電力系統網路安全隔離設計論文
隨著我國社會經濟水平的不斷提高,推動了電力資訊化的深入發展。電力企業間的資訊網路資料交換逐漸頻繁,並且企業資訊網路電力控制的系統數量也逐漸增加,所以,與電力企業相關的資訊網路在電力系統中的作用變得越來越重要,資訊網路的安全性也具有一定的現實意義。
1電力系統網路安全研究
1.1實時控制區
該控制區的主要業務與電力系統中發電和供電具有直接的聯絡,主要供排程人員與執行操作人員使用。資訊資料的實時效能夠以秒級顯示,並且對網路自身的實時安全效能具有極高的要求。實時控制區在電力的二次系統中發揮著重要的作用,同時也是電力企業網路安全重點的保護物件,其安全的等級比較高。其中較為典型的系統主要包括排程的自動化系統與變電站自動化系統等等。
1.2非控制生產區
該區域的主要業務系統就是沒有控制能力與批發交易的系統,此外,在系統內部無需控制的部分也屬於該區域。非控制生產區的實時性主要是以分或者小時顯示的。比較具有代表性的系統就是電能量計量系統、通訊監控系統等等。該生產區主要是供實際執行計劃的工作人員與發電側電力市場的交易員使用。
1.3生產管理區
生產管理區主要的業務系統是支撐企業的經營與管理的電力生產管理資訊的系統。具有代表性的系統主要就是統計報表系統與排程生產管理系統等等。在該區域內部的生產系統需要採取相應的安全防護措施,並提供WEB的服務。其中,生產管理區域的外部通訊的邊界主要就是電力資料資訊的通訊網。
1.4管理資訊區
該區域的主要業務系統就是沒有進行直接參與電力企業過程控制與生產管理的經營與採購以及銷售等的管理資訊系統。主要的典型系統就是辦公自動化系統及MIS系統等等。
2電力系統隔離裝置設計應用
2.1電力系統隔離裝置技術要求
第一,有效的完成安全區間非網路形式的安全資訊資料交換,同時要確保不同時將安全隔離裝置的內部與外部的處理系統連線。第二,保證表示層與應用層的資料資訊以完全單向的傳輸形式進行傳輸。第三,實行透明的工作方式,包括虛擬主機的IP地址並將MAC的地址進行隱藏。第四,根據IP、傳輸埠與協議以及MAC等綜合的報文進行過濾與訪問的控制。第五,積極支援NAT的應用。第六,有效避免穿透性TCP的聯接。不允許將內網與外網的應用閘道器直接建立TCP的聯接,應將內外網應用閘道器間TCP的聯接進行合理的分解,在隔離裝置的內部與外部進行TCP的虛擬聯接。但是,隔離裝置內部與外部的兩網絡卡是處於非網路連線的狀態,並且只能進行資料資訊的單向傳輸。第七,應用層需要具備能夠定製的解析能力,並且能夠支援其對特殊標記的識別功能。第八,使用安全且方便的維護與管理措施。保證通過管理人員的證書認證,並形成圖形化的介面進行管理。第九,專用的安全隔離裝置自身需要具備較強的安全防護能力。其中的安全性主要包括的就是安全固化的作業系統以及非INTEL指令系統中的微處理器,還有就是能夠抵禦DoS外的具有已知性的網路攻擊。
2.2電力系統的組成要素
整個電力系統主要包括兩部分,其一是隔離系統,其二是相關配置的管理程式。而隔離系統是由內閘道器的程式與外閘道器的程式以及檢測控制的單元三部分組成。而配置管理程式中的工具主要有客戶端配置的介面與證書的認證模組等。
2.3電力系統隔離裝置的具體工作流程
隔離系統的軟體主要包括以下幾個模組:內外網的處理模組、硬體的檢測與控制單元以及相應的管理模組。圖1為電力系統實際的工作流程圖。
2.3.1內網處理模組內網處理模組主要是對ARP的請求進行處理並回應。在收到內網的ARP請求時,及時的返回ARP的返回包。而在接收到外網的ARP請求時,需要對虛擬地址進行仔細的查詢,再將ARP虛擬的迴應包返回。在網絡卡上所獲得的.資訊資料,如果使用的是外閘道器資訊資料,一定要進行MAC與傳輸協議以及IP和傳輸埠的報文過濾。全面仔細的對NAT的規則進行檢查,並按照相應的規則將資料包中的源IP地址進行合理的替換,此外,還包括源MAC地址與埠號的替換,確保將其記錄在相應的連線資訊資料表格中。進行校驗碼的重新驗證與計算,並且要使用隔離卡將其及時的傳送到外網中。積極的接受外網利用隔離卡所傳送的TCP訊號,在對其進行地址的還原以後,進行相應的計算校驗,最終將其傳送給內網。
2.3.2外網處理模組在網絡卡上所獲得的資料資訊如果是利用外閘道器資料資訊傳送的,應與CAM表格進行對比。若傳送到內網TCP訊號,應將其轉發至內閘道器內。積極接受內網發來的資訊資料,並將其送至最終的地址,將具體的地址資訊記錄在CAM表格中。最重要的是,要有效的制止外網主動的進行連線。
2.3.3硬體檢測與控制單元對協議的資料資訊長度進行分析,並將其發至內網TCP應答處。如果沒有資料資訊就送至內網的處理模組處,也可以直接丟棄。
3結束語
網路隔離技術是與其他技術進行合理的結合來有效提高系統安全性的技術。但是,目前階段,網路的隔離技術仍存在問題。因為網路隔離技術主要對網路資訊資料進行審查,並且要通過協議的審查與身份的認證以及相關內容的審查,所以,一定程度上會影響到網路傳輸的速率,應對此問題加以關注,並採取針對性的方法進行有效的解決,進而促進電力系統網路隔離工作的進一步發展。
