變電站網(wǎng)絡(luò)立體化信息安全防護(hù)模型論文

　　【摘要】隨著變電站信息化程度的不斷提高以及智能變電站的建設(shè)推廣，對(duì)變電站網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)行提出了更高的要求，本文主要針對(duì)變電站網(wǎng)絡(luò)提出了一種立體化信息安全防護(hù)模型，通過對(duì)不同類型的業(yè)務(wù)進(jìn)行細(xì)分，從業(yè)務(wù)層和傳輸層對(duì)變電站網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu)、安全策略統(tǒng)籌考慮，根據(jù)“分區(qū)分域”的信息安全防護(hù)原則，對(duì)濰坊供電公司所屬變電站網(wǎng)絡(luò)實(shí)施了改造，取得了良好的效果。

　　【關(guān)鍵詞】變電站網(wǎng)絡(luò)；信息安全防護(hù)；分區(qū)分域

　　1業(yè)務(wù)需求及應(yīng)用場(chǎng)景

　　進(jìn)入21世紀(jì)以來，隨著信息化的發(fā)展，電力企業(yè)對(duì)信息通信網(wǎng)絡(luò)的需求程度越來越高，尤其是隨著智能變電站的發(fā)展，電力專網(wǎng)對(duì)變電站信息的采集、傳輸、處理模式產(chǎn)生了根本性的變化[1]，變電站信息網(wǎng)絡(luò)的網(wǎng)絡(luò)流量之多都是空前的，因此研究合理的變電站信息安全模型，從網(wǎng)絡(luò)業(yè)務(wù)分類、網(wǎng)絡(luò)結(jié)構(gòu)、安全策略等多種角度綜合應(yīng)用保障變電站信息安全迫在眉睫。目前，濰坊公司根據(jù)變電站氣象監(jiān)測(cè)、電能監(jiān)測(cè)、環(huán)境監(jiān)測(cè)、防雷監(jiān)測(cè)、隧道監(jiān)測(cè)等方面的非控制類輔助監(jiān)測(cè)需求，建設(shè)了監(jiān)測(cè)網(wǎng)絡(luò)承載在線監(jiān)測(cè)系統(tǒng)平臺(tái)、變壓器色譜在線監(jiān)測(cè)系統(tǒng)、電能質(zhì)量在線監(jiān)測(cè)系統(tǒng)、電纜隧道監(jiān)測(cè)系統(tǒng)及變電站智能巡檢機(jī)器人等五種輔助監(jiān)測(cè)應(yīng)用，今后隨著對(duì)輔助監(jiān)測(cè)業(yè)務(wù)的需求增多還將會(huì)不斷擴(kuò)展。針對(duì)變電站網(wǎng)絡(luò)業(yè)務(wù)增長(zhǎng)的需求，鑒于變電站在電網(wǎng)中所處位置的極端重要性，對(duì)其信息網(wǎng)絡(luò)架構(gòu)的設(shè)計(jì)不能僅僅考慮其便利性，更重要的是確保如何保證變電站信息網(wǎng)絡(luò)的安全性，濰坊公司根據(jù)分區(qū)分域的信息安全防護(hù)原則，對(duì)涉及變電站的信息網(wǎng)絡(luò)進(jìn)行了改造，按照獨(dú)立網(wǎng)絡(luò)區(qū)域建設(shè)的模式，完成了變電站環(huán)境監(jiān)測(cè)采集專網(wǎng)的建設(shè)，下面將對(duì)在網(wǎng)絡(luò)建設(shè)過程中針對(duì)信息安全防護(hù)所做的嘗試進(jìn)行探討。

