(大唐珲春发电厂吉林珲春133300)
摘要:调度通信网络的安全是电力系统正常生产和管理的基础,在物理隔离技术出现之前,对网络的信息安全采取了许多措施,如在网络中增加防火墙、防病毒系统,对网络进行入侵检测、漏洞扫描等。由于这些技术的极端复杂性及安全控制十分有限等因素,这些在线分析技术无法满足高度数据安全要求。物理隔离信息安全技术是一种科学、先进的技术,本文主要分析了物理隔离在电力调度网中的应用。
关键词:物理隔离;电力调度网;应用
调度自动化系统安全防护必须从系统边界和系统本身两方面来提高安全防护能力,做到既要防外,又要防内。物理隔离技术的最大特征就是将内部网络与外部网络进行相互区分,换句话说,在同一个时间节点上,内部网络和外部网络只有一个能够建立在相应的数据链接上。物理隔离设备的安全技术,隔断网络之间的连接,保证内网不被入侵,保护内部服务。笔者结合实际经验,从物理隔离的原理和作用分析入手,浅谈了物理隔离设备的安全技术,及其应用物理隔离需要注意的几个问题。抛砖引玉,以期为我国电网安全、稳定运行尽上绵薄之力。
1物理隔离的原理和作用
根据《电网和电厂计算机监控系统及调度数据网络安全防护规定》及《电网二次系统安全防护技术方案》电力网络安全防护体系的要求,一套基于物理隔离的安全区I/II到安全区III/IV之间数据交换的公用数据平台方案成为必须,这也正符合了网络安全防范体系设计的等级性原则。
1.1物理隔离的概念和作用
网络信息安全的可靠技术---物理隔离。所谓“物理隔离”是指内部网不直接通过有线或无线等任何技术手段连接到公共网,从而使内部网与公共网在物理上处于隔离状态的一种物理安全技术。物理安全的目的是保护路由器、工作站、网络服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击。只有使内部网和公共网物理隔离,才能真正保证电力系统内部信息网络不受来自互联网的黑客攻击。此外,物理隔离也为电力企业内部网划定了明确的安全边界,使得网络的可控性增强,便于内部管理。在网络的信息安全必须有一道绝对安全的大门,保证涉密网的信息不被泄露和破坏这就是物理隔离所起的作用。
1.2物理隔离的原理
我们知道计算机网络依据物理连接和逻辑连接来实现不同网络之间、不同主机之间、主机与终端之间的信息交换与信息共享。物理隔离既然隔离、阻断了网络的所有连接,实际上就是隔离、阻断了网络的连通。网络被隔离、阻断后,两个独立主机系统之间如何进行信息交换?网络只是信息交换的一种方式,而不是信息交换方式的全部。在互联网时代以前,信息照样进行交换,如数据文件复制(拷贝)、数据摆渡,数据镜像,数据反射等等,物理隔离就是使用数据“摆渡”的方式实现两个网络之间的信息交换。网络的外部主机系统通过物理隔离与网络的内部主机系统“连接”起来,物理隔离将外部主机的TCP/IP协议全部剥离,将原始数据通过存储介质,以“摆渡”的方式导入到内部主机系统,实现信息的交换。物理隔离在任意时刻只能与一个网络的主机系统建立非TCP/IP协议的数据连接,即当它与外部网络的主机系统相连接时,它与内部网络的主机系统必须是断开的,反之依然。
2物理隔离设备的安全技术分析
物理隔离技术架构在隔离上,物理隔离的一个特征,就是内网与外网不连接,内网和外网在同一时间最多只有一个同隔离设备建立数据连接。
2.1隔断网络之间的连接,保证内网不被入侵
除了定义的数据流,从外网不能访问内网,即使外网被入侵,内网不会有任何破坏。实际的数据和服务都放在内网,外网只是一个应用代理系统,修复外网系统非常容易。物理隔离技术解决了系统本身受攻击的问题。防火墙可以定义安全政策控制数据流,但是本身如果被攻击和入侵,就不能起到任何防护作用。比如防火墙的操作系统,网络协议的实现,都有可能存在漏洞。
