欢迎光临南京奋斗者科技(Fundo) 官方网站,服务热线:025-52791937  18652022672
企业邮箱登录  |  业务邮箱:HR@fundotek.com
当前位置:
网络安全系统
来源: | 作者:南京奋斗者科技有限公司 | 发布时间: 2020-02-14 | 3613 次浏览 | 分享到:
网络安全系统主要包括四大系统:
一:加密装置系统; 二:隔离装置系统; 三:网络安全监测装置系统; 四:光伏(风机)子阵微型纵密装置系统。
网络安全系统
    网络信息安全威胁日益严峻,国内外由此造成的电网事故时有发生。
    2002国家经贸委30号文《电网与电厂计算机监控系统及 调度数据网络安全防护规定》:“生产控制系统必须物理分开”。
    2004国家电监会5号文《电力二次系统安全防护规定》: “安全分区、网络专用、横向隔离、纵向认证”。 
    2014国家发改委14号文《电力监控系统安全防护规定》: “等级保护、物理安全”。
    2015国家能源局36号文《电力监控系统安全防护总体方案》: “强化边界防护,加强内部安全,提高系统整体安全防护能力”。
    电力监控系统的安全防护从结构安全、本体安全,向基因安全(安全免疫)阶段发展。依据“安全分区、网络专用、横向隔离、纵向认证”的总体原则进行电力系统的安全防护。采用安全、可控、可靠的软硬件产品,并通过国家有关机构的安全检测认证。逐步采用基于可信计算的安全免疫防护技术,形成对病毒木马等恶意代码的自动免疫。  
    根据上述要求和拓扑图,电站通信系统安全涉及三大方面,再加上最新要求的光伏区(风机端)的微型纵密装置,网络安全系统主要包括四大系统:
    一:加密装置系统;
    二:隔离装置系统;
    三:网络安全监测装置系统;
    四:光伏(风机)子阵微型纵密装置系统。


纵向加密系统
    电力专用加密认证网关安置在电力控制系统的内部局域网与电力调度数据网络的路由器之间,用来保障电力调度系统纵向数据传输过程中的数据机密性、完整性和真实性。
    按照“分级管理”要求,纵向加密认证网关部署在各级调度中心及下属的各厂站,根据电力调度通信关系建立加密隧道(原则上只在上下级之间建立加密隧道),加密隧道拓扑结构是部分网状结构,如下图所示。
 
 


横向隔离系统
    电力专用网络专用安全隔离装置是位于调度数据网络与公用信息网络之间的一个安全防护装置,用于安全区I/II到安全区III的单向数据传递。它可以识别非法请求并阻止超越权限的数据访问和操作,从而有效地抵御病毒、黑客等通过各种形式发起的对电力网络系统的恶意破坏和攻击活动,保护实时闭环监控系统和调度数据网络的安全;同时它采用非网络传输方式实现这两个网络的信息和资源共享,保障电力系统的安全稳定运行。
    其中隔离又可以根据数据传输方向分为正向隔离和反向隔离。
    
    正向隔离:


    数据传输流程:
    1.I/II区需要向III区传输数据时,隔离装置内网主机接收数据,并进行协议剥离,将原始数据写入存储介质。
     2.控制器收到完整的交换信号之后,立即切断与内网主机的物理连接,向外网主机发起物理连接,将存储介质内的数据推向外网主机。
     3.外网主机收到数据后,立即进行网络协议的封装重组,并将数据传输给III区应用系统。


    反向隔离:


    数据传输流程:
    1.III区服务器将待发送信息转为E语言格式的纯文本文件,并通过USBKey进行文件签名;
    2.III区服务器与反向隔离装置外网主机进行密钥协商(SM2、SM3算法),建立加密通道(电力专用加密算法),将带有签名的E语言文件发送至反向隔离装置外网主机。外网主机对数据进行解密、验签、E语言格式检查,将通过验证的数据摆渡到内网主机。反向隔离装置只响应UDP协议,因此协商报文与数据通信报文都使用UDP协议。
    3.反向隔离装置内网主机将数据传送I/II区服务器应用程序。


网络安全监测系统
    网络安全监测设备主要部署于变电站、发电厂等现场,实现数据采集、安全事件处理、实时通信、服务代理、本地安全管理等功能。对电力二次系统服务器、工作站、网络设备以及安全防护设备进行实时运行监视,采集安全事件,并将采集到的事件进行实时告警、分析统计以及归并处理;同时接入上级网络安全监测平台主站系统,将处理后的事件上送到主站系统;同时提供代理服务,接收上级网络安全监测平台下发的各类查询、配置及控制命令并进行响应。
  当变电站站控层I/II区之间存在防火墙时(即I、II区连通),仅在II区部署1台监测装置。监测装置分配2个网口,1个网口与A网站控汇聚II区交换机连接,另1个网口与B网站控层汇聚II区交换机连接,并开放防火墙安全I、II区之间的规则。选择一个网口连接到II区数据网交换机,以用于与主站平台互联。
  当变电站站控层I区与II区之间不存在防火墙时,安全I区与II区各部署1台监测装置。I区监测装置分别与A网站控汇聚I区交换机、B网站控汇聚安全I区交换机相连;选择1个网口连接到I区数据网交换机,以用于与主站平台互联。安全II区监测装置分别与A网站控汇聚II区交换机、B网站控汇聚安全II区交换机相连;选择1个网口连接到安全II区数据网交换机,以用于与主站平台互联。
  对于故障告警、装置对时和失电告警,请根据现场情况选择性配置。
 
      

子阵微型纵密装置系统
    为加强细化发电端的网络安全,在光伏子阵和风机子阵独立部署微型纵向加密。通过独立子阵数据加密后上传来实现发电端网络和数据传输端网络均加密传输,以加强网络的安全性。

 


solutionS
解决方案
about US