首页 > 文章中心 > 安全防护系统建设方案

安全防护系统建设方案

前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇安全防护系统建设方案范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。

安全防护系统建设方案

安全防护系统建设方案范文第1篇

[关键词]油田;网络安全;安全防护

近几年,伴随着我国科学技术的不断进步与发展,网络技术也在如火如荼的发展,其在各行各业中均得到了广泛应用,与此同时,因网络所引发的安全问题也备受关注,黑客作为破坏网络有序发展的主要部分,在网络技术的不断发展下,黑客技术也得到了提升,导致他人电脑或者系统受到入侵,各种类型的病毒技术出现,导致网络安全成为了首要问题。油田企业的发展与社会经济有着密切的联系,如果油田网络遭受侵害,则会导致大量信息泄露,严重阻碍油田企业的发展与进步。

1现阶段网络中不安全隐患的分析

其一,黑客程序的攻击。毋庸置疑,现阶段黑客的技术越来越高,相关工具也越来越先进,在这种发展驱使下,会导致电脑系统出现不同程度的入侵,在油田企业的发展中,如何避免受到黑客的攻击已成为当前十分重要的内容。其二,网络内部的攻击。在网络的正常运行下,同样会受到内部因素的影响,其中防火墙虽然已发展的比较成熟,对外也具备防护作用,然而却无法对内进行保护,甚至根据文献了解到,有80%左右的攻击均来自局域网内部人员。其三,非法URI的访问,之所以会产生这种现象,主要是因为访问不健康的站点。其四,病毒防护。现阶段网络技术得到快速发展,与此同时,在电脑系统之中会出现各种网络病毒,通常情况下,网络病毒是从网络之间爆发的,并且是在计算机没有任何防备的基础上形成的,会引起系统崩溃,甚至还会导致网络出现瘫痪。比如比较常见的便是e-mail病毒。其五,系统安全漏洞,系统漏洞的出现也是依靠系统自身的缺陷而不断传播的,病毒编程者的技术较高,能通过利用系统漏洞病毒。只有真正了解这几种不安全隐患,并加以解决,才能真正保证油田网络的安全性以及全面性。

2制定网络安全防护体系的策略

一般情况下,可以利用防火墙将内部网络与外部网络隔离,避免受到外部攻击,也可以采取网络防毒中心阻断网络病毒在内部的传播,并对其网络攻击进行检测。笔者通过分析,结合单位的实际情况,制定了网络安全防护体系结构图,如图1所示。

2.1应用防火墙杜绝网络攻击

从整体角度分析,防火墙是当前比较重要的网络安全技术,能够起到防范作用。油田公司可以在网络出口处安装防火墙,实现内部网络与外部网络的隔离,如果外部网络需要访问则需要接受防火墙的检查,这样一来则有效地提高了网络的安全性。防火墙的任务主要包括三点:第一是需要将源地址过滤,避免外部IP地址进入,杜绝外部网络越权访问的现象;第二是要保证防火墙仅仅留下了有用的服务,否则关闭,尽可能将系统受到的攻击减少,如此才能减少黑客的入侵行为;第三是外部网络以及内部网络的访问均要经过防火墙,并对其加以记录,从而将攻击行为分析出来。

2.2制定完善的网络防病毒体系

在油田网络的有序运行中,病毒的入侵会造成严重的损害,制约油田的发展。近几年,因受到相关因素的影响,各类病毒层出不穷,严重影响了网络安全,甚至还会导致油田网络系统发生瘫痪的现象。根据笔者多年的经验分析,系统在运行过程中往往会受到诸多因素的影响,为真正杜绝这一局面的发生,需要采取多层病毒防卫体系(多层病毒防卫体系主要是指在每一台电脑中安装反病毒软件,且在服务器上安装基于服务器的反病毒软件)。从另外一个角度分析,因为病毒在网络中以多样的方式存在,所以在制定网络防病毒系统时,需要全方位的角度出发与分析,要严格按照“层层防护、集中控制”的基本原则。简而言之,要针对网络中可能出现的病毒攻击制定有效的防毒软件和完善的网络防病毒体系,采取全方位的防毒设置。

