正向隔離裝置是防火墻嗎
1 電力二次系統有關介紹
電力二次系統指的是指在電網與電廠的生產過程中直接相關的電力監控系統��、電力通信及調度數據網絡��,這3個部分也是組成電力二次系統的主要部分���。
電力二次系統主要可以分為生產控制大區和管理信息大區兩個大區�����,這兩個大區各自分工�����,分別負責不同的區域和任務�����,共同維護電力二次系統的運行��。生產控制大區由兩個安全區組成���,根據對傳輸數據實效性需求大小的區分將不同的系統分別放入這兩個安全區�。管理信息大區同樣也是由兩個不同的安全區組成����,一般情況下���,這2個安全區分別為電力調度管理系統和電網生產管理系統與企業資源計劃系統�。
根據相關要求�����,在生產控制大區和管理信息大區之間必須設置電力專用的橫向單向安全隔離裝置��,在這兩個大區之間還應該安裝可以控制訪問權限的裝置或者防火墻或者有類似功能的設備裝置���。
2 電力二次系統主要存在問題
在電力二次系統的運行中�,常常會遇到各種各樣的問題�,其中主要有以下幾個方面:硬件設備�、應用層�����、內外部網絡�、操作系統與網絡防護等其他的一些安全隱患���。
正是由于這些安全隱患問題的存在����,因此我們需要建設完善的電力二次系統安全防護體系����,電力二次系統安全防護主要是為了阻止或抵抗病毒��、黑客或惡意代碼等各種不同形式對系統發起的惡意破壞和攻擊��,安全防護的重點是確保電力實時閉環監測系統和電力調度數據網絡的安全����。
3 電力二次系統安全防護體系
3.1 安全防護體系需要考慮的問題
制定一個電力二次系統安全防護體系方案需要考慮以下幾個方面的問題:(1)建立電力二次系統安全防護體系的基本目標是什么����;(2)建立電力二次系統安全防護體系要遵守哪些基本原則��;(3)劃分電力二次系統安全防護體系的安全分區�。
首先���,確定基本目標��,也就是建立電力二次系統安全防護體系主要是為了什么�?主要的功能作用是什么����,通過上文分析我們知道電力二次系統安全防護體系主要是為了阻止或抵抗病毒����、黑客或惡意代碼等各種不同形式對系統發起的惡意破壞和攻擊��,其中安全防護的重點是確保電力實時閉環監測系統和電力調度數據網絡的安全�����。
其次����,我們需要注意的是建立這個安全防護體系時需要遵循的基本原則有哪些��。根據國家相關文件的要求���,在電力二次安全防護系統中�����,安全等級高的系統不能夠被安全等級低的系統所影響�。并且���,電力監控系統的安全等級需要比電力管理信息系統高��,各電力監控系統必須自身擁有安全可靠且安全等級高可靠性較強的安全防護設施��,且不能夠直接與安全等級與可靠性低的系統相聯�����。
最后����,我們需要劃分電力二次系統安全防護體系的安全分區��。原則上����,基于計算機和網絡技術的內部系統一般可以分為生產控制和管理信息兩個大區����,其中生產控制大區又包含了控制區和非控制區這兩個安全區��,管理信息大區在不使生產控制大區受影響的情況下又分為了生產管理區和管理信息區這兩個安全區��。
3.2 安全防護體系的總體方案
電力二次系統安全防護體系的方案主要包括橫向隔離和縱向認證����。
其中�,橫向隔離是使各個安全區相互獨立����,互不干擾�����,當其中某一區域受到病毒或惡意代碼等攻擊時能夠保證其他安全區安全無虞不受影響�����。橫向隔離的關鍵技術是實時數據傳輸專用物理隔離設備����,配置LINUX內核���,取消所有網絡功能�,采用非INTEL指令系統微處理器����,其中非網絡方式部分的內部通信支持安全島��。單向數據通信控制單向聯接控制�����,防止穿透性TCP連接���,應用層解析��,支持身份驗證�,支持應用層特殊標識�,并且具有靈活方便的管理界面���。
隔離設備主要有正向型網絡安全隔離設備和反向型網絡安全隔離設備�,正向型主要采用軟�����、硬結合的安全措施���,軟件上采用的是綜合過濾��、應用代理技術實現鏈路層����、控制訪問和網絡層與應用層的隔離����,硬件上面采用的是雙嵌入式的計算機結構����。反向型隔離設備通過文件發送軟件來實現傳輸��,并且在傳輸的過程中進行身份驗證�,只有通過檢查的報文才能夠進入內網�����,來確保網絡系統的安全性可靠性�。
縱向認證的防護措施指通過加密�����、認證和控制訪問等方法來完成數據的遠程傳輸����,縱向認證的主要安全防護技術和產品包括網絡數據�����、備份與恢復��、惡意代碼防范���、防火墻����、主機加固�����、入侵檢測���、電力調度數字證書����、電力專用橫向隔離裝置����、縱向認證加密裝置和加密認證網關�����、遠程撥號訪問��、安全審計和安全掃描等���。
從管理信息大區安全的需求上來說�,防火墻和入侵檢測IDS的設置是是非常必要的�����。首先����,防火墻可以設置在生產控制大區的兩個安全區之間��,實現這兩個區域的邏輯隔離���,另外����,入侵檢測IDS的設置能夠增加調度業務的可靠性����。國家對于生產控制大區和管理信息大區的安全性有著很高的要求�,因此設置電力專用單向橫向安全隔離裝置是必須的����,國產的硬件防火墻是一個很好的選擇����,它能夠隔離禁止安全風險高的信息穿越通過系統��,確保系統的安全�、可靠運行����,并且通過加密認證設施 來加強安全性����。
另外����,主機防護����、計算機系統本地訪問控制和關鍵應用系統服務器訪問控制也是比較重要的技術���。主機保護主要靠安全配置�����、安全補丁��、主機加固和應用目標4部分組成�����,它們通過合理地設置系統配置�����、權限等���,加強安全�����,消除系統內核漏洞與后門���,防止主機權限被濫用�����。訪問控制主要是通過調度系統內部關鍵應用�����,增強身份認證����、控制訪問�、授權��、安全通信和行為審計等方面的安全性���。當然�����,除了以上這些之外���,還有其他措施����,比如一些應用系統合理設置權限等��。
3.3 建立完善的安全管理制度
俗話說得好����,三分靠技術七分靠管理�,因此����,在制定了系統的電力二次系統安全防護措施之后���,還應該建立完善的安全管理制度來加強運行管理�。主要可以從以下幾個方面來考慮��,首先��,在人員的應用上要建立一定的規章制度�����,確保人員管理要到位�,其次���,對于權限管理和訪問控制管理也要有一定的加強措施�,最后�,在設備以及子系統的維護管理����、惡意代碼的防護����、數據及系統的備份管理方面也要注意加強����,還應該制定一些應急預案措施以防止突發事件的發生����。只有做了足夠的充分的準備措施���,在一些故障或者突發事件到來時我們才不會慌張��,因此��,平時的管理工作不容忽視且必須要做好做到位�。
