李智

摘 要：隨著我國(guó)現(xiàn)代化水平的不斷提升，各個(gè)企業(yè)都不斷提高各自的現(xiàn)代化水平，加大了信息化發(fā)展。尤其是電力企業(yè)，信息網(wǎng)絡(luò)在電力企業(yè)應(yīng)用范圍越來越廣泛，各個(gè)電力系統(tǒng)網(wǎng)絡(luò)之間經(jīng)常交換數(shù)據(jù)，但也增加了風(fēng)險(xiǎn)性。為了保證電力系統(tǒng)二次網(wǎng)絡(luò)的安全性、可靠性和實(shí)時(shí)性，文章對(duì)電力系統(tǒng)二次網(wǎng)絡(luò)安全隔離裝置設(shè)計(jì)要點(diǎn)進(jìn)行探究，提高電力系統(tǒng)的安全性。

關(guān)鍵詞：電力系統(tǒng)；二次網(wǎng)絡(luò)；安全隔離裝置；設(shè)計(jì)要點(diǎn)

中圖分類號(hào)：TM732 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1006-8937（2013）21-0142-02＼

在電力系統(tǒng)運(yùn)行中，越來越依賴通信技術(shù)、網(wǎng)絡(luò)技術(shù)，保障了電力系統(tǒng)的安全性和穩(wěn)定性。但一些危機(jī)也隨著信息技術(shù)而出現(xiàn)，如病毒、黑客等對(duì)電力系統(tǒng)二次網(wǎng)絡(luò)帶來危機(jī)，威脅了電力企業(yè)的健康發(fā)展。安全隔離裝置主要是為電力系統(tǒng)二次安全防護(hù)設(shè)計(jì)的一款單向網(wǎng)絡(luò)安全隔離網(wǎng)閘，保證電力系統(tǒng)可安全穩(wěn)定運(yùn)行。

1 電力系統(tǒng)二次網(wǎng)絡(luò)安全

①實(shí)時(shí)控制區(qū)（I區(qū)、或者DCS網(wǎng)）。在電力系統(tǒng)中，實(shí)時(shí)控制區(qū)的業(yè)務(wù)系統(tǒng)會(huì)影響電力系統(tǒng)的發(fā)電，并且發(fā)電系統(tǒng)的供電也會(huì)受到相關(guān)影響。由調(diào)度員和操作人員進(jìn)行操作，對(duì)網(wǎng)絡(luò)實(shí)時(shí)性和網(wǎng)絡(luò)性有著較高要求。并且實(shí)時(shí)控制區(qū)中信息網(wǎng)絡(luò)的安全性密切影響著電力系統(tǒng)運(yùn)行的安全性。在電力二次系統(tǒng)中最重要系統(tǒng)是實(shí)時(shí)控制級(jí)信息系統(tǒng)，對(duì)安全要求有著極高要求，是保護(hù)信息網(wǎng)絡(luò)安全的關(guān)鍵措施。另外，實(shí)時(shí)控制區(qū)包括實(shí)時(shí)監(jiān)控系統(tǒng)，如調(diào)度自動(dòng)化系統(tǒng)、變電站自動(dòng)化系統(tǒng)等。

②非控制生產(chǎn)區(qū)（II區(qū)）。在非控制生產(chǎn)區(qū)業(yè)務(wù)系統(tǒng)中，沒有具備相應(yīng)的控制功能，如生產(chǎn)業(yè)務(wù)和批發(fā)交易業(yè)務(wù)。沒有具備控制功能，數(shù)據(jù)實(shí)時(shí)性為分級(jí)或小時(shí)級(jí)。由運(yùn)行計(jì)劃工作人員和發(fā)電側(cè)電力市場(chǎng)交易員等使用，包括較為典型系統(tǒng)：電能量計(jì)量系統(tǒng)、批發(fā)電力交易熊、負(fù)荷管理系統(tǒng)等系統(tǒng)。

③生產(chǎn)管理區(qū)（III、IV區(qū)、或MIS網(wǎng)）。生產(chǎn)管理區(qū)是為了支持電力企業(yè)經(jīng)營(yíng)、管理及運(yùn)營(yíng)等工作，生產(chǎn)管理區(qū)在利用相應(yīng)的安全防護(hù)工作時(shí)可以為電力企業(yè)生產(chǎn)提供相應(yīng)的WEB服務(wù)，生產(chǎn)管理區(qū)外部通信邊界為電力數(shù)據(jù)通信網(wǎng)，較為典型系統(tǒng)包括調(diào)度生產(chǎn)管理系統(tǒng)（DMIS）、雷電檢測(cè)系統(tǒng)及氣象信息接入等。

