随着新一代国网加强新能源吸纳的改造,越来越多的新能源分布式电站接入国网,分布式电站一般都需要数字化、智能化,接受业主和智能运维方的随时查控,也需要接受远程主站的电力调度的动态指令、电能质量监测的动态报告等。这里面涉及不同的网络系统,业主端一般是开放的互联网,光伏运维也一般是专线外网或VPN加密的外网,而电站内部生产控制与电力调度属于国网生产控制,具有不同的安全等级,因此需要在不同安全区之间进行物理隔离。安全分区及定义详见文后附录1。物理隔离定义详见附录2。
国家能源局14号令配套文件(国能安全36号文)提出加强电力监控系统安全防护工作。调安网[2018]10号文《并网新能源场站电力监控系统涉网安全防护补充方案》,场站必须加强户外就地采集终端的物理防护,强化就地采集终端的通信安全;站控系统与终端之间网络通信部署加密认证装置,实现身份认证、数据加密、访问控制等安全措施,从而强化站控系统与风机、光伏发电单元的就地控制终端之间的通信安全。
如图所示,分布式光伏风电电厂(子站)接入国网(主站)时的组网架构图。
杭州领祺通讯管理机适配安全隔离组网方案
横向隔离装置分为正向隔离装置及反向隔离装置。针对的是电力系统安全安全区Ⅰ、Ⅱ与安全区Ⅲ之间传输间才用到的,横向隔离装置相当于是安全网闸,数据只能单向传输,不能双向。横向隔离,正向隔离和反向隔离什么区别?详见附录3。
比如Ⅰ区Ⅱ区的业务需要访问Ⅲ区外网的话那就加正向隔离装置,如果反过来Ⅲ区外网业务需要访问Ⅰ区Ⅱ区内网业务的话那就用反向隔离装置,这样黑客即便入侵也没有反回的数据,所以无法进行窃取数据,在一定程度上保护了电力网络的网络安全。
发电厂数据通讯在使用电力专线或电力调度数据网进行数据交互的场合外,需要在主站和子站设置安全接入区。安全接入区的实施方案,由用户对通讯内容、主站安全要求、子站安全要求决定。
只上传数据到主站的厂站(主站不对子站进行参数设置、遥控下发等命令),厂站内需要设立安全接入区,并在安全接入区内加装正向隔离装置。
厂站内的纵向加密装置、主站侧反向隔离装置、主站侧纵向加密装置,根据用户对主站的安全等级要求,做相应设备的增加。
根据电力二次系统的特点,划分为生产控制大区和管理信息大区。生产控制大区分为控制区(安全区Ⅰ)和非控制区(安全区Ⅱ)。信息管理大区分为生产管理区(安全区Ⅲ)和管理信息区(安全区Ⅳ)。不同安全区确定不同安全防护要求,其中安全区Ⅰ安全等级最高,安全区Ⅱ次之,其余依次类推。
风电场安全分区示意图
安全区Ⅰ典型系统:调度自动化系统、变电站自动化系统、继电保护、安全自动控制系统等。
安全区Ⅱ典型系统:电力调度自动化系统、电能量计量系统、继保及故障录波信息管理系统等。
安全区Ⅲ典型系统:调度生产管理系统(DMIS)、雷电监测系统、统计报表系统等。
安全区Ⅳ典型系统:管理信息系统(MIS)、办公自动化系统(OA)、客户服务系统等。
如果不确定请咨询19106568700张工。
物理隔离指内部网不直接或间接地连接公共网。物理隔离的目的是保护网络设备及计算机等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击。只有使内部网和公共网物理隔离,才能真正保证内部信息网络不受来自互联网的黑客攻击。同时,物理隔离也为内部网划定了明确的安全边界,使得网络的可控性增强,便于内部管理。
在物理隔离技术出现之前,对网络的信息安全采取了许多措施,如在网络中增加防火墙、防病毒系统,对网络进行入侵检测、漏洞扫描等。由于这些技术的极端复杂性,安全控制十分有限性,这些在线分析技术无法提供涉密机构提出的高度数据安全要求。而且,此类软件的保护是一种逻辑机制,对于逻辑实体而言极易被操纵。因此,必须有一道绝对安全的大门,保证涉密网的信息不被泄露和破坏,这就是物理隔离所起的作用。
电力系统按照安全等级的要求把计算机系统分为了I、II、III等。I和II之间要有防火墙,I/II区与III区之间则要在物理上做隔离。即I/II发到III区的数据要经过正向隔离装置,III区发到I/II区的数据要经过反向隔离装置。
杭州领祺通讯网关支持电力E文件标准支持不同厂商的隔离装置混合方案
正向隔离装置不接受III区的数据(最多只能过正反向一个字节的数据),反向隔离装置只能容许III区的文件穿透到I区。
1.两个安全区之间的非网络方式的安全的数据交换,并且保证安全隔离装置内外两个处理系统不同时连通;
2.表示层与应用层数据完全单向传输,即从安全区III到安全区I/II的TCP应答禁止携带应用数据;
3.透明工作方式:虚拟主机IP地址、隐藏MAC地址
4.基于MAC、IP、传输协议、传输端口以及通信方向的综合报文过滤与访问控制;
5.支持NAT;
6.防止穿透性TCP联接:禁止两个应用网关之间直接建立TCP联接,将内外两个应用网关之间的TCP联接分解成内外两个应用网关分别到隔离装置内外两个网卡的两个TCP虚拟联接。隔离装置内外两个网卡在装置内部是非网络连接,且只允许数据单向传输;