　　2變電站網(wǎng)絡(luò)面臨的主要信息安全威脅

　　隨著電力專網(wǎng)的深入發(fā)展，接入電力專網(wǎng)的變電站監(jiān)測(cè)及控制系統(tǒng)越來越多，對(duì)變電站信息網(wǎng)絡(luò)的安全性、可靠性、實(shí)時(shí)性提出了嚴(yán)峻的挑戰(zhàn)。從外部來看，隨著Internet技術(shù)的廣泛應(yīng)用，以網(wǎng)絡(luò)為主要傳播途徑的病毒和電腦高手也日益猖獗。變電站信息網(wǎng)絡(luò)安全問題日益突出。變電站信息網(wǎng)絡(luò)的安全需求主要包括系統(tǒng)對(duì)外來破壞具有健壯性；對(duì)操作人員不規(guī)范操作具有預(yù)防性；系統(tǒng)自身信息具有封閉性以及數(shù)據(jù)的完整性、機(jī)密性和可用性[2~3]。變電站網(wǎng)絡(luò)安全威脅主要來自兩方面：變電站內(nèi)部網(wǎng)絡(luò)以及變電站所連接的外部網(wǎng)絡(luò)，這里主要是指公司信息內(nèi)網(wǎng)。對(duì)變電站網(wǎng)絡(luò)構(gòu)成的安全威脅主要包括[4~7]：（1）截獲：非法獲取變電站與其他系統(tǒng)之間傳輸?shù)男畔⒓白冸娬揪W(wǎng)絡(luò)中存儲(chǔ)的信息，信息截獲盡管不會(huì)影響信息的傳輸，但往往是變電站網(wǎng)絡(luò)系統(tǒng)遭受安全侵害的第一步；（2）中斷：使變電站內(nèi)部或與其他系統(tǒng)之間的通信中斷，使主站無法了解變電站的運(yùn)行工況，主站的控制命令也無法正確執(zhí)行，對(duì)無人值守變電站危害較大；（3）篡改：更改變電站與其它系統(tǒng)之間傳輸?shù)男畔�，使主站得到錯(cuò)誤的運(yùn)行工況，威脅電網(wǎng)的安全運(yùn)行，如果篡改的是遙控命令，修改定值命令等，更有可能造成嚴(yán)重的后果；（4）偽造：偽造合法信息發(fā)往變電站或主站，可能造成與篡改信息類似的后果；（5）惡意程序：包括計(jì)算機(jī)里蠕蟲、特洛伊木馬、邏輯炸彈等計(jì)算機(jī)病毒，將嚴(yán)重影響變電站自動(dòng)化系統(tǒng)運(yùn)行的正確性、實(shí)時(shí)性和可靠性，甚至通過數(shù)據(jù)加密造成數(shù)據(jù)損壞，可能使運(yùn)行程序崩潰、數(shù)據(jù)丟失。針對(duì)變電站面臨的內(nèi)部和外部安全威脅，根據(jù)當(dāng)前以及未來濰坊公司變電站信息網(wǎng)絡(luò)可能承載的業(yè)務(wù)類型，在建設(shè)過程中重點(diǎn)考慮了其信息安全防護(hù)設(shè)計(jì)，并針對(duì)性的提出了相應(yīng)的信息安全防護(hù)模型。

　　3信息安全防護(hù)模型設(shè)計(jì)

