物理隔離技術(shù)在電力系統(tǒng)中的應(yīng)用范文
本站小編為你精心準備了物理隔離技術(shù)在電力系統(tǒng)中的應(yīng)用參考范文,愿這些范文能點燃您思維的火花,激發(fā)您的寫作靈感。歡迎深入閱讀并收藏。
【摘要】我國的計算機技術(shù)的發(fā)展是非常迅速的,并且到目前為止發(fā)展也并沒有停止,電力控制的系統(tǒng)也接入了越來越多的數(shù)據(jù)網(wǎng)絡(luò),電廠和用戶之間也就會進行更多的數(shù)據(jù)交互,但是目前為止,一些電廠對網(wǎng)絡(luò)安全的問題仍然不夠重視,在網(wǎng)絡(luò)連接的時候也沒有采取一定的防護措施,這是非常嚴重的安全隱患,如今,電力監(jiān)控系統(tǒng)和數(shù)據(jù)網(wǎng)絡(luò)系統(tǒng)安全已經(jīng)收到了很大的威脅。
如今的電廠和變電站所采用的控制一般都是遠方的控制,這樣一個致命的缺點就是安全問題,電力控制系統(tǒng)和數(shù)據(jù)網(wǎng)絡(luò)都存在著比較嚴重的安全問題, 并且也變得更加的不可靠,如今,在對變電站和發(fā)電廠進行規(guī)劃建設(shè)的時候,設(shè)計師往往會忽略這些安全問題, 相關(guān)工作人員在運行控制系統(tǒng)和數(shù)據(jù)網(wǎng)絡(luò)的時候也往往會忽略這點, 在實時控制的監(jiān)控系統(tǒng)也沒有采取任何的防護措施,直接和因特網(wǎng)互相連接,這些都是極大的安全隱患。
1 安全區(qū)域的劃分
電力二次系統(tǒng)主要劃分為四個安全區(qū)域, 在進行劃分的時候所采取的依據(jù)就是電力二次系統(tǒng)的主要特點以及系統(tǒng)在業(yè)務(wù)方面重要的程度,安全等級由高到低進行排序。 安全區(qū)Ⅰ就是實施控制區(qū),這個區(qū)域是安全等級最高的安全區(qū)域,在這個區(qū)域可以進行實時監(jiān)控,這個環(huán)節(jié)是一項重要的環(huán)節(jié),也是電力生產(chǎn)中不可或缺的一項,在系統(tǒng)進行運行的時候,所使用的網(wǎng)絡(luò)是調(diào)度數(shù)據(jù)網(wǎng)絡(luò),所使用的通道也都是專用的通道,在電力二次系統(tǒng)中,安全區(qū)Ⅰ是就是其中最為重要的一個系統(tǒng),同樣也是安全防護工作的重點工作。 安全區(qū)Ⅱ就是非控制生產(chǎn)區(qū),它并沒有控制的功能,一般在使用調(diào)度數(shù)據(jù)網(wǎng)絡(luò)在線運行的時候。 安全區(qū)Ⅲ就是生產(chǎn)管理區(qū),電力生產(chǎn)的管理功能就是在這里實現(xiàn),但是和安全區(qū)Ⅱ相同,這個區(qū)域同樣沒有控制的功能,并且也不是在線運行,而是可以直接連接到相關(guān)技術(shù)人員的桌面終端。 安全區(qū)Ⅳ是管理信息區(qū),這個區(qū)域就是實現(xiàn)電力信息管理以及辦公自動化的關(guān)鍵所在, 在使用到電力數(shù)據(jù)通信網(wǎng)絡(luò)。 業(yè)務(wù)系統(tǒng)主要所訪問的就是桌面的終端。安全區(qū)Ⅰ和安全區(qū)Ⅱ都是屬于電力生產(chǎn)的系統(tǒng), 這兩個區(qū)域的關(guān)系是比較密切的,他們之間的共同點也是比較多的,都是在線運行,并且這兩個區(qū)域也是經(jīng)常進行數(shù)據(jù)交互,所以都可以歸為生產(chǎn)控制區(qū)。 安全區(qū)Ⅲ和安全區(qū)Ⅳ都屬于電力生產(chǎn)管理系統(tǒng), 這兩個區(qū)域之間的關(guān)系和前兩個區(qū)域之間的關(guān)系都是一樣的,同上,它們之間也是具有很多的共同點,同時他們都不具備控制的功能,都不在線運行,可以不使用電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò),所以這兩個區(qū)域可以歸為生產(chǎn)管理區(qū)。 