子目錄是什麼生肖
光伏電站網路安全防護裝置
電力二次系統安全防護裝置有縱向加密裝置、橫向隔離裝置、防火牆、入侵檢測裝置、數字證書系統、防病毒系統等,本節介紹光伏電站中廣泛使用的橫向隔離裝置、縱向加密裝置、防火牆。
一、橫向隔離裝置
電力專用橫向單向安全隔離裝置作為生產控制大區與管理資訊大區之間的必備邊界防護措施,是橫向防護的關鍵裝置。它可以識別非法請求並阻止超越許可權的資料訪問和操作,從而有效抵禦病毒、駭客等透過各種形式發起的對生產控制大區的惡意破壞和攻擊活動。橫向隔離裝置分為正向隔離裝置和反向隔離裝置。
正、反向隔離裝置接入方式如圖 8-2所示。
(一)正向隔離裝置
正向隔離裝置用於安全區Ⅰ/Ⅱ到管理資訊大區的單向資料傳遞,實現兩個安全區之間的非網路方式的安全資料交換。
(二)反向隔離裝置
反向隔離裝置用於從管理資訊大區到安全區 Ⅰ/Ⅱ單向傳遞資料,是管理資訊大區到安全區Ⅰ/Ⅱ的唯一資料傳遞途徑。橫向安全隔離裝置(反向)集中接收管理資訊大區發向安全區Ⅰ/Ⅱ的資料,進行簽名驗證、內容過濾、有效性檢查等處理後,轉發給安全區Ⅰ/Ⅱ內部的接收程式。
反向隔離裝置的工作過程:
(1)管理資訊大區內的資料傳送端,首先對需傳送的資料簽名,然後發給反向型隔離裝置。
(2)隔離裝置接收資料後,進行簽名驗證,並對資料進行,內容過濾、有效性檢查等處理。
(3)將處理過的資料轉發給安全區工/Ⅱ內部的接收程式。
申力專用安全隔離裝置作為安全區Ⅰ/Ⅱ與管理資訊大區的以備邊界,具有最高的安全防護強度,是安全區Ⅰ/Ⅱ橫向防護的要點。
(三)橫向隔離裝置在光伏電站中的應用
光伏電站中橫向隔離裝置使用場景一般有兩種。第一種情況,一部分光伏電站將安全區Ⅰ計算機監控系統中採集的實時資料傳輸至管理資訊大區的生產管理系統或直接傳輸至發電集團總部監控中心,中間須安裝1臺正向隔離裝置,用於安全區Ⅰ到管理資訊大區的單向資料傳輸。第二種情況,光伏電站功率預測系統中,部署在管理資訊大區的氣象伺服器將收集的天氣預報資料傳送至安全區Ⅱ的光伏電站功率預測伺服器,中間須安裝1臺反向隔離裝置,用於管理資訊大區到安全區Ⅱ的單向資料傳輸。
二、硬體防火牆
硬體防火牆是設定在內部網路和外部網路之間的一道屏障,以防止發生不可預測的、潛在的破壞性侵入。它可透過監測、限制、更改跨越防火牆的資料流,儘可能地對外部遮蔽網路內部的資訊、結構和執行狀況,以此來實現網路的安全保護。防護牆的部署方式如圖 8-3 所示。
1。防火牆的功能
(1)過濾進出網路的資料。資料包在透過防火牆時,不符合規定的IP 地址的資訊包會被過濾掉,以保證內部網路的安全。透過過濾不安全的服務,防火牆可以極大地提高內部網路安全和減少內部網路中主機的風險。例如,防火牆可以禁止 NIS、NFS服務透過,同時可以拒絕源路由和 ICMP重定向封包。
(2)管理進出網路的訪問行為。防火牆可以提供對內部網路的訪問管理。如允許從外部網路訪問內部網路某些主機,同時禁止訪問另外的主機。例如,防火牆允許外部訪問特定的Mail Server 和 Web Server。防火牆對內部網路實現集中的安全管理,防火牆定義的安全規則可以運行於整個內部網路系統,而無須在內部網每臺機器上分別設立安全策略。外部使用者也只需要經過一次認證即可訪問內部網路。
(3)記錄進出網路的資訊和活動,對危險行為進行檢測和告警。防火牆可以記錄和統計透過防火牆的網路通訊。提供關於外部網路訪問內部網路的統計資料,並且透過這些資料來判斷可能的攻擊和探測,及時對網路攻擊進行檢測和告警。
