變電站網(wǎng)絡立體化信息安全防護模型論文

時間：2022-10-11 12:08:01 信息安全畢業(yè)論文我要投稿

相關推薦

　　【摘要】隨著變電站信息化程度的不斷提高以及智能變電站的建設推廣，對變電站網(wǎng)絡的安全穩(wěn)定運行提出了更高的要求，本文主要針對變電站網(wǎng)絡提出了一種立體化信息安全防護模型，通過對不同類型的業(yè)務進行細分，從業(yè)務層和傳輸層對變電站網(wǎng)絡的網(wǎng)絡結構、安全策略統(tǒng)籌考慮，根據(jù)“分區(qū)分域”的信息安全防護原則，對濰坊供電公司所屬變電站網(wǎng)絡實施了改造，取得了良好的效果。

變電站網(wǎng)絡立體化信息安全防護模型論文

　　【關鍵詞】變電站網(wǎng)絡；信息安全防護；分區(qū)分域

　　1業(yè)務需求及應用場景

　　進入21世紀以來，隨著信息化的發(fā)展，電力企業(yè)對信息通信網(wǎng)絡的需求程度越來越高，尤其是隨著智能變電站的發(fā)展，電力專網(wǎng)對變電站信息的采集、傳輸、處理模式產生了根本性的變化[1]，變電站信息網(wǎng)絡的網(wǎng)絡流量之多都是空前的，因此研究合理的變電站信息安全模型，從網(wǎng)絡業(yè)務分類、網(wǎng)絡結構、安全策略等多種角度綜合應用保障變電站信息安全迫在眉睫。目前，濰坊公司根據(jù)變電站氣象監(jiān)測、電能監(jiān)測、環(huán)境監(jiān)測、防雷監(jiān)測、隧道監(jiān)測等方面的非控制類輔助監(jiān)測需求，建設了監(jiān)測網(wǎng)絡承載在線監(jiān)測系統(tǒng)平臺、變壓器色譜在線監(jiān)測系統(tǒng)、電能質量在線監(jiān)測系統(tǒng)、電纜隧道監(jiān)測系統(tǒng)及變電站智能巡檢機器人等五種輔助監(jiān)測應用，今后隨著對輔助監(jiān)測業(yè)務的需求增多還將會不斷擴展。針對變電站網(wǎng)絡業(yè)務增長的需求，鑒于變電站在電網(wǎng)中所處位置的極端重要性，對其信息網(wǎng)絡架構的設計不能僅僅考慮其便利性，更重要的是確保如何保證變電站信息網(wǎng)絡的安全性，濰坊公司根據(jù)分區(qū)分域的信息安全防護原則，對涉及變電站的信息網(wǎng)絡進行了改造，按照獨立網(wǎng)絡區(qū)域建設的模式，完成了變電站環(huán)境監(jiān)測采集專網(wǎng)的建設，下面將對在網(wǎng)絡建設過程中針對信息安全防護所做的嘗試進行探討。

