變電站網(wǎng)絡(luò )立體化信息安全防護模型論文

　　【摘要】隨著(zhù)變電站信息化程度的不斷提高以及智能變電站的建設推廣，對變電站網(wǎng)絡(luò )的安全穩定運行提出了更高的要求，本文主要針對變電站網(wǎng)絡(luò )提出了一種立體化信息安全防護模型，通過(guò)對不同類(lèi)型的業(yè)務(wù)進(jìn)行細分，從業(yè)務(wù)層和傳輸層對變電站網(wǎng)絡(luò )的網(wǎng)絡(luò )結構、安全策略統籌考慮，根據“分區分域”的信息安全防護原則，對濰坊供電公司所屬變電站網(wǎng)絡(luò )實(shí)施了改造，取得了良好的效果。

　　【關(guān)鍵詞】變電站網(wǎng)絡(luò )；信息安全防護；分區分域

　　1業(yè)務(wù)需求及應用場(chǎng)景

　　進(jìn)入21世紀以來(lái)，隨著(zhù)信息化的發(fā)展，電力企業(yè)對信息通信網(wǎng)絡(luò )的需求程度越來(lái)越高，尤其是隨著(zhù)智能變電站的發(fā)展，電力專(zhuān)網(wǎng)對變電站信息的采集、傳輸、處理模式產(chǎn)生了根本性的變化[1]，變電站信息網(wǎng)絡(luò )的網(wǎng)絡(luò )流量之多都是空前的，因此研究合理的變電站信息安全模型，從網(wǎng)絡(luò )業(yè)務(wù)分類(lèi)、網(wǎng)絡(luò )結構、安全策略等多種角度綜合應用保障變電站信息安全迫在眉睫。目前，濰坊公司根據變電站氣象監測、電能監測、環(huán)境監測、防雷監測、隧道監測等方面的非控制類(lèi)輔助監測需求，建設了監測網(wǎng)絡(luò )承載在線(xiàn)監測系統平臺、變壓器色譜在線(xiàn)監測系統、電能質(zhì)量在線(xiàn)監測系統、電纜隧道監測系統及變電站智能巡檢機器人等五種輔助監測應用，今后隨著(zhù)對輔助監測業(yè)務(wù)的需求增多還將會(huì )不斷擴展。針對變電站網(wǎng)絡(luò )業(yè)務(wù)增長(cháng)的需求，鑒于變電站在電網(wǎng)中所處位置的極端重要性，對其信息網(wǎng)絡(luò )架構的設計不能僅僅考慮其便利性，更重要的是確保如何保證變電站信息網(wǎng)絡(luò )的安全性，濰坊公司根據分區分域的信息安全防護原則，對涉及變電站的信息網(wǎng)絡(luò )進(jìn)行了改造，按照獨立網(wǎng)絡(luò )區域建設的模式，完成了變電站環(huán)境監測采集專(zhuān)網(wǎng)的建設，下面將對在網(wǎng)絡(luò )建設過(guò)程中針對信息安全防護所做的嘗試進(jìn)行探討。

　　2變電站網(wǎng)絡(luò )面臨的主要信息安全威脅

　　隨著(zhù)電力專(zhuān)網(wǎng)的深入發(fā)展，接入電力專(zhuān)網(wǎng)的變電站監測及控制系統越來(lái)越多，對變電站信息網(wǎng)絡(luò )的安全性、可靠性、實(shí)時(shí)性提出了嚴峻的挑戰。從外部來(lái)看，隨著(zhù)Internet技術(shù)的廣泛應用，以網(wǎng)絡(luò )為主要傳播途徑的病毒和電腦高手也日益猖獗。變電站信息網(wǎng)絡(luò )安全問(wèn)題日益突出。變電站信息網(wǎng)絡(luò )的安全需求主要包括系統對外來(lái)破壞具有健壯性；對操作人員不規范操作具有預防性；系統自身信息具有封閉性以及數據的完整性、機密性和可用性[2~3]。變電站網(wǎng)絡(luò )安全威脅主要來(lái)自?xún)煞矫妫鹤冸娬緝炔烤W(wǎng)絡(luò )以及變電站所連接的外部網(wǎng)絡(luò )，這里主要是指公司信息內網(wǎng)。對變電站網(wǎng)絡(luò )構成的安全威脅主要包括[4~7]：（1）截獲：非法獲取變電站與其他系統之間傳輸的信息及變電站網(wǎng)絡(luò )中存儲的信息，信息截獲盡管不會(huì )影響信息的傳輸，但往往是變電站網(wǎng)絡(luò )系統遭受安全侵害的第一步；（2）中斷：使變電站內部或與其他系統之間的通信中斷，使主站無(wú)法了解變電站的運行工況，主站的控制命令也無(wú)法正確執行，對無(wú)人值守變電站危害較大；（3）篡改：更改變電站與其它系統之間傳輸的信息，使主站得到錯誤的運行工況，威脅電網(wǎng)的安全運行，如果篡改的是遙控命令，修改定值命令等，更有可能造成嚴重的后果；（4）偽造：偽造合法信息發(fā)往變電站或主站，可能造成與篡改信息類(lèi)似的后果；（5）惡意程序：包括計算機里蠕蟲(chóng)、特洛伊木馬、邏輯炸彈等計算機病毒，將嚴重影響變電站自動(dòng)化系統運行的正確性、實(shí)時(shí)性和可靠性，甚至通過(guò)數據加密造成數據損壞，可能使運行程序崩潰、數據丟失。針對變電站面臨的內部和外部安全威脅，根據當前以及未來(lái)濰坊公司變電站信息網(wǎng)絡(luò )可能承載的業(yè)務(wù)類(lèi)型，在建設過(guò)程中重點(diǎn)考慮了其信息安全防護設計，并針對性的提出了相應的信息安全防護模型。

