| 产品特性:二次安防 |
光伏电站网络安全防护设备
电力二次系统安全防护设备有纵向加密装置、横向隔离装置、防火墙、入侵检测装置、数字证书系统、防病毒系统等,本节介绍光伏电站中广泛使用的横向隔离装置、纵向加密装置、防火墙。
一、横向隔离装置
电力专用横向单向安全隔离装置作为生产控制大区与管理信息大区之间的***边界防护措施,是横向防护的关键设备。它可以识别非法请求并阻止超越权限的数据访问和操作,从而有效抵御病毒、黑客等通过各种形式发起的对生产控制大区的恶意破坏和攻击活动。横向隔离装置分为正向隔离装置和反向隔离装置。
(一)正向隔离装置
正向隔离装置用于安全区Ⅰ/Ⅱ到管理信息大区的单向数据传递,实现两个安全区之间的非网络方式的安全数据交换。
(二)反向隔离装置
反向隔离装置用于从管理信息大区到安全区 Ⅰ/Ⅱ单向传递数据,是管理信息大区到安全区Ⅰ/Ⅱ的数据传递途径。横向安全隔离装置(反向)集中接收管理信息大区发向安全区Ⅰ/Ⅱ的数据,进行签名验证、内容过滤、有效性检查等处理后,转发给安全区Ⅰ/Ⅱ内部的接收程序。
反向隔离装置的工作过程:
(1)管理信息大区内的数据发送端,首先对需发送的数据签名,然后发给反向型隔离装置。
(2)隔离装置接收数据后,进行签名验证,并对数据进行,内容过滤、有效性检查等处理。
(3)将处理过的数据转发给安全区工/Ⅱ内部的接收程序。
申力专用安全隔离装置作为安全区Ⅰ/Ⅱ与管理信息大区的以备边界,具有的安全防护强度,是安全区Ⅰ/Ⅱ横向防护的要点。
(三)横向隔离装置在光伏电站中的应用
光伏电站中横向隔离装置使用场景一般有两种。***种情况,一部分光伏电站将安全区Ⅰ计算机监控系统中采集的实时数据传输至管理信息大区的生产管理系统或直接传输至发电集团总部监控中心,中间须安装1台正向隔离装置,用于安全区Ⅰ到管理信息大区的单向数据传输。***种情况,光伏电站功率预测系统中,部署在管理信息大区的气象服务器将收集的天气预报数据发送至安全区Ⅱ的光伏电站功率预测服务器,中间须安装1台反向隔离装置,用于管理信息大区到安全区Ⅱ的单向数据传输。
二、硬件防火墙
硬件防火墙是设置在内部网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在的破坏性侵入。它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。防护墙的部署方式如图 8-3 所示。
1.防火墙的功能
(1)过滤进出网络的数据。数据包在通过防火墙时,不符合规定的IP 地址的信息包会被过滤掉,以***内部网络的安全。通过过滤不安全的服务,防火墙可以***提高内部网络安全和减少内部网络中主机的风险。例如,防火墙可以禁止 NIS、NFS服务通过,同时可以拒绝源路由和 ICMP重定向封包。
(2)管理进出网络的访问行为。防火墙可以提供对内部网络的访问管理。如允许从外部网络访问内部网络某些主机,同时禁止访问另外的主机。例如,防火墙允许外部访问特定的Mail Server 和 Web Server。防火墙对内部网络实现集中的安全管理,防火墙定义的安全规则可以运行于整个内部网络系统,而无须在内部网每台机器上分别设立安全策略。外部用户也只需要经过一次认证即可访问内部网络。
(3)记录进出网络的信息和活动,对危险行为进行检测和告警。防火墙可以记录和统计通过防火墙的网络通信。提供关于外部网络访问内部网络的统计数据,并且通过这些数据来判断可能的攻击和探测,及时对网络攻击进行检测和告警。
