0 引言

為保證電力通信網(wǎng)的安全可靠運(yùn)行，泰州供電公司于 2010年整合了原有的動(dòng)力環(huán)境監(jiān)控、傳輸網(wǎng)監(jiān)控、資源管理等多個(gè)專業(yè)應(yīng)用子系統(tǒng)，在此基礎(chǔ)上推廣建設(shè)了通信集成監(jiān)控系統(tǒng)，實(shí)現(xiàn)了通信資源的共享，為通信網(wǎng)運(yùn)行維護(hù)提供一個(gè)信息支撐綜合技術(shù)平臺(tái)。由于整合的各個(gè)子系統(tǒng)分屬于電力安全防護(hù)二區(qū)、三區(qū)內(nèi)不同區(qū)域，對(duì)數(shù)據(jù)流的傳輸控制有著嚴(yán)格的要求，因此整合過(guò)程中對(duì)原有網(wǎng)絡(luò)架構(gòu)進(jìn)行了設(shè)計(jì)改造，通過(guò)采取訪問(wèn)控制列表、正向隔離裝置、防火墻等網(wǎng)絡(luò)安全工具，實(shí)現(xiàn)不同區(qū)域間及區(qū)域內(nèi)的網(wǎng)絡(luò)訪問(wèn)控制，確保網(wǎng)絡(luò)安全。

1 改造前網(wǎng)絡(luò)概況

在開(kāi)展通信集成監(jiān)控系統(tǒng)推廣工作前，泰州通信動(dòng)力環(huán)境監(jiān)控、傳輸網(wǎng)監(jiān)控、通信資源管理等專業(yè)應(yīng)用雖然分屬于不同的系統(tǒng)，但在網(wǎng)絡(luò)結(jié)構(gòu)上均連接于同一內(nèi)部網(wǎng)絡(luò)，采集服務(wù)器上配置多塊網(wǎng)卡，分別與華為網(wǎng)管交換機(jī)、中興網(wǎng)管交換機(jī)及監(jiān)控系統(tǒng)交換機(jī)互聯(lián)，采集服務(wù)區(qū)從中興、華為網(wǎng)管通過(guò)CORBA接口采集網(wǎng)管實(shí)時(shí)信息后，通過(guò)監(jiān)控系統(tǒng)交換機(jī)轉(zhuǎn)送至數(shù)據(jù)服務(wù)器；應(yīng)用服務(wù)器通過(guò)監(jiān)控系統(tǒng)交換機(jī)互聯(lián)的 2M/FE等通道與各個(gè)監(jiān)控分站、主站終端服務(wù)器互聯(lián)，接入主站及監(jiān)控分站的動(dòng)力環(huán)境告警信息。由于網(wǎng)絡(luò)所有連接均依賴于同一臺(tái)二層交換機(jī)，采用的是二層網(wǎng)絡(luò)結(jié)構(gòu)，因而不具備安全防護(hù)能力，且無(wú)法抵御網(wǎng)絡(luò)風(fēng)暴，不滿足電力安全防護(hù)的要求。同樣由于未配置防火墻，未能實(shí)現(xiàn)與省公司的互聯(lián)。

2 網(wǎng)絡(luò)域劃分設(shè)計(jì)

為提高通信監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)水平，在通信集成監(jiān)控系統(tǒng)推廣建設(shè)過(guò)程中，根據(jù)《電力二次系統(tǒng)安全防護(hù)規(guī)定》中安全防護(hù)相關(guān)原則，對(duì)監(jiān)控系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行了設(shè)計(jì)、改造，對(duì)各個(gè)專業(yè)應(yīng)用子系統(tǒng)進(jìn)行區(qū)域劃分，將傳輸網(wǎng)監(jiān)控子系統(tǒng)、動(dòng)力環(huán)境監(jiān)控子系統(tǒng)劃入二區(qū)，將通信資源管理子系統(tǒng)劃入三區(qū)，二區(qū)、三區(qū)之間使用正向隔離裝置進(jìn)行物理隔離，二區(qū)內(nèi)的不同子系統(tǒng)之間使用訪問(wèn)控制列表（ACL）進(jìn)行數(shù)據(jù)訪問(wèn)控制，同時(shí)在三區(qū)內(nèi)增加防火墻，實(shí)現(xiàn)與省公司的互聯(lián)。

