《电网监控及其它信息系统网络隔离.docx》由会员分享,可在线阅读,更多相关《电网监控及其它信息系统网络隔离.docx(5页珍藏版)》请在金锄头文库上搜索。
1、优选文档电网监控及其他信息系统的网络隔断序言随着Internet的迅速发展,信息安全问题面对新的挑战。电力系统信息安全问题已威胁到电力系统的安全、牢固、经济、优秀运行,影响着数字电力系统的实现进度。开发相应的应用系统、拟定电力系统信息受到外面攻击时的防范与系统恢复措施等信息安全战略是当前信息化工作的重要内容。电力系统信息安全已经成为电力企业生产、经营和管理的重要组成部分,是电力系统安全运行和对社会可靠供电的保障。电力系统信息安所有是一项涉及电网调换自动化、继电保护及安自装置、厂站自动化、配电网自动化、电力负荷控制、电力市场交易、电力营销、信息网络系统等相关生产、经营和管理方面复杂的多领域大型系
2、统工程。建立电力系统信息安全系统的一个要点问题是怎样推行实时监控系统(简称监控系统)与其他信息系统的联网。针对监控系统与其他信息系统互联而设计的电力系统专用网络隔断装置,对提高监控系统对有可能致使电网安全事故的攻击、病毒、泄密等的防守水平,除掉绝大部分的安全隐患,为电力系统信息安全、电网安全运行把好最重要的关口,拥有重要的意义。网络环境1.1监控系统与其他信息系统的特点监控系统是指电网运行控制系统,它包括各级调换自动化系统,对水、5火电厂机组自动发电控制的电网AGC系统,继电保护,故障录波,安全自动装置,火电机组DCS系统,水电厂计算机实时监控系统,电力系统光纤、数字微波、模拟微波等通信系统等
3、。监控系统类中的基于TCP/IP的数据业务,速率要求不高,数据流基本恒定,但业务实时性较强,其中遥控遥调更与电网安全直接相关,可靠性要求较高;从应用范围来看,生产控制类业务分布在各网省调及大量发电厂和变电站,属于较特其他一类窄带业务。其他信息系统是指以电力信息骨干网络为中心,辐射各发、供电、施工、修造等单位的计算机信息网络系统。其他信息系统类业务突发性很强,速率要求较高,实时性不强,保密性要求较高,覆盖除生产控制类以外的所有数据业务,其网络布局集中于行政办公中心,一般要求为宽带网络。1.2监控系统与其他信息系统互联情况近来几年来监控系统的内涵有了较大的延伸,其他信息系统的发展也很快。系统互联是
4、生产管理的必然需要。当前主要有串行口联接和网关系结2种方式,按串行口联接基本不会带来攻击或病毒,但数据交互很不方便。因此,当前的监控系统与其他信息系统大多分不同样网段经过网关系接,但是其他信息系统安全性不够,对实时监控系统会带来一些安全隐患(如攻击、病毒、泄密等),致使电网安全事故。2 网络隔断2.1网络安全信息系统的安全主要包括5个层面,即物理安全、网络安全、系统安全、应用安全、人员管理。其中网络安全即网络上的信息安全,是指网络系统的硬件、软件及其系统中的数据碰到保护,省得碰到破坏、更正、泄露,使系统连续可靠地正常运行,网络服务不中断。广义来说,凡是涉及到网络上信息的保密性、完满性、可用性、
5、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。网络安全涉及的内容既有技术方面的问题,也有管理方面的问题,技术方面主要侧重于防范外面非法用户的攻击,管理方面则重视于内部人为因素的管理。2.2网络隔断国家保密局宣告的计算机信息系统国际联网保密管理规定确定,涉及国家奥秘的计算机信息系统,不得直接或间接地与国际互联网或其他公共信息网络相联接,必定推行物理隔断。电力生产事关国计民生,电力系统的安全特别重要,监控系统要求可靠、安全、实时,而其他信息系统要求完满、保密。两种业务应该有效安全隔断。当前各级电力信息系统平时在企业Internet出口侧设一般防火墙,担当的是一般的网络间隔任务。在此基础
6、上对网络进行分层,能增强系统的可靠性,详尽推行是在监控系统与其他信息系统唯一接入点设置专用隔断装置,从物理上分为两级,以保证监控系统的安全,结构如图1所示。图1电力系统专用网络隔断防火墙接入配置专用隔断装置供应了2个网络接口。除了监控系统LAN接口、其他信息系统LAN接口,还特地有一个控制口用来连接一台专用管理机,用于对装置进行配置、管理。监控系统LAN区是不对外开放的地域,它只对其他信息系统LAN区供应部分服务,所以外面Internet用户检测不到它的IP地址,无法对它进行攻击。其他信息系统LAN区可以对外供应服务,系统开放的信息都放在该区,由于它的开放性,就有可能成为黑客攻击的对象,但由于
7、与监控系统是隔走开的,即使碰到了攻击也不会危及监控系统。技术平台网络隔断装置的安全等级应高于防火墙,因此应采用当前国内通用的Linux为基础进行大幅整改的专用网络安全操作系统。通用的Linux操作系统尽管能供应多种多样的功能,但由于其开放性和自己含有安全漏洞,因此极易碰到攻击,直接致使了受其保护的网络的安全危机,而且这种通用操作系统的漏洞是不断被发现的,一经发现网上就会宣告,相应的攻击方法也随着宣告,致使最后用户和制造厂商无法应付。因此对通用Linux应作以下方面的更正:取消危险的系统调用也许截获系统调用,限制命令执行权限,取消IP转发功能,检查每个分组的接口,采用随机连接序号,驻留分组过滤模块,取消动向路由功能,采用多个安全内核等。经过以上设计方法和实现技术,基于独立开发的专用网络安全操作系统之上,网络隔断装置的运行效率很高,安全性能优越。应用介绍网络隔断装置软件包括以下模块:内核模块,隔断模块(含状态检测模块),NAT模块,带宽管理模块,通信协议模块,图形用户界面模块(也许Web界面模块),透明朝理模块(属于NAT模块),透明模式模块(包括ARP代理子模块、路由转发子模块等),各电力系统应用代理模块(包括过滤模块),流量统计模块,审计模块,其他模块(如MAC、IP地址绑定模块、简单的IDS、自我保护)等。
