橫向隔離是電力二次安防的重要裝置,它在網路防護方面起著非常重要的作用。在平時的工作當中,我們要學會正確使用橫向隔離裝置,要對它的組網部署和策略配置有一個清楚的認識。本文將針對橫向隔離裝置的概念、特點、效能的實現方式、配置方法幾方面來闡述橫向隔離,包括功能劃分與安全分割槽。
圖1:新能源電站(風電場)監控系統典型安全防護示意圖
一、橫向隔離的基本概念
橫向隔離應採用不同強度的安全裝置隔離各安全區(如圖2所示),在生產控制大區與資訊管理大區之間必須部署經國家指定部門檢測認證的電力專用橫向單向安全隔離裝置。橫向隔離裝置隔離強度應當接近或達到物理隔離。
圖2:橫向隔離的網路部署
二、橫向隔離的特點
橫向隔離裝置部署在生產控制大區和資訊管理大區之間,即安全區I/II與安全區III邊界處。按照功能不同,橫向隔離裝置分為正向型和反向型。從生產控制大區向管理資訊大區傳輸資訊必須採用正向安全隔離裝置;由管理資訊大區向生產控制大區的少量單向資料傳輸必須經反向安全隔離裝置。
正向隔離的特點:完全單向通訊方式;單向資料1Bit返回方式;虛擬主機IP地址、隱藏MAC地址。
正向隔離的資料傳輸流程:
1)I/II區需要向III區傳輸資料時,隔離裝置內網主機接收資料,並進行協議剝離,將原始資料寫入儲存介質。
2)控制器收到完整的交換訊號之後,立即切斷與內網主機的物理連線,向網路主機發起物理連線,將儲存介質內的資料推向網路主機。
3)網路主機收到資料後,立即進行網路協議的封裝重組,並將資料傳輸給III區應用系統。
反向隔離的資料傳輸流程:
1)III區伺服器將待發送資訊轉為E語言格式的純文字檔案,並進行檔案簽名。
2)III區伺服器與反向隔離裝置網路主機進行金鑰協商(SM2、SM3演算法),建立加密通道(電力專用加密演算法),將帶有簽名的E語言檔案傳送至反向隔離裝置網路主機。網路主機對資料進行解密、驗籤、E語言格式檢查,將透過驗證的資料擺渡到內網主機。反向隔離裝置只響應UDP協議,因此協商報文與資料通訊報文都使用UDP協議。
3)反向隔離裝置內網主機將資料傳送I/II區伺服器應用程式。
三、橫向隔離隔離功能的實現
(1)網路隔離
(2)物理隔離
(3)網閘隔離
1、網路隔離
網路隔離主要是指把兩個或兩個以上可路由的網路(如TCP/IP)透過不可路由的協議(如IPX/SPX、NetBEUI等)進行資料交換而達到如下隔離目的:
①將有害的網路安全威脅隔離開,以保障資料資訊在可信網路內進行安全互動。
②一般的網路隔離技術都是以訪問控制思想為策略,物理隔離為基礎,並定義相關約束和規則來保障網路的安全強度。
2、物理隔離
指處於不同安全域的網路之間不能以直接或間接的方式相連線。在一個物理網路環境下,實施不同安全域的網路物理斷開,在技術上應確保在物理傳導、物理儲存上的斷開。
圖3:物理斷開隔離部件
該資訊保安部件位於兩個不同安全域之間,透過協議轉換的手段,以資訊擺渡的方式實現資料交換,且只有被系統明確要求傳輸的資訊可以透過。
3、網閘隔離
圖4:網閘隔離部件
四、橫向隔離配置規則
以某風電場110kV變電站反向隔離配置規則為例。
(1)協議型別:UDP
(2)網路配置
IP地址:網路主機IP地址
埠:由於網路主機發送檔案的埠一般沒有特殊規定,傳送埠號隨機,故一般寫0
虛擬IP:網路主機的虛擬IP地址,最終會寫到內網測網絡卡上
網絡卡:選擇網路測透過哪個網絡卡通訊
閘道器:如果在三層環境下,裝置網路側與網路主機不在一個網段,此處填寫裝置網路測所在的網段的閘道器地址。如果是二次環境,預設為0.0.0.0
是否設定路由:網路側為二層環境,選擇否;三層環境,選擇是
MAC地址繫結:沒有特殊要求,一般填寫12個0
(3)內網配置
IP地址:內網主機IP地址
埠:根據分配給內網主機接受檔案的埠,填寫相應的埠號
虛擬IP:內網主機的虛擬IP地址,最終會寫到網路測網絡卡上
網絡卡:選擇內網測透過哪個網絡卡通訊
閘道器:如果在三層環境下,裝置內網測與內網主機不在一個網段,此處填寫裝置內網測所在的網段的閘道器地址
是否設定路由:內網測為二層環境,選擇否;三層環境,選擇是
圖5:某風電場110kV變電站反向隔離配置
圖6:某風電場110kV變電站網路安全隔離裝置執行狀態指示
五、總結
本文根據電網涉網廠站網路安全防護現狀,詳細介紹了新能源電站橫向隔離裝置的基本功能與作用。從二次安全防護中來講,橫向隔離裝置針對的是I/II區與III區之間有業務傳輸時使用,資料只能單向傳輸,不能雙向傳輸。由於橫向隔離的特殊效能,即使遭到駭客入侵,洩露的資料也不具有可讀性,從而保證了資料的安全。因此,橫向隔離裝置的應用將有助於進一步提高電網排程系統的整體安全性和可靠性,併為建立電網二次系統安全防護體系提供有力保障。