3 二區(qū)網(wǎng)絡(luò)安全改造

3.1 二區(qū)網(wǎng)絡(luò)控制要求

通信集成監(jiān)控系統(tǒng)二區(qū)內(nèi)部署了動(dòng)力環(huán)境監(jiān)控、傳輸網(wǎng)監(jiān)控等多個(gè)應(yīng)用子系統(tǒng)，根據(jù)各個(gè)子系統(tǒng)的業(yè)務(wù)需求，這些子系統(tǒng)內(nèi)部、子系統(tǒng)之間以及子系統(tǒng)與三區(qū)應(yīng)用服務(wù)器之間對(duì)數(shù)據(jù)的傳遞存在著一定的訪問(wèn)控制要求，具體要求如下：

①只允許動(dòng)力環(huán)境監(jiān)控?cái)?shù)據(jù)單向傳送給三區(qū)資源管理應(yīng)用服務(wù)器；

②只允許傳輸網(wǎng)監(jiān)控子系統(tǒng)內(nèi)采集服務(wù)器數(shù)據(jù)單向傳送給三區(qū)資源管理應(yīng)用服務(wù)器；

③只允許傳輸網(wǎng)監(jiān)控子系統(tǒng)內(nèi)中興、華為網(wǎng)管和采集服務(wù)器雙向通信。

3.2 訪問(wèn)控制列表安全解決方案

訪問(wèn)控制列表是一系列指令的列表，用來(lái)告訴路由器（或三層交換機(jī)）哪些數(shù)據(jù)可以接收、哪些數(shù)據(jù)需要拒絕，由于訪問(wèn)控制列表應(yīng)用于網(wǎng)絡(luò)設(shè)備時(shí)，能有效地限制網(wǎng)絡(luò)流量，拒絕外部用戶對(duì)網(wǎng)絡(luò)的非法訪問(wèn)，因此在二區(qū)內(nèi)部，可使用訪問(wèn)控制列表實(shí)現(xiàn)網(wǎng)絡(luò)安全要求。

根據(jù)各個(gè)業(yè)務(wù)應(yīng)用子系統(tǒng)的數(shù)據(jù)控制要求，可在二區(qū)部署一臺(tái)三層交換機(jī)，交換機(jī)上共配置6個(gè)vlan，接下來(lái)可在特定vlan的in方向，配置訪問(wèn)控制列表，控制特定數(shù)據(jù)流傳輸。如在vlan12的in方向，配置ACL 101，實(shí)現(xiàn)只允許vlan28（中興網(wǎng)管）去往vlan7（采集服務(wù)器）的數(shù)據(jù)包通過(guò)。

4 二三區(qū)物理隔離

4.1 物理隔離的必要性及依據(jù)

在物理隔離技術(shù)出現(xiàn)之前，針對(duì)網(wǎng)絡(luò)的信息安全可采取配置防火墻、進(jìn)行入侵檢測(cè)等措施，由于此類技術(shù)的保護(hù)是一種邏輯保護(hù)，對(duì)于邏輯實(shí)體而言容易被操縱。因此必須有一道絕對(duì)安全的大門(mén)，保證內(nèi)網(wǎng)的信息不被泄露和破壞，這就是物理隔離所起的作用。

物理隔離是指內(nèi)部網(wǎng)不直接或間接地連接外部網(wǎng)絡(luò)，保護(hù)電力系統(tǒng)網(wǎng)絡(luò)的路由器、工作站、網(wǎng)絡(luò)服務(wù)器等硬件實(shí)體和通信鏈路免受自然災(zāi)害、人為破壞和惡意攻擊。根據(jù)電力系統(tǒng)安全防護(hù)相關(guān)規(guī)定的要求，在安全區(qū)I/II與安全區(qū)III/IV之間必須進(jìn)行物理隔離，實(shí)現(xiàn)最高的安全防護(hù)強(qiáng)度，這也是安全區(qū)I/II橫向防護(hù)的要點(diǎn)。

4.2 二三區(qū)物理隔離改造方案

為實(shí)現(xiàn)安全區(qū)I/II與安全區(qū)III/IV之間的物理隔離，可在二區(qū)交換機(jī)與三區(qū)交換機(jī)間配置正向隔離裝置一臺(tái)，實(shí)現(xiàn)安全區(qū)I/II到安全區(qū)III/IV的單向數(shù)據(jù)傳輸。