　　2變電站網(wǎng)絡面臨的主要信息安全威脅

　　隨著電力專網(wǎng)的深入發(fā)展，接入電力專網(wǎng)的變電站監(jiān)測及控制系統(tǒng)越來越多，對變電站信息網(wǎng)絡的安全性、可靠性、實時性提出了嚴峻的挑戰(zhàn)。從外部來看，隨著Internet技術的廣泛應用，以網(wǎng)絡為主要傳播途徑的病毒和電腦高手也日益猖獗。變電站信息網(wǎng)絡安全問題日益突出。變電站信息網(wǎng)絡的安全需求主要包括系統(tǒng)對外來破壞具有健壯性；對操作人員不規(guī)范操作具有預防性；系統(tǒng)自身信息具有封閉性以及數(shù)據(jù)的完整性、機密性和可用性[2~3]。變電站網(wǎng)絡安全威脅主要來自兩方面：變電站內部網(wǎng)絡以及變電站所連接的外部網(wǎng)絡，這里主要是指公司信息內網(wǎng)。對變電站網(wǎng)絡構成的安全威脅主要包括[4~7]：（1）截獲：非法獲取變電站與其他系統(tǒng)之間傳輸?shù)男畔⒓白冸娬揪W(wǎng)絡中存儲的信息，信息截獲盡管不會影響信息的傳輸，但往往是變電站網(wǎng)絡系統(tǒng)遭受安全侵害的第一步；（2）中斷：使變電站內部或與其他系統(tǒng)之間的通信中斷，使主站無法了解變電站的運行工況，主站的控制命令也無法正確執(zhí)行，對無人值守變電站危害較大；（3）篡改：更改變電站與其它系統(tǒng)之間傳輸?shù)男畔�，使主站得到錯誤的運行工況，威脅電網(wǎng)的安全運行，如果篡改的是遙控命令，修改定值命令等，更有可能造成嚴重的后果；（4）偽造：偽造合法信息發(fā)往變電站或主站，可能造成與篡改信息類似的后果；（5）惡意程序：包括計算機里蠕蟲、特洛伊木馬、邏輯炸彈等計算機病毒，將嚴重影響變電站自動化系統(tǒng)運行的正確性、實時性和可靠性，甚至通過數(shù)據(jù)加密造成數(shù)據(jù)損壞，可能使運行程序崩潰、數(shù)據(jù)丟失。針對變電站面臨的內部和外部安全威脅，根據(jù)當前以及未來濰坊公司變電站信息網(wǎng)絡可能承載的業(yè)務類型，在建設過程中重點考慮了其信息安全防護設計，并針對性的提出了相應的信息安全防護模型。

　　3信息安全防護模型設計

　　在我們變電站網(wǎng)絡信息安全防護模型的設計過程中，不僅僅需要考慮變電站網(wǎng)絡承載的不同業(yè)務類型，同時考慮到各變電站業(yè)務是相同的，但由于地理位置的不同，每一個變電站信息網(wǎng)絡又可以作為一個獨立的個體看待，因此必須考慮各變電站的信息安全防護獨立性，以避免由于一個變電站存在安全威脅而影響整個變電站網(wǎng)絡乃至整個電力內網(wǎng)的安全。為了實現(xiàn)對變電站網(wǎng)絡立體化安全防護，我們設計的信息安全防護模型可以從業(yè)務網(wǎng)絡層面和傳輸網(wǎng)絡層面分析。在業(yè)務層面，按照獨立網(wǎng)絡區(qū)域建設的模式，對涉及變電站的生產辦公網(wǎng)絡進行了功能細分，將變電站輔助監(jiān)測業(yè)務和辦公業(yè)務進行分離，單獨組網(wǎng)，完成變電站環(huán)境監(jiān)測采集專網(wǎng)建設，在變電站側實現(xiàn)物理隔離。專網(wǎng)與信息內網(wǎng)采用不同的IP地址規(guī)劃，并分別在專網(wǎng)與信息內網(wǎng)的邊界進行防火墻、IPS等安全設備及安全策略的部署，對變電站網(wǎng)絡進行訪問控制。變電站環(huán)境監(jiān)測采集專網(wǎng)內部的不同應用采用vlan劃分的方式進行邏輯隔離。同時根據(jù)業(yè)務需求的不同，配置了不同的安全訪問控制策略。變電站環(huán)境專網(wǎng)具有更強的獨立性，不允許采集專網(wǎng)設備與信息內網(wǎng)用戶互通。通過在與信息內網(wǎng)的邊界防火墻上部署訪問控制策略和對環(huán)境專網(wǎng)服務器實現(xiàn)一對一NAT轉換，只允許公司信息內網(wǎng)用戶訪問環(huán)境專網(wǎng)服務器，禁止訪問環(huán)境監(jiān)測專網(wǎng)終端設備。在傳輸層面，濰坊公司采用的通道是PTN組網(wǎng)方式，為了更好的在傳輸通道實現(xiàn)業(yè)務隔離，我們采用PTN傳輸二層數(shù)據(jù)的能力，同時為了將各個變電站網(wǎng)絡實現(xiàn)隔離，我們比較了兩種PTN業(yè)務模型：ELAN業(yè)務模型：是用VPLS技術實現(xiàn)的，VPLS是一種多點L2VPN（L2VPN就是在分組交換網(wǎng)絡中透明傳輸用戶的二層數(shù)據(jù)）技術，VPLS事例中的所有CE設備都好像在同一個局域網(wǎng)上，因此，它們都可以直接與多點拓撲中的另外一設備通信，而不需要為CE設備建立全網(wǎng)狀點到點的電路。簡言之是多點到多點通信。ETREE業(yè)務模型：類似于EPON的點到多點業(yè)務，根節(jié)點到葉節(jié)點，葉節(jié)點到根節(jié)點可以通信，葉節(jié)點之間不能通信。由上面兩種PTN業(yè)務模型的分析可以看出，只有E-TREE滿足各變電站網(wǎng)絡獨立的要求，即每個變電站網(wǎng)絡作為葉節(jié)點只能與根節(jié)點（主站核心交換機）進行通信，各變電站之間不能通信。以上對立體化信息安全防護模型的分析，下面我們將介紹濰坊公司將此模型應用于變電站網(wǎng)絡建設的具體實施方案。

