文/蘇生平 周煒 王光輝

電力產(chǎn)業(yè)作為我國經(jīng)濟的基礎(chǔ)力量，大到關(guān)系國家穩(wěn)定，小到關(guān)系人民的衣食住行，電力的二次系統(tǒng)具有更高的融合度，更廣的范圍，是電力行業(yè)安全建設(shè)的基礎(chǔ)，在供電服務(wù)上發(fā)揮了重要作用。電力系統(tǒng)的安全防護工作越來越受到重視，電力二次系統(tǒng)必須得到全力建設(shè)，電力二次系統(tǒng)防護體系必須得到建設(shè)，為電力系統(tǒng)的發(fā)展打好基礎(chǔ)。

1 設(shè)計思路概述

在設(shè)計上，外網(wǎng)接入重點考慮冗余性，運用HSRP技術(shù)，為了保障電力數(shù)據(jù)網(wǎng)的鏈路抗災(zāi)能力。在電力系統(tǒng)網(wǎng)絡(luò)訪問設(shè)計時分別從橫縱兩兩個方向上考慮，縱向訪問時注意依據(jù)防護要求，依據(jù)網(wǎng)絡(luò)所屬區(qū)域的加密裝置、防火墻，配置雙鏈路、雙系統(tǒng)冗余；橫向訪問設(shè)計時，依據(jù)低等級區(qū)域不能訪問高等級區(qū)域，在不同區(qū)域業(yè)務(wù)之間進行邏輯隔離，通過NAT途徑進行數(shù)據(jù)請求。在網(wǎng)絡(luò)中使用靜態(tài)的路由。嚴格阻止默認路由的出現(xiàn)。在安全防護設(shè)計上，網(wǎng)絡(luò)的縱、橫向的安全控制及業(yè)務(wù)區(qū)的應(yīng)用層中的入侵檢測需要被考慮到，在不同業(yè)務(wù)之間用VLAN的方式進行隔離，在縱向會對進入實時區(qū)運用安全策略進行嚴格控制，做到與主機對應(yīng)的控制粒度；在橫向按照不同區(qū)域設(shè)置不同等級的安全控制設(shè)備，運用橫向防火墻邏輯隔離不同區(qū)域，用NAT將區(qū)域間聯(lián)系起來。另外，在實時區(qū)及非實時區(qū)劃分兩個VLAN,對不同的VLAN做不同的限制。

2 設(shè)計方案

2.1 中調(diào)介入的設(shè)計

考慮到控制區(qū)及非控制區(qū)安全接入的冗余性問題，設(shè)計上聯(lián)HSRP的冗余網(wǎng)關(guān)，采用HSRP的冗余協(xié)議，在控制區(qū)及非控制區(qū)冗余網(wǎng)關(guān)設(shè)定靜態(tài)路由設(shè)定靜態(tài)路由。在這種情況下，控制區(qū)及非控制區(qū)將出現(xiàn)兩個路由器，縱向數(shù)據(jù)由于經(jīng)過MPLS VPN進行傳輸，保證了控制區(qū)及非控制區(qū)數(shù)據(jù)的傳輸?shù)玫竭壿嫺綦x。

2.2 控制區(qū)子網(wǎng)結(jié)構(gòu)的設(shè)計

在鏈路與設(shè)備進行雙備份的設(shè)計，在任何鏈路及交換機發(fā)生故障時業(yè)務(wù)系統(tǒng)可以通過虛擬網(wǎng)卡加上HSRP技術(shù)進行自動切換。在控制區(qū)的縱向互聯(lián)需要實現(xiàn)縱向認證加密數(shù)據(jù)，縱向互聯(lián)需要采用兩層連接，并且需要通過VPN的方式，和中調(diào)業(yè)務(wù)系統(tǒng)進行連接。

2.3 非控制區(qū)子網(wǎng)結(jié)構(gòu)的設(shè)計

為了實現(xiàn)高度冗余的非實時業(yè)務(wù)系統(tǒng)的接入，在雙備份的基礎(chǔ)上，同控制區(qū)一樣，利用虛擬網(wǎng)卡加上HSRP技術(shù)進行故障時的迅速自動切換。非控制區(qū)的安全要求低于控制區(qū)，非控制區(qū)的縱向互聯(lián)可以使用防火墻。防火墻置于交換機之間，用來進行業(yè)務(wù)系統(tǒng)或模塊間網(wǎng)絡(luò)數(shù)據(jù)通信訪問控制。

