電力系統網(wǎng)絡(luò )安全隔離設計論文

　　隨著(zhù)我國社會(huì )經(jīng)濟水平的不斷提高，推動(dòng)了電力信息化的深入發(fā)展。電力企業(yè)間的信息網(wǎng)絡(luò )數據交換逐漸頻繁，并且企業(yè)信息網(wǎng)絡(luò )電力控制的系統數量也逐漸增加，所以，與電力企業(yè)相關(guān)的信息網(wǎng)絡(luò )在電力系統中的作用變得越來(lái)越重要，信息網(wǎng)絡(luò )的安全性也具有一定的現實(shí)意義。

　　1電力系統網(wǎng)絡(luò )安全研究

　　1.1實(shí)時(shí)控制區

　　該控制區的主要業(yè)務(wù)與電力系統中發(fā)電和供電具有直接的聯(lián)系，主要供調度人員與運行操作人員使用。信息數據的實(shí)時(shí)性能夠以秒級顯示，并且對網(wǎng)絡(luò )自身的實(shí)時(shí)安全性能具有極高的要求。實(shí)時(shí)控制區在電力的二次系統中發(fā)揮著(zhù)重要的作用，同時(shí)也是電力企業(yè)網(wǎng)絡(luò )安全重點(diǎn)的保護對象，其安全的等級比較高。其中較為典型的系統主要包括調度的自動(dòng)化系統與變電站自動(dòng)化系統等等。

　　1.2非控制生產(chǎn)區

　　該區域的主要業(yè)務(wù)系統就是沒(méi)有控制能力與批發(fā)交易的系統，此外，在系統內部無(wú)需控制的部分也屬于該區域。非控制生產(chǎn)區的實(shí)時(shí)性主要是以分或者小時(shí)顯示的。比較具有代表性的系統就是電能量計量系統、通信監控系統等等。該生產(chǎn)區主要是供實(shí)際運行計劃的工作人員與發(fā)電側電力市場(chǎng)的交易員使用。

　　1.3生產(chǎn)管理區

　　生產(chǎn)管理區主要的業(yè)務(wù)系統是支撐企業(yè)的經(jīng)營(yíng)與管理的電力生產(chǎn)管理信息的系統。具有代表性的系統主要就是統計報表系統與調度生產(chǎn)管理系統等等。在該區域內部的生產(chǎn)系統需要采取相應的安全防護措施，并提供WEB的服務(wù)。其中，生產(chǎn)管理區域的外部通信的邊界主要就是電力數據信息的通信網(wǎng)。

　　1.4管理信息區

　　該區域的主要業(yè)務(wù)系統就是沒(méi)有進(jìn)行直接參與電力企業(yè)過(guò)程控制與生產(chǎn)管理的經(jīng)營(yíng)與采購以及銷(xiāo)售等的管理信息系統。主要的典型系統就是辦公自動(dòng)化系統及MIS系統等等。

　　2電力系統隔離裝置設計應用

　　2.1電力系統隔離裝置技術(shù)要求

　　第一，有效的完成安全區間非網(wǎng)絡(luò )形式的安全信息數據交換，同時(shí)要確保不同時(shí)將安全隔離裝置的內部與外部的處理系統連接。第二，保證表示層與應用層的數據信息以完全單向的傳輸形式進(jìn)行傳輸。第三，實(shí)行透明的工作方式，包括虛擬主機的IP地址并將MAC的地址進(jìn)行隱藏。第四，根據IP、傳輸端口與協(xié)議以及MAC等綜合的報文進(jìn)行過(guò)濾與訪(fǎng)問(wèn)的控制。第五，積極支持NAT的應用。第六，有效避免穿透性TCP的聯(lián)接。不允許將內網(wǎng)與外網(wǎng)的應用網(wǎng)關(guān)直接創(chuàng )建TCP的聯(lián)接，應將內外網(wǎng)應用網(wǎng)關(guān)間TCP的聯(lián)接進(jìn)行合理的分解，在隔離裝置的內部與外部進(jìn)行TCP的虛擬聯(lián)接。但是，隔離裝置內部與外部的兩網(wǎng)卡是處于非網(wǎng)絡(luò )連接的狀態(tài)，并且只能進(jìn)行數據信息的單向傳輸。第七，應用層需要具備能夠定制的解析能力，并且能夠支持其對特殊標記的識別功能。第八，使用安全且方便的維護與管理措施。保證通過(guò)管理人員的證書(shū)認證，并形成圖形化的界面進(jìn)行管理。第九，專(zhuān)用的`安全隔離裝置自身需要具備較強的安全防護能力。其中的安全性主要包括的就是安全固化的操作系統以及非INTEL指令系統中的微處理器，還有就是能夠抵御DoS外的具有已知性的網(wǎng)絡(luò )攻擊。

