电力调度数据网络安全的技术防护措施Word文件下载.docx

电力调度数据网络安全的技术防护措施Word文件下载.docx

《电力调度数据网络安全的技术防护措施Word文件下载.docx》由会员分享，可在线阅读，更多相关《电力调度数据网络安全的技术防护措施Word文件下载.docx（9页珍藏版）》请在冰豆网上搜索。

同时它采用非网络传输方式实现这两个网络的信息和资源共享，保障电力系统的安全稳定运行。

因此，此类设备的应用将有助于进一步提高电网调度系统的整体安全性和可靠性，促进各部门的生产和新应用的开发与运用，并为建立全国电网二次系统安全防护体系提供有力保障。

随着现代科学技技术的突飞猛进，微电子技术、信息技术、自动化技术的飞速发展，微型计算机的大规模的普及应用，电力自动化设备生产成本的大幅降低，为调度自动化系统的全面应用和推广提供了充分的发展条件。

我局顺应时代的需要，及时抓住“农村电网改造”的机遇，将原有调度自动化系统进行全面的升级扩建，实现了我局对所管辖县级电网的电气量的遥测（包括遥脉）；

对非电气量的遥信、遥控及对主变电压的遥调；

对远方站端设备的运行状况的实时监控；

电网的潮流分析、状态估计、以及负荷预测。

从更高的技术层面上实现了对电网系统的供电质量实施管理和供电可靠性的保障。

为实现对管辖的县级电网在技术和管理的现代化，对电网实时数据的共享，我局调度自动化系统数据实现了向MIS系统的实时转发。

我局建设的MIS系统，是一个开放的管理系统，专有面向Iternet的出口与外界进行信息交换。

我局在规划、设计、建设控制系统和数据网络时，对网络安全问题进行了充分的论证和研究。

针对县调自动化系统中存在的一些安全隐患，对电力调度数据系统所构成的潜在威胁，结合电力行业制定的全国电力二次系统安全防护总体框架，依据中华人民共和国国家经济贸易委员会第30号令《电网和电厂计算机监控系统及调度数据网络安全防护的规定》的要求，从技术措施和管理措施两个方面进行了完善。

重点放在从技术设备方面加以防范。

调度自动化网络

PAS工作站

内

内网

Syskeeper-2000网络安全隔离系统

Web服务器

外网

局MIS网络

图1安装网络拓扑图

在技术硬件方面，我局采用了南京国电自动化研究院信息技术研究所开发，专用于实时数据传输的Syskeeper－2000网络（正向）安全隔离设备如图1。

将同MIS系统直接连接的Web服务器和PAS工作站之间加装（正向）网络物理隔离设备，把PAS工作站设置为数据发射机，通过网络物理隔离设备经Web服务器向我局MIS系统转发电网数据，达到从硬件物理层面上分隔开两个网络系统的直接联系，堵塞硬件系统的安全漏洞。

其设备提出了电力系统二次安全防护分层分区的总体防护体系，拥有正向、反向两种安全隔离产品。

安全隔离装置（正向）用于安全区Ⅰ/Ⅱ到安全区Ⅲ的单向数据传递；

安全隔离装置（反向）用于安全区Ⅲ到安全区Ⅰ/Ⅱ的单向数据传递。

分别给出了安全隔离设备应满足的具体要求。

正向安全隔离装置的特点如图2：

串口A

网络接口A

嵌入式计算机A

200MHz

网络接口B

串口B

嵌入式计算机B

安全连接

硬件看门狗A

硬件看门狗B

PCIBUSPCIBUS

图2Syskeeper-2000网络安全隔离产品地硬件结构框图

硬件采用Motorola的PowerPC8241嵌入式计算机芯片，双机之间通过高速FIFO芯片进行物理连接，底板上各有一个以太网接口用来连接要隔离的两个网络，主板上有两个串口可以用来连接配置终端，方便管理员对网络安全隔离设备的控制，硬件看门狗时刻监视系统状态，保证隔离装置的稳定、可靠运行。

