調(diào)度自動化系統(tǒng)及數(shù)據(jù)網(wǎng)絡(luò)的安全防護
作者:王益民 辛耀中 向力 盧長燕 鄒國輝 彭清卿
評論: 更新日期:2012年06月13日
??????? 3.4調(diào)度自動化系統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)的安全防護策略
??????? 3.4.1數(shù)據(jù)網(wǎng)絡(luò)的技術(shù)體制
??????? 規(guī)劃數(shù)據(jù)網(wǎng)絡(luò)技術(shù)體制和電力系統(tǒng)安全防護體系���,應(yīng)根據(jù)電力生產(chǎn)業(yè)務(wù)對數(shù)據(jù)網(wǎng)絡(luò)安全性���、可靠性、實時性方面的特殊要求�����,并遵照國家對涉密單位和重要設(shè)施在網(wǎng)絡(luò)安全方面的有關(guān)規(guī)定。首先應(yīng)根據(jù)網(wǎng)絡(luò)的規(guī)模���、目的�、服務(wù)對象��、實時程度��、安全級別等綜合考慮���,確定最基本的網(wǎng)絡(luò)技術(shù)體制�����。
??????? 從應(yīng)用和連接方式來看�����,企業(yè)內(nèi)部網(wǎng)絡(luò)有兩類:一類是與公網(wǎng)完全隔離�����、在鏈路層上建立的企業(yè)內(nèi)部網(wǎng)絡(luò)一般稱為專用網(wǎng)絡(luò);另一類是連接于公網(wǎng)�、并利用公網(wǎng)作為通道的企業(yè)內(nèi)部網(wǎng)�����。第一類網(wǎng)絡(luò)除了面臨來自物理層面的安全問題外����,主要面臨內(nèi)部的計算機犯罪問題�,如違規(guī)或越權(quán)使用某些業(yè)務(wù)、查看修改機密文件或數(shù)據(jù)庫等�����,以及從內(nèi)部發(fā)起的對計算機系統(tǒng)或網(wǎng)絡(luò)的惡意攻擊��。第二類網(wǎng)絡(luò)除了具有上述安全問題外�,還要承受來自公網(wǎng)的攻擊和威脅,由于公網(wǎng)上黑客�����、病毒盛行�,網(wǎng)絡(luò)安全的攻擊與反攻擊比較集中地體現(xiàn)在公網(wǎng)上。
??????? 由于電力調(diào)度數(shù)據(jù)網(wǎng)的服務(wù)對象�、網(wǎng)絡(luò)規(guī)模相對固定,并且主要滿足自動化系統(tǒng)對安全性�����、可靠性、實時性的特殊需求��,為調(diào)度自動化系統(tǒng)提供端到端的服務(wù)��,符合建設(shè)專網(wǎng)的所有特征�,所以電力調(diào)度數(shù)據(jù)網(wǎng)宜在通道層面上建立專網(wǎng),以實現(xiàn)該網(wǎng)與其他網(wǎng)的有效安全隔離�。
??????? 目前國家電力數(shù)據(jù)網(wǎng)同時承載著調(diào)度控制業(yè)務(wù)和管理信息業(yè)務(wù),應(yīng)當在將來通道資源允許的條件下��,將現(xiàn)有電力調(diào)度數(shù)據(jù)網(wǎng)上的信息業(yè)務(wù)逐步分離出去�����,改造成為實時控制業(yè)務(wù)專用的數(shù)據(jù)網(wǎng)絡(luò)�。
??????? 電力系統(tǒng)中的光纖通信網(wǎng)絡(luò)正在加緊建設(shè),采用光纖+SDH+IP模式容易實現(xiàn)對不同IP應(yīng)用業(yè)務(wù)之間的物理隔離�����,具有較高的傳輸效率�����,能滿足控制����、保護等電力系統(tǒng)的關(guān)鍵業(yè)務(wù)的要求,便于調(diào)度部門能對網(wǎng)絡(luò)進行有效監(jiān)控��,并便于通信部門對外出租帶寬�����。因此用光纖+SDH+IP模式建立調(diào)度數(shù)據(jù)專網(wǎng)是一個適當?shù)倪x擇�,可以很好滿足電力系統(tǒng)的下列要求:
??????? (1)數(shù)據(jù)傳輸?shù)膶崟r性(繼電保護毫秒級,自動化秒級)����,要求網(wǎng)絡(luò)層次簡化。
??????? (2)傳輸?shù)倪B續(xù)性����,通信負荷基本恒定,需要恒定帶寬����。
??????? (3)遠方控制的可靠性(遙控、遙調(diào)��、AGC等),要求有效隔離�����。
??????? (4)因特網(wǎng)時代的安全防護體系(防黑客��、防病毒����、防破壞等)。
??????? (5)網(wǎng)絡(luò)拓撲結(jié)構(gòu)必須覆蓋遠離城市的電廠�、變電站。
??????? (6)充分利用SPDnet的現(xiàn)有設(shè)備����,節(jié)約大量資金,便于平滑過渡�。
??????? 3.4.2調(diào)度專用數(shù)據(jù)網(wǎng)絡(luò)的安全防護措施
??????? 調(diào)度專用數(shù)據(jù)網(wǎng)除了傳送EMS數(shù)據(jù)外,還傳送電能量計量計費�、水調(diào)自動化、電力市場信息和調(diào)度生產(chǎn)信息(工作票和操作票����、發(fā)電計劃和交易計劃、負荷預(yù)報、調(diào)度報表�����、運行考核等)����。應(yīng)根據(jù)各類應(yīng)用的不同特點�����,采用不同的安全防護措施��,如EMS等實時控制業(yè)務(wù)具有較高的優(yōu)先級��,應(yīng)該優(yōu)先保證����,生產(chǎn)信息的優(yōu)先級次之,而電力市場信息須進行加密處理等�����。
??????? 采用調(diào)度專用網(wǎng)絡(luò)體制使數(shù)據(jù)網(wǎng)絡(luò)在網(wǎng)絡(luò)層的的安全得到最大程度的保證��。但也不能保證100%的安全,對調(diào)度數(shù)據(jù)專用網(wǎng)絡(luò)還必須做到技術(shù)措施和管理制度雙管齊下�����,才有可能從根本上保障信息和控制系統(tǒng)的安全�。在管理制度方面,要做到:
??????? (一)對全網(wǎng)實施監(jiān)管����,所有與電力調(diào)度數(shù)據(jù)網(wǎng)連接的節(jié)點都必須在有效的管理范圍內(nèi),保障安全的系統(tǒng)性和全局性�。
??????? (二)加強人員管理,建立一支高素質(zhì)的網(wǎng)絡(luò)管理隊伍����,防止來自內(nèi)部的攻擊、越權(quán)�����、誤用及泄密����。
??????? (三)加強運行管理,建立健全運行管理及安全規(guī)章制度����,建立安全聯(lián)防制度�����,將網(wǎng)絡(luò)及系統(tǒng)安全作為經(jīng)常性的工作�����。
??????? (四)聘請網(wǎng)絡(luò)安全顧問,跟蹤網(wǎng)絡(luò)安全技術(shù)�。
??????? 在技術(shù)措施方面,要做到:
??????? (一)在網(wǎng)絡(luò)傳輸層����,為了保證數(shù)據(jù)網(wǎng)絡(luò)的安全,又能向外傳輸必要的數(shù)據(jù)�,必須堅持調(diào)度控制系統(tǒng)與調(diào)度生產(chǎn)系統(tǒng)之間、調(diào)度生產(chǎn)管理系統(tǒng)與企業(yè)辦公自動化系統(tǒng)(OA/MIS)之間有效安全隔離����,它們之間的信息傳輸只能采用單向傳輸?shù)姆绞健32捎玫拇胧┌ǚ阑饓?、專用網(wǎng)關(guān)(單向門)、網(wǎng)段選擇器等進行有效隔離�。另外在調(diào)度數(shù)據(jù)專用網(wǎng)絡(luò)的廣域網(wǎng)和局域網(wǎng)上,根據(jù)不同的業(yè)務(wù)系統(tǒng),還可采取以下技術(shù)手段:
??????? (1)網(wǎng)絡(luò)安全訪問控制技術(shù)��。通過對特定網(wǎng)段和服務(wù)建立訪問控制體系��,可以將絕大多數(shù)攻擊阻止在到達攻擊目標之前�。可實施的安全措施有:防火墻�、VPN設(shè)備、VLAN劃分�、訪問控制列表、用戶授權(quán)管理�����、TCP同步攻擊攔截�、路由欺騙防范、實時入侵檢測技術(shù)等�����。