2.3构建入侵检测技术,保护网络

毋庸置疑,安全扫描技术的应用同样是比较重要的网络安全技术,在油田网络中,制定入侵检测技术可以保证计算机系统的安全性,还可以将计算机中所存在的安全隐患及时进行处理与解决。从某个角度分析,入侵检测技术在计算机网络中属于应用广泛的技术,主要是将计算机网络中的各项违反现象进行检测。通常情况下,在入侵检测系统时,需要应用审计记录,且入侵检测系统中可以将不良行为进行识别,并对这些活动加以限制,从而起到保护网络的作用。另外,在对网络扫描中,网络管理员需要对网络的安全配置以及相应的运行加以了解,做好各项服务工作,及时发现其中的漏洞,对网络风险等级进行评估。网络管理员还可以依据扫描的结果将网络安全漏洞进行更改,做好防范工作。

2.4加强安全扫描技术的应用

在油田网络安全管理中,安全扫描技术主要是采取扫描的方式将安全漏洞及时处理,包括网络中的计算机、服务器、路由器、交换机等,还可以对测试系统起到良好的防御作用。从性质分析,利用安全扫描技术探测安全漏洞,能够从系统的外部出发,探测出最为薄弱的环节,从而起到良好的保护作用。

主要参考文献

安全防护系统建设方案范文第2篇

关键词:电力 信息安全防护 典型案例

中图分类号:TM76 文献标识码:A 文章编号:1674-098X(2016)12(b)-0058-03

该课题研究解决方案典型方案以电力公司为主要对象,在实际操作过程中,可以裁剪,原则应满足安全防护建设要求,主要包括安全控制措施如何部署,而不提出确定型号的安全产品,且以单位进行全新安全防护系统建设为出发点,在此基础上,结合电力公司安全建设现状,考虑对现有安全措施的复用,根据自己的实际情况进行安全系统选型并制定安全系统实施方案。

1 案例分析

某省电力公司构建信息网络,已经稳定运行的有:管理系统、安全生产管理系统、国际合作系统、协同办公系统、电力营销系统、纪检监察系统等,同时在建有ERP等系统,网络和信息系统情况复杂,迫切需要进行信息安全方面的建设,实现以下几方面的需求。

(1)确保信息系统的可用性、完整性和机密性。

(2)对服务器、工作站、网络基础设施和网络边界采取合理有效的安全防护手段。

(3)防止非授权的用户非法接入、非法窃听和信息篡改。

(4)对信息系统的接口实施认证和加密等手段,确保应用安全。

2 方案设计

(1)边界防护如表1所示。

(2)网络防护如表2所示。

(3)主机防护在主机层面部署的安全控制措施表3所示。

(4)应用防护内容如表4所示。

3 结语

该课题对电力公司信息安全典型解决方案的研究,对现有安全措施的复用,根据自己的实际情况进行安全系统选型并制定了安全系统实施方案,有效地将信息安全总体方案进行贯彻执行。该课题典型方案以网省公司为主要对象,各网省、地市等单位在实际操作过程中,可以以该方案为模板进行修改,原则应满足安全防护总体方案的建设要求。

参考文献

[1] 李文武,游文霞,王先培.电力系统信息安全研究综述[J].电力系统保护与控制,2011,39(10):140-147.

[2] 胡炎,董名垂,韩英铎.电力工业信息安全的思考[J].电力系统自动化,2002,26(7):1-4.

[3] 李文武,王先培,孟波,等.电力行业信息安全体系结构初探[J].中国电力,2002,35(5):76-79.

安全防护系统建设方案范文第3篇

关键词:工业控制系统 ;信息安全 ;问题风险;防御体系

一、工控系统介绍

工业控制系统由各种组件构成,有些组件是自动的,有些是能进行过程监控的,两种组件构成了工业控制系统的主体。该系统的主要目的就是在第一时间实现对数据的采集和监控工业生产流程。如图,主要分为控制中心、通信网络、控制器组。

工控系统主要包括过程控制、数据采集系统(SCADA)、分布式控制系统(DCS)、程序逻辑控制(PLC)以及其他控制系统等。一直以来,这些系统被应用在不同的工业领域,成为了国家的重点基础工程项目的建设中不可缺少的成分之一。所有的工业控制系统中, 工业控制过程都包括控制回路、人机交互界面(HMI)及远程诊断与维护组件。上图为典型的ICS 控制过程。

