安全网关在电力二次系统安全防护中的应用研究[权威资料].doc

安全网关在电力二次系统安全防护中的应用研究 本文档格式为WORD,感谢你的阅读。 　　摘要：随着经济的发展和科学技术水平的不断提高，在电力系统中，自动化技术已经得到推广性使用，在这种情况下，关于电力二次系统的安全性问题成为重点。为此，建立和完善电力二次系统安全防护体系，在一定程度上对于抵御黑客、恶意代码等的攻击，尤其是集团式攻击具有重要的作用，同时对于确保电力二次系统的安全与稳定，以及防止电力系统发生事故也具有重要的意义 　　关键词：安全网关；电力二次系统；安全防护 　　U664 A 　　一、网关 　　 为了确保电力二次系统的安全性，一定要通过逻辑隔离设备来实现生产控制大区的安全区Ⅰ和安全区II间的互连，网关就是这个逻辑隔离设备。网关可以再多个区域互连，比如说，广域网以及局域网。它在计算机系统或设备中充当转换重任。在不同的通信协议以及数据格式和语言中可以使用，甚至在两种体系完全不同的系统结构中也可以使用，网关是一个翻译器。为了达到对系统的需求适应的目的，网关在受到信息需要重新打包，同样，网关也能提供安全和过滤的功能。 　　(一)网关的定义 　　一些网关的常见定义如下： 　　1)网关也可以称为协议转换器，在OSI/RM七层协议的传输层或更高层工作，可以在不同网络协议中实现互相转换的设备； 　　2)能被应用于互连异构型网络。异构型网络，通常简单的说就是不同类型的网络，严格意义上讲，就是在两个网络中，协议不相同的从网络层到物理层的网络，甚至是从应用层到物理层协议都不相同的各层网络。 　　3)网关的任意两个不同系统里，是充当转换角色的一种计算机系统或者设备，网关的系统包含：数据格式以及通信协议、语言和(或)体系结构。网关更改信息数据的语法，或者对其进行打包，使其能达到系统所需要的目的。 　　4)网关是被充当到另外一个网络接入点中的网络元素。比如，在内部以及外部网络中充当接入点。此设备将信息包从主机取出，对其地址检查，并将其传递至下一个主机系统或者路由器。 　　5)网关是为两种不同类型的网络提供一个网络节点的设备。 　　以上就是对网关进行定义的几种描述方法，尽管这些定义之间存在差距，但是，其存在共同点，就是在所连接的两个网络中存在不同点，使用网关来对其转换，也就是两种网络为了满足需要而进行设计的关键接口设备。 　　(二)安全网关 　　安全网关 是将各种技术进行融合，起到保护的作用，它主要的范围就是从协议级过滤到相当复杂的应用级。仅仅从通信中起到保密性的角度来讲，完全网关主要是确保两个网络能实现网络间的安全通信的计算机系统或者接入点的设备。网关可分为应用网关、协议网关、安全网关等。 　　我们常见的安全网关有：防火墙以及IDS/IPS、VPN和防病毒网关、防垃圾邮件网关等。平常我们所见的安全路由器以及用来交换高层网络协议的交换机、对信息进行隔离的交换设备等，在一定程度上都扮演着安全网关的角色。 　　二、电力二次系统安全防护的基本原则 　　对电力二次系统进行安全防护的过程中，通常情况下，需要遵守“安全分区、网络专用、横向隔离、纵向认证”的原则。基于网络的生产控制系统进行安全防护，其重点是强化边界防护，通过对内部安全的防护能力进行提升，并在一定程度上对电力生产控制系统，以及重要的数据的安全性进行保护。 　　对电力二次系统进行安全防护时，一般情况下要遵守以下原则： 　　(一)安全分区 　　安全分区在电力二次系统安全防护体系中是结构基础。按照内部原则，可以将发电企业、电网企业、供电企业等划分为生产控制大区和管理信息大区。对于生产控制大区来说，又可以划分为控制区（安全区Ⅰ）和非控制区（安全区Ⅱ）。 　　(二)专用网络及构造 　　电力调度数据网作为专用数据网络，通常情况下是为生产控制大区提供服务的，同时承载着电力实时控制和在线生产交易等业务。按照系统性原则，在安全防护隔离强度方面，安全区的外部边界网络之间需要与所连接的安全区之间保持相互匹配。 　　(三)横向隔离 　　在生产控制大区与管理信息大区之间设置经国家指定部门检测认证的电力专用横向单向安全隔离装置。同时，在生产控制大区内部的安全区之间设置具有访问控制功能的网络设备、防火墙或者相当功能的设施。 　　(四)纵向加密认证 　　通常情况下采用认证、加密、访问控制等技术措施对数据的远方安全传输以及纵向边界的安全进行相应的防护。 　　三、电力二次自动化系统的安全预防措施 　　(一)网络隔离方法 　　在专网上经过使用MPLS-VPN或者IPsec-VPN构成互相逻辑分离的多个VPN，