2.4 非控制區(qū)和控制區(qū)之間的橫向隔離設(shè)計

由于二次系統(tǒng)的安防規(guī)范的要求，橫向隔離不僅要滿足數(shù)據(jù)邏輯隔離，也要阻止低安全級數(shù)對高安全級數(shù)區(qū)域進行訪問，利用防火墻阻止非控制區(qū)對控制區(qū)的主動連接。

2.5 管理信息網(wǎng)與調(diào)度數(shù)據(jù)網(wǎng)之間的隔離

在非控制區(qū)及管理信息大區(qū)間布置兩臺正、反兩向隔離設(shè)備，正向是高安全等級數(shù)據(jù)流走向低安全等級，也就是數(shù)據(jù)從非控制區(qū)至管理信息大區(qū)，反向是低安全等級數(shù)據(jù)流到高安全等級，也就是數(shù)據(jù)從管理信息大區(qū)至非控制區(qū)，必須是純文本數(shù)據(jù)及語言數(shù)據(jù)。

2.6 調(diào)度數(shù)據(jù)網(wǎng)的邊界入侵檢測的設(shè)計

在各調(diào)度數(shù)據(jù)網(wǎng)之間布置一臺具有四探針百兆入侵的檢測設(shè)備，其中的兩個探針需要安置在一區(qū)的兩臺縱向互聯(lián)交換機中，另外的兩個探針需要安置在另一區(qū)的縱向交換機中，對他們各自的上聯(lián)口進行端口鏡象來接入IDS掃描端口。

3 設(shè)計實施

前期準備階段，由二次安防改造負責人對機房環(huán)境進行確認，確認調(diào)度網(wǎng)的邊界改造增加了設(shè)備安裝機柜及電源的情況，確認實施方案，通知實施人員，對實施方案進行討論，最后對裝置證書加密導(dǎo)入。接著進入到了第一階段，負責人首先需要申請開工，獲得開工許可，對調(diào)度數(shù)據(jù)網(wǎng)進行檢查并測試，然后進行調(diào)度數(shù)據(jù)網(wǎng)的實施，確認穩(wěn)定運行，再進行檢查實施環(huán)境。再接著進入到了第二階段，實施人員需要布置加密裝置，在實時VPN上進行部署縱向加密認證的裝置，進行設(shè)備、管理中心、隧道的配置工作，進行實時VPN業(yè)務(wù)測試、加密裝置雙擊測試、ByPass測試。接下來進入到了第三階段，實施人員對縱向防火墻的部署，在非實時VPN上部署縱向防火墻，配置設(shè)備，對非實時VPN進行業(yè)務(wù)測試，進行訪問控制策略的配置工作及縱向防火墻雙擊測試。

再接著進入到了第四階段，實施人員需要對NAT防火墻的部署。實施人員需要部署橫向隔離的防火墻，進行防火墻的基本配置，進行網(wǎng)絡(luò)連通測試，NAT防火墻雙機測試。然后進入到了第五階段，實施人員部署入侵的檢測系統(tǒng)，實施人員需要配置安裝IDS，部署入侵檢測系統(tǒng)，進行網(wǎng)絡(luò)聯(lián)通測試。最后階段需要實施人員進行的是業(yè)務(wù)割接與測試，實施人員要對系統(tǒng)進行再次檢查對實時區(qū)與非實時區(qū)業(yè)務(wù)割接與測試，同時實施人員要對橫向業(yè)務(wù)測試，最后填寫測試表，報上級單位檢修完工。

4 結(jié)論

綜上所述，為了避免黑客攻擊我國電力系統(tǒng)，需要對電力二次系統(tǒng)網(wǎng)絡(luò)信息安全防護，依據(jù)相關(guān)需求，有針對性的對我國電力系統(tǒng)進行安全防護設(shè)計，對備份、防火墻、主機防護、入侵檢測等進行具體的研究，以期實現(xiàn)電力系統(tǒng)的安全防護，實現(xiàn)電力系統(tǒng)的穩(wěn)定運行，促進我國經(jīng)濟發(fā)展和社會的進步。

參考文獻

[1]李玉琛,楊虔.電力自動化控制系統(tǒng)網(wǎng)絡(luò)信息安全管理的研究與設(shè)計[J].電氣應(yīng)用,2017,36(16):84-87.

[2]張薇.湛江地區(qū)典型110kV變電站電力二次系統(tǒng)安全防護的設(shè)計及實施[D].華南理工大學,2016.