2.防火墙在光伏电站的应用
在光伏电站电力二次系统中,防火墙作为生产控制大区或管理信息大区内部网络之间***的横向边界防护措施,如光伏电站功率预测服务器(安全Ⅱ区)与电站监控系统(安全Ⅰ区)进行数据交互须在通信链路中间加装防火墙;天气预报服务器(安全Ⅲ区)接收 Inter-net 网络中的气象数据,须在通信链路中间加装防火墙。通信链路中的防火墙通过对数据来源和流向进行控制,以***网络安全性。它能允许你"同意"的人和数据进入你的网络,同时将你"不同意"的人和数据拒之门外,限度地阻止低安全等级网络中的非法访问者来访问高安全等级的网络。
光伏电站防火墙的一般要求设备本身具有预防入侵的功能,并且自身具有较高的抗攻击能力;外部网络与内部网络互相访问的双向数据流必须通过防火墙;只有被安全策略允许(合法)的数据才可以通过防火墙。
三、纵向加密认证装置
纵向加密认证装置用于生产控制大区的广域网边界防护。纵向加密认证装置为广域网通信提供认证与加密,实现数据传输的机密性、完整性保护,同时具有类似防火墙的安全过滤功能。
(一)工作原理
为实现数据通信的加密和认证,须在网络数据通信的两端各配置1台纵向加密认证装置,在光伏电站侧通常部署于路由器与交换机之间。
(二)接入流程
(1)了解数据网络结构,拓扑,地址规划,路由及策略,VPN业务规划与接入。
(2)业务系统负责人确认可能对业务引起的中断评估,开具***种工作票。
(3)确定纵向加密认证装置的布署方案和布署位置。
(4)进入设备调试环节。
1)初始化∶生成装置的设备公私钥,并填写必要信息;生成证书,提交本级调度证书服务系统签发。
2)配置∶配置设备的基本信息,安全隧道信息,安全策略信息。导入对端装置的设备证书,与对端联调,***隧道能够正常建立,安全策略与对端匹配,业务能够正常通信。导入管理中心的证书,***纵向加密管理中心能够对该纵向加密认证装置进行远程管理。
3)监控;添加纵向加密认证装置日志传送主站内网安全监视平台的配置,***主站内网安全监视平台能够监测到该纵向加密认证装置实时的运行状态。
(三)应急解决步骤
应对装置异常,提出相应的应急解决方案。
(1)与相应调控机构联系,查询装置的状态。
(2)断电重启装置,重启后查看纵向加密装置运行及业务通信是否正常。
(3)重启后,如故障未消除,征得调控机构同意后,启用硬旁路,同时联系设备生产厂家进行故障处理。
(四)纵向加密认证装置在光伏电站中的应用
光伏电站中,纵向加密认证装置一般部署在生产控制大区纵向边界,通常在安全Ⅰ区和安全Ⅱ区纵向边界各部署1台,分别与主站安全Ⅰ区和安全Ⅱ区纵向加密装置配合实现数据的加解密和认证功能,保障纵向数据通道的***。
四、安全防护设备的配置原则
各光伏电站中安装的电力二次系统不尽相同,系统的功能和结构也存在一定的差异,因此,光伏电站二次系统安全防护设备的配置,须充分考虑站内二次系统功能和结构,按照"安全分区、网络专用、横向隔离、纵向认证"的十六字方针要求,进行二次系统安全防护设备的配置。
1.纵向边界
每套调度数据网需配置 2台纵向加密认证装置,1台安装在实时数据通道的边界,1 台安装在非实时数据通道纵向边界。
2.横向边界
按照现场实际情况。须在安全I区与安全Ⅱ区之间部署1台硬件防火墙∶生产控制大区与管理信息大区之间部署1台正向隔离装置,1台反向隔离装置;安全Ⅲ区与安全Ⅳ区之间部署1台硬件防火墙。
光伏电站电力二次系统安全防护设备技术参数可参考表8-2。
