提高电力二次系统安全防护方法.docVIP

提高电力二次系统安全防护方法 　　[摘 要]本文首先介绍了电力二次系统安全防护在电网调度自动化方面的意义，提出了以安全分区、横向隔离、网络专用和纵向认证的防护政策，最后提出了二次系统安全防护的关键技术和防护重点。 　　[关键词]二次系统；安全防护；方法 　　中图分类号：TM75 文献标识码：A 文章编号：1009-914X（2015）17-0275-01 　　电力二次系统安全防护主要是针对病毒、木马等恶意代码的侵害，防范入侵者的恶意攻击与破坏，保护电力调度数据网络和系统服务的连续性和电力监控系统和电力调度数据网络的可用性，实现应用系统和设备接入电力二次系统的身份认证，防止非法接入和非授权访问，预防对调度数据网络和应用系统上重要系统操作的抵赖行为，实现电力监控系统和调度数据网安全事件可发现、可跟踪及可审计，最终实现电力监控系统和调度数据网络的安全管理。因此，展开对电力二次系统的安全防护方法的讨论具有重要的现实意义。 　　1 电力二次系统安全防护概述 　　电力二次系统安全防护的重点是确保电力实时闭环监控系统及调度数据网络的安全，目标是抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击，特别是能够抵御集团式攻击，防止由此导致一次系统事故或大面积停电事故，及二次系统的崩溃或瘫痪。电力二次系统安全防护总体策略是安全分区、风险隔离、网络专用和纵向认证。根据电力二次系统业务的重要性和对电力一次系统的影响程度进行分区，电网电力二次系统一般分为生产控制大区和管理信息大区，其中生产控制大区分为控制区和非控制区，生产控制大区是重点保护对象。电力二次系统采用不同强度的安全设备实现各安全区的隔离，在生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置实现高强度隔离。省级与地级电力调度数据网应当在专用通道上使用独立的网络设备组网，在物理层面上实现与综合业务数据网及外部公共信息网的安全隔离。各级调控中心和厂站在控制区与调度数据网的纵向连接处应部署经过国家指定部门检测认证的电力专用纵向加密认证装置或加密认证网关以及其它安全设施，为上下级控制系统之间的调度数据网通信提供双向身份认证、数据加密和访问控制服务。 　　2 二次系统安全防护 　　2.1 VLAN技术 　　VLAN即虚拟局域网（Virtual LAN），它也是一种局域网，VLAN 是通过将LAN 中的工作站按一定的方法划分到逻辑网中而形成的。VLAN 的形成并没有改变原有网络的拓扑，网络的视图是一致的。VLAN 是建立在LAN 基础上的，能控制不必要的广播报文的扩散，提高网络带宽利用率，减少资源浪费，划分不同的用户组，对组之间的访问进行限制，提高安全性。VLAN保持了网络的广播通信方式，将对路由器的频带减少到最小程度。同时减少了网络移动和变化的成本。 　　2.2 MPLS VPN技术 　　MPLS VPN是一种基于MPLS技术的IP-VPN，是在网络路由和交换设备上应用MPLS 技术，简化核心路由器的路由选择方式，利用结合传统路由技术的标记交换实现的IP 虚拟专用网络（IP VPN），可用来构造宽带的Intranet、Extranet，满足多种灵活的业务需求。VPN（虚拟专用网络），被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过公用网络的安全、稳定的隧道。虚拟专用网络虚拟出来的企业内部专线，它可以通过特殊的加密的通讯协议在连接在Internet 上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路。采用MPLS-VPN 技术可以把现有IP 网络分解成逻辑上隔离的网络，这种逻辑上隔离的网络的应用可以是千变万化的，可以是用在解决企业互连、政府相同/不同部门的互连、也可以用来提供新的业务。 　　2.3 IDS技术 　　IDS（即入侵检测技术）采用协议分析、模式匹配、异常检测等技术、通过将交换机上关键接入端口的数据报文镜像到IDS 检测引擎（IDS 探头）的接入端口，实现对网络流量、数据包的动态监视、记录和管理、对异常事件进行告警等。能在生产控制大区和管理类信息大区部署入侵检测系统，对关键业务系统和网络边界的关键路径信息进行实时检测，实现安全事件的可发现、可追踪、可审计。 　　3 电力二次系统的安全防护要点 　　3.1 安全区间横向网络边界隔离防护 　　通过采用不同强度的安全设备对安全区之间实施横向隔离保护，特别是对生产控制大区与管理信息大区之间，其数据通信采用单向传输控制，以有效抵御病毒、黑客等各种攻击和渗透。控制区与非控制区之间采用硬件防火墙或具有ACL 访问控制功能的交换机或路由器等设备进行逻辑隔离。逻辑隔离设备应具备状态检测、数据过滤和地址转换等基本功能，可以对传输的地址、协