　　3信息安全防護模型設計

　　在我們變電站網(wǎng)絡(luò )信息安全防護模型的設計過(guò)程中，不僅僅需要考慮變電站網(wǎng)絡(luò )承載的不同業(yè)務(wù)類(lèi)型，同時(shí)考慮到各變電站業(yè)務(wù)是相同的，但由于地理位置的不同，每一個(gè)變電站信息網(wǎng)絡(luò )又可以作為一個(gè)獨立的個(gè)體看待，因此必須考慮各變電站的信息安全防護獨立性，以避免由于一個(gè)變電站存在安全威脅而影響整個(gè)變電站網(wǎng)絡(luò )乃至整個(gè)電力內網(wǎng)的安全。為了實(shí)現對變電站網(wǎng)絡(luò )立體化安全防護，我們設計的信息安全防護模型可以從業(yè)務(wù)網(wǎng)絡(luò )層面和傳輸網(wǎng)絡(luò )層面分析。在業(yè)務(wù)層面，按照獨立網(wǎng)絡(luò )區域建設的模式，對涉及變電站的生產(chǎn)辦公網(wǎng)絡(luò )進(jìn)行了功能細分，將變電站輔助監測業(yè)務(wù)和辦公業(yè)務(wù)進(jìn)行分離，單獨組網(wǎng)，完成變電站環(huán)境監測采集專(zhuān)網(wǎng)建設，在變電站側實(shí)現物理隔離。專(zhuān)網(wǎng)與信息內網(wǎng)采用不同的IP地址規劃，并分別在專(zhuān)網(wǎng)與信息內網(wǎng)的邊界進(jìn)行防火墻、IPS等安全設備及安全策略的部署，對變電站網(wǎng)絡(luò )進(jìn)行訪(fǎng)問(wèn)控制。變電站環(huán)境監測采集專(zhuān)網(wǎng)內部的不同應用采用vlan劃分的方式進(jìn)行邏輯隔離。同時(shí)根據業(yè)務(wù)需求的不同，配置了不同的安全訪(fǎng)問(wèn)控制策略。變電站環(huán)境專(zhuān)網(wǎng)具有更強的獨立性，不允許采集專(zhuān)網(wǎng)設備與信息內網(wǎng)用戶(hù)互通。通過(guò)在與信息內網(wǎng)的邊界防火墻上部署訪(fǎng)問(wèn)控制策略和對環(huán)境專(zhuān)網(wǎng)服務(wù)器實(shí)現一對一NAT轉換，只允許公司信息內網(wǎng)用戶(hù)訪(fǎng)問(wèn)環(huán)境專(zhuān)網(wǎng)服務(wù)器，禁止訪(fǎng)問(wèn)環(huán)境監測專(zhuān)網(wǎng)終端設備。在傳輸層面，濰坊公司采用的通道是PTN組網(wǎng)方式，為了更好的在傳輸通道實(shí)現業(yè)務(wù)隔離，我們采用PTN傳輸二層數據的能力，同時(shí)為了將各個(gè)變電站網(wǎng)絡(luò )實(shí)現隔離，我們比較了兩種PTN業(yè)務(wù)模型：ELAN業(yè)務(wù)模型：是用VPLS技術(shù)實(shí)現的，VPLS是一種多點(diǎn)L2VPN（L2VPN就是在分組交換網(wǎng)絡(luò )中透明傳輸用戶(hù)的二層數據）技術(shù)，VPLS事例中的所有CE設備都好像在同一個(gè)局域網(wǎng)上，因此，它們都可以直接與多點(diǎn)拓撲中的另外一設備通信，而不需要為CE設備建立全網(wǎng)狀點(diǎn)到點(diǎn)的電路。簡(jiǎn)言之是多點(diǎn)到多點(diǎn)通信。ETREE業(yè)務(wù)模型：類(lèi)似于EPON的點(diǎn)到多點(diǎn)業(yè)務(wù)，根節點(diǎn)到葉節點(diǎn)，葉節點(diǎn)到根節點(diǎn)可以通信，葉節點(diǎn)之間不能通信。由上面兩種PTN業(yè)務(wù)模型的分析可以看出，只有E-TREE滿(mǎn)足各變電站網(wǎng)絡(luò )獨立的要求，即每個(gè)變電站網(wǎng)絡(luò )作為葉節點(diǎn)只能與根節點(diǎn)（主站核心交換機）進(jìn)行通信，各變電站之間不能通信。以上對立體化信息安全防護模型的分析，下面我們將介紹濰坊公司將此模型應用于變電站網(wǎng)絡(luò )建設的具體實(shí)施方案。