因為安全區(qū)域是劃分為幾點的,所以他們之間的安全等級是不同的,等級不同自然要求也就不同, 所以不同的安全等級所采取的防護水平自然也就不會一樣,在隔離方面也是由一定的要求的,安全區(qū)Ⅰ和安全區(qū)Ⅱ都屬于生產(chǎn)控制區(qū)在進行隔離的時候需要采用相關(guān)的部門已經(jīng)認定并且核準的硬件防火墻來進行隔離,或者是采用相關(guān)的一些設(shè)備進行隔離,同樣安全區(qū)Ⅲ和安全區(qū)Ⅳ屬于生產(chǎn)管理區(qū), 所隔離的方法和生產(chǎn)控制區(qū)的隔離方法是相同的, 但是在生產(chǎn)控制區(qū)和生產(chǎn)管理區(qū)之間必須要采用相關(guān)部門認定核準的專用安全隔離裝置進行隔離, 因為它們屬于兩個不同的邏輯大區(qū)。 同時為了保證數(shù)據(jù)的安全交互,只有相鄰的安全區(qū)域才能夠進行數(shù)據(jù)交互。
2 物理隔離裝置技術(shù)的應(yīng)用
根據(jù)我國相關(guān)方面的規(guī)定, 涉及到有關(guān)國家重大基礎(chǔ)設(shè)施的網(wǎng)絡(luò)都需要采取一定的措施, 將這些網(wǎng)絡(luò)和公網(wǎng)進行隔離,防止外界的黑客入侵重要的網(wǎng)絡(luò)破壞到社會的安定,但是在進行隔離的時候又需要進行數(shù)據(jù)交互, 所以這時候就會選擇物理隔離裝置, 物理隔離裝置技術(shù)顧名思義就是進行物理隔離,但是這個物理隔離是設(shè)立在兩個網(wǎng)絡(luò)之間的隔離,物理隔離就可以有效地阻止系統(tǒng)命令和網(wǎng)絡(luò)協(xié)議從在不同網(wǎng)絡(luò)之間不斷的流動, 可信網(wǎng)絡(luò)計算機與不可信網(wǎng)絡(luò)計算機之間也并沒有實際的連接。 物理隔離還能夠有效地杜絕黑客對有鏈接計算機進行控制。 但是物理隔離并不像傳統(tǒng)意義上的徹底隔離, 最為關(guān)鍵的一點就是它既可以在兩個網(wǎng)絡(luò)之間進行物理隔離, 同時還可以在兩個不同的網(wǎng)絡(luò)之間進行數(shù)據(jù)信息的交互,并且交互的過程是安全的,這樣就不用擔心信息數(shù)據(jù)的流失。物理隔離裝置主要分為三個分區(qū), 這三個分區(qū)的名字分別就是分別為內(nèi)網(wǎng)分區(qū)、 外網(wǎng)分區(qū)和內(nèi)外兩個分區(qū)之間的安全隔離分區(qū)。 其中, 和內(nèi)網(wǎng)分區(qū)直接相連的就是內(nèi)網(wǎng)監(jiān)控系統(tǒng),和外網(wǎng)分區(qū)直接相連的就是外網(wǎng)的信息系統(tǒng),內(nèi)網(wǎng)分區(qū)和外網(wǎng)分區(qū)都有自己單獨的處理器, 內(nèi)網(wǎng)分區(qū)和外網(wǎng)分區(qū)之間是沒有網(wǎng)絡(luò)進行連接的,這樣就可以保證網(wǎng)絡(luò)層面的隔離,內(nèi)網(wǎng)分區(qū)和外網(wǎng)分區(qū)進行數(shù)據(jù)交互就只能夠通過有物理隔離能力的安全區(qū)。安全隔離分區(qū)所采用的是兩片雙口的隨機存儲器, 并且在同一刻,數(shù)據(jù)只能夠單向的傳輸,這樣就可以有效的保證好數(shù)據(jù)的安全性,當內(nèi)網(wǎng)的主板需要向外網(wǎng)傳送數(shù)據(jù)的時候,外網(wǎng)向內(nèi)網(wǎng)的物理連接就會被切斷, 當外網(wǎng)向內(nèi)網(wǎng)的連接被切斷了之后,內(nèi)網(wǎng)就會向雙口隨機存儲器傳輸數(shù)據(jù),當完成數(shù)據(jù)交互之后就再次切斷內(nèi)網(wǎng)向外網(wǎng)的數(shù)據(jù)連接, 并且向外網(wǎng)的主板產(chǎn)生讀中斷,外網(wǎng)響應(yīng)中斷之后就讀取數(shù)據(jù),就可以完成內(nèi)網(wǎng)分區(qū)向外網(wǎng)分區(qū)數(shù)據(jù)的物理交互。 