二、工控系统的安全现状分析

随着计算机技术和工业生产的结合,工业控制系统(Industrial Control Systems, ICS)已成为制造、电力及交通运输等行业的基石。一方面,工控系统为工业的发展带来了巨大的积极作用,另一方面,因为工业控制系统的安全防护体系做得还不是很到位, 很多的非法入侵事件屡见不鲜,这对工业的发展,甚至对整个国家的安全战略提出了挑战。尤其是2010 年的Stuxnet 病毒的肆虐,让全球都明白,人们一直认为相对安全的工业控制系统也成为了黑客攻击的目标,因此,在第一时间发现工控系统的安全问题,并及时解决这些安全问题是极其重要的。此外,建设安全可信的工控防御体系,也是现在各国发展和建设的重要一环。

三、工控系统现存在的问题

3.1系统内部风险:操作系统存在安全漏洞。由于工控软件先设计,之后操作系统才会发现漏洞进行修复,甚至绝大部分工控系统所使用的Windows XP系统生产者Microsoft公司申明:4月8日以后不会对XP系统安全漏洞进行修复,所以之后工控系统病毒的爆发会更加频繁,使工控系统更加危险。

无杀毒软件的问题。使用Windows操作系统的工控系统基于工控软件与杀毒软件的兼容性的考虑,一般不会安装杀毒软件,给病毒的传播与扩散留下了空间。

u盘传播病毒问题。在工控系统中的管理终端一般不会有专门软件对U盘进行管理,导致外设的无序使用从而引发工控系统病毒传播。

工控系统存在被有意控制的风险。没有对工控系统的操作行为监控和制定相应的措施,工控系统中的异常行为会给工控系统带来较大的风险。

3.2 外部问题。安全评估存在困难。安全评估是建立安全防护体系的第一步,工业控制系统信息安全评估标准是国家颁发的第一个关于工控系统安全方面的标准,工信部2011年的通知中明确要求对重点领域的工业控制系统进行安全评估,但2012 年这项工作遇到了例如缺少针对特定行业的评估规范、只能针对IT系统,不能对非IT类的设备进行评估等困难。

缺乏针对ICS安全有效的解决方案。现有的纵深防御架构解决方案只针对一般ICS模型,针对特定行业的工控系统进行防护,还需要在未来大量实践的基础上才能完善。

应对APT攻击解决效果不佳。从过去的几次ICS安全事故来看,有针对性、有持续性的APT攻击威胁最大,APT 攻击的防御一直是信息安全行业面临的难题,即使是Google、RSA 这些拥有许多专门人才和对信息安全有大投入的公司在APT攻击面前也没能幸免。

四、工控系统信息安全的解决

4.1硬件完善。国际上有两种不同的工控系统信息安全解决方案: 主动隔离式和被动检测式

主动隔离式解决方案:即相同功能和安全要求的设备放在同一区域,区域间通信有专门通道,加强对通道的管理来阻挡非法入侵,保护其中的设备。例如:加拿大Byres Security公司推出的Tofino工控系统信息安全解决方案。

被动检测式解决方案:除了身份认证、数据加密等技术以外,多采用病毒查杀、入侵检测等方式确定非法身份,多层次部署与检测来加强网络信息安全。例如:美国Industrial Defender公司的ICS安全解决方案。

4.2“软件”完善:安全管理体系。安全管理防护体系由安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五部分构成。工控系统管理体系是一个循序渐进的过程,且要随着时代的进步随时更新,逐步完善系统,完善管理体系,最终才能实现工控系统的真正的安全。

安全管理制度:建立、健全工控系统安全管理制度,制定安全工作的总体方针和战略,工控系统安全防护及信息录入纳入日常工作管理体系,对安全管理人员或者操作人员所进行的重要操作建立规范流程;形成由安全政策、管理方法、操作规范流程等构成的安全管理制度体系。

安全管理机构:专门设立的工控信息安全工作部门,确定相关领导为安全事故责任人,制定相关文件明确机构、岗位、个人的职责分工和要求等。

人员安全管理:规范重要岗位录用流程,对录用者进行相关身份、背景、专业资质的严格审查,进行相关专业技能的考核,与关键岗位的人员签订保密协议;对相关岗位人员进行定期安全培训教育,严格限制外来人员访问相关区域、系统、设备等。