2。防火牆在光伏電站的應用
在光伏電站電力二次系統中,防火牆作為生產控制大區或管理資訊大區內部網路之間必備的橫向邊界防護措施,如光伏電站功率預測伺服器(安全Ⅱ區)與電站監控系統(安全Ⅰ區)進行資料互動須在通訊鏈路中間加裝防火牆;天氣預報伺服器(安全Ⅲ區)接收 Inter-net 網路中的氣象資料,須在通訊鏈路中間加裝防火牆。通訊鏈路中的防火牆透過對資料來源和流向進行控制,以保證網路安全性。它能允許你“同意”的人和資料進入你的網路,同時將你“不同意”的人和資料拒之門外,最大限度地阻止低安全等級網路中的非法訪問者來訪問高安全等級的網路。
光伏電站防火牆的一般要求裝置本身具有預防入侵的功能,並且自身具有較高的抗攻擊能力;外部網路與內部網路互相訪問的雙向資料流必須透過防火牆;只有被安全策略允許(合法)的資料才可以透過防火牆。
三、縱向加密認證裝置
縱向加密認證裝置用於生產控制大區的廣域網邊界防護。縱向加密認證裝置為廣域網通訊提供認證與加密,實現資料傳輸的機密性、完整性保護,同時具有類似防火牆的安全過濾功能。
(一)工作原理
為實現資料通訊的加密和認證,須在網路資料通訊的兩端各配置1臺縱向加密認證裝置,在光伏電站側通常部署於路由器與交換機之間。
(二)接入流程
(1)瞭解資料網路結構,拓撲,地址規劃,路由及策略,VPN業務規劃與接入。
(2)業務系統負責人確認可能對業務引起的中斷評估,開具第二種工作票。
(3)確定縱向加密認證裝置的佈署方案和佈署位置。
(4)進入裝置除錯環節。
1)初始化∶生成裝置的裝置公私鑰,並填寫必要資訊;生成證書,提交本級排程證書服務系統簽發。
2)配置∶配置裝置的基本資訊,安全隧道資訊,安全策略資訊。匯入對端裝置的裝置證書,與對端聯調,保證隧道能夠正常建立,安全策略與對端匹配,業務能夠正常通訊。匯入管理中心的證書,保證縱向加密管理中心能夠對該縱向加密認證裝置進行遠端管理。
3)監控;新增縱向加密認證裝置日誌傳送主站內網安全監視平臺的配置,保證主站內網安全監視平臺能夠監測到該縱向加密認證裝置實時的執行狀態。
(三)應急解決步驟
應對裝置異常,提出相應的應急解決方案。
(1)與相應調控機構聯絡,查詢裝置的狀態。
(2)斷電重啟裝置,重啟後檢視縱向加密裝置執行及業務通訊是否正常。
(3)重啟後,如故障未消除,徵得調控機構同意後,啟用硬旁路,同時聯絡裝置生產廠家進行故障處理。
(四)縱向加密認證裝置在光伏電站中的應用
光伏電站中,縱向加密認證裝置一般部署在生產控制大區縱向邊界,通常在安全Ⅰ區和安全Ⅱ區縱向邊界各部署1臺,分別與主站安全Ⅰ區和安全Ⅱ區縱向加密裝置配合實現資料的加解密和認證功能,保障縱向資料通道的安全可靠。
四、安全防護裝置的配置原則
各光伏電站中安裝的電力二次系統不盡相同,系統的功能和結構也存在一定的差異,因此,光伏電站二次系統安全防護裝置的配置,須充分考慮站內二次系統功能和結構,按照“安全分割槽、網路專用、橫向隔離、縱向認證”的十六字方針要求,進行二次系統安全防護裝置的配置。
1。縱向邊界
每套排程資料網需配置 2臺縱向加密認證裝置,1臺安裝在實時資料通道的邊界,1 臺安裝在非實時資料通道縱向邊界。
2。橫向邊界
按照現場實際情況。須在安全I區與安全Ⅱ區之間部署1臺硬體防火牆∶生產控制大區與管理資訊大區之間部署1臺正向隔離裝置,1臺反向隔離裝置;安全Ⅲ區與安全Ⅳ區之間部署1臺硬體防火牆。
光伏電站電力二次系統安全防護裝置技術引數可參考表8-2。