　　在我們變電站網(wǎng)絡(luò)信息安全防護(hù)模型的設(shè)計(jì)過程中，不僅僅需要考慮變電站網(wǎng)絡(luò)承載的不同業(yè)務(wù)類型，同時(shí)考慮到各變電站業(yè)務(wù)是相同的，但由于地理位置的不同，每一個(gè)變電站信息網(wǎng)絡(luò)又可以作為一個(gè)獨(dú)立的個(gè)體看待，因此必須考慮各變電站的信息安全防護(hù)獨(dú)立性，以避免由于一個(gè)變電站存在安全威脅而影響整個(gè)變電站網(wǎng)絡(luò)乃至整個(gè)電力內(nèi)網(wǎng)的安全。為了實(shí)現(xiàn)對(duì)變電站網(wǎng)絡(luò)立體化安全防護(hù)，我們?cè)O(shè)計(jì)的信息安全防護(hù)模型可以從業(yè)務(wù)網(wǎng)絡(luò)層面和傳輸網(wǎng)絡(luò)層面分析。在業(yè)務(wù)層面，按照獨(dú)立網(wǎng)絡(luò)區(qū)域建設(shè)的模式，對(duì)涉及變電站的生產(chǎn)辦公網(wǎng)絡(luò)進(jìn)行了功能細(xì)分，將變電站輔助監(jiān)測(cè)業(yè)務(wù)和辦公業(yè)務(wù)進(jìn)行分離，單獨(dú)組網(wǎng)，完成變電站環(huán)境監(jiān)測(cè)采集專網(wǎng)建設(shè)，在變電站側(cè)實(shí)現(xiàn)物理隔離。專網(wǎng)與信息內(nèi)網(wǎng)采用不同的IP地址規(guī)劃，并分別在專網(wǎng)與信息內(nèi)網(wǎng)的邊界進(jìn)行防火墻、IPS等安全設(shè)備及安全策略的部署，對(duì)變電站網(wǎng)絡(luò)進(jìn)行訪問控制。變電站環(huán)境監(jiān)測(cè)采集專網(wǎng)內(nèi)部的不同應(yīng)用采用vlan劃分的方式進(jìn)行邏輯隔離。同時(shí)根據(jù)業(yè)務(wù)需求的不同，配置了不同的安全訪問控制策略。變電站環(huán)境專網(wǎng)具有更強(qiáng)的獨(dú)立性，不允許采集專網(wǎng)設(shè)備與信息內(nèi)網(wǎng)用戶互通。通過在與信息內(nèi)網(wǎng)的邊界防火墻上部署訪問控制策略和對(duì)環(huán)境專網(wǎng)服務(wù)器實(shí)現(xiàn)一對(duì)一NAT轉(zhuǎn)換，只允許公司信息內(nèi)網(wǎng)用戶訪問環(huán)境專網(wǎng)服務(wù)器，禁止訪問環(huán)境監(jiān)測(cè)專網(wǎng)終端設(shè)備。在傳輸層面，濰坊公司采用的通道是PTN組網(wǎng)方式，為了更好的在傳輸通道實(shí)現(xiàn)業(yè)務(wù)隔離，我們采用PTN傳輸二層數(shù)據(jù)的能力，同時(shí)為了將各個(gè)變電站網(wǎng)絡(luò)實(shí)現(xiàn)隔離，我們比較了兩種PTN業(yè)務(wù)模型：ELAN業(yè)務(wù)模型：是用VPLS技術(shù)實(shí)現(xiàn)的，VPLS是一種多點(diǎn)L2VPN（L2VPN就是在分組交換網(wǎng)絡(luò)中透明傳輸用戶的二層數(shù)據(jù)）技術(shù)，VPLS事例中的所有CE設(shè)備都好像在同一個(gè)局域網(wǎng)上，因此，它們都可以直接與多點(diǎn)拓?fù)渲械牧硗庖辉O(shè)備通信，而不需要為CE設(shè)備建立全網(wǎng)狀點(diǎn)到點(diǎn)的電路。簡(jiǎn)言之是多點(diǎn)到多點(diǎn)通信。ETREE業(yè)務(wù)模型：類似于EPON的點(diǎn)到多點(diǎn)業(yè)務(wù)，根節(jié)點(diǎn)到葉節(jié)點(diǎn)，葉節(jié)點(diǎn)到根節(jié)點(diǎn)可以通信，葉節(jié)點(diǎn)之間不能通信。由上面兩種PTN業(yè)務(wù)模型的分析可以看出，只有E-TREE滿足各變電站網(wǎng)絡(luò)獨(dú)立的要求，即每個(gè)變電站網(wǎng)絡(luò)作為葉節(jié)點(diǎn)只能與根節(jié)點(diǎn)（主站核心交換機(jī)）進(jìn)行通信，各變電站之間不能通信。以上對(duì)立體化信息安全防護(hù)模型的分析，下面我們將介紹濰坊公司將此模型應(yīng)用于變電站網(wǎng)絡(luò)建設(shè)的具體實(shí)施方案。

