随着计算机技术、通信技术和网络技术的发展,电力系统网上开展的业务及应用系统越来越多,电力系统网络的安全性和可靠性已成为一个非常紧迫的问题。
根据《全国电力二次系统安全防护总体方案》的要求,调度自动化系统分为4个安全域,分别是:安全区Ⅰ(实时控制区)它是电力二次系统中最重要系统,安全等级最高,是安全防护的重点与核心;安全区Ⅱ(非控制生产区);安全区Ⅲ(生产管理区);安全区IV(管理信息区)。
因此,根据以上区域的划分,确立了安全解决方案的总的指导原则:分区防护、突出重点;区域隔离、网络专用;设备独立、纵向防护 。
安全区域间的隔离策略
具体策略如下:
● 安全Ⅰ区、安全Ⅱ区的防护策略
实时控制区与非控制区的业务系统都属电力生产系统,都采用电力调度数据网络,都在线运行,数据交换较多,关系比较密切,可以作为一个逻辑大区(生产控制区)。
● 安全Ⅲ区、安全IV区的防护策略
生产管理区和管理信息区均采用电力数据通信网络(ATM),数据交换较多,关系比较密切。
● 安全Ⅰ区、Ⅱ区与安全Ⅲ区的防护策略
实时控制区和非控制区不得与管理信息区直接联系,实时控制区和非控制区与生产管理区的信息交换必须是单向方式,仅允许纯数据的单向安全传输。反向安全隔离装置采取签名认证和数据过滤措施,仅允许纯文本数据通过,并严格进行病毒、木马等恶意代码的查杀。
● 安全区域纵向防护策略
在专用通道上建立调度专用数据网络,实现与其他数据网络物理隔离。
● 高可靠性和防止单点失效策略
I区、II区、III区都属于调度中心管理范畴,IV区属于信息中心管理范畴,I区的高可用性要求非常高,要求达到秒级,而且是实时系统;II区的高可用性达到分钟级,III区IV区的管理系统对于高可用性也非常高,在使用防火墙作为网络隔离设备的时候,使用双机热备的方式,以防止单点失效,提高可用性。
防火墙系统建设方案部署
防火墙系统采用联想网御自主研发的防火墙。首先在电力网络系统I区与II区之间,III区与IV区之间,部署千兆防火墙,防火墙工作在双机热备状态,以全链路冗余方式,分别与两个区的核心交换机相连。正常情况下两台防火墙均处于工作状态,可以分别承担相应链路的网络通信。当其中一台防火墙发生故障时,网络通信自动切换到另外一台防火墙。切换过程不需要人为操作和其他系统的参与。
入侵检测系统建设方案部署
入侵检测系统采用联想网御入侵检测系统。在I区、II区各部署一台IDS探头,IDS探头接在核心交换机的镜像口上,以旁路侦听方式,对所有流经核心交换机的流量进行检测。在II区部署一台IDS管理中心,以一对多的方式管理两台IDS探头。交换机需要将所有端口的流量镜像到IDS所连接的端口。在III区部署一台IDS探头。IDS探头接在核心交换机的镜像口上,以旁路侦听方式,对所有流经核心交换机的流量进行检测。在III区内部部署一台IDS管理中心,接受IDS探头传回的信息。IDS控制台通过网线直接与IDS探头相连,控制台与探头的管理口采用独立的IP地址,不与III区内的IP地址重叠,保证IDS的安全性。交换机需要将所有端口的流量镜像到IDS所连接的端口。
(T121)