　　2.2電力系統的組成要素

　　整個(gè)電力系統主要包括兩部分，其一是隔離系統，其二是相關(guān)配置的管理程序。而隔離系統是由內網(wǎng)關(guān)的程序與外網(wǎng)關(guān)的程序以及檢測控制的單元三部分組成。而配置管理程序中的工具主要有客戶(hù)端配置的界面與證書(shū)的認證模塊等。

　　2.3電力系統隔離裝置的具體工作流程

　　隔離系統的軟件主要包括以下幾個(gè)模塊：內外網(wǎng)的處理模塊、硬件的檢測與控制單元以及相應的管理模塊。圖1為電力系統實(shí)際的工作流程圖。

　　2.3.1內網(wǎng)處理模塊內網(wǎng)處理模塊主要是對ARP的請求進(jìn)行處理并回應。在收到內網(wǎng)的ARP請求時(shí)，及時(shí)的返回ARP的返回包。而在接收到外網(wǎng)的ARP請求時(shí)，需要對虛擬地址進(jìn)行仔細的查找，再將ARP虛擬的回應包返回。在網(wǎng)卡上所獲得的信息數據，如果使用的是外網(wǎng)關(guān)信息數據，一定要進(jìn)行MAC與傳輸協(xié)議以及IP和傳輸端口的報文過(guò)濾。全面仔細的對NAT的規則進(jìn)行檢查，并按照相應的規則將數據包中的源IP地址進(jìn)行合理的替換，此外，還包括源MAC地址與端口號的替換，確保將其記錄在相應的連接信息數據表格中。進(jìn)行校驗碼的重新驗證與計算，并且要使用隔離卡將其及時(shí)的發(fā)送到外網(wǎng)中。積極的接受外網(wǎng)利用隔離卡所發(fā)送的TCP信號，在對其進(jìn)行地址的還原以后，進(jìn)行相應的計算校驗，最終將其發(fā)送給內網(wǎng)。

　　2.3.2外網(wǎng)處理模塊在網(wǎng)卡上所獲得的數據信息如果是利用外網(wǎng)關(guān)數據信息發(fā)送的，應與CAM表格進(jìn)行對比。若發(fā)送到內網(wǎng)TCP信號，應將其轉發(fā)至內網(wǎng)關(guān)內。積極接受內網(wǎng)發(fā)來(lái)的信息數據，并將其送至最終的地址，將具體的地址信息記錄在CAM表格中。最重要的是，要有效的制止外網(wǎng)主動(dòng)的進(jìn)行連接。

　　2.3.3硬件檢測與控制單元對協(xié)議的數據信息長(cháng)度進(jìn)行分析，并將其發(fā)至內網(wǎng)TCP應答處。如果沒(méi)有數據信息就送至內網(wǎng)的處理模塊處，也可以直接丟棄。

　　3結束語(yǔ)

　　網(wǎng)絡(luò )隔離技術(shù)是與其他技術(shù)進(jìn)行合理的結合來(lái)有效提高系統安全性的技術(shù)。但是，目前階段，網(wǎng)絡(luò )的隔離技術(shù)仍存在問(wèn)題。因為網(wǎng)絡(luò )隔離技術(shù)主要對網(wǎng)絡(luò )信息數據進(jìn)行審查，并且要通過(guò)協(xié)議的審查與身份的認證以及相關(guān)內容的審查，所以，一定程度上會(huì )影響到網(wǎng)絡(luò )傳輸的速率，應對此問(wèn)題加以關(guān)注，并采取針對性的方法進(jìn)行有效的解決，進(jìn)而促進(jìn)電力系統網(wǎng)絡(luò )隔離工作的進(jìn)一步發(fā)展。

【電力系統網(wǎng)絡(luò )安全隔離設計論文】相關(guān)文章：

網(wǎng)絡(luò )安全管理設計與實(shí)現論文01-12

網(wǎng)絡(luò )安全管理系統設計思考論文10-28

電力系統綜合設計課程教學(xué)措施論文11-17

網(wǎng)絡(luò )安全入侵檢測系統設計思路論文11-14

網(wǎng)絡(luò )安全論文03-10

網(wǎng)絡(luò )安全的論文03-11

電力系統配電線(xiàn)路設計要點(diǎn)論文11-14

關(guān)于電力系統的論文07-19

網(wǎng)絡(luò )安全預警系統設計與實(shí)踐論文11-11