電力系統(tǒng)網(wǎng)絡(luò)安全隔離設(shè)計論文
隨著我國社會經(jīng)濟水平的不斷提高,推動了電力信息化的深入發(fā)展。電力企業(yè)間的信息網(wǎng)絡(luò)數(shù)據(jù)交換逐漸頻繁,并且企業(yè)信息網(wǎng)絡(luò)電力控制的系統(tǒng)數(shù)量也逐漸增加,所以,與電力企業(yè)相關(guān)的信息網(wǎng)絡(luò)在電力系統(tǒng)中的作用變得越來越重要,信息網(wǎng)絡(luò)的安全性也具有一定的現(xiàn)實意義。
1電力系統(tǒng)網(wǎng)絡(luò)安全研究
1.1實時控制區(qū)
該控制區(qū)的主要業(yè)務(wù)與電力系統(tǒng)中發(fā)電和供電具有直接的聯(lián)系,主要供調(diào)度人員與運行操作人員使用。信息數(shù)據(jù)的實時性能夠以秒級顯示,并且對網(wǎng)絡(luò)自身的實時安全性能具有極高的要求。實時控制區(qū)在電力的二次系統(tǒng)中發(fā)揮著重要的作用,同時也是電力企業(yè)網(wǎng)絡(luò)安全重點的保護對象,其安全的等級比較高。其中較為典型的系統(tǒng)主要包括調(diào)度的自動化系統(tǒng)與變電站自動化系統(tǒng)等等。
1.2非控制生產(chǎn)區(qū)
該區(qū)域的主要業(yè)務(wù)系統(tǒng)就是沒有控制能力與批發(fā)交易的系統(tǒng),此外,在系統(tǒng)內(nèi)部無需控制的部分也屬于該區(qū)域。非控制生產(chǎn)區(qū)的實時性主要是以分或者小時顯示的。比較具有代表性的系統(tǒng)就是電能量計量系統(tǒng)、通信監(jiān)控系統(tǒng)等等。該生產(chǎn)區(qū)主要是供實際運行計劃的工作人員與發(fā)電側(cè)電力市場的交易員使用。
1.3生產(chǎn)管理區(qū)
生產(chǎn)管理區(qū)主要的業(yè)務(wù)系統(tǒng)是支撐企業(yè)的經(jīng)營與管理的電力生產(chǎn)管理信息的系統(tǒng)。具有代表性的系統(tǒng)主要就是統(tǒng)計報表系統(tǒng)與調(diào)度生產(chǎn)管理系統(tǒng)等等。在該區(qū)域內(nèi)部的生產(chǎn)系統(tǒng)需要采取相應(yīng)的安全防護措施,并提供WEB的服務(wù)。其中,生產(chǎn)管理區(qū)域的外部通信的邊界主要就是電力數(shù)據(jù)信息的通信網(wǎng)。
1.4管理信息區(qū)
該區(qū)域的主要業(yè)務(wù)系統(tǒng)就是沒有進行直接參與電力企業(yè)過程控制與生產(chǎn)管理的經(jīng)營與采購以及銷售等的管理信息系統(tǒng)。主要的典型系統(tǒng)就是辦公自動化系統(tǒng)及MIS系統(tǒng)等等。
2電力系統(tǒng)隔離裝置設(shè)計應(yīng)用
2.1電力系統(tǒng)隔離裝置技術(shù)要求
第一,有效的完成安全區(qū)間非網(wǎng)絡(luò)形式的安全信息數(shù)據(jù)交換,同時要確保不同時將安全隔離裝置的內(nèi)部與外部的處理系統(tǒng)連接。第二,保證表示層與應(yīng)用層的數(shù)據(jù)信息以完全單向的傳輸形式進行傳輸。第三,實行透明的工作方式,包括虛擬主機的IP地址并將MAC的地址進行隱藏。第四,根據(jù)IP、傳輸端口與協(xié)議以及MAC等綜合的報文進行過濾與訪問的控制。第五,積極支持NAT的應(yīng)用。第六,有效避免穿透性TCP的聯(lián)接。不允許將內(nèi)網(wǎng)與外網(wǎng)的應(yīng)用網(wǎng)關(guān)直接創(chuàng)建TCP的聯(lián)接,應(yīng)將內(nèi)外網(wǎng)應(yīng)用網(wǎng)關(guān)間TCP的聯(lián)接進行合理的分解,在隔離裝置的內(nèi)部與外部進行TCP的虛擬聯(lián)接。但是,隔離裝置內(nèi)部與外部的兩網(wǎng)卡是處于非網(wǎng)絡(luò)連接的狀態(tài),并且只能進行數(shù)據(jù)信息的單向傳輸。第七,應(yīng)用層需要具備能夠定制的解析能力,并且能夠支持其對特殊標記的識別功能。第八,使用安全且方便的維護與管理措施。保證通過管理人員的證書認證,并形成圖形化的界面進行管理。第九,專用的`安全隔離裝置自身需要具備較強的安全防護能力。其中的安全性主要包括的就是安全固化的操作系統(tǒng)以及非INTEL指令系統(tǒng)中的微處理器,還有就是能夠抵御DoS外的具有已知性的網(wǎng)絡(luò)攻擊。
