变电站网络立体化信息安全防护模型论文.doc

变电站网络立体化信息安全防护模型论文 【摘要】随着变电站信息化程度的不断提高以及智能变电站的建设推广，对变电站网络的安全稳定运行提出了更高的要求，本文主要针对变电站网络提出了一种立体化信息安全防护模型，通过对不同类型的业务进行细分，从业务层和传输层对变电站网络的网络结构、安全策略统筹考虑，根据“分区分域”的信息安全防护原则，对潍坊供电公司所属变电站网络实施了改造，取得了良好的效果。 【关键词】变电站网络；信息安全防护；分区分域 1业务需求及应用场景 进入21世纪以来，随着信息化的发展，电力企业对信息通信网络的需求程度越来越高，尤其是随着智能变电站的发展，电力专网对变电站信息的采集、传输、处理模式产生了根本性的变化[1]，变电站信息网络的网络流量之多都是空前的，因此研究合理的变电站信息安全模型，从网络业务分类、网络结构、安全策略等多种角度综合应用保障变电站信息安全迫在眉睫。目前，潍坊公司根据变电站气象监测、电能监测、环境监测、防雷监测、隧道监测等方面的非控制类辅助监测需求，建设了监测网络承载在线监测系统平台、变压器色谱在线监测系统、电能质量在线监测系统、电缆隧道监测系统及变电站智能巡检机器人等五种辅助监测应用，今后随着对辅助监测业务的需求增多还将会不断扩展。针对变电站网络业务增长的需求，鉴于变电站在电网中所处位置的极端重要性，对其信息网络架构的设计不能仅仅考虑其便利性，更重要的是确保如何保证变电站信息网络的安全性，潍坊公司根据分区分域的信息安全防护原则，对涉及变电站的信息网络进行了改造，按照独立网络区域建设的模式，完成了变电站环境监测采集专网的建设，下面将对在网络建设过程中针对信息安全防护所做的尝试进行探讨。 2变电站网络面临的主要信息安全威胁 随着电力专网的深入发展，接入电力专网的变电站监测及控制系统越来越多，对变电站信息网络的安全性、可靠性、实时性提出了严峻的挑战。从外部来看，随着Inter技术的广泛应用，以网络为主要传播途径的病毒和电脑高手也日益猖獗。变电站信息网络安全问题日益突出。变电站信息网络的安全需求主要包括系统对外来破坏具有健壮性；对操作人员不规范操作具有预防性；系统自身信息具有封闭性以及数据的完整性、机密性和可用性[2~3]。变电站网络安全威胁主要两方面：变电站内部网络以及变电站所连接的外部网络，这里主要是指公司信息内网。对变电站网络构成的安全威胁主要包括[4~7]：（1）截获：非法获取变电站与其他系统之间传输的信息及变电站网络中存储的信息，信息截获尽管不会影响信息的传输，但往往是变电站网络系统遭受安全侵害的第一步；（2）中断：使变电站内部或与其他系统之间的通信中断，使主站无法了解变电站的运行工况，主站的控制命令也无法正确执行，对无人值守变电站危害较大；（3）篡改：更改变电站与其它系统之间传输的信息，使主站得到错误的运行工况，威胁电网的安全运行，如果篡改的是遥控命令，修改定值命令等，更有可能造成严重的后果；（4）伪造：伪造合法信息发往变电站或主站，可能造成与篡改信息类似的后果；（5）恶意程序：包括计算机里蠕虫、特洛伊木马、逻辑炸弹等计算机病毒，将严重影响变电站自动化系统运行的正确性、实时性和可靠性，甚至通过数据加密造成数据损坏，可能使运行程序崩溃、数据丢失。针对变电站面临的内部和外部安全威胁，根据当前以及未来潍坊公司变电站信息网络可能承载的业务类型，在建设过程中重点考虑了其信息安全防护设计，并针对性的提出了相应的信息安全防护模型。 3信息安全防护模型设计 在我们变电站网络信息安全防护模型的设计过程中，不仅仅需要考虑变电站网络承载的不同业务类型，同时考虑到各变电站业务是相同的，但由于地理位置的不同，每一个变电站信息网络又可以作为一个独立的个体看待，因此必须考虑各变电站的信息安全防护独立性，以避免由于一个变电站存在安全威胁而影响整个变电站网络乃至整个电力内网的安全。为了实现对变电站网络立体化安全防护，我们设计的信息安全防护模型可以从业务网络层面和传输网络层面分析。在业务层面，按照独立网络区域建设的模式，对涉及变电站的生产办公网络进行了功能细分，将变电站辅助监测业务和办公业务进行分离，单独组网，完成变电站环境监测采集专网建设，在变电站侧实现物理隔离。专网与信息内网采用不同的IP地址规划，并分别在专网与信息内网的边界进行防火墙、IPS等安全设备及安全策略的部署，对变电站网络进行访问控制。变电站环境监测采集专网内部的不同应用采用vlan划分的方式进行逻辑隔离。同时根据业务需求的不同，配置了不同的安全访问控制策略。变电站环境专网具有更强的独立性，不允许采集专网设备与信息内网用户互通。通过在与信息内网的边界防火墙上部署访问控制策略和