④管理信息區(qū)。管理信息區(qū)沒有在電力企業(yè)控制工作中起到作用，電力企業(yè)在經(jīng)營(yíng)、開發(fā)及采購(gòu)過程中，管理信息區(qū)是對(duì)其過程進(jìn)行信息管理。包括系統(tǒng)包括辦公自動(dòng)化系統(tǒng)、管理信息系統(tǒng)和客戶服務(wù)系統(tǒng)等。

2 電力系統(tǒng)二次網(wǎng)絡(luò)中各安全區(qū)中心業(yè)務(wù)的安全隔

離保護(hù)措施

①防護(hù)實(shí)時(shí)控制區(qū)和非控制生產(chǎn)區(qū)措施。電力生產(chǎn)系統(tǒng)中包括非控制生產(chǎn)區(qū)，同時(shí)實(shí)時(shí)控制區(qū)也屬于電力生產(chǎn)系統(tǒng)，在進(jìn)行在線運(yùn)行時(shí)，需利用電力調(diào)度數(shù)據(jù)，要交換大量的數(shù)據(jù)。從而在進(jìn)行安全隔離保護(hù)措施時(shí)可采用硬件防火墻進(jìn)行邏輯隔離。

②生產(chǎn)管理區(qū)與管理信息區(qū)的防護(hù)措施。生產(chǎn)管理區(qū)與管理信息區(qū)可采用電力數(shù)據(jù)通信網(wǎng)絡(luò)，有著較多的數(shù)據(jù)交換，在隔離時(shí)可采用邏輯隔離設(shè)備。

③實(shí)時(shí)控制區(qū)、非控制生產(chǎn)區(qū)與生產(chǎn)管理區(qū)、管理信息區(qū)在運(yùn)行過程中，作為實(shí)時(shí)控制區(qū)和非控制生產(chǎn)區(qū)中的業(yè)務(wù)系統(tǒng)不能與管理信息區(qū)聯(lián)系，可采用單向方式進(jìn)行信息的交換工作，但是在安全傳輸時(shí)，只可以采用純數(shù)據(jù)。在采用反向安全隔離裝置時(shí)，需要保證安全隔離裝置已經(jīng)得到過簽名認(rèn)證，經(jīng)過數(shù)據(jù)過濾，同時(shí)還要進(jìn)行病毒查殺工作。

3 電力系統(tǒng)二次網(wǎng)絡(luò)安全隔離裝置設(shè)計(jì)要點(diǎn)

①文件傳輸。文件傳輸是一種較為普遍的數(shù)據(jù)傳輸方式，在設(shè)計(jì)中可采用Socket語(yǔ)言開發(fā)文件作為傳輸軟件的，其分為客戶端和服務(wù)端。將客戶端可以作為文件發(fā)送端，服務(wù)端可以作為文件接收端，服務(wù)端可以作為文件接收端。文件發(fā)送端具備定時(shí)發(fā)送多批文件，同時(shí)可分別放在不同目錄，實(shí)時(shí)發(fā)送多批文件，也可以放在不同目錄。反向文件傳輸軟件具備正向文件傳輸軟件功能，也可采用數(shù)字簽名技術(shù)進(jìn)行純文本的可靠傳輸，同時(shí)也可采取編碼轉(zhuǎn)換技術(shù)對(duì)純文件進(jìn)行編碼轉(zhuǎn)換。

②對(duì)隔離裝置提出的技術(shù)要求。在交換數(shù)據(jù)時(shí)，兩個(gè)安全區(qū)在進(jìn)行數(shù)據(jù)安全交換時(shí)，多采用非網(wǎng)絡(luò)方式，并且在安全隔離裝置中有兩個(gè)處理系統(tǒng)，可以進(jìn)行不同時(shí)連通。表示層與應(yīng)用層在數(shù)據(jù)傳輸時(shí)，必須要實(shí)現(xiàn)數(shù)據(jù)單向傳輸，但在安全區(qū)Ⅲ區(qū)到安全區(qū)Ⅰ/Ⅱ區(qū)中不得出現(xiàn)應(yīng)用數(shù)據(jù)。需有透明工作方式，如隱藏MAC地址和虛擬主機(jī)IP地址等。另外，隔離裝置需基于MAC、IP、傳輸端口等，設(shè)置相應(yīng)的報(bào)文過濾和訪問控制；可支持NAT。而安全隔離裝置需要避免聯(lián)接穿透性TCP，而且在內(nèi)外網(wǎng)中，不要在兩個(gè)應(yīng)用網(wǎng)關(guān)之間構(gòu)建相關(guān)的TCP聯(lián)接，需要將內(nèi)外兩個(gè)應(yīng)用網(wǎng)關(guān)與隔離裝置的兩個(gè)TCP進(jìn)行分別虛擬聯(lián)接；隔離兩個(gè)網(wǎng)卡要和非網(wǎng)絡(luò)聯(lián)接，采取數(shù)據(jù)單向傳輸。并且隔離裝置能夠?qū)π畔⑦M(jìn)行識(shí)別，并采用特殊標(biāo)記；在構(gòu)建安全隔離裝置時(shí)，保證安全隔離裝置的安全性和防護(hù)性足夠高，其安全性必須要具有安全固化的操作系統(tǒng)，設(shè)計(jì)和實(shí)現(xiàn)方面沒有存在安全漏洞，可采用非INTEL指令系統(tǒng)，能夠?qū)os已知的網(wǎng)絡(luò)攻擊進(jìn)行抵抗。