??????? (2)加密通信技術(shù)��。該措施主要用于防止重要或敏感信息被泄密或篡改�。該項技術(shù)的核心是加密算法。其加密方法主要有:對稱型加密�、不對稱型加密����、不可逆加密等��。
??????? (3)身份認證技術(shù)����。該項技術(shù)廣泛用于廣域網(wǎng)、局域網(wǎng)�、拔號網(wǎng)絡(luò)等網(wǎng)絡(luò)結(jié)構(gòu)。用于網(wǎng)絡(luò)設(shè)備和遠程用戶的身份認證����,防止非授權(quán)使用網(wǎng)絡(luò)資源�����。
??????? (4)備份和恢復(fù)技術(shù)�。對于網(wǎng)絡(luò)關(guān)鍵資源如路由器、交換機等做到雙機備份��,以便出現(xiàn)故障時能及時恢復(fù)�。
??????? (二)在系統(tǒng)和應(yīng)用層面,包括計算機防病毒技術(shù)�、采用安全的操作系統(tǒng)(達B2級)�、應(yīng)用系統(tǒng)的關(guān)鍵軟硬件及關(guān)鍵數(shù)據(jù)的熱備份和冷備份等�。防病毒技術(shù)和備份措施是通常采用的傳統(tǒng)安全技術(shù),而安全的操作系統(tǒng)是一個新的發(fā)展趨勢�����。
??????? 4.結(jié)論
??????? 電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)是調(diào)度自動化系統(tǒng)的支撐平臺�����,網(wǎng)絡(luò)安全是系統(tǒng)安全的保障����,專用數(shù)據(jù)網(wǎng)絡(luò)是整體安全防護體系的基礎(chǔ),專網(wǎng)體現(xiàn)在網(wǎng)絡(luò)互聯(lián)��、網(wǎng)絡(luò)邊界����、網(wǎng)絡(luò)用戶的可管性和可控性。目前��,國際上正在制定相應(yīng)的自動化系統(tǒng)網(wǎng)絡(luò)安全標準��,國內(nèi)也開始進行相關(guān)課題的研究����,對于調(diào)度自動化系統(tǒng)及數(shù)據(jù)網(wǎng)絡(luò)的安全防護措施�����,首先應(yīng)在網(wǎng)絡(luò)技術(shù)體制方面�,采用光纖+SDH+IP的數(shù)據(jù)專網(wǎng)模式����,在全系統(tǒng)實現(xiàn)電力調(diào)度專用數(shù)據(jù)網(wǎng)絡(luò)與其它公用信息網(wǎng)絡(luò)、電力生產(chǎn)控制系統(tǒng)與辦公自動化系統(tǒng)等的安全隔離��,同時在調(diào)度專用數(shù)據(jù)網(wǎng)及各相關(guān)應(yīng)用系統(tǒng)上采取必要的安全防護技術(shù)手段����,建立嚴密的安全管理措施,以確保電力調(diào)度系統(tǒng)和電力系統(tǒng)的安全��。
??????? 參考文獻:
??????? 1.余建斌.黑客的攻擊手段及用戶對策.北京:人民郵電出版社��,1998年
??????? 著.王霞����,鐵滿霞�,陳希南譯.網(wǎng)絡(luò)安全技術(shù)-風(fēng)險分析�、策略與防火墻.北京:中國水利(水利論文)水電出版社�,1998年
??????? 3.趙遵廉等主編,電力市場運營系統(tǒng)��,北京:中國電力出版社����,2001年1月
??????? 4.辛耀中等,電力系統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)技術(shù)體制分析�����,電力系統(tǒng)自動化�����,2000年11月
??????? 5.肖康�,建立和完善企業(yè)IP網(wǎng)絡(luò)安全體系,計算機世界�����,2000年10月
??????? 6.計算機信息系統(tǒng)安全法規(guī)匯編�,中國電力信息中心,2000年2月?????
