文/蘇生平 周煒 王光輝

電力產(chǎn)業(yè)作為我國(guó)經(jīng)濟(jì)的基礎(chǔ)力量，大到關(guān)系國(guó)家穩(wěn)定，小到關(guān)系人民的衣食住行，電力的二次系統(tǒng)具有更高的融合度，更廣的范圍，是電力行業(yè)安全建設(shè)的基礎(chǔ)，在供電服務(wù)上發(fā)揮了重要作用。電力系統(tǒng)的安全防護(hù)工作越來越受到重視，電力二次系統(tǒng)必須得到全力建設(shè)，電力二次系統(tǒng)防護(hù)體系必須得到建設(shè)，為電力系統(tǒng)的發(fā)展打好基礎(chǔ)。

1 設(shè)計(jì)思路概述

在設(shè)計(jì)上，外網(wǎng)接入重點(diǎn)考慮冗余性，運(yùn)用HSRP技術(shù)，為了保障電力數(shù)據(jù)網(wǎng)的鏈路抗災(zāi)能力。在電力系統(tǒng)網(wǎng)絡(luò)訪問設(shè)計(jì)時(shí)分別從橫縱兩兩個(gè)方向上考慮，縱向訪問時(shí)注意依據(jù)防護(hù)要求，依據(jù)網(wǎng)絡(luò)所屬區(qū)域的加密裝置、防火墻，配置雙鏈路、雙系統(tǒng)冗余；橫向訪問設(shè)計(jì)時(shí)，依據(jù)低等級(jí)區(qū)域不能訪問高等級(jí)區(qū)域，在不同區(qū)域業(yè)務(wù)之間進(jìn)行邏輯隔離，通過NAT途徑進(jìn)行數(shù)據(jù)請(qǐng)求。在網(wǎng)絡(luò)中使用靜態(tài)的路由。嚴(yán)格阻止默認(rèn)路由的出現(xiàn)。在安全防護(hù)設(shè)計(jì)上，網(wǎng)絡(luò)的縱、橫向的安全控制及業(yè)務(wù)區(qū)的應(yīng)用層中的入侵檢測(cè)需要被考慮到，在不同業(yè)務(wù)之間用VLAN的方式進(jìn)行隔離，在縱向會(huì)對(duì)進(jìn)入實(shí)時(shí)區(qū)運(yùn)用安全策略進(jìn)行嚴(yán)格控制，做到與主機(jī)對(duì)應(yīng)的控制粒度；在橫向按照不同區(qū)域設(shè)置不同等級(jí)的安全控制設(shè)備，運(yùn)用橫向防火墻邏輯隔離不同區(qū)域，用NAT將區(qū)域間聯(lián)系起來。另外，在實(shí)時(shí)區(qū)及非實(shí)時(shí)區(qū)劃分兩個(gè)VLAN,對(duì)不同的VLAN做不同的限制。

2 設(shè)計(jì)方案

2.1 中調(diào)介入的設(shè)計(jì)

考慮到控制區(qū)及非控制區(qū)安全接入的冗余性問題，設(shè)計(jì)上聯(lián)HSRP的冗余網(wǎng)關(guān)，采用HSRP的冗余協(xié)議，在控制區(qū)及非控制區(qū)冗余網(wǎng)關(guān)設(shè)定靜態(tài)路由設(shè)定靜態(tài)路由。在這種情況下，控制區(qū)及非控制區(qū)將出現(xiàn)兩個(gè)路由器，縱向數(shù)據(jù)由于經(jīng)過MPLS VPN進(jìn)行傳輸，保證了控制區(qū)及非控制區(qū)數(shù)據(jù)的傳輸?shù)玫竭壿嫺綦x。

2.2 控制區(qū)子網(wǎng)結(jié)構(gòu)的設(shè)計(jì)

在鏈路與設(shè)備進(jìn)行雙備份的設(shè)計(jì)，在任何鏈路及交換機(jī)發(fā)生故障時(shí)業(yè)務(wù)系統(tǒng)可以通過虛擬網(wǎng)卡加上HSRP技術(shù)進(jìn)行自動(dòng)切換。在控制區(qū)的縱向互聯(lián)需要實(shí)現(xiàn)縱向認(rèn)證加密數(shù)據(jù)，縱向互聯(lián)需要采用兩層連接，并且需要通過VPN的方式，和中調(diào)業(yè)務(wù)系統(tǒng)進(jìn)行連接。

2.3 非控制區(qū)子網(wǎng)結(jié)構(gòu)的設(shè)計(jì)

為了實(shí)現(xiàn)高度冗余的非實(shí)時(shí)業(yè)務(wù)系統(tǒng)的接入，在雙備份的基礎(chǔ)上，同控制區(qū)一樣，利用虛擬網(wǎng)卡加上HSRP技術(shù)進(jìn)行故障時(shí)的迅速自動(dòng)切換。非控制區(qū)的安全要求低于控制區(qū)，非控制區(qū)的縱向互聯(lián)可以使用防火墻。防火墻置于交換機(jī)之間，用來進(jìn)行業(yè)務(wù)系統(tǒng)或模塊間網(wǎng)絡(luò)數(shù)據(jù)通信訪問控制。

2.4 非控制區(qū)和控制區(qū)之間的橫向隔離設(shè)計(jì)

由于二次系統(tǒng)的安防規(guī)范的要求，橫向隔離不僅要滿足數(shù)據(jù)邏輯隔離，也要阻止低安全級(jí)數(shù)對(duì)高安全級(jí)數(shù)區(qū)域進(jìn)行訪問，利用防火墻阻止非控制區(qū)對(duì)控制區(qū)的主動(dòng)連接。

