电力安全防护的十六字安全方针
电力安全防护方针
根据电力行业相关规定,电力专网实行“安全分区,网络专用,横向隔离,纵向认证”的十六字安全方针。
安全分区
与企业级网络部署架构不同,电力专网对网络区域进行了划分。整个网络分为生产大区(分为控制区和非控制区)和管理信息大区(分为生产管理区和管理信息区)两个区域。生产信息大区控制区是整个电力专网的核心区域,主要用于部署电力监控系统和远动等核心业务系统。生产非控制区主要用于部署保信子站,风功率预测系统和水情预测系统等。生产管理区可以部署生产管理系统(MIS)、大数据系统、综合展示系统等业务。管理信息区则用于部署办公系统、ERP和内网视频会议系统等。
网络专用
电力调度数据网是为生产大区服务的专用网络,使用了MSTP和ASON等技术,具有良好的安全性和通信效率。电力调度数据网独立于运营商的基站和链路之外,从物理上隔离了公网的影响和威胁,大大提升了生产控制和数据的安全。电力调度数据网分为实时子网和非实时子网,其中实时子网延迟为秒或毫秒级,非实时子网延迟为为分钟或小时级。
横向隔离
由于电力安全防护的需要,电力专网对网络区域进行了安全分区。但不同分区之间仍有通信的需要,这个时候就需要部署边界设备,以确保数据的安全传输。根据电力行业相关的要求,生产大区与管理信息大区之间进行物理隔离,生产控制区和生产非控制区之间和生产管理区和管理信息区之间应逻辑隔离。物理隔离边界为正向隔离与反向隔离两种设备类型,逻辑隔离一般为为防火墙。正向隔离用于高安全区域向较低安全等级区域单向传输数据,但由于TCP三次握手连接的需要,仅允许较低安全等级区域向高安全区域传输一个字节的数据。反向隔离传输用于低安全区域向较高安全等级区域单向传输数据,由于反向隔离传输的是文件,所以不再允许高安全区域向较低安全等级区域单向传输数据。隔离装置与防火墙的区别:隔离装置主要通过白名单对数据通信进行识别和控制,使用一套独立的通信协议,在保证安全的基础上尽量实现数据的互通;防火墙则是基于黑名单对流量进行控制,在保证互通的情况下尽量保证安全。
纵向加密
纵向加密装置是电力安全防护纵向防线的重要安全设备,具备认证及机密的功能。部分发电厂与集控之间的连接并未实现真正意义上的网络专用,而是租用了公用网络进行通信,这时候就需要部署安全接入区,以提升纵向的网络安全防护水平。安全接入区需要部署纵向加密装置和正/反向隔离等设备。正反向隔离设备两端需要部署前后置服务器,前置将数据转换为二进制或E语言文本等格式,在穿越了正反向隔离后,后置服务器对二进制或E语言文本等格式进行还原。需要注意的是安全接入区的设立对数据通信有一定的影响,在集控对电厂“五遥”产生较大影响时,可结合实际情况对安全接入区设备进行优化。
本文是小编在日常工作中的所闻所见所得,希望能帮助到各位道友。这是小编第一次写文章,文中可能会出现一些不足甚至是错误,敬请各位网友批评指正。