　　4具體實施方案制訂

　　將變電站環(huán)境監(jiān)測采集專網(wǎng)分別劃分為網(wǎng)絡邊界區(qū)域、核心層、接入層、業(yè)務服務器區(qū)域。（1）IP地址規(guī)劃：分為以下幾個部分：網(wǎng)絡設備互聯(lián)地址、網(wǎng)絡設備管理地址、用戶地址等。專網(wǎng)與信息內網(wǎng)采用完全不同的私網(wǎng)地址規(guī)劃。（2）vlan規(guī)劃：在環(huán)境監(jiān)測采集專網(wǎng)核心交換機規(guī)劃vlan，如環(huán)境監(jiān)測專網(wǎng)核心交換機根據(jù)承載業(yè)務類型的不同規(guī)劃VLAN。（3）路由規(guī)劃：環(huán)境監(jiān)測專網(wǎng)只允許內網(wǎng)用戶訪問經(jīng)過一對一NAT轉換后的環(huán)境監(jiān)測專網(wǎng)服務器，配置靜態(tài)路由，信息內網(wǎng)核心交換機不配置回傳路由。（4）安全策略規(guī)劃：按照信息安全防護模型中的安全策略要求配置。5結語信息網(wǎng)絡是變電站的神經(jīng)系統(tǒng)，選擇合適的信息安全防護模型對變電站網(wǎng)絡的可靠性、安全性和經(jīng)濟性起著舉足輕重的作用。因此在設計信息安全防護模型不僅需要考慮變電站信息業(yè)務的特點，對變電站網(wǎng)絡獨立性的考慮同樣十分重要。本文通過介紹濰坊公司在變電站專網(wǎng)的建設過程中實現(xiàn)的立體化的信息安全防護模型，已經(jīng)在實踐中得到了檢驗，取得了良好的效果。

　　參考文獻

　　[1]王甜，徐暉，魏理豪，楊浩.電力信息安全保障體系建設研究[J].廣東電力，2010（05）.

　　[2]高卓，羅毅，涂光瑜，吳彤.變電站的計算機網(wǎng)絡安全分析[J].電力系統(tǒng)自動化，2002（01）.

　　[3]張馴，李志茹，袁暉，龔波.智能電網(wǎng)信息系統(tǒng)安全防護措施研究與探討[J].電力信息與通信技術，2015（02）.

　　[4]張道銀.智能變電站信息安全技術研究[J].電力信息與通信技術，2015（01）.

　　[5]鄒維福，陳景暉，林溫南，施蔚錦，楊偉.智能變電站威脅分析及防護體系設計[J].電力信息與通信技術，2014（02）.

　　[6]張馴，李志茹，袁暉，等.智能電網(wǎng)信息系統(tǒng)安全防護措施研究與探討[J].電力信息與通信技術，2015，13（2）：110~114.

　　[7]楊文征，郭創(chuàng)新，曹一家，易永輝.數(shù)字化變電站信息安全分析及其防范措施研究[J].機電工程，2007（09）.

　　院

【變電站網(wǎng)絡立體化信息安全防護模型論文】相關文章：

計算機網(wǎng)絡信息安全防護論文02-13

計算機網(wǎng)絡信息安全防護論文15篇02-13