③實(shí)時(shí)數(shù)據(jù)轉(zhuǎn)發(fā)。由實(shí)時(shí)控制區(qū)進(jìn)行實(shí)時(shí)數(shù)據(jù)傳輸?shù)缴a(chǎn)管理區(qū)時(shí)，由于橫向隔離裝置屬于單向傳輸，在傳輸數(shù)據(jù)時(shí)可以從實(shí)時(shí)控制區(qū)到生產(chǎn)管理區(qū)進(jìn)行數(shù)據(jù)主動(dòng)發(fā)送，可以將實(shí)時(shí)控制區(qū)的應(yīng)用程序作為發(fā)送端，生產(chǎn)管理區(qū)作為服務(wù)端。在物理上控制反向背景下，專用橫向隔離裝置正向的應(yīng)用層應(yīng)答字?jǐn)?shù)節(jié)數(shù)最多為4個(gè)，而生產(chǎn)管理區(qū)應(yīng)用程序的應(yīng)答報(bào)文需小于4個(gè)。但是這4個(gè)字節(jié)不可以作為傳輸應(yīng)用數(shù)據(jù)，可作為出錯(cuò)應(yīng)答報(bào)文。

④數(shù)據(jù)庫(kù)傳輸。在進(jìn)行數(shù)據(jù)庫(kù)傳輸時(shí)，可以在實(shí)時(shí)控制區(qū)和生產(chǎn)管理區(qū)添加一臺(tái)數(shù)據(jù)庫(kù)傳輸服務(wù)器，采取數(shù)據(jù)庫(kù)傳輸軟件，通過安全策略復(fù)制內(nèi)外網(wǎng)數(shù)據(jù)庫(kù)，選取單向數(shù)據(jù)傳送方式?？蛻舳藶閿?shù)據(jù)發(fā)送端，服務(wù)端為數(shù)據(jù)接收端。建立的數(shù)據(jù)發(fā)送端可以支持多個(gè)自定義數(shù)據(jù)源，可自動(dòng)或手動(dòng)傳輸，支持不同表結(jié)構(gòu)數(shù)據(jù)傳輸；在傳輸失敗后采取告警功能，告警信息小于4個(gè)字節(jié)。數(shù)據(jù)接收端可將內(nèi)網(wǎng)的表結(jié)構(gòu)和數(shù)據(jù)保存在外網(wǎng)的數(shù)據(jù)庫(kù)中。

4 結(jié) 語(yǔ)

在電力系統(tǒng)二次網(wǎng)絡(luò)安全隔離裝置設(shè)計(jì)中，為了保證電力系統(tǒng)可安全穩(wěn)定運(yùn)行，必須要保證網(wǎng)絡(luò)系統(tǒng)在進(jìn)行數(shù)據(jù)傳輸時(shí)具備抵抗如黑客、木馬及病毒等侵入的功能。通過分析電力系統(tǒng)二次網(wǎng)絡(luò)安全隔離裝置設(shè)計(jì)要點(diǎn)，對(duì)保證電力系統(tǒng)安全穩(wěn)定運(yùn)行起到不可忽視的作用。

參考文獻(xiàn)：

[1] 臧琦，鄒婧，郭娟莉，等.電網(wǎng)調(diào)度自動(dòng)化二次系統(tǒng)安全防護(hù)實(shí)踐[J].電子設(shè)計(jì)工程，2011，（20）.

[2] 秦昊，林為民，張濤.基于代理的信息安全網(wǎng)絡(luò)隔離裝置的研究與實(shí)現(xiàn)[J].計(jì)算機(jī)與數(shù)字工程，2012，（10）.

[3] 王子，徐澄宇.正向隔離裝置在電力信息外網(wǎng)中的應(yīng)用[J].電腦開發(fā)與應(yīng)用，2010，（8）.

[4] 平震宇.電力系統(tǒng)網(wǎng)絡(luò)安全隔離的設(shè)計(jì)和實(shí)現(xiàn)[J].計(jì)算機(jī)與網(wǎng)絡(luò)創(chuàng)新生活，2008，（7）.

[5] 李永紅，李曉斌，劉臣亮，等.電力系統(tǒng)網(wǎng)絡(luò)安全隔離的設(shè)計(jì)和實(shí)現(xiàn)[J].水電自動(dòng)化與大壩監(jiān)測(cè)，2005，（3）.