【摘要】： 随着通信技术和网络技术的发展,接入调度数据网的系统越来越多,调度中心、电厂、变电站、用户等之间进行的数据交换也越来越频繁,这对电力监控系统和数据网络的安全性、可靠性和实时性提出了新的挑战。由于现有电力监控系统和数据网络在当初设计建设中对安全问题重视不够,使系统存在各种安全隐患。本文结合重庆电网实施电力二次系统安全防护工程的经验,探讨在现有条件下实施安全防护工程的主要方法、体系结构及关键技术。 由于现有电力监控系统是分批建设的,系统间互联缺乏统一规划,导致了网络结构混乱,互联点多,边界不清晰等问题,在部署安全装置时容易因考虑不周而存在旁路。为此,本文提出了安全分区的思想:根据电力二次系统的特点、各相关业务系统的重要程度和数据流程、目前状况和安全要求,将整个电力二次系统分为四个安全区:I实时控制区、II非控制生产区、III生产管理区、IV管理信息区。安全区Ⅰ的安全等级最高,依次递减。不同安全区采用不同安全防护措施,同一安全区内则不考虑防护。通过技术政策,要求各地调度中心按分区原则进行网络结构调整,并通过调度数据网将各地位于同一安全区的系统进行互联,使整个电网形成四个安全大区。这样的分区理顺了网络结构,各区及各系统间安全边界也十分清晰,有利与安全装置的部署。具体地说,在同一地点的不同安全区之间采用防火墙、隔离装置等边界防护设备进行横向隔离以抵御非法访问、拒绝服务等类型的攻击,不同地点同一安全区之间采用加密认证等手段,以抵御数据在野外传输时可能遭遇的窃听、伪造、篡改等类型的攻击。 针对电力系统的特点,I、II区与III、IV区之间采用隔离强度高于防火墙的自行研制的物理隔离装置[1]。同时,还必须解决高隔离强度带来的可用性降低等问题,这正是本文研究的关键技术。物理隔离装置基于“信息摆渡”原理,采用两个高性能嵌入式微处理器保证内外两个处理系统在同一时刻不同时连通,但又实现了两个安全区之间的非网络方式的高速数据交换。其具体实现方式为:截断TCP连接,剥离数据包中的TCP/IP头,将内网的纯数据通过高速单向数据通道发送到外网,这样就可除去网络协议漏洞带来的风险,同时只允许应用层不带任何数据的TCP包的控制信息传输到内网。在物理上实现了数据流的纯单向传输,数据只能从内网流向外网。本文还提出了传输软件、服务器镜像等的设计原理和功能规范,使得在不同安全区内的系统,尤其是位于物理隔离两侧的系统之间进行数据交换时,感受不到隔离装置的影响,好像它们是工作在畅通无阻的网络环境一样,以此解决高安全环境下的系统可用性问题。