电力系统网络安全隔离设计
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
电力系统网络安全隔离设计
随着我国社会经济水平的不断提高,推动了电力信息化的深入发展。
电力企业间的信息网络数据交换逐渐频繁,并且企业信息网络电力控制的系统数量也逐渐增加,所以,与电力企业相关的信息网络在电力系统中的作用变得越来越重要,信息网络的安全性也具有一定的现实意义。
1电力系统网络安全研究
1.1实时控制区
该控制区的主要业务与电力系统中发电和供电具有直接的联系,主要供调度人员与运行操作人员使用。
信息数据的实时性能够以秒级显示,并且对网络自身的实时安全性能具有极高的要求。
实时控制区在电力的二次系统中发挥着重要的作用,同时也是电力企业网络安全重点的保护对象,其安全的等级比较高。
其中较为典型的系统主要包括调度的自动化系统与变电站自动化系统等等。
1.2非控制生产区
该区域的主要业务系统就是没有控制能力与批发交易的系统,此外,在系统内部无需控制的部分也属于该区域。
非控制生产区的实时性主要是以分或者小时显示的。
比较具有代表性的系统就是电能量计量系统、通信监控系统等等。
该生产区主要是供实际运行计划的工作人员与发电侧电力市场的交易员使用。
1.3生产管理区
生产管理区主要的业务系统是支撑企业的经营与管理的电力生产管理信息的系统。
具有代表性的系统主要就是统计报表系统
与调度生产管理系统等等。
在该区域内部的生产系统需要采取相应的安全防护措施,并提供WEB的服务。
其中,生产管理区域的外部通信的边界主要就是电力数据信息的通信网。
1.4管理信息区
该区域的主要业务系统就是没有进行直接参与电力企业过程控制与生产管理的经营与采购以及销售等的管理信息系统。
主要的典型系统就是办公自动化系统及MIS系统等等。
2电力系统隔离装置设计应用
2.1电力系统隔离装置技术要求
第一,有效的完成安全区间非网络形式的安全信息数据交换,同时要确保不同时将安全隔离装置的内部与外部的处理系统连接。
第二,保证表示层与应用层的数据信息以完全单向的传输形式进行传输。
第三,实行透明的工作方式,包括虚拟主机的IP地址并将MAC的地址进行隐藏。
第四,根据IP、传输端口与协议以及MAC等综合的报文进行过滤与访问的控制。
第五,积极支持NAT的应用。
第六,有效避免穿透性TCP的联接。
不允许将内网与外网的应用网关直接创建TCP的联接,应将内外网应用网关间TCP的联接进行合理的分解,在隔离装置的内部与外部进行TCP的虚拟联接。
但是,隔离装置内部与外部的两网卡是处于非网络连接的状态,并且只能进行数据信息的单向传输。
第七,应用层需要具备能够定制的解析能力,并且能够支持其对特殊标记的识别功能。
第八,使用安全且方便的维护与管理措施。
保证通过管理人员的证书认证,并形成图形化的界面进行管理。
第九,专用的安全隔离装置自身需要具备较强的安全防护能力。
其中的安全性主要包括的就是安全固化的操作系统以及非INTEL指令系统中的微处理器,还有就是能够抵御DoS外的具有已知性的网络攻击。
2.2电力系统的组成要素
整个电力系统主要包括两部分,其一是隔离系统,其二是相关配置的管理程序。
而隔离系统是由内网关的程序与外网关的程序以及检测控制的单元三部分组成。
而配置管理程序中的工具主要有客户端配置的界面与证书的认证模块等。
2.3电力系统隔离装置的具体工作流程
隔离系统的软件主要包括以下几个模块:内外网的处理模块、硬件的检测与控制单元以及相应的管理模块。
图1为电力系统实际的工作流程图。
2.3.1内网处理模块内网处理模块主要是对ARP的请求进行处理并回应。
在收到内网的ARP请求时,及时的返回ARP的返回包。
而在接收到外网的ARP请求时,需要对虚拟地址进行仔细的查找,再将ARP虚拟的回应包返回。
在网卡上所获得的信息数据,如果使用的是外网关信息数据,一定要进行MAC与传输协议以及IP和传输端口的报文过滤。
全面仔细的对NAT的规则进行检查,并按照相应的规则将数据包中的源IP地址进行合理的替换,此外,还包括源MAC地址与端口号的替换,确保将其记录在相应的连接信息数据表格中。
进行校验码的重新验证与计算,并且要使用隔离卡将其及时的发送到外网中。
积极的接受外网利用隔离卡所发送的TCP信号,在对其进行地址的还原以后,进行相应的计算校验,最终将其发送给内网。
2.3.2外网处理模块在网卡上所获得的数据信息如果是利用外网关数据信息发送的,应与CAM表格进行对比。
若发送到内网TCP信号,应将其转发至内网关内。
积极接受内网发来的信息数据,并将其送至最终的地址,将具体的地址信息记录在CAM 表格中。
最重要的是,要有效的制止外网主动的进行连接。
2.3.3硬件检测与控制单元对协议的数据信息长度进行分析,并将其发至内网TCP应答处。
如果没有数据信息就送至内网的处理模块处,也可以直接丢弃。
3结束语
网络隔离技术是与其他技术进行合理的结合来有效提高系统安全性的技术。
但是,目前阶段,网络的隔离技术仍存在问题。
因为网络隔离技术主要对网络信息数据进行审查,并且要通过协议的审查与身份的认证以及相关内容的审查,所以,一定程度上会影响到网络传输的速率,应对此问题加以关注,并采取针对性的方法进行有效的解决,进而促进电力系统网络隔离工作的进一步发展。