)对于安康电力调度数据网而言,核心层和骨干层节点之间的链路是网络的主干链路,采用星型拓扑结构。这种结构的可靠性由核心层节点和汇聚层节点间的设备配置和互连链路的特性决定。本网络的核心层与汇聚层之间采用N×2M的多链路连接,实现链路冗余,以提高网络的可靠性。

2)在核心节点上均采用双设备的配置,提高网络的可靠性,并可实现负载分担。

3)骨干和汇聚节点通过到核心节点的双链路保障网络的冗余。

4)在故障出现的时候,通过动态路由协议等机制,保证网络数据自动迂回切换到其它连通的链路上,保证通信的正常进行。对于流量超过备份线路带宽承载能力时,可采用QoS等措施保证业务网关注的关键业务得到优先传送或者升级带宽[5]。

2.4.2 组网设备可靠性设计

线路的备份主要解决了网络互通路径的问题,而节点设备的可靠则解决网络的有效运转问题。要保证电力数据网平台的可靠性,对于核心和汇聚层,必须要选用具备电信级可靠性的网络设备进行组网,才能使网络具有自动恢复能力、降低人工维护工作,达到电信级的可靠运行。

设备的高可靠性从硬件、软件、保护机制等几个方面体现。

1)采用分布式体系结构

分布式体系结构是提高可靠性的基础,与集中式体系设备相比较,分布式体系设备除性能可以通过插入更多的接口处理板提高整体性能外,更为关键的是将管理、路由转发、接口处理等功能分配在不同的部件上,协同工作,分布式体系可以分散故障风险、隔离故障、提供冗余配置,提高系统的自动恢复能力;如管理部件故障,只需要更换这部分板件,不影响其他功能。

分布式体系结构可以提高组网的物理可靠性,如在城域网环网组网中,每个骨干节点都有多条接口与相邻的节点或本地互联,从路由上提高了可靠性。如果采用集中式体系,则当节点设备出现故障时,这个节点所有接口都会失效,造成节点所带网络的中断;而采用分布式结构时,这些接口可以分别配置到不同的接口处理板上,这样,无论这台设备的管理单元、交换转发单元,还是单一接口出现故障,都可以保证至少有部分路径是连通的,降低网络中断的危险。

2)关键部件冗余

采用分布式体系下,对设备的关键部件,如主控管理单元、交换转发单元等,进行冗余构造配置,保证系统在工作中不会全部失效。

3)实时热备份机制

在系统软件及硬件的支持下,关键部件在发生故障能自动启动备份系统,而且主备之间的切换要能够实时热倒换,即运行中即使发生设备故障切换也不会对网络业务造成影响。

4)热插拔特性

核心和汇聚层设备的任意单板需要支持热插拔特性,保证系统出现故障需要维护,或系统需要升级扩展时,不需要停机处理,保证网络的7×24小时不间断运行。

5)冗余电源支持

冗余电源负载分担及备份供电可保障系统具有可靠的能量源。

6)散热系统

散热系统使设备长时间运行而不至因为温度过高而出现故障。冗余风扇等散热装置可以增加设备的无故障运行时间及减少故障发生。安康地调自动化机房采用精密空调,确保设备运行环境符合要求[6]。

3 结束语

电力调度数据网络是一个复杂的网络系统,融含了电网监视、数据分析、系统控制、信息处理与安全管理等重要功能,其安全可靠性具有特别重要的意义。

随着安全技术的发展和电力需求的变化,电力调度数据网的安全防护还有相当多的工作要做,如部署全网统一的网络防病毒体系和身份认证等。同时,还需要进一步建立健全安全管理制度,加强有关人员的安全意识,将安全工作纳入到日常管理工作中去,以保障电力系统的安全稳定运行。此外,尚有若干分支有待于进一步深究,以期促进电力调度数据网的进一步提升。

[1]黄晓莉,许海铭.国家电力数据通信网络建设方案[J].电力系统自动化,2003,20(10):82-87.

HUANG Xiao-li, XU Hai-ming. State power data communications networking solutions[J].Power Systems,2003,20(10):82-87.

[2]彭清卿,向力.国家电力调度数据网组网研究[EB/OL].(2010-07-31)[2011-11-30].http://wenku.baidu.com/view/2c56a00f76c66137ee0619a0.html.

[3]艾旭升.IPSec VPN的研究和设计 [J].微机发展,2003,13(5):4-6.

AI Xu-sheng.IPSec VPN research and design [J].Computer development,2003,13(5):4-6.

[4]阿迪.有关TCP/IP协议族存在的脆弱性剖析讨[EB/OL].(2009-04-03 )[2011-11-30].http://network.chinabyte.com/387/8785387.shtml.

[5]龙夫军.企业内部IP语音系统的可靠性设计方法[EB/OL].(2010-07-29)[2010-10-01].http://www.donews.com/tele/201007/160725.shtm.

[6]高鹰.IP城域网业务控制层组网可靠性探讨[EB/OL].(2009-12-29)[2011-11-30].http://www.cqvip.com/QK/82867X/200910/32142478.html.

猜你喜欢
数据网安康路由
安康幸福 有你的身影
铁路数据网路由汇聚引发的路由迭代问题研究
端午安康
THE PRECLOUS THING珍贵之物
铁路信号安全数据网安全分析
探究路由与环路的问题
繁华五月 祈愿安康
全新网优解决方案-亨通大数据网优平台
全新网优解决方案-亨通大数据网优平台
基于预期延迟值的扩散转发路由算法