系统建设管理:首先要根据系统重要程度设立安全等级实施相应的基本安全措施,根据实时状态更新完善系统,制定相应的补充调整安全措施制定长远的工作计划。

五、工业控制系统信息安全发展趋势

众所周知,工业控制系统逐渐延伸到各行各业,造福人类的同时,也显露出不少问题,给国家和人民造成了巨大损失。进入新世纪以来,各个国家都在致力于解决这个问题,但是信息安全事故任然屡见不鲜。

安全防护系统建设方案范文第4篇

关键词:智能电网;信息安全;三层四区

中图分类号:TM76 文献标识码:A文章编号:1007-9599 (2011) 09-0000-01

Smart Grid Information Security and Network Structure Optimization Research

Liu Shuang1,2

(1.Hubei University of Technology,Wuhan430068,China;2.Chongqing Power Company Jiangjin Power Supply Bureau,Chongqing402260,China)

Abstract:Building safe and reliable electric power data communication network environment,information security has become a regional power system to achieve real-time smart grid data sharing,remote scheduling integrated automation system to run the important technical support.Data in the grid structure of information and communication network exists to summarize security threats such as chaos analysis,combined with three-four districts the power data security architecture,information security and isolation from the power-specific device settings,and construction aspects of anti-virus system,were introduced smart grid data network security architecture model.

Keywords:Smart grid;Information security;Three layer four districts

一、电网数据网络现存结构混乱问题

在实际电网运行过程中发现,电网数据网络系统在互联时广泛采取只要任何两套系间有数据信息交换时,就将他们联接在一起,由于没有经过系统的规划设计,一方面使得整个电网数据网络结构变得混乱复杂,另一方面各成系统的数据网络结构,使得整个系统网络结构间没有形成一个系统完善的网状互联结构,系统间相互联络点较多,安全边界问题较为模糊等问题,从而给电网系统数据网络的安全装置部署增加了很大困难,即便对某个子系统进行安全装置配置,也很难顾忌到与系统互联的其它所有边界的安全问题,不仅增加了电网系统信息安全网络构筑的综合投资,同时混乱的网络结构,使得在系统中无论采取何种安全部署方案,均不能满足智能电网数据信息网络安全可靠性要求。目前,电网数据网络现存结构典型混乱连接问题如图1所示:

图1.电网混乱的数据信息网络结构

从图1中可以看出,如监控系统1需要向监控系统2发送数据信息文件,按照电网现有的网络结构,需要在系统中部署三台防火墙,但监控系统所需发送文件数据信息必须经过MIS外网系统才能穿上到监控系统中。由于MIS外网系统是一个公共数据交换平台,数据信息文件在经过MIS系统时,感染病毒的可能性十分大,这样三台监控系统防火墙的设置实际上没有发挥出其应有的功能特性,从而给电网数据信息传输带来巨大的安全威胁。