　　4具體實(shí)施方案制訂

　　將變電站環(huán)境監(jiān)測(cè)采集專網(wǎng)分別劃分為網(wǎng)絡(luò)邊界區(qū)域、核心層、接入層、業(yè)務(wù)服務(wù)器區(qū)域。（1）IP地址規(guī)劃：分為以下幾個(gè)部分：網(wǎng)絡(luò)設(shè)備互聯(lián)地址、網(wǎng)絡(luò)設(shè)備管理地址、用戶地址等。專網(wǎng)與信息內(nèi)網(wǎng)采用完全不同的私網(wǎng)地址規(guī)劃。（2）vlan規(guī)劃：在環(huán)境監(jiān)測(cè)采集專網(wǎng)核心交換機(jī)規(guī)劃vlan，如環(huán)境監(jiān)測(cè)專網(wǎng)核心交換機(jī)根據(jù)承載業(yè)務(wù)類型的不同規(guī)劃VLAN。（3）路由規(guī)劃：環(huán)境監(jiān)測(cè)專網(wǎng)只允許內(nèi)網(wǎng)用戶訪問經(jīng)過一對(duì)一NAT轉(zhuǎn)換后的環(huán)境監(jiān)測(cè)專網(wǎng)服務(wù)器，配置靜態(tài)路由，信息內(nèi)網(wǎng)核心交換機(jī)不配置回傳路由。（4）安全策略規(guī)劃：按照信息安全防護(hù)模型中的安全策略要求配置。5結(jié)語信息網(wǎng)絡(luò)是變電站的神經(jīng)系統(tǒng)，選擇合適的信息安全防護(hù)模型對(duì)變電站網(wǎng)絡(luò)的可靠性、安全性和經(jīng)濟(jì)性起著舉足輕重的作用。因此在設(shè)計(jì)信息安全防護(hù)模型不僅需要考慮變電站信息業(yè)務(wù)的特點(diǎn)，對(duì)變電站網(wǎng)絡(luò)獨(dú)立性的考慮同樣十分重要。本文通過介紹濰坊公司在變電站專網(wǎng)的建設(shè)過程中實(shí)現(xiàn)的立體化的信息安全防護(hù)模型，已經(jīng)在實(shí)踐中得到了檢驗(yàn)，取得了良好的效果。

　　參考文獻(xiàn)

　　[1]王甜，徐暉，魏理豪，楊浩.電力信息安全保障體系建設(shè)研究[J].廣東電力，2010（05）.

　　[2]高卓，羅毅，涂光瑜，吳彤.變電站的計(jì)算機(jī)網(wǎng)絡(luò)安全分析[J].電力系統(tǒng)自動(dòng)化，2002（01）.

　　[3]張馴，李志茹，袁暉，龔波.智能電網(wǎng)信息系統(tǒng)安全防護(hù)措施研究與探討[J].電力信息與通信技術(shù)，2015（02）.

　　[4]張道銀.智能變電站信息安全技術(shù)研究[J].電力信息與通信技術(shù)，2015（01）.

　　[5]鄒維福，陳景暉，林溫南，施蔚錦，楊偉.智能變電站威脅分析及防護(hù)體系設(shè)計(jì)[J].電力信息與通信技術(shù)，2014（02）.

　　[6]張馴，李志茹，袁暉，等.智能電網(wǎng)信息系統(tǒng)安全防護(hù)措施研究與探討[J].電力信息與通信技術(shù)，2015，13（2）：110~114.

　　[7]楊文征，郭創(chuàng)新，曹一家，易永輝.數(shù)字化變電站信息安全分析及其防范措施研究[J].機(jī)電工程，2007（09）.

　　院

【變電站網(wǎng)絡(luò)立體化信息安全防護(hù)模型論文】相關(guān)文章：

計(jì)算機(jī)網(wǎng)絡(luò)信息安全防護(hù)論文02-13

計(jì)算機(jī)網(wǎng)絡(luò)信息安全防護(hù)論文15篇02-13

談?dòng)?jì)算機(jī)網(wǎng)絡(luò)信息安全及防護(hù)對(duì)策10-26

電力系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)信息安全防護(hù)的研究論文10-13

水聲網(wǎng)絡(luò)信息安全保密風(fēng)險(xiǎn)論文（通用8篇）08-02

對(duì)部隊(duì)信息網(wǎng)絡(luò)安全管制探究論文10-13

淺談網(wǎng)絡(luò)信息安全的重要性論文（通用10篇）05-08

學(xué)校網(wǎng)絡(luò)信息安全報(bào)告02-22

淺議網(wǎng)絡(luò)安全計(jì)算機(jī)通信技術(shù)防護(hù)10-26

信息安全管理論文07-29