安全管理网

调度自动化系统及数据网络的安全防护

作者:王益民 辛耀中 向力 卢长燕 邹国辉 彭清卿  
评论: 更新日期:2012年06月13日

        3.4调度自动化系统数据网络的安全防护策略
        3.4.1数据网络的技术体制
        规划数据网络技术体制和电力系统安全防护体系,应根据电力生产业务对数据网络安全性、可靠性、实时性方面的特殊要求,并遵照国家对涉密单位和重要设施在网络安全方面的有关规定。首先应根据网络的规模、目的、服务对象、实时程度、安全级别等综合考虑,确定最基本的网络技术体制。
        从应用和连接方式来看,企业内部网络有两类:一类是与公网完全隔离、在链路层上建立的企业内部网络一般称为专用网络;另一类是连接于公网、并利用公网作为通道的企业内部网。第一类网络除了面临来自物理层面的安全问题外,主要面临内部的计算机犯罪问题,如违规或越权使用某些业务、查看修改机密文件或数据库等,以及从内部发起的对计算机系统或网络的恶意攻击。第二类网络除了具有上述安全问题外,还要承受来自公网的攻击和威胁,由于公网上黑客、病毒盛行,网络安全的攻击与反攻击比较集中地体现在公网上。
        由于电力调度数据网的服务对象、网络规模相对固定,并且主要满足自动化系统对安全性、可靠性、实时性的特殊需求,为调度自动化系统提供端到端的服务,符合建设专网的所有特征,所以电力调度数据网宜在通道层面上建立专网,以实现该网与其他网的有效安全隔离。
        目前国家电力数据网同时承载着调度控制业务和管理信息业务,应当在将来通道资源允许的条件下,将现有电力调度数据网上的信息业务逐步分离出去,改造成为实时控制业务专用的数据网络。
        电力系统中的光纤通信网络正在加紧建设,采用光纤+SDH+IP模式容易实现对不同IP应用业务之间的物理隔离,具有较高的传输效率,能满足控制、保护等电力系统的关键业务的要求,便于调度部门能对网络进行有效监控,并便于通信部门对外出租带宽。因此用光纤+SDH+IP模式建立调度数据专网是一个适当的选择,可以很好满足电力系统的下列要求:
        (1)数据传输的实时性(继电保护毫秒级,自动化秒级),要求网络层次简化。
        (2)传输的连续性,通信负荷基本恒定,需要恒定带宽。
        (3)远方控制的可靠性(遥控、遥调、AGC等),要求有效隔离。
        (4)因特网时代的安全防护体系(防黑客、防病毒、防破坏等)。
        (5)网络拓扑结构必须覆盖远离城市的电厂、变电站。
        (6)充分利用SPDnet的现有设备,节约大量资金,便于平滑过渡。
        3.4.2调度专用数据网络的安全防护措施
        调度专用数据网除了传送EMS数据外,还传送电能量计量计费、水调自动化、电力市场信息和调度生产信息(工作票和操作票、发电计划和交易计划、负荷预报、调度报表、运行考核等)。应根据各类应用的不同特点,采用不同的安全防护措施,如EMS等实时控制业务具有较高的优先级,应该优先保证,生产信息的优先级次之,而电力市场信息须进行加密处理等。
        采用调度专用网络体制使数据网络在网络层的的安全得到最大程度的保证。但也不能保证100%的安全,对调度数据专用网络还必须做到技术措施和管理制度双管齐下,才有可能从根本上保障信息和控制系统的安全。在管理制度方面,要做到:
        (一)对全网实施监管,所有与电力调度数据网连接的节点都必须在有效的管理范围内,保障安全的系统性和全局性。
        (二)加强人员管理,建立一支高素质的网络管理队伍,防止来自内部的攻击、越权、误用及泄密。
        (三)加强运行管理,建立健全运行管理及安全规章制度,建立安全联防制度,将网络及系统安全作为经常性的工作。
        (四)聘请网络安全顾问,跟踪网络安全技术。
        在技术措施方面,要做到:
        (一)在网络传输层,为了保证数据网络的安全,又能向外传输必要的数据,必须坚持调度控制系统与调度生产系统之间、调度生产管理系统与企业办公自动化系统(OA/MIS)之间有效安全隔离,它们之间的信息传输只能采用单向传输的方式。常采用的措施包括防火墙、专用网关(单向门)、网段选择器等进行有效隔离。另外在调度数据专用网络的广域网和局域网上,根据不同的业务系统,还可采取以下技术手段:
        (1)网络安全访问控制技术。通过对特定网段和服务建立访问控制体系,可以将绝大多数攻击阻止在到达攻击目标之前。可实施的安全措施有:防火墙、VPN设备、VLAN划分、访问控制列表、用户授权管理、TCP同步攻击拦截、路由欺骗防范、实时入侵检测技术等。
        (2)加密通信技术。该措施主要用于防止重要或敏感信息被泄密或篡改。该项技术的核心是加密算法。其加密方法主要有:对称型加密、不对称型加密、不可逆加密等。
        (3)身份认证技术。该项技术广泛用于广域网、局域网、拔号网络等网络结构。用于网络设备和远程用户的身份认证,防止非授权使用网络资源。
        (4)备份和恢复技术。对于网络关键资源如路由器、交换机等做到双机备份,以便出现故障时能及时恢复。
        (二)在系统和应用层面,包括计算机防病毒技术、采用安全的操作系统(达B2级)、应用系统的关键软硬件及关键数据的热备份和冷备份等。防病毒技术和备份措施是通常采用的传统安全技术,而安全的操作系统是一个新的发展趋势。
        4.结论
        电力调度数据网络是调度自动化系统的支撑平台,网络安全是系统安全的保障,专用数据网络是整体安全防护体系的基础,专网体现在网络互联、网络边界、网络用户的可管性和可控性。目前,国际上正在制定相应的自动化系统网络安全标准,国内也开始进行相关课题的研究,对于调度自动化系统及数据网络的安全防护措施,首先应在网络技术体制方面,采用光纤+SDH+IP的数据专网模式,在全系统实现电力调度专用数据网络与其它公用信息网络、电力生产控制系统与办公自动化系统等的安全隔离,同时在调度专用数据网及各相关应用系统上采取必要的安全防护技术手段,建立严密的安全管理措施,以确保电力调度系统和电力系统的安全。
        参考文献:
        1.余建斌.黑客的攻击手段及用户对策.北京:人民邮电出版社,1998年
        著.王霞,铁满霞,陈希南译.网络安全技术-风险分析、策略与防火墙.北京:中国水利(水利论文)水电出版社,1998年
        3.赵遵廉等主编,电力市场运营系统,北京:中国电力出版社,2001年1月
        4.辛耀中等,电力系统数据网络技术体制分析,电力系统自动化,2000年11月
        5.肖康,建立和完善企业IP网络安全体系,计算机世界,2000年10月
        6.计算机信息系统安全法规汇编,中国电力信息中心,2000年2月     

网友评论 more
创想安科网站简介会员服务广告服务业务合作提交需求会员中心在线投稿版权声明友情链接联系我们