二、智能电网数据信息安全防护方案

(一)三层四区安全防护体系。按照三层四区的网络结构体系构筑的智能电网数据信息安全防护体系,即系统安全区Ⅰ与安全区Ⅱ间和安全区III与安全区IV间的电力数据信息隔离手段,采用经有关信息安全部门认定核准的硬件防火墙,用来禁止非法用户通过E-mail、Web、Telnet等访问方式访问网络系统中的数据信息;安全区Ⅰ(Ⅱ)不得与安全区III进行数据信息的,必须采用专用隔离装置(包括正向隔离装置和反向隔离装置两类),从安全区Ⅰ(Ⅱ)向安全区Ⅲ单向传输数据信息时,须要经过正向隔离装置进行数据信息安全检查,同理从安全区Ⅲ向安全区I(Ⅱ)传输单向数据信息时,需要采用反向隔离装置进行数据信息安全检查。在进行智能电网数据信息安全网络进行整体防护设计时,要充分考虑系统的实际应用业务需求,结合各隔离装置的功能特点,从各个层面对整个智能电网数据信息网络系统实施全方位的保护。以基于三层四区防护原则的智能电网数据信息安全网络优化结构为例,安全区Ⅰ区为实时控制区、安全区II区为非控制生产区、安全区Ⅲ区为实际业务应用管理区、安全区IV区为电网管理层数据信息区。各区内有自己独立的区内的数据信息交换机,按照“三层四区”的信息网络安全防护思想,将智能电网数据信息安全防护系统进行横向的三层四区安全域划分,构筑完善系统的信息安全优化网络。整个数据信息安全防护系统采用电力数据信息专用防火墙和通用防火墙相互组合实现内网和外网间的网络隔离,并在横向上实现不同安全区域的安全应用业务系统间数据信息的实时安全传输共享。(二)网络防病毒系统。智能电网数据信息安全网络由于采取三层四区的安全防护结构体系,因此需要根据不同安全区域按照技术经济等特性设置三台防病毒服务器。整个电网数据信息安全网络防病毒系统采用趋势防病毒系统软件。这样可以通过网络利用病毒代码的统一分配和实时更新,从而减少网络系统工作人员的检修维护工作量。在信息安全网络中的所有服务器、工作站、以及客户管理机上均安装实时更新的防病毒软件。通过在网络中进行病毒安防系统的整体部署,从而切断网络系统内部病毒传播途径,降低病毒传播和发作引起整个网络系统内部的资料皮坏、数据信息丢失等损失。在各安全区对应的应用业务系统的服务器中均安装相应的病毒客户端程序,通过网络与各安全区所安装的防病毒子系统进行实时数据通信更新。

三、结束语

在对智能电网数据信息安全网络中存在的安全网络结构体系混乱现状进行深入分析和研究的基础上,提出了按照三层四区的网络防护原则构筑智能电网数据信息网络安全防护结构模型。从智能电网实际应用系统需求,分别介绍了信息安全网络系统中不同安全区域电力数据信息隔离手段和网络防病毒系统,从而构筑具有综合性、系统性、安全可靠性、实用性的智能电网数据信息安全网络防护系统。

参考文献:

[1]李新叶,苑津莎,戚银城等.基于Web Services的异构电力MIS信息集成方案[J].中国电力,2005,38(8):71-73

[2]姚顾波.黑客终结:网络安全完全解决方案[M].北京:电子工业出版社,2003

安全防护系统建设方案范文第5篇

关键词:35kV变电站;调度;数据网

作者简介:李洁(1977-),男,安徽广德人,国网浙江丽水市莲都区供电公司调控中心,工程师。(浙江 丽水 323000)

中图分类号:TM73 文献标识码:A 文章编号:1007-0079(2013)27-0220-02

电力调度数据网为电网生产控制大区各类业务系统提供安全、可靠、稳定的数据传输平台。根据《浙江电力调度数据网技术规范》要求,丽水地区于2011年建成浙江电力调度数据网丽水骨干汇聚层,完成丽水电网220kV、110kV变电站数据接入网建设。丽水地区下辖莲都等9县市,35kV变电站87个,按丽水电网电力调度数据网的建设目标,在目前已完成的调度数据网平台基础上,结合县级电网现状,分析35kV变电站的实施条件,提出35kV变电站数据接入网络建设方案,规范调度数据网的建设,以实现丽水电网全部变电站调度数据网全覆盖的目标,更好地满足丽水电网地县两级调度生产业务的需要。

一、数据网状况及侧需

丽水电力调度数据网是浙江省电力调度数据网的重要组成部分,承载着电力系统各类实时信息和非实时数据的传输,为调度自动化系统、变电站集中监控系统、电能量自动采集系统和其他电网运行系统的业务应用提供了重要的技术支持,日益成为电网安全生产的重要基础。根据丽水电网“十二五”规划,将进一步扩大电力数据网的建设,一方面建设丽水地调配骨干汇聚层等第2平面,另一方面扩大电力调度数据网的应用周围,更加使之覆盖丽水地区所有的35kV变电站,并且展开所有厂站数据信息网络化接入。目前丽水地区35kV变电站调度自动化信息多采用传统的数模转换/拨号等方式进行传输,信号经过多次转换,存在效率低、速率低、误码率高、可靠性差、故障定位难等问题;变电站电能量信息多采用拨号和E1专线方式,其中拨号方式握手时间长,采集的信息的可靠性较差,不少厂站需要多次采集才能采集到可靠的数据。以上方式无法满足现在电力调度生产业务对传输网络安全可靠、稳定、高效的要求,存在安全隐患,需将其逐步纳入到丽水电力调度数据网内,以满足电网快速发展和新信息系统建设对数据传输的更高要求。