在進行安全隔離的過程中, 不管是什么數(shù)據(jù)在正式進行傳輸?shù)臅r候都必須要確保這項數(shù)據(jù)已經(jīng)進行過安全審核, 這樣做的目的就是為了確保所傳輸?shù)臄?shù)據(jù)是合法的。 為了讓安全強度變得更高,在只允許從內(nèi)網(wǎng)向外網(wǎng)傳輸數(shù)據(jù)的時候, 就可以將外網(wǎng)向內(nèi)網(wǎng)的數(shù)據(jù)交互切斷,只將那些簡單的應(yīng)答的通信數(shù)據(jù)運行,這樣做的好處就是可以禁止外網(wǎng)的一些數(shù)據(jù)流入到內(nèi)網(wǎng)中去, 這樣才能夠更好地滿足電力系統(tǒng)的一些特殊的要求。有很多的物理攻擊都是因為 TCP 協(xié)議存在一定的漏洞而形成的攻擊, 所以物理隔離裝置還可以有效地防止 TCP 的穿透連接。在處理那些安全級別比較高的內(nèi)網(wǎng) A 機的時候,防止穿透連接的有效做法就是安裝仿 Server 程序, 并且可以監(jiān)聽那些外網(wǎng) IP 地址,有效地防止 TCP 穿透連接,當內(nèi)網(wǎng)通過隔離的裝置來連接外網(wǎng)的時候,所安裝的程序就可以切斷連接,在發(fā)起連接的過程中,過程是由這項程序來承擔的,連接的信號也是在這里終止的,當成功的建立起連接之后,再通過非網(wǎng)協(xié)議來通知外網(wǎng) B 機進行相關(guān)的數(shù)據(jù)連接處理,外網(wǎng) B 機在連接生效以后,就可以正式的進行數(shù)據(jù)連接。 隔離裝置是內(nèi)網(wǎng)和外網(wǎng)進行信息交互的唯一通道, 從外網(wǎng)到內(nèi)網(wǎng)或者是從內(nèi)網(wǎng)到外網(wǎng)的所有數(shù)據(jù)都被剝離了 TCP 協(xié)議或者 IP 協(xié)議,都是被還原成原始的應(yīng)用數(shù)據(jù),然后再重組數(shù)據(jù)包,這樣就可以有效地避免利用 TCP 協(xié)議和 IP 協(xié)議的漏洞進行攻擊的可能性,因為沒有用到應(yīng)用協(xié)議, 所有也就不存在利用應(yīng)用協(xié)議的漏洞進行攻擊的可能性。
3 系統(tǒng)安全解決方案設(shè)計
為了進行訪問控制以及信息交流, 就可以采用安全隔離裝置設(shè)備來進行安全隔離之后再次訪問, 在滿足物理隔離的網(wǎng)絡(luò)環(huán)境下進行實時、適度地進行信息交換。 不同的系統(tǒng)它們之間對安全等級的需求也是不同的, 所以需要對目前的服務(wù)器進行一定合理的調(diào)整, 對網(wǎng)絡(luò)安全的區(qū)域也進行安全的劃分,這就是安全系統(tǒng)成功的關(guān)鍵。信息的安全是電力系統(tǒng)安全的基礎(chǔ), 加強安全是建設(shè)社會主義和諧社會的需要, 網(wǎng)絡(luò)的入侵和傳統(tǒng)的安全事故雖然不同,但是如今的信息化建設(shè)不斷地深入,信息安全問題也就不斷的突出,為了更好地保護信息安全,物理隔離技術(shù)就可以對如今進行有效的抵制,更好的保護信息安全,物理隔離技術(shù)也會得到更加廣泛的應(yīng)用。
參考文獻
[1]萬平國.網(wǎng)絡(luò)隔離與網(wǎng)閘[M].北京:機械工業(yè)出版社 ,2009.
作者:李周 楊先杰 單位:國網(wǎng)安徽省電力有限公司
