一種基于分區防護的電力信息網絡安全體系結構

林華淵長沙理工大學 湖南長沙 410114

?

一種基于分區防護的電力信息網絡安全體系結構

林華淵
長沙理工大學 湖南長沙 410114

[摘要]針對電力信息網絡系統的特點，設計了一種基于分區防護的電力網絡信息安全體系結構，并對該系統結構所用的安全隔離技術進行了分析，該設計可提高電力信息網絡系統的信息安全。

[關鍵詞]分區防護;電力信息網絡;體系結構

引言

電力信息系統包括電力調度自動化系統、能量管理系統EMS、配電自動化系統DAS、配電管理系統DMS、管理信息系統等系統。隨著電力信息網絡系統的廣泛應用，既要防止外部的也要防止內部的各種攻擊，電力信息系統信息安全的問題日益突出，已成為影響電力系統生產和經營正常運行的重大問題。由于電力系統是國民經濟的基礎設施，決定了其網絡信息安全既具有一般計算機信息安全的特征，更要考慮高安全要求的特征。針對電力信息網絡系統的特點，設計了一種基于分區防護的電力網絡信息安全體系結構，并對其所用的安全隔離技術進行了分析，該設計可提高電力信息網絡系統的信息安全。

1、電力信息系統網絡信息安全的體系結構

電力信息系統網絡信息安全的體系結構采取專用網絡和公共網絡相結合的網絡結構，如圖1所示，其中，SPDnet（調度信息網）和SPnet（電力信息網）是電力專用網絡。為了保障電力系統的安全，根據電力系統各部分對安全的不同要求程度，將電力網絡信息系統劃分為三層四區，具體分析如下。電力信息業務劃分為三層：第一層——自動化系統，第二層——生產管理系統，第三層——電力信息管理系統及辦公自動化系統。將三層功能與電力信息網絡結構對應起來產生四個安全工作區域：安全區Ⅰ——SPDnet支撐的自動化系統，凡是具有實時監控功能的系統或其中的監控功能部分均應屬于該區。如，調度自動化系統、相量同步測量系統、配電自動化系統、變電站自動化系統、發電廠自動監控系統等，是電力系統安全防護的重點。安全區Ⅱ——SPDnet支撐的生產管理系統，原則上不具備控制功能的生產業務和批發交易業務系統屬于該區，如，水調自動化系統、電能量計量系統、發電側電力市場交易系統等。安全區Ⅲ——SPnet支撐的進行生產管理系統，如，調度生產管理系統、雷電檢測系統、氣象信息接入和客戶服務等。安全區Ⅳ——SPnet支撐的電力信息管理系統，如MIS和OAS等。電力網絡信息安全的體系結構如圖1所示。

從圖1中可以看出，電力網絡信息安全的體系結構體現了以下安全策略：(1)分區安全防護。根據系統中業務的重要性和對一次系統的影響程度，將電力信息網絡系統劃分為四個安全工作區，重點保護在安全區Ⅰ中的實時監控系統和安全區Ⅱ中的電力交易系統。(2)網絡專用。SPDnet與SPnet通過正向型和反向型專用安全隔離裝置實現（接近于）物理隔離，SPDnet提供二個相互邏輯隔離的MPLS-VPN分別與安全區Ⅰ和安全區Ⅱ進行通信。(3)橫向隔離。安全區Ⅰ和安全區Ⅱ之間采用邏輯隔離，隔離設備為防火墻，安全區Ⅰ、Ⅱ與安全區Ⅲ、Ⅳ之間實現（接近于）物理隔離，隔離設備為正向型和反向型專用安全隔離裝置。(4)縱向認證與防護。安全區Ⅰ、Ⅱ的縱向邊界部署具有認證、加密功能的安全網關（即IP認證加密裝置）；安全區Ⅲ、Ⅳ的縱向邊界部署硬件防火墻。(5)胖Ⅲ區瘦Ⅱ區分區方案和對應的數據中心統一支撐平臺，為適應電網二次系統應用現狀和發展要求，SCADA/EMS等系統的數據需要在Ⅲ區重構，以建立適應網絡安全要求的電網調度運行系統數據中心統一支撐平臺。(6)安全區Ⅳ通過防火墻與Internet相連接。

2、安全隔離技術

電力系統的信息網絡相對Internet來說是一個內部網絡，從被動防護的角度來看，內部網絡的主要安全防護技術為放火墻、入侵檢測技術等；而主動防護則主要采用安全隔離技術等。安全隔離技術主要包括物理、協議隔離技術及防火墻技術。

2.1物理隔離技術。物理隔離技術是指在物理上將內部網與外部網分離，阻斷內部網與外部網的連接，內部網與外部網無法通過直接或間接的方式（包括放火墻或代理服務器等）連接。物理隔離是防范黑客入侵、病毒、拒絕服務等網絡攻擊的簡單而有效的手段，電力信息網絡系統的安全Ⅰ、Ⅱ區與安全Ⅲ、Ⅳ區之間采用物理隔離以保證其安全。物理隔離為內部網劃定了明確的安全邊界，使得網絡的可控性增強，結合有效的安全管理及監測、審計等安全技術，可以準確地定位網絡攻擊來源，查找來自內部的攻擊制造者。物理隔離可以有效地確保外部網不能通過網絡連接而侵入內部網，同時防止內部網信息通過網絡連接泄露到外部網。

2.2協議隔離技術。協議隔離技術是在內部網與外部網的連接端點處，配置協議隔離器來隔離內外網。協議隔離器使用了兩臺不同設備上的通用網絡接口分別連接內部與外部網，而設備之間通過使用專用密碼通信協議的專用接口卡進行互連。通常情況下，內外網是斷開的，只有當有信息交換時，內外網才會通過協議隔離器連通。

2.3防火墻技術。防火墻是設置在被保護網絡和外部網絡之間的一道屏障，以防止發生不可預測的潛在的破壞性侵入。它可以通過檢測、限制或更改跨越防火墻的數據流，盡可能地對外部屏蔽網絡內部的信息、結構和運行狀況，以此來實現網絡的安全保護。通過設置防火墻相關參數，可以實現數據包過濾、應用級網關和代理服務等安全功能。

3、結束結

由于電力系統是國民經濟的基礎設施，關系到國計民生，這就決定了其網絡信息安全的設計除了要考慮其一般計算機網絡信息安全的特征外，更要考慮其實時運行控制系統的更高安全要求，本文設計了一種基于分區防護的電力網絡信息安全體系結構，分析了其所用的安全隔離技術，該設計可提高電力信息網絡系統的信息安全。

參考文獻

[1]王剛軍,張學松,郭志忠.電力信息安全的監控與分析[J].電網技術,2004,vol.28(9):50～53.

[2]高新華,王文,馬驍.電力信息網絡安全隔離設備的研究[J].電網技術,2003,vol.27(9):69～72.

[3]胡炎,謝小榮,辛耀中.電力信息系統現有安全設計方法分析比較[J].電網技術,2006,vol.30(4):36～42.

[4]賀文華,陳志剛,胡玉平,陳代武.基于物理隔離技術的網絡系統網絡安全技術與應用,2008,(1):55～63.

[ 5 ]謝志玉,畢婧.防火墻技術研究[ J ] .信息與電腦(理論版),2011,(1):32～38.