2.5 管理信息網(wǎng)與調(diào)度數(shù)據(jù)網(wǎng)之間的隔離

在非控制區(qū)及管理信息大區(qū)間布置兩臺(tái)正、反兩向隔離設(shè)備，正向是高安全等級(jí)數(shù)據(jù)流走向低安全等級(jí)，也就是數(shù)據(jù)從非控制區(qū)至管理信息大區(qū)，反向是低安全等級(jí)數(shù)據(jù)流到高安全等級(jí)，也就是數(shù)據(jù)從管理信息大區(qū)至非控制區(qū)，必須是純文本數(shù)據(jù)及語言數(shù)據(jù)。

2.6 調(diào)度數(shù)據(jù)網(wǎng)的邊界入侵檢測(cè)的設(shè)計(jì)

在各調(diào)度數(shù)據(jù)網(wǎng)之間布置一臺(tái)具有四探針百兆入侵的檢測(cè)設(shè)備，其中的兩個(gè)探針需要安置在一區(qū)的兩臺(tái)縱向互聯(lián)交換機(jī)中，另外的兩個(gè)探針需要安置在另一區(qū)的縱向交換機(jī)中，對(duì)他們各自的上聯(lián)口進(jìn)行端口鏡象來接入IDS掃描端口。

3 設(shè)計(jì)實(shí)施

前期準(zhǔn)備階段，由二次安防改造負(fù)責(zé)人對(duì)機(jī)房環(huán)境進(jìn)行確認(rèn)，確認(rèn)調(diào)度網(wǎng)的邊界改造增加了設(shè)備安裝機(jī)柜及電源的情況，確認(rèn)實(shí)施方案，通知實(shí)施人員，對(duì)實(shí)施方案進(jìn)行討論，最后對(duì)裝置證書加密導(dǎo)入。接著進(jìn)入到了第一階段，負(fù)責(zé)人首先需要申請(qǐng)開工，獲得開工許可，對(duì)調(diào)度數(shù)據(jù)網(wǎng)進(jìn)行檢查并測(cè)試，然后進(jìn)行調(diào)度數(shù)據(jù)網(wǎng)的實(shí)施，確認(rèn)穩(wěn)定運(yùn)行，再進(jìn)行檢查實(shí)施環(huán)境。再接著進(jìn)入到了第二階段，實(shí)施人員需要布置加密裝置，在實(shí)時(shí)VPN上進(jìn)行部署縱向加密認(rèn)證的裝置，進(jìn)行設(shè)備、管理中心、隧道的配置工作，進(jìn)行實(shí)時(shí)VPN業(yè)務(wù)測(cè)試、加密裝置雙擊測(cè)試、ByPass測(cè)試。接下來進(jìn)入到了第三階段，實(shí)施人員對(duì)縱向防火墻的部署，在非實(shí)時(shí)VPN上部署縱向防火墻，配置設(shè)備，對(duì)非實(shí)時(shí)VPN進(jìn)行業(yè)務(wù)測(cè)試，進(jìn)行訪問控制策略的配置工作及縱向防火墻雙擊測(cè)試。

再接著進(jìn)入到了第四階段，實(shí)施人員需要對(duì)NAT防火墻的部署。實(shí)施人員需要部署橫向隔離的防火墻，進(jìn)行防火墻的基本配置，進(jìn)行網(wǎng)絡(luò)連通測(cè)試，NAT防火墻雙機(jī)測(cè)試。然后進(jìn)入到了第五階段，實(shí)施人員部署入侵的檢測(cè)系統(tǒng)，實(shí)施人員需要配置安裝IDS，部署入侵檢測(cè)系統(tǒng)，進(jìn)行網(wǎng)絡(luò)聯(lián)通測(cè)試。最后階段需要實(shí)施人員進(jìn)行的是業(yè)務(wù)割接與測(cè)試，實(shí)施人員要對(duì)系統(tǒng)進(jìn)行再次檢查對(duì)實(shí)時(shí)區(qū)與非實(shí)時(shí)區(qū)業(yè)務(wù)割接與測(cè)試，同時(shí)實(shí)施人員要對(duì)橫向業(yè)務(wù)測(cè)試，最后填寫測(cè)試表，報(bào)上級(jí)單位檢修完工。

4 結(jié)論

綜上所述，為了避免黑客攻擊我國(guó)電力系統(tǒng)，需要對(duì)電力二次系統(tǒng)網(wǎng)絡(luò)信息安全防護(hù)，依據(jù)相關(guān)需求，有針對(duì)性的對(duì)我國(guó)電力系統(tǒng)進(jìn)行安全防護(hù)設(shè)計(jì)，對(duì)備份、防火墻、主機(jī)防護(hù)、入侵檢測(cè)等進(jìn)行具體的研究，以期實(shí)現(xiàn)電力系統(tǒng)的安全防護(hù)，實(shí)現(xiàn)電力系統(tǒng)的穩(wěn)定運(yùn)行，促進(jìn)我國(guó)經(jīng)濟(jì)發(fā)展和社會(huì)的進(jìn)步。

參考文獻(xiàn)

[1]李玉琛,楊虔.電力自動(dòng)化控制系統(tǒng)網(wǎng)絡(luò)信息安全管理的研究與設(shè)計(jì)[J].電氣應(yīng)用,2017,36(16):84-87.

[2]張薇.湛江地區(qū)典型110kV變電站電力二次系統(tǒng)安全防護(hù)的設(shè)計(jì)及實(shí)施[D].華南理工大學(xué),2016.