二、数据网架构及建设方案

1.丽水地区35kV变电站调度数据网的建设原则

(1)系统配置力求技术先进、经济合理、灵活可靠、安全实用,与丽水数据网骨干汇聚层相匹配。

(2)按照分级分层信息采集原则,在丽水地区所辖9个县调设置35kV变电站数据网县调汇聚层,35kV变电站调度生产数据按区域就近接入所属县调数据网汇聚层,再通过丽水数据网骨干汇聚层汇接所有县调汇聚层节点,实现地县数据网的组网。

(3)设备配置考虑35kV变电站电力通信网现状,35kV变电站接入层、县调汇聚层和丽水数据网骨干汇聚层之间均采用100Mb/s以太网专线方式,部分厂站采用2Mb/s E1专线方式。

(4)数据网采用IP路由交换设备组网,采用TCP/IP协议体系。35kV变电站自动化系统数据需改为采用IEC60870-5-104规约网络传输,电能量采集系统数据需从拨号改为网络传输,实现电网调度业务的数据传输网络化。针对厂站生产调度业务特性采用MPLS-VPN技术构建两个相对独立的逻辑专网,分别用于承载实时控制业务和非实时控制生产业务,实现不同业务接入的隔离。

(5)网络方案应符合《电力二次系统安全防护总体方案》和《电力二次系统安全防护规定》的相关要求,配置安全防护硬件设备,部署安全防火策略,落实相关安全防护措施。

2.数据网络拓扑结构

丽水地调下辖莲都、龙泉、缙云、青田、云和、遂昌、松阳、庆元、景宁九县调。丽水地区骨干汇聚层设置6个骨干汇聚节点,分别布置在丽水地调、500kV万象变、青田县调、缙云县调、龙泉县调和遂昌县调,其中丽水地调为第一出口,500kV万象变为第二出口,丽水地区骨干汇聚层拓扑示意图如图1所示。

丽水地区数据网络总体拓扑结构由地调汇聚层、县调汇聚层和接入层组成,地调汇聚层汇接所有县调汇聚节点及110kV变电站,县调汇聚层汇接下辖35kV变电站,接入层采用星型拓扑结构方式接入汇聚层。

根据丽水调度数据网接入层组网方式,丽水地区骨干汇聚层中的丽水节点汇接莲都、云和县调汇聚层;遂昌节点汇接遂昌、松阳县调汇聚层;龙泉节点汇接龙泉、庆元县调汇聚层;缙云节点汇接缙云县调汇聚层;青田节点汇接青田、景宁县调汇聚层。以莲都为例,县调汇聚层和接入层拓扑示意图如图2所示。

莲都下辖的8个35kV变电站以星型拓扑结构汇接至莲都县调汇聚层,再通过与地调骨干汇聚层互联实现地县数据网组网,全市9个县调的组网结构一致。

3.数据网设备配置

根据《浙江电力调度数据网技术规范》,考虑到目前电力调度生产业务数据平均流量在10kps以下,不会产生数据突发大流量的现象,100Mb/s以太网专线可以满足业务传输要求,所以在丽水35kV变电站与相应接入县调之间开通2条100Mb/s以太网专线,若通信条件不具备可采用2Mb/s E1专线;县调与地调骨干汇聚层对应节点之间开通2条100Mb/s以太网专线互联。传输链路要求能通过通信传输层提供的自愈保护实现数据可靠传输。在数据网接入层方面,每个35kV变电站配置1套接入路由器,与县调汇聚层2套路由器互通;配置2套接入二层交换机,厂站实时控制业务和非实时控制生产业务分别通过2套交换机接入至接入路由器,采用MPLS-VPN技术构建两个相对独立的逻辑专网。

在每个县调汇聚层配置2套汇聚路由器,实现汇接所有35kV变电站接入路由器和与丽水数据网骨干汇聚层的互通;配置2套中心三层交换机,提供县调自动化SCADA/EMS系统、电能量自动采集系统等调度生产业务系统对变电站终端实时控制业务和非实时控制生产业务的直接访问。