由于正向隔離裝置采用綜合過(guò)濾技術(shù)，需預(yù)先設(shè)定規(guī)則檢查數(shù)據(jù)包以決定哪些數(shù)據(jù)包允許通過(guò)。當(dāng)隔離裝置收到數(shù)據(jù)包后，將檢查包頭中的協(xié)議類型、源IP地址、目的IP地址、源端口號(hào)、目的端口號(hào)、源MAC地址、目的MAC地址等信息，再與設(shè)定的規(guī)則逐條匹配，以決定是否允許數(shù)據(jù)包通過(guò)。

根據(jù)通信監(jiān)控系統(tǒng)各個(gè)業(yè)務(wù)應(yīng)用子系統(tǒng)的數(shù)據(jù)控制要求，決定安全區(qū)I/II到安全區(qū)III/IV的數(shù)據(jù)控制目標(biāo)，需在正向隔離裝置上配置5條匹配規(guī)則。

通過(guò)在二三區(qū)之間配置正向隔離裝置，實(shí)現(xiàn)了II區(qū)協(xié)議處理機(jī)到III區(qū)應(yīng)用服務(wù)器的單向UDP數(shù)據(jù)傳送，以及II區(qū)采集服務(wù)器到III區(qū)數(shù)據(jù)服務(wù)器的單向TCP數(shù)據(jù)傳送。

5 互聯(lián)省公司

防火墻是設(shè)置在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的一道屏障，用于控制出入兩個(gè)網(wǎng)絡(luò)之間的數(shù)據(jù)流，具備很強(qiáng)的抗攻擊能力和審計(jì)、報(bào)警功能。

為了滿足省市公司聯(lián)網(wǎng)服務(wù)器的數(shù)據(jù)交互要求，需實(shí)現(xiàn)省市公司三區(qū)網(wǎng)絡(luò)的安全互聯(lián)，為此在泰州通信監(jiān)控系統(tǒng)的三區(qū)交換機(jī)與省通信數(shù)據(jù)網(wǎng)Cisco7606路由器間配置一臺(tái)天融信硬件防火墻，并完成防火墻區(qū)域、網(wǎng)絡(luò)對(duì)象、訪問(wèn)策略、通信策略、路由表等各項(xiàng)配置，從而確保省市公司三區(qū)網(wǎng)絡(luò)間數(shù)據(jù)流量的安全傳輸及控制，保障網(wǎng)絡(luò)自身安全。

6 改造后網(wǎng)絡(luò)架構(gòu)

改造完成后的通信集成監(jiān)控系統(tǒng)網(wǎng)絡(luò)架構(gòu)，同一區(qū)域內(nèi)的各個(gè)子系統(tǒng)，如二區(qū)內(nèi)傳輸網(wǎng)監(jiān)控、動(dòng)力環(huán)境監(jiān)控等通過(guò)三層交換機(jī)上的ACL實(shí)現(xiàn)訪問(wèn)控制，不同區(qū)域間則通過(guò)正向隔離裝置實(shí)現(xiàn)物理隔離，與省公司網(wǎng)絡(luò)間又加裝了硬件防火墻，從而確保了網(wǎng)絡(luò)自身及內(nèi)部各個(gè)子系統(tǒng)的運(yùn)行安全。

7 小結(jié)

在泰州電力通信集成監(jiān)控推廣建設(shè)過(guò)程中，通過(guò)對(duì)網(wǎng)絡(luò)域進(jìn)行細(xì)化劃分，以及在不同區(qū)域間安裝物理隔離裝置，在不同子系統(tǒng)間配置訪問(wèn)控制列表，在省市公司三區(qū)網(wǎng)絡(luò)間配置防火墻確保網(wǎng)絡(luò)自身安全，從而實(shí)現(xiàn)了不同區(qū)域、不同子系統(tǒng)間的數(shù)據(jù)訪問(wèn)控制，優(yōu)化了網(wǎng)絡(luò)體系架構(gòu)，降低了安全風(fēng)險(xiǎn)，提高了通信管理網(wǎng)絡(luò)的安全管理水平，從而提高通信監(jiān)控網(wǎng)絡(luò)的運(yùn)行管理效率，提高了運(yùn)行維護(hù)水平和服務(wù)質(zhì)量。