電力通信集成監(jiān)控系統網絡安全改造實踐

0 引言

為保證電力通信網的安全可靠運行，泰州供電公司于 2010年整合了原有的動力環(huán)境監(jiān)控、傳輸網監(jiān)控、資源管理等多個專業(yè)應用子系統，在此基礎上推廣建設了通信集成監(jiān)控系統，實現了通信資源的共享，為通信網運行維護提供一個信息支撐綜合技術平臺。由于整合的各個子系統分屬于電力安全防護二區(qū)、三區(qū)內不同區(qū)域，對數據流的傳輸控制有著嚴格的要求，因此整合過程中對原有網絡架構進行了設計改造，通過采取訪問控制列表、正向隔離裝置、防火墻等網絡安全工具，實現不同區(qū)域間及區(qū)域內的網絡訪問控制，確保網絡安全。

1 改造前網絡概況

在開展通信集成監(jiān)控系統推廣工作前，泰州通信動力環(huán)境監(jiān)控、傳輸網監(jiān)控、通信資源管理等專業(yè)應用雖然分屬于不同的系統，但在網絡結構上均連接于同一內部網絡，采集服務器上配置多塊網卡，分別與華為網管交換機、中興網管交換機及監(jiān)控系統交換機互聯，采集服務區(qū)從中興、華為網管通過CORBA接口采集網管實時信息后，通過監(jiān)控系統交換機轉送至數據服務器；應用服務器通過監(jiān)控系統交換機互聯的 2M/FE等通道與各個監(jiān)控分站、主站終端服務器互聯，接入主站及監(jiān)控分站的動力環(huán)境告警信息。由于網絡所有連接均依賴于同一臺二層交換機，采用的是二層網絡結構，因而不具備安全防護能力，且無法抵御網絡風暴，不滿足電力安全防護的要求。同樣由于未配置防火墻，未能實現與省公司的互聯。

2 網絡域劃分設計

為提高通信監(jiān)控系統的網絡安全防護水平，在通信集成監(jiān)控系統推廣建設過程中，根據《電力二次系統安全防護規(guī)定》中安全防護相關原則，對監(jiān)控系統的網絡結構進行了設計、改造，對各個專業(yè)應用子系統進行區(qū)域劃分，將傳輸網監(jiān)控子系統、動力環(huán)境監(jiān)控子系統劃入二區(qū)，將通信資源管理子系統劃入三區(qū)，二區(qū)、三區(qū)之間使用正向隔離裝置進行物理隔離，二區(qū)內的不同子系統之間使用訪問控制列表（ACL）進行數據訪問控制，同時在三區(qū)內增加防火墻，實現與省公司的互聯。

3 二區(qū)網絡安全改造

3.1 二區(qū)網絡控制要求

通信集成監(jiān)控系統二區(qū)內部署了動力環(huán)境監(jiān)控、傳輸網監(jiān)控等多個應用子系統，根據各個子系統的業(yè)務需求，這些子系統內部、子系統之間以及子系統與三區(qū)應用服務器之間對數據的傳遞存在著一定的訪問控制要求，具體要求如下：

①只允許動力環(huán)境監(jiān)控數據單向傳送給三區(qū)資源管理應用服務器；

②只允許傳輸網監(jiān)控子系統內采集服務器數據單向傳送給三區(qū)資源管理應用服務器；

③只允許傳輸網監(jiān)控子系統內中興、華為網管和采集服務器雙向通信。

3.2 訪問控制列表安全解決方案

訪問控制列表是一系列指令的列表，用來告訴路由器（或三層交換機）哪些數據可以接收、哪些數據需要拒絕，由于訪問控制列表應用于網絡設備時，能有效地限制網絡流量，拒絕外部用戶對網絡的非法訪問，因此在二區(qū)內部，可使用訪問控制列表實現網絡安全要求。

