关于电力调度数据安全问题的探究
2013-07-09朱涛
朱涛
摘 要:文章在介绍电力调度数据安全重要性的基础上,对电力调度数据网运行现状以及当今广泛应用的IP网络技术安全状况进行了深入研究,以此为基础给出了基于IP技术的电力调度数据网络安全方案,可为此方面的应用研究提供参考。
关键词:电力调度;数据安全;IP技术
中图书分类号:TM734 文献标识码:A 文章编号:1006-8937(2012)32-0108-02
在工业化高度发展的今天,电力产业无疑是流淌在国家日益强大躯体内的血液,是关系着工业建设和居民生活等国计民生方面的命脉。随着我国经济的快速发展,工业和居民用电量持续增长、用电负荷急剧增加、用电质量愈加严格,使得我国的电力供应经常处于紧张状态,严重影响了国民经济的发展。
按照电力工业的发展势头,在未来的很长一段时间内我国仍需要在电力局基础设施和电力输送领域加大投入,持续深化电力体制改革。基于此,我国就电力网络的扩展和升级出台了一系列的措施,包括厂网分离、国有电力资产重组、竞价上网、设立电监会等,而国内的电力企业也积极响应,纷纷通过提升技术水平来力争做好电力服务工作,提升自己的营运收入。
在所有的技术革新中,积极建设电力二次系统的电力调度通信网络也是电力企业谋求发展的重点工作之一,目前我国的电力调度数据网正从传统的电路交换向统一的包交换过渡,在技术、经验方面还不是很成熟,再加之其在电网生产和运行中的重要作用,使得调度数据本身的安全性值得认真研究并提出全方位的解决措施。
1 电力调度数据网的现状和发展
1.1 电力调度数据网概况
电力调度数据网络(SPDnet)负责电力调度实时数据、生产管理数据、通信监测数据等电力生产实时信息的传输,在协调电力系统发、送、变、配、用电等方面作用重大。电力数据网络的承载业务基于其最为基础和核心的EMS/SCADA得到了很大范围的拓展,业务系统的不断发展对调度数据网络提出了更高的要求,如何在同一数据网络中互不影响的并行传输多个关键系统,并同时保证传输可靠和数据安全,成为电力调度数据网络建设的重要课题。
1.2 电力调度数据网络结构
我国的SPDnet网络由上至下按照国家、地区、省、地市、县等级分别对应建立工五级网络,覆盖各级调度中心和直调发电厂、变电站。目前国家及网络已经建设完成投入使用,地区和省级网络正加紧实施,少数地市甚至经济发达县区的建设也已经开始。
本文拟采用IP路由交换设备组成广域网,采用IP over SDH的技术体制,各二级及以下网络均采用相类似的方式分层组网,网络对于IP路由和交换设备、相配套的安全系统技术要求如下:
①电力调度数据网的关键、重要环节需采用电信级别高的设备,关键部件如主控单元、总线、电源等应有冗余设置,业务处理板应支持热插拔特性,可实现在线维护和升级。
②电力调度数据的传输应配合MPLS VPN技术和QOS技术,具备准确、实时、可靠的性能,另外还需具备高转发和端到端转发延迟功能。
③在进行不同业务系统数据的传输时,要根据业务类别及其重要程度进行有效隔离,通过建立安全分区进行有效的防护和管理,通过构建时间、空间、网络三个层面的集成安全体系架构对外网、内网进行监测,实现网络层、用户层、业务层端到端的安全保护。
2 IP网络的安全状况分析
IP网络以其技术开放、设置简单、扩展功能强大和应用范围已经成为现代网络技术应用的核心,但其广受欢迎的特点却与电力调度数据保密性、安全性等要求相冲突。因此,如何使IP技术很好的融入到电力调度数据网络当中,在实现高效、可靠传输的同时能够保证数据安全显得至关重要。
据统计,目前应用TCP/IP协议的网络系统受到的主要威胁和攻击方式有欺骗攻击、否认服务、拒绝服务、数据截取和数据篡改等。基于此,IP网络建立了较为完整的网络安全方案,其中常用的安全工具有认证与签权、防火墙、入侵检测、隔离器等。
