電力系統網絡安全隔離設計論文

隨着我國社會經濟水平的不斷提高，推動了電力資訊化的深入發展。電力企業間的資訊網絡數據交換逐漸頻繁，並且企業資訊網絡電力控制的系統數量也逐漸增加，所以，與電力企業相關的資訊網絡在電力系統中的作用變得越來越重要，資訊網絡的安全性也具有一定的現實意義。

1電力系統網絡安全研究

1.1實時控制區

該控制區的主要業務與電力系統中發電和供電具有直接的聯繫，主要供調度人員與執行操作人員使用。資訊數據的實時性能夠以秒級顯示，並且對網絡自身的實時安全性能具有極高的要求。實時控制區在電力的二次系統中發揮着重要的作用，同時也是電力企業網絡安全重點的保護對象，其安全的等級比較高。其中較爲典型的系統主要包括調度的自動化系統與變電站自動化系統等等。

1.2非控制生產區

該區域的主要業務系統就是沒有控制能力與批發交易的系統，此外，在系統內部無需控制的部分也屬於該區域。非控制生產區的實時性主要是以分或者小時顯示的。比較具有代表性的系統就是電能量計量系統、通信監控系統等等。該生產區主要是供實際執行計劃的工作人員與發電側電力市場的交易員使用。

1.3生產管理區

生產管理區主要的業務系統是支撐企業的經營與管理的電力生產管理資訊的系統。具有代表性的系統主要就是統計報表系統與調度生產管理系統等等。在該區域內部的生產系統需要採取相應的安全防護措施，並提供WEB的服務。其中，生產管理區域的外部通信的邊界主要就是電力數據資訊的通信網。

1.4管理資訊區

該區域的主要業務系統就是沒有進行直接參與電力企業過程控制與生產管理的經營與採購以及銷售等的管理資訊系統。主要的典型系統就是辦公自動化系統及MIS系統等等。

2電力系統隔離裝置設計應用

2.1電力系統隔離裝置技術要求

第一，有效的完成安全區間非網絡形式的安全資訊數據交換，同時要確保不同時將安全隔離裝置的內部與外部的處理系統連接。第二，保證表示層與應用層的數據資訊以完全單向的傳輸形式進行傳輸。第三，實行透明的工作方式，包括虛擬主機的IP位址並將MAC的地址進行隱藏。第四，根據IP、傳輸端口與協議以及MAC等綜合的報文進行過濾與訪問的控制。第五，積極支援NAT的應用。第六，有效避免穿透性TCP的聯接。不允許將內網與外網的應用網關直接創建TCP的聯接，應將內外網應用網關間TCP的聯接進行合理的分解，在隔離裝置的內部與外部進行TCP的虛擬聯接。但是，隔離裝置內部與外部的兩網卡是處於非網絡連接的狀態，並且只能進行數據資訊的單向傳輸。第七，應用層需要具備能夠定製的解析能力，並且能夠支援其對特殊標記的識別功能。第八，使用安全且方便的維護與管理措施。保證透過管理人員的證書認證，並形成圖形化的介面進行管理。第九，專用的安全隔離裝置自身需要具備較強的安全防護能力。其中的安全性主要包括的就是安全固化的操作系統以及非INTEL指令系統中的微處理器，還有就是能夠抵禦DoS外的具有已知性的網絡攻擊。

2.2電力系統的組成要素

整個電力系統主要包括兩部分，其一是隔離系統，其二是相關配置的管理程序。而隔離系統是由內網關的程序與外網關的程序以及檢測控制的單元三部分組成。而配置管理程序中的工具主要有客戶端配置的介面與證書的認證模組等。

2.3電力系統隔離裝置的具體工作流程

隔離系統的軟件主要包括以下幾個模組：內外網的處理模組、硬件的檢測與控制單元以及相應的管理模組。圖1爲電力系統實際的工作流程圖。

2.3.1內網處理模組內網處理模組主要是對ARP的請求進行處理並回應。在收到內網的ARP請求時，及時的返回ARP的返回包。而在接收到外網的ARP請求時，需要對虛擬地址進行仔細的查找，再將ARP虛擬的迴應包返回。在網卡上所獲得的.資訊數據，如果使用的是外網關資訊數據，一定要進行MAC與傳輸協議以及IP和傳輸端口的報文過濾。全面仔細的對NAT的規則進行檢查，並按照相應的規則將數據包中的源IP位址進行合理的替換，此外，還包括源MAC地址與端口號的替換，確保將其記錄在相應的連接資訊數據表格中。進行校驗碼的重新驗證與計算，並且要使用隔離卡將其及時的發送到外網中。積極的接受外網利用隔離卡所發送的TCP信號，在對其進行地址的還原以後，進行相應的計算校驗，最終將其發送給內網。

2.3.2外網處理模組在網卡上所獲得的數據資訊如果是利用外網關數據資訊發送的，應與CAM表格進行對比。若發送到內網TCP信號，應將其轉發至內網關內。積極接受內網發來的資訊數據，並將其送至最終的地址，將具體的地址資訊記錄在CAM表格中。最重要的是，要有效的制止外網主動的進行連接。

2.3.3硬件檢測與控制單元對協議的數據資訊長度進行分析，並將其發至內網TCP應答處。如果沒有數據資訊就送至內網的處理模組處，也可以直接丟棄。

3結束語

網絡隔離技術是與其他技術進行合理的結合來有效提高系統安全性的技術。但是，目前階段，網絡的隔離技術仍存在問題。因爲網絡隔離技術主要對網絡資訊數據進行審查，並且要透過協議的審查與身份的認證以及相關內容的審查，所以，一定程度上會影響到網絡傳輸的速率，應對此問題加以關注，並採取針對性的方法進行有效的解決，進而促進電力系統網絡隔離工作的進一步發展。