　　4具體實(shí)施方案制訂

　　將變電站環(huán)境監測采集專(zhuān)網(wǎng)分別劃分為網(wǎng)絡(luò )邊界區域、核心層、接入層、業(yè)務(wù)服務(wù)器區域。（1）IP地址規劃：分為以下幾個(gè)部分：網(wǎng)絡(luò )設備互聯(lián)地址、網(wǎng)絡(luò )設備管理地址、用戶(hù)地址等。專(zhuān)網(wǎng)與信息內網(wǎng)采用完全不同的私網(wǎng)地址規劃。（2）vlan規劃：在環(huán)境監測采集專(zhuān)網(wǎng)核心交換機規劃vlan，如環(huán)境監測專(zhuān)網(wǎng)核心交換機根據承載業(yè)務(wù)類(lèi)型的不同規劃VLAN。（3）路由規劃：環(huán)境監測專(zhuān)網(wǎng)只允許內網(wǎng)用戶(hù)訪(fǎng)問(wèn)經(jīng)過(guò)一對一NAT轉換后的環(huán)境監測專(zhuān)網(wǎng)服務(wù)器，配置靜態(tài)路由，信息內網(wǎng)核心交換機不配置回傳路由。（4）安全策略規劃：按照信息安全防護模型中的安全策略要求配置。5結語(yǔ)信息網(wǎng)絡(luò )是變電站的神經(jīng)系統，選擇合適的信息安全防護模型對變電站網(wǎng)絡(luò )的可靠性、安全性和經(jīng)濟性起著(zhù)舉足輕重的作用。因此在設計信息安全防護模型不僅需要考慮變電站信息業(yè)務(wù)的特點(diǎn)，對變電站網(wǎng)絡(luò )獨立性的考慮同樣十分重要。本文通過(guò)介紹濰坊公司在變電站專(zhuān)網(wǎng)的建設過(guò)程中實(shí)現的立體化的信息安全防護模型，已經(jīng)在實(shí)踐中得到了檢驗，取得了良好的效果。

　　參考文獻

　　[1]王甜，徐暉，魏理豪，楊浩.電力信息安全保障體系建設研究[J].廣東電力，2010（05）.

　　[2]高卓，羅毅，涂光瑜，吳彤.變電站的計算機網(wǎng)絡(luò )安全分析[J].電力系統自動(dòng)化，2002（01）.

　　[3]張馴，李志茹，袁暉，龔波.智能電網(wǎng)信息系統安全防護措施研究與探討[J].電力信息與通信技術(shù)，2015（02）.

　　[4]張道銀.智能變電站信息安全技術(shù)研究[J].電力信息與通信技術(shù)，2015（01）.

　　[5]鄒維福，陳景暉，林溫南，施蔚錦，楊偉.智能變電站威脅分析及防護體系設計[J].電力信息與通信技術(shù)，2014（02）.

　　[6]張馴，李志茹，袁暉，等.智能電網(wǎng)信息系統安全防護措施研究與探討[J].電力信息與通信技術(shù)，2015，13（2）：110~114.

　　[7]楊文征，郭創(chuàng )新，曹一家，易永輝.數字化變電站信息安全分析及其防范措施研究[J].機電工程，2007（09）.

　　院

【變電站網(wǎng)絡(luò )立體化信息安全防護模型論文】相關(guān)文章：

計算機網(wǎng)絡(luò )信息安全防護論文11-27

計算機網(wǎng)絡(luò )信息安全防護論文06-14

計算機網(wǎng)絡(luò )信息安全防護論文(熱門(mén))06-14

計算機網(wǎng)絡(luò )信息安全防護論文15篇11-27

網(wǎng)絡(luò )信息安全與防范論文05-23

網(wǎng)絡(luò )信息安全與防范論文11-05

計算機網(wǎng)絡(luò )信息安全防護論文常用（15篇）06-14

網(wǎng)絡(luò )信息安全與防范論文[合集]05-25

網(wǎng)絡(luò )安全防護方案07-08

網(wǎng)絡(luò )信息安全與防范論文15篇(通用)05-24