按照电力二次安全防护的有关要求,在县调汇聚层和变电站接入层的实时控制业务通道上增配纵向加密安全认证装置,非实时掌握业务通道上增加硬件防火墙,部署好访问掌握策略及相关安全防护措施,以更有效屏蔽非法业务访问、病毒及恶意攻击。县调数据网汇聚层不再单独配置网管系统,在丽水骨干汇聚层的调度数据网网管软件上增配上述县调汇聚层和厂站接入层节点,开发县调相应权限,方便其对县调35kV变电站数据网的运行维护管理。

4.数据网技术体制

(1)通信链路。丽水35kV变电站调度数据网以电力通信传输网络为基础,采用IP over SDH技术体制,该体制具有以下优点:电力调度应用系统特性相对单一,多为IP业务,适宜采用IP路由交换网络;网络开销小,结构简洁,效率高;网络复杂度降低,路由设备具备SDH标准接口,有利于日常运行维护;采用IP路由交换网络安全强度高,方便系统整体安全策略的制定和部署。

(2)虚拟专网。35kV变电站数据网建设采用MPLS VPN虚拟专网技术将电力调度数据网业务划分为不同的VPN,即用于承载实时控制业务的实时VPN-RT、用于承载非控制生产业务的非实时VPN-NRT,各级节点接入网络的业务按照二次系统安全防护的要求接入相对应的VPN,实现两个相对独立的逻辑业务传输专网,对所承载的多种业务及应用进行隔离,确保网络安全。

(3)网络路由。丽水35kV变电站调度数据网络路由传统链路状态协议OSPE(Open Shortest Path First,开放式最短路径优先协议),另外配置战略如下:自治系统内部节点公网路由均运行OSPEv2协议;全网MPLS VPN私网路由传递使用IBGP路由协议;接入网按各县调范围进行区域划分,OSPF逻辑域的划分和物理区域的划分尽量一致;各OSPE子区域内采用路由地址汇聚,缩短路由表长度;每台设备的router id应与该设备的回环(loopback)地址相同;各县调汇聚层应通过两点分别接入丽水骨干汇聚层双平面,县调汇聚层间不设直接互联路由。

(4)安全防护。数据网必须按照《电力二次系统安全防护规定》及《电力二次系统安全防护总体方案》的相关技术规定,配置纵向加密认证装置、防火墙、安全隔离装置等;部署访问控制策略,从端口上限制用户访问行为,采用严格的接入控制措施,仅经过授权的节点方能接入调度数据网;部署入侵检测/防御系统、日志系统,对网络设备运行状况、网络流量、用户行为等进行日志记录并分析,实现调度数据网的安全监视;进行边界完整性检查,对网络设备进行安全配置,防止非授权访问,禁止生产控制大区与生产管理大区的直接互联。

(5)IP地址分配。IP地址从省调统一分配丽水地区电力调度数据网的IP地址中选取,由地调统一分配。调度数据网地址分为网络(组网)地址和应用(主机)地址两大类,其中网络地址由网络标识地址(Loopback)、网络设备互联链路地址和网络边界(PE/CE 连接链路)地址组成,应用地址由包括厂站在内的各不相同的应用系统接入数据网络的地址组成。在进行IP地址分配时应充分考虑未来业务发展,保持适度预留,并遵循相关分配原则,如采用CIDR技术,以减小路由器路由表的大小,加快路由的收敛速度;采用VLSM,保证IP地址的利用效率;保证IP地址的唯一性等。

三、结束语

丽水地区各县调所辖35kV变电站通过县调数据网汇聚层与地调骨干汇聚层互联,接入丽水地区电力调度数据网,将实现丽水地区所有变电站调度数据网全覆盖的目标。网络完成后,为丽水地县实现“一体化”调度技术及支持系统提供一个更可靠、统一的专用数据平台,实现地县电网运行协同管理水平上升,为电网的安全稳定运行发挥重要作用,为地县调度自动化系统的发展打下坚实基础。

参考文献:

[1]浙江省电力公司.浙江电力调度数据网技术规范[Z].2011.