在预防攻击的方法和经验的积累中,IP技术还形成了自己全面的网络安全策略,其中包括:广域网中设置隔离、自治域及冗余备份;局域网按照功能和级别划分,设置口令,加强维护、管理;操作系统中设置权限,记录登录信息,及时升级、弥补漏洞;通过磁盘、服务器和网络进行数据备份。
3 电力调度数据安全整体解决方案
3.1 电力调度数据网安全策略
综合考虑电力调度数据网的特点、功用以及易受攻击的部位和所造成的威胁等情况,得出其安全策略为:调度网内部分层建立和部署安全体制,网内网外建立有效的隔离措施,关键点建立实时检测与审计工具。以上策略覆盖了电力调度数据网从低到高,由内至外,事前起到事后终的全部范围,是全面解决方案的基本依据和核心所在,针对以上调度数据网的安全策略,本文以下内容分三个方面详细介绍。
3.2 调度数据网内部安全方案
电力调度网可以在纵向范围内看作分层管理的独立专网,通过WAN连接各级调度LAN以及主机或终端设备。调度数据网内部安全主要包含物理安全、网络安全、操作系统安全、应用安全和人员管理共5个层面的内容。
物理安全主要指预防自然灾害、故障、失窃、数据丢失等造成硬件、线路等的损坏。目前,物理层面的通信主要采用SDH传输体制来实现复用段或通道的自愈保护,安全性方面主要注意各类生产调度数据的有效隔离。而MPLS VPN技术则是此方面应用的最好选择,其体系结构如图1所示。
交换路由器(LSR)作为基本组成单元构成MPLS网络区域,LSR可位于MPLS域边缘用于外联亦可位于域内部用作内联,其具体设备可以是路由器或Ethernet交换机。在电力调度数据传输时,可以根据其实时性要求是否严格进行划分,并将其分别归属于两个MPLS VPN(VPN1、VPN2)进行有效隔离。
由于广域网覆盖范围较大、涉及的服务节点较多,所以应重点做好其安全防护。局域网作为各级调度机构的内部网络,涉及最核心的应用服务和相关信息,是黑客攻击的目标所在,安全防护的薄弱环节。在具体防护中可以应用以下方法:在网络建设时做链路备份;建立与上级网络的紧密联系;优化路由及网络结构,必要时设定TCP侦听功能;分散应用所在的主机和物理地点,避免一损俱损;划分区域,加强口令管理,形成操作制度;设置防火墙和病毒防护。
3.3 调度数据网内外隔离方案
在做好调度数据网内部安全之后,还需要关注其与电力信息管理系统中各级调度部横向的连接,只有做好内部网和公共网物理隔离,才能真正保证调度数据的安全可靠。
本文中采用链式结构部署隔离器来实现调度数据网内外的隔离,其链式结构如图2所示。该隔离装置的引入可以过滤不安全的服务,禁止不安全协议进出,阻止源路由攻击,并将以上类型攻击的报文并通知网络隔离装置管理员。通过将所有的访问都经过网络隔离装置,以便做好访问日志记录,并提供网络使用情况的统计数据。当发生可疑动作时,网络隔离装置能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。
4 结 语
本文在对电力调度数据网运行现状以及当今广泛应用的IP网络技术安全状况进行分析的基础上,给出了基于IP技术的电力调度数据网络安全方案。高效、经济的电力调度数据网安全方案意义重大,随着网络基础设备、操作系统、数据库、网络隔离器等方面技术的发展,与之相关的网络安全问题一定会得到更多的重视和研究。
参考文献:
[1] 罗汉武,李昉,张栋.安全数据网的构建及其在河南电力调度数据网应用[J].电力自动化设备,2007,27(1).
[2] 阙凌燕,陈利跃,黄斌.新一代数据保护技术在浙江电力调度管理信息系统中的应用[J].浙江电力,2010,29(2).
[3] 李劲.应用电力调度数字证书技术保障电力生产数据安全[J].广西电力,2007,30(4).
[4] 张宣江,卢国良,孙燕萍,等.华北电力调度数据网网络设计与应用[J].建筑结构,2008,36(2).