文/苏生平 周炜 王光辉
电力产业作为我国经济的基础力量,大到关系国家稳定,小到关系人民的衣食住行,电力的二次系统具有更高的融合度,更广的范围,是电力行业安全建设的基础,在供电服务上发挥了重要作用。电力系统的安全防护工作越来越受到重视,电力二次系统必须得到全力建设,电力二次系统防护体系必须得到建设,为电力系统的发展打好基础。
在设计上,外网接入重点考虑冗余性,运用HSRP技术,为了保障电力数据网的链路抗灾能力。在电力系统网络访问设计时分别从横纵两两个方向上考虑,纵向访问时注意依据防护要求,依据网络所属区域的加密装置、防火墙,配置双链路、双系统冗余;横向访问设计时,依据低等级区域不能访问高等级区域,在不同区域业务之间进行逻辑隔离,通过NAT途径进行数据请求。在网络中使用静态的路由。严格阻止默认路由的出现。在安全防护设计上,网络的纵、横向的安全控制及业务区的应用层中的入侵检测需要被考虑到,在不同业务之间用VLAN的方式进行隔离,在纵向会对进入实时区运用安全策略进行严格控制,做到与主机对应的控制粒度;在横向按照不同区域设置不同等级的安全控制设备,运用横向防火墙逻辑隔离不同区域,用NAT将区域间联系起来。另外,在实时区及非实时区划分两个VLAN,对不同的VLAN做不同的限制。
考虑到控制区及非控制区安全接入的冗余性问题,设计上联HSRP的冗余网关,采用HSRP的冗余协议,在控制区及非控制区冗余网关设定静态路由设定静态路由。在这种情况下,控制区及非控制区将出现两个路由器,纵向数据由于经过MPLS VPN进行传输,保证了控制区及非控制区数据的传输得到逻辑隔离。
在链路与设备进行双备份的设计,在任何链路及交换机发生故障时业务系统可以通过虚拟网卡加上HSRP技术进行自动切换。在控制区的纵向互联需要实现纵向认证加密数据,纵向互联需要采用两层连接,并且需要通过VPN的方式,和中调业务系统进行连接。
为了实现高度冗余的非实时业务系统的接入,在双备份的基础上,同控制区一样,利用虚拟网卡加上HSRP技术进行故障时的迅速自动切换。非控制区的安全要求低于控制区,非控制区的纵向互联可以使用防火墙。防火墙置于交换机之间,用来进行业务系统或模块间网络数据通信访问控制。
由于二次系统的安防规范的要求,横向隔离不仅要满足数据逻辑隔离,也要阻止低安全级数对高安全级数区域进行访问,利用防火墙阻止非控制区对控制区的主动连接。
在非控制区及管理信息大区间布置两台正、反两向隔离设备,正向是高安全等级数据流走向低安全等级,也就是数据从非控制区至管理信息大区,反向是低安全等级数据流到高安全等级,也就是数据从管理信息大区至非控制区,必须是纯文本数据及语言数据。
在各调度数据网之间布置一台具有四探针百兆入侵的检测设备,其中的两个探针需要安置在一区的两台纵向互联交换机中,另外的两个探针需要安置在另一区的纵向交换机中,对他们各自的上联口进行端口镜象来接入IDS扫描端口。
前期准备阶段,由二次安防改造负责人对机房环境进行确认,确认调度网的边界改造增加了设备安装机柜及电源的情况,确认实施方案,通知实施人员,对实施方案进行讨论,最后对装置证书加密导入。接着进入到了第一阶段,负责人首先需要申请开工,获得开工许可,对调度数据网进行检查并测试,然后进行调度数据网的实施,确认稳定运行,再进行检查实施环境。再接着进入到了第二阶段,实施人员需要布置加密装置,在实时VPN上进行部署纵向加密认证的装置,进行设备、管理中心、隧道的配置工作,进行实时VPN业务测试、加密装置双击测试、ByPass测试。接下来进入到了第三阶段,实施人员对纵向防火墙的部署,在非实时VPN上部署纵向防火墙,配置设备,对非实时VPN进行业务测试,进行访问控制策略的配置工作及纵向防火墙双击测试。
再接着进入到了第四阶段,实施人员需要对NAT防火墙的部署。实施人员需要部署横向隔离的防火墙,进行防火墙的基本配置,进行网络连通测试,NAT防火墙双机测试。然后进入到了第五阶段,实施人员部署入侵的检测系统,实施人员需要配置安装IDS,部署入侵检测系统,进行网络联通测试。最后阶段需要实施人员进行的是业务割接与测试,实施人员要对系统进行再次检查对实时区与非实时区业务割接与测试,同时实施人员要对横向业务测试,最后填写测试表,报上级单位检修完工。
综上所述,为了避免黑客攻击我国电力系统,需要对电力二次系统网络信息安全防护,依据相关需求,有针对性的对我国电力系统进行安全防护设计,对备份、防火墙、主机防护、入侵检测等进行具体的研究,以期实现电力系统的安全防护,实现电力系统的稳定运行,促进我国经济发展和社会的进步。
参考文献
[1]李玉琛,杨虔.电力自动化控制系统网络信息安全管理的研究与设计[J].电气应用,2017,36(16):84-87.
[2]张薇.湛江地区典型110kV变电站电力二次系统安全防护的设计及实施[D].华南理工大学,2016.