根據各個業(yè)務應用子系統的數據控制要求，可在二區(qū)部署一臺三層交換機，交換機上共配置6個vlan，接下來可在特定vlan的in方向，配置訪問控制列表，控制特定數據流傳輸。如在vlan12的in方向，配置ACL 101，實現只允許vlan28（中興網管）去往vlan7（采集服務器）的數據包通過。

4 二三區(qū)物理隔離

4.1 物理隔離的必要性及依據

在物理隔離技術出現之前，針對網絡的信息安全可采取配置防火墻、進行入侵檢測等措施，由于此類技術的保護是一種邏輯保護，對于邏輯實體而言容易被操縱。因此必須有一道絕對安全的大門，保證內網的信息不被泄露和破壞，這就是物理隔離所起的作用。

物理隔離是指內部網不直接或間接地連接外部網絡，保護電力系統網絡的路由器、工作站、網絡服務器等硬件實體和通信鏈路免受自然災害、人為破壞和惡意攻擊。根據電力系統安全防護相關規(guī)定的要求，在安全區(qū)I/II與安全區(qū)III/IV之間必須進行物理隔離，實現最高的安全防護強度，這也是安全區(qū)I/II橫向防護的要點。

4.2 二三區(qū)物理隔離改造方案

為實現安全區(qū)I/II與安全區(qū)III/IV之間的物理隔離，可在二區(qū)交換機與三區(qū)交換機間配置正向隔離裝置一臺，實現安全區(qū)I/II到安全區(qū)III/IV的單向數據傳輸。

由于正向隔離裝置采用綜合過濾技術，需預先設定規(guī)則檢查數據包以決定哪些數據包允許通過。當隔離裝置收到數據包后，將檢查包頭中的協議類型、源IP地址、目的IP地址、源端口號、目的端口號、源MAC地址、目的MAC地址等信息，再與設定的規(guī)則逐條匹配，以決定是否允許數據包通過。

根據通信監(jiān)控系統各個業(yè)務應用子系統的數據控制要求，決定安全區(qū)I/II到安全區(qū)III/IV的數據控制目標，需在正向隔離裝置上配置5條匹配規(guī)則。

通過在二三區(qū)之間配置正向隔離裝置，實現了II區(qū)協議處理機到III區(qū)應用服務器的單向UDP數據傳送，以及II區(qū)采集服務器到III區(qū)數據服務器的單向TCP數據傳送。

5 互聯省公司

防火墻是設置在內部網絡與外部網絡之間的一道屏障，用于控制出入兩個網絡之間的數據流，具備很強的抗攻擊能力和審計、報警功能。

為了滿足省市公司聯網服務器的數據交互要求，需實現省市公司三區(qū)網絡的安全互聯，為此在泰州通信監(jiān)控系統的三區(qū)交換機與省通信數據網Cisco7606路由器間配置一臺天融信硬件防火墻，并完成防火墻區(qū)域、網絡對象、訪問策略、通信策略、路由表等各項配置，從而確保省市公司三區(qū)網絡間數據流量的安全傳輸及控制，保障網絡自身安全。

6 改造后網絡架構

改造完成后的通信集成監(jiān)控系統網絡架構，同一區(qū)域內的各個子系統，如二區(qū)內傳輸網監(jiān)控、動力環(huán)境監(jiān)控等通過三層交換機上的ACL實現訪問控制，不同區(qū)域間則通過正向隔離裝置實現物理隔離，與省公司網絡間又加裝了硬件防火墻，從而確保了網絡自身及內部各個子系統的運行安全。

7 小結

在泰州電力通信集成監(jiān)控推廣建設過程中，通過對網絡域進行細化劃分，以及在不同區(qū)域間安裝物理隔離裝置，在不同子系統間配置訪問控制列表，在省市公司三區(qū)網絡間配置防火墻確保網絡自身安全，從而實現了不同區(qū)域、不同子系統間的數據訪問控制，優(yōu)化了網絡體系架構，降低了安全風險，提高了通信管理網絡的安全管理水平，從而提高通信監(jiān)控網絡的運行管理效率，提高了運行維護水平和服務質量。