[行业技术文章]电力系统的安全防护策略

随着计较机技术、通讯技术和网络技术的成长，电力系统网上展开的营及运用系统越来越多，电力系统网络的平安性和靠得住性已成为一个很是紧迫的问题。

凭据《全国电力二次系统平安防护整体方案》的要求，调剂自动化系统分为4个平安域，划分是：平安区Ⅰ（实时控制区）它是电力二次系统中重要系统，平安品级高，是平安防护的重点与焦点；平安区Ⅱ（非控制生产区）；平安区Ⅲ（生产治理区）；平安区IV（治理信息区）。

是以，凭据以上区域的划分，确立了平安解决方案的总的指导原则：分区防护、突出重点；区域隔离、网络用；装备自力、纵向防护。

平安区域间的隔离策略

具体策略以下：

●平安Ⅰ区、平安Ⅱ区的防护策略

实时控制区与非控制区的营系统都属电力生产系统，都采用电力调剂数据网络，都在线运行，数据交换较多，关系比力紧密亲密，可以作为一个逻辑年夜区（生产控制区）。

●平安Ⅲ区、平安IV区的防护策略

生产治理区和治理信息区均采用电力数据通讯网络(ATM)，数据交换较多，关系比力紧密亲密。

●平安Ⅰ区、Ⅱ区与平安Ⅲ区的防护策略

实时控制区和非控制区不得与治理信息区直接联系，实时控制区和非控制区与生产治理区的信息交换必需是单向方式，仅答理纯数据的单向平安传输。反向平安隔离装配接纳签名认证和数据过滤措施，仅答理纯文本数据经由过程，并严酷进行病毒、木马等恶意代码的查杀。

●平安区域纵向防护策略

在用通道上建立调剂用数据网络，实现与其他数据网络物理隔离。

●高靠得住性和避免单点失效策略

I区、II区、III区都属于调剂中心治理范围，IV区属于信息中心治理范围，I区的高可用性要求很是高，要求到达秒级，而且是实时系统；II区的高可用性到达分钟级，III区IV区的治理系统对于高可用性也很是高，在使用防火墙作为网络隔离装备的时辰，使用双机热备的方式，以避免单点失效，提高可用性。

防火墙系统建设方案部署

防火墙系统采用联想网御自立研发的防火墙。首先在电力网络系统I区与II区之间，III区与IV区之间，部署千兆防火墙，防火墙工作在双机热备状态，以全链路冗余方式，划分与两个区的焦点交换机相连。正常情况下两台防火墙均处于工作状态，可以划分承当响应链路的网络通讯。当其中一台防火墙发生故障时，网络通讯自动切换到另外一台防火墙。切换进程不需要工钱操作和其他系统的介入。

进侵检测系统建设方案部署

进侵检测系统采用联想网御进侵检测系统。在I区、II区各部署一台IDS探头，IDS探头接在焦点交换机的镜像口上，以旁路侦听方式，对所有流经焦点交换机的流进行检测。在II区部署一台IDS治理中心，以一对多的方式治理两台IDS探头。交换机需要将所有端口的流镜像到IDS所毗连的端口。在III区部署一台IDS探头。IDS探头接在焦点交换机的镜像口上，以旁路侦听方式，对所有流经焦点交换机的流进行检测。在III区内部部署一台IDS治理中心，接受IDS探头传回的信息。IDS控制台经由过程网线直接与IDS探头相连，控制台与探头的治理口采用自力的IP地址，不与III区内的IP地址堆叠，保证IDS的平安性。交换机需要将所有端口的流镜像到IDS所毗连的端口。(许斐)