7.具有可定制的应用层解析功能,支持应用层特殊标记识别;
8.安全、方便的维护管理方式:基于证书的管理人员认证,使用图形化的管理界面。
反向隔离装置用于从安全区III到安全区I/II传递数据,是安全区III到安全区I/II的唯一一个数据传递途径。反向隔离装置集中接收安全区III发向安全区I/II的数据,进行签名验证、内容过滤、有效性检查等处理后,转发给安全区I/II内部的接收程序具体过程如下:
1.全区III内的数据发送端首先对需要发送的数据签名,然后发给反向隔离装置;
2.反向隔离装置接收数据后,进行签名验证,并对数据进行内容过滤、有效性检查等处理。
C.安全区I/II内部接收程序
将处理过的数据转发给安全区I/II内部的接收程序,其功能如下:
1.有应用网关功能,实现应用数据的接收与转发;
2.具有应用数据内容有效性检查功能;
3.具有基于数字证书的数据签名/解签名功能;
4.实现两个安全区之间的非网络方式的安全的数据传递;
5.支持透明工作方式:虚拟主机IP地址、隐藏MAC地址;
6.支持NAT;
7.基于MAC、IP、传输协议、传输端口以及通信方向的综合报文过滤与访问控制;
8.防止穿透性TCP联接。
D.装置安全保障要点
隔离装置本身应该具有较高的安全防护能力,其安全性要求主要包括:
1.用非INTEL指令系统的(及兼容)微处理器;
2.安全、固化的操作系统;
3.不存在设计与实现上的安全漏洞,抵御除Dos以外的已知的网络攻击。
横向隔离装置部署在生产控制大区和信息管理大区之间,即安全区I/II与安全区III边界处。按照功能不同,横向隔离装置分为正向型和反向型。从生产控制大区向管理信息大区传输信息必须采用正向安全隔离装置;由管理信息大区向生产控制大区的少量单向数据传输必须经反向安全隔离装置。
正向隔离的特点:完全单向通讯方式;单向数据1Bit返回方式;虚拟主机IP地址、隐藏MAC地址。
正向隔离的数据传输流程:
1)I/II区需要向III区传输数据时,隔离装置内网主机接收数据,并进行协议剥离,将原始数据写入存储介质。
2)控制器收到完整的交换信号之后,立即切断与内网主机的物理连接,向外网主机发起物理连接,将存储介质内的数据推向外网主机。
3)外网主机收到数据后,立即进行网络协议的封装重组,并将数据传输给III区应用系统。
反向隔离的特点:保证从管理信息大区到生产控制大区单向数据传输,集中接收管理信息大区发向生产控制大区的数据,进行签名验证、内容过滤、有效性检查等处理后,转发给生产控制大区内部的接收程序。
反向隔离的数据传输流程:
1)III区服务器将待发送信息转为E语言格式的纯文本文件,并进行文件签名。
2)III区服务器与反向隔离装置外网主机进行密钥协商(SM2、SM3算法),建立加密通道(电力专用加密算法),将带有签名的E语言文件发送至反向隔离装置外网主机。外网主机对数据进行解密、验签、E语言格式检查,将通过验证的数据摆渡到内网主机。反向隔离装置只响应UDP协议,因此协商报文与数据通信报文都使用UDP协议。
3)反向隔离装置内网主机将数据传送I/II区服务器应用程序。
网络隔离装置要点
一个网络隔离装置(作为阻塞点、控制点)能极大地提高一个监控系统的安全性,并通过过滤不安全的服务而降低风险。只有经过精心选择的应用协议才能通过网络隔离装置,所以网络环境变得更安全。网络隔离装置可禁止不安全的NFS协议进出保护网络,这样外部攻击者就不能利用这些脆弱协议攻击监控系统。隔离装置可同时保护网络免受基于路由的攻击,如IP选项中源路由攻击和ICMP重定向中重定向路径。网络隔离装置可拒绝所有以上类型攻击报文并通知网络隔离装置管理员。
通过以网络隔离装置为中心的安全方案配置,能将所有安全策略配置在网络隔离装置上。与将网络安全问题分散到各个主机上相比,网络隔离装置的集中安全管理更方便可靠。例如在网络访问时,监控系统通过加密口令/身份认证方式与其它信息系统通信,在电力监控系统基本上不可行,它意味监控系统要重新测试,因此用网络隔离装置集中控制,无需修改双端应用程序是最佳的选择。
如果所有的访问都经过网络隔离装置,那么,网络隔离装置就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,网络隔离装置能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。
通过网络隔离装置对监控系统及其它信息系统的划分,实现监控系统重点网段的隔离,一个监控系统中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而暴露了监控系统的某些安全漏洞。使用网络隔离装置就可以隐蔽那些透漏内部细节,例如网络隔离装置可以进行网络地址转换(NAT),这样一台主机IP地址就不会被外界所了解, 不会为外部攻击创造条件。
400-001-8882