2.2保护内部服务
物理隔离不但能够保证内部系统不会被入侵和篡改,也能保证内部系统开放的服务不会遭到护炸弹的DDS/DDOS攻击。当前最流行、最有效的攻击是DDS/DDOS攻击,这是建立在TCP/IP网络协议的漏洞上的。
2.3内容检查
内容检查是最高安全性的要求。这是在防火墙技术发展过程中被认识到的。物理隔离技术的内容检查是建立在应用代理上的。所不同的是,物理隔离系统是隔离的双系统,每个系统都采取应用代理,内容检查建立在可信任的内部系统的应用代理上,这样保证了真正的安全。内容检查,包括应用协议检查、命令检查、内容过滤、杀病毒等。所以,物理隔离技术是建立在首先保证自身安全基础上的,能够屏蔽网络协议攻击和进行内容检查和过滤的安全技术,比防火墙安全。但是与应用协议相关,速度和带宽会比防火墙稍低,所以其应用范围是数据交换形式简单,但是安全性要求特别高的场合,一般是隔断局域网。防火墙一般与应用协议无关,高速度高带宽,可以用于骨干网之间的连接。
3应用物理隔离需要注意的几个问题
3.1使用国产物理隔离设备的必要性
由于目前的很多防火墙和路由器也具备将某一个或者几个端口设置为只允许数据单向流通。但考虑到目前多数的防火墙和路由器均由国外厂商提供,在设计时也经常会因为考虑不周而留有“后门”等安全隐患,所以不能一味依赖国外设备,必须使用国产物理隔离设备做为安全防护的最终屏障。
3.2支持双机热备
由于物理隔离设备直接联系着内网与外网,在实际应用中,可以设置有双机备份,一台工作在主机位置,一台工作于备用位置,两台机器时刻进行通信并进行信息备份,一旦一台隔离设备出现故障时,或者处于看门狗复位阶段,备机可以承担起主机的工作,以避免重要数据的丢失。结合物理隔离设备的荣誉,系统的}s服务器也可以规划为冗余配置,提高系统的可靠性和可行性。
3.3正、反向物理隔离装置的混用
系统中可以同时使用正向和反向物理隔离装置。但是不能将其等同的视为一个实时的,双向的网络连接。只能通过时间和软件的配合(多种情况需要人工干预),才能完成文件和数据双向传输的要求。
3.4物理隔离装置和其他安防措施的配合
首先,隔离装置不能取代防火墙,而是与防火墙相辅相成的。目前的做法是将普通防火墙安装在整个电力系统子网和Internet接口处,然后将隔离装置安装在监控系统与信息系统的接口处。这样,在保证监控系统的安全前提下。用户可以使用上网的功能。同时,物理隔离装置对于系统内部只用防止病毒入侵的功能,并没有查毒杀毒的作用,所以系统依然需要配置杀毒软件和定期维护软件病毒库来防治计算机的病毒。
3.5系统远程维护功能的使用
通过拨号线路进入系统进行系统的远程维护,方便设备调试,是系统维护的一种重要手段。但考虑到系统安全的要求,应进一步改良远程维护的方式,例如在远方采用模拟系统进行调试的方式,或者在图形监控系统支持下,现场直接操作的方式进一步保证系统的安全稳定。
4结语
物理隔离信息安全技术在调度自动化系统中的应用能够有效提升调度自动化系统的安全性和稳定性。在实际应用过程中,必须要从物理隔离信息技术本身以及相应的隔离设备等方面采取措施,不断优化物理隔离信息安全技术的应用,从而有效确保调度自动化系统的稳定性,为电力系统的安全稳定运行奠定良好的基础。
参考文献:
[1]廖超.渝东南跨区调度自动化系统开建[J].中国电业(技术版).2014(03)
[2]陈新权.调度自动化系统的安全性[J].电子世界.2013(20)
[3]张晓莉.浅议调度自动化系统的管理[J].中国电力教育.2011(15)
[4]陈波.基于调度自动化系统的区域备自投功能的设计与实现[J].科技创新导报.2013(18)
[5]贾雪冰.县级调度自动化系统一些常见问题及解决方法[J].科技创新导报.2012(18)