Syskeeper-2000网络安全隔离设备旨在保护内部网络安全，系统部署在网络的出口处，有一个内网接口和一个外网接口，分别与内网和外网相连，设备安装简单。

1、支持双机热备

在实际应用中，可以设置双机备份，一台工作在主机位置，一台工作于备用位置，两台机器时刻进行通信并进行信息备份，一旦一台隔离设备出现故障时，或者处于看门狗复位阶段，备机可以承担起主机的工作，以避免重要数据的丢失。

提供了一个电源作为主电源供电，一个作为辅电源作备份，以有效提高电源工作的可靠性及延长整个系统的平均无故障工作时间。

2、全剪切内核，系统的安全性和抗攻击能力强

为了保证系统安全的最大化，已经将嵌入式Linux内核进行了剪裁。

内核中包括用户管理、进程管理、和Socket编程接口，裁剪掉TCP/IP协议栈和其他不需要的系统功能，进一步提高了系统安全性和抗攻击能力。

3、单向传输控制

物理上控制反向fifo芯片的深度为16个字节，保证从低安全区到高安全区的TCP应答禁止携带应用数据，大大增强了高安全区业务系统的安全性。

在物理上实现了数据流的纯单向传输，数据只能从内网流向外网。

4、隔断穿透性的TCP连接

安全隔离装置采用截断TCP连接的方法，剥离数据包中的TCP/IP头，将内网的纯数据通过单向数据通道FIFO发送到外网，同时只允许应用层不带任何数据的TCP包的控制信息传输到内网。

5、基本安全功能丰富，可实现在网络中的快速部署

采用综合过虑技术，在链路层获数据包，根据用户的安全策略决定如何处理该数据包；

实现了MAC与IP地址绑定，防止IP地址欺骗；

支持静态地址映射（NAT）以及虚拟IP技术；

具有可定制的应用层解析功能，支持应用层特殊标记识别，提供了一个全透明、安全、高效的隔离装置。

6、独特的自适应技术

采用自适应技术，隔离设备没有IP地址，隐藏MAC地址，非法用户无法对隔离设备进行网络攻击，有效的提高了系统的安全性能。

7、网络数据处理流畅，不会成为网络通讯瓶颈

隔离设备采用主频达200Mh内核使用高效的过虑算法，充分发挥良好的硬件性能，百兆状态下的网络吞吐率达到55Mbps，不会造成网络通讯的瓶颈

8、丰富的通信工具软件和API函数接口

为了使隔离设备达到预期的安全效果，经过隔离设备进行数据传输的软件按照《全国电力二次系统安全防护总体方案》的规定进行开发。

针对I/II区到III区通信内容规定，Syskeeper-2000网络安全隔离设备提供了丰富的通信工具软件和API函数接口，方便进行二次系统隔离改造。

9、操作简单的图形化用户界面

隔离设备提供了友好的图形化用户界面，可以进行全新的可视化管理与配置。

整个界面使用全中文化的设计，通过友好的图形化界面，网络管理员可以很容易地定制安全策略和对系统进行维护管理。

只需进行简单地培训就可以完成对隔离设备地管理与配置。

通过我局一年多时间的测试、试运行，其网络安全隔离设备具有很高的可靠性、稳定性和执行效率。

实现了两个网络之间的非网络方式的数据交换，并且采用安全算法保证安全隔离装置内外两个处理系统不同时连通，实现了识别非法请求并阻止超越权限的数据访问和操作，有效抵御了病毒、黑客等通过各种形式发起的对网络系统地的恶意破坏和攻击活动，保护实时闭环监控系统和调度数据网络的安全；

实现了两个网络的信息和资源共享，保障电力系统地安全稳定运行。

网络之间除采取必要的隔离措施外，电力监控系统及调度数据网络自身也要完善一些技术措施，第一、系统设备及软件安装调试完毕后，应立即封锁或禁掉所有与外界信息交换的接口，如光驱、软盘、USB接口等。

第二、设置系统密码，规定使用权限，严禁非系统管理员改变网络系统运行状态。

第三、系统备份用外置设备（移动硬盘）严禁开放使用。

在软件方面将调度自动化软件系统加装病毒消杀软件和网络防火墙，以堵塞软件系统安全漏洞。