橫向隔離是電力二次安防的重要裝置,它在網路防護方面起著非常重要的作用。在平時的工作當中,我們要學會正確使用橫向隔離裝置,要對它的組網部署和策略配置有一個清楚的認識。本文將針對橫向隔離裝置的概念、特點、效能的實現方式、配置方法幾方面來闡述橫向隔離,包括功能劃分與安全分割槽。
圖1:新能源電站(風電場)監控系統典型安全防護示意圖
一、橫向隔離的基本概念
橫向隔離應採用不同強度的安全裝置隔離各安全區(如圖2所示),在生產控制大區與資訊管理大區之間必須部署經國家指定部門檢測認證的電力專用橫向單向安全隔離裝置。橫向隔離裝置隔離強度應當接近或達到物理隔離。
圖2:橫向隔離的網路部署
二、橫向隔離的特點
橫向隔離裝置部署在生產控制大區和資訊管理大區之間,即安全區I/II與安全區III邊界處。按照功能不同,橫向隔離裝置分為正向型和反向型。從生產控制大區向管理資訊大區傳輸資訊必須採用正向安全隔離裝置;由管理資訊大區向生產控制大區的少量單向資料傳輸必須經反向安全隔離裝置。
正向隔離的特點:完全單向通訊方式;單向資料1Bit返回方式;虛擬主機IP地址、隱藏MAC地址。
正向隔離的資料傳輸流程:
1)I/II區需要向III區傳輸資料時,隔離裝置內網主機接收資料,並進行協議剝離,將原始資料寫入儲存介質。
2)控制器收到完整的交換訊號之後,立即切斷與內網主機的物理連線,向網路主機發起物理連線,將儲存介質內的資料推向網路主機。
3)網路主機收到資料後,立即進行網路協議的封裝重組,並將資料傳輸給III區應用系統。
反向隔離的資料傳輸流程:
1)III區伺服器將待發送資訊轉為E語言格式的純文字檔案,並進行檔案簽名。
2)III區伺服器與反向隔離裝置網路主機進行金鑰協商(SM2、SM3演算法),建立加密通道(電力專用加密演算法),將帶有簽名的E語言檔案傳送至反向隔離裝置網路主機。網路主機對資料進行解密、驗籤、E語言格式檢查,將透過驗證的資料擺渡到內網主機。反向隔離裝置只響應UDP協議,因此協商報文與資料通訊報文都使用UDP協議。
3)反向隔離裝置內網主機將資料傳送I/II區伺服器應用程式。
三、橫向隔離隔離功能的實現
(1)網路隔離
(2)物理隔離
(3)網閘隔離
1、網路隔離
網路隔離主要是指把兩個或兩個以上可路由的網路(如TCP/IP)透過不可路由的協議(如IPX/SPX、NetBEUI等)進行資料交換而達到如下隔離目的:
①將有害的網路安全威脅隔離開,以保障資料資訊在可信網路內進行安全互動。
②一般的網路隔離技術都是以訪問控制思想為策略,物理隔離為基礎,並定義相關約束和規則來保障網路的安全強度。
2、物理隔離
指處於不同安全域的網路之間不能以直接或間接的方式相連線。在一個物理網路環境下,實施不同安全域的網路物理斷開,在技術上應確保在物理傳導、物理儲存上的斷開。
圖3:物理斷開隔離部件
該資訊保安部件位於兩個不同安全域之間,透過協議轉換的手段,以資訊擺渡的方式實現資料交換,且只有被系統明確要求傳輸的資訊可以透過。
3、網閘隔離
圖4:網閘隔離部件
該資訊保安部件位於兩個不同安全域之間,透過協議轉換的手段,以資訊擺渡的方式實現資料交換,且只有被系統明確要求傳輸的資訊可以透過。
四、橫向隔離配置規則
以某風電場110kV變電站反向隔離配置規則為例。
(1)協議型別:UDP
(2)網路配置
IP地址:網路主機IP地址
埠:由於網路主機發送檔案的埠一般沒有特殊規定,傳送埠號隨機,故一般寫0
虛擬IP:網路主機的虛擬IP地址,最終會寫到內網測網絡卡上
網絡卡:選擇網路測透過哪個網絡卡通訊
閘道器:如果在三層環境下,裝置網路側與網路主機不在一個網段,此處填寫裝置網路測所在的網段的閘道器地址。如果是二次環境,預設為0.0.0.0
是否設定路由:網路側為二層環境,選擇否;三層環境,選擇是
MAC地址繫結:沒有特殊要求,一般填寫12個0
(3)內網配置
IP地址:內網主機IP地址
埠:根據分配給內網主機接受檔案的埠,填寫相應的埠號
虛擬IP:內網主機的虛擬IP地址,最終會寫到網路測網絡卡上
網絡卡:選擇內網測透過哪個網絡卡通訊
閘道器:如果在三層環境下,裝置內網測與內網主機不在一個網段,此處填寫裝置內網測所在的網段的閘道器地址
是否設定路由:內網測為二層環境,選擇否;三層環境,選擇是
MAC地址繫結:沒有特殊要求,一般填寫12個0
圖5:某風電場110kV變電站反向隔離配置
圖6:某風電場110kV變電站網路安全隔離裝置執行狀態指示
五、總結
本文根據電網涉網廠站網路安全防護現狀,詳細介紹了新能源電站橫向隔離裝置的基本功能與作用。從二次安全防護中來講,橫向隔離裝置針對的是I/II區與III區之間有業務傳輸時使用,資料只能單向傳輸,不能雙向傳輸。由於橫向隔離的特殊效能,即使遭到駭客入侵,洩露的資料也不具有可讀性,從而保證了資料的安全。因此,橫向隔離裝置的應用將有助於進一步提高電網排程系統的整體安全性和可靠性,併為建立電網二次系統安全防護體系提供有力保障。