2.2電力系統(tǒng)的組成要素
整個電力系統(tǒng)主要包括兩部分,其一是隔離系統(tǒng),其二是相關(guān)配置的管理程序。而隔離系統(tǒng)是由內(nèi)網(wǎng)關(guān)的程序與外網(wǎng)關(guān)的程序以及檢測控制的單元三部分組成。而配置管理程序中的工具主要有客戶端配置的界面與證書的認證模塊等。
2.3電力系統(tǒng)隔離裝置的具體工作流程
隔離系統(tǒng)的軟件主要包括以下幾個模塊:內(nèi)外網(wǎng)的處理模塊、硬件的檢測與控制單元以及相應(yīng)的管理模塊。圖1為電力系統(tǒng)實際的工作流程圖。
2.3.1內(nèi)網(wǎng)處理模塊內(nèi)網(wǎng)處理模塊主要是對ARP的請求進行處理并回應(yīng)。在收到內(nèi)網(wǎng)的ARP請求時,及時的返回ARP的返回包。而在接收到外網(wǎng)的ARP請求時,需要對虛擬地址進行仔細的查找,再將ARP虛擬的回應(yīng)包返回。在網(wǎng)卡上所獲得的信息數(shù)據(jù),如果使用的是外網(wǎng)關(guān)信息數(shù)據(jù),一定要進行MAC與傳輸協(xié)議以及IP和傳輸端口的報文過濾。全面仔細的對NAT的規(guī)則進行檢查,并按照相應(yīng)的規(guī)則將數(shù)據(jù)包中的源IP地址進行合理的替換,此外,還包括源MAC地址與端口號的替換,確保將其記錄在相應(yīng)的連接信息數(shù)據(jù)表格中。進行校驗碼的重新驗證與計算,并且要使用隔離卡將其及時的發(fā)送到外網(wǎng)中。積極的接受外網(wǎng)利用隔離卡所發(fā)送的TCP信號,在對其進行地址的還原以后,進行相應(yīng)的計算校驗,最終將其發(fā)送給內(nèi)網(wǎng)。
2.3.2外網(wǎng)處理模塊在網(wǎng)卡上所獲得的數(shù)據(jù)信息如果是利用外網(wǎng)關(guān)數(shù)據(jù)信息發(fā)送的,應(yīng)與CAM表格進行對比。若發(fā)送到內(nèi)網(wǎng)TCP信號,應(yīng)將其轉(zhuǎn)發(fā)至內(nèi)網(wǎng)關(guān)內(nèi)。積極接受內(nèi)網(wǎng)發(fā)來的信息數(shù)據(jù),并將其送至最終的地址,將具體的地址信息記錄在CAM表格中。最重要的是,要有效的制止外網(wǎng)主動的進行連接。
2.3.3硬件檢測與控制單元對協(xié)議的數(shù)據(jù)信息長度進行分析,并將其發(fā)至內(nèi)網(wǎng)TCP應(yīng)答處。如果沒有數(shù)據(jù)信息就送至內(nèi)網(wǎng)的處理模塊處,也可以直接丟棄。
3結(jié)束語
網(wǎng)絡(luò)隔離技術(shù)是與其他技術(shù)進行合理的結(jié)合來有效提高系統(tǒng)安全性的技術(shù)。但是,目前階段,網(wǎng)絡(luò)的隔離技術(shù)仍存在問題。因為網(wǎng)絡(luò)隔離技術(shù)主要對網(wǎng)絡(luò)信息數(shù)據(jù)進行審查,并且要通過協(xié)議的審查與身份的認證以及相關(guān)內(nèi)容的審查,所以,一定程度上會影響到網(wǎng)絡(luò)傳輸?shù)乃俾,?yīng)對此問題加以關(guān)注,并采取針對性的方法進行有效的解決,進而促進電力系統(tǒng)網(wǎng)絡(luò)隔離工作的進一步發(fā)展。
【電力系統(tǒng)網(wǎng)絡(luò)安全隔離設(shè)計論文】相關(guān)文章:
網(wǎng)絡(luò)安全管理設(shè)計與實現(xiàn)論文01-12
網(wǎng)絡(luò)安全管理系統(tǒng)設(shè)計思考論文10-28
電力系統(tǒng)綜合設(shè)計課程教學(xué)措施論文11-17
網(wǎng)絡(luò)安全入侵檢測系統(tǒng)設(shè)計思路論文11-14
網(wǎng)絡(luò)安全論文03-10
網(wǎng)絡(luò)安全的論文03-11