标签:广域网 路由 链路 操作 字节 发电机 扫描 数字 访问控制
AGC是 自动 发电 控制 的英文缩写,就是调度可远程调节发电机的有功功率。
AVC是自动 电压 控制 调度远程调节发电机的电压(无功功率)。
电力系统网络
安全区Ⅰ典型系统:调度自动化系统、变电站自动化系统、继电保护、安全自动控制系统等。
安全区Ⅱ典型系统:水库调度自动化系统、电能量计量系统、继保及故障录波信息管理系统
等。
安全区Ⅲ典型系统:调度生产管理系统(DMIS)、雷电监测系统、统计报表系统等。
安全区Ⅳ典型系统:管理信息系统(MIS)、办公自动化系统(OA)、客户服务系统等。
二、物理隔离
物理隔离指内部网不直接或间接地连接公共网。物理隔离的目的是保护网络设备及计算机等
硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击。只有使内部网和公共网物理
隔离,才能真正保证内部信息网络不受来自互联网的黑客攻击。同时,物理隔离也为内部网
划定了明确的安全边界,使得网络的可控性增强,便于内部管理。
在物理隔离技术出现之前,对网络的信息安全采取了许多措施,如在网络中增加防火墙、防
病毒系统,对网络进行入侵检测、漏洞扫描等。由于这些技术的极端复杂性,安全控制十分
有限性,这些在线分析技术无法提供涉密机构提出的高度数据安全要求。而且,此类软件的
保护是一种逻辑机制,对于逻辑实体而言极易被操纵。因此,必须有一道绝对安全的大门,
保证涉密网的信息不被泄露和破坏,这就是物理隔离所起的作用。
三、正反向隔离
电力系统按照安全等级的要求把计算机系统分为了I、II、III 等。I 和 II 之间要有防火墙,I/I
I区与 III 区之间则要在物理上做隔离。即I/II 发到 III 区的数据要经过正向隔离装置,III 区发
到 I/II 区的数据要经过反向隔离装置。
正向隔离装置不接受III 区的数据(最多只能过一个字节的数据),反向隔离装置只能容许III
区的文件穿透到I 区。
A.正向安全隔离装置
1.两个安全区之间的非网络方式的安全的数据交换,并且保证安全隔离装置内外两个处理系
统不同时连通;
2.表示层与应用层数据完全单向传输,即从安全区III 到安全区 I/II 的 TCP应答禁止携带应
用数据;
3.透明工作方式:虚拟主机 IP 地址、隐藏 MAC地址
4.基于 MAC、IP、传输协议、传输端口以及通信方向的综合报文过滤与访问控制;
5.支持 NAT;
6.防止穿透性TCP联接:禁止两个应用网关之间直接建立TCP联接,将内外两个应用网关
之间的TCP联接分解成内外两个应用网关分别到隔离装置内外两个网卡的两个TCP虚拟联
接。隔离装置内外两个网卡在装置内部是非网络连接,且只允许数据单向传输;
7.具有可定制的应用层解析功能,支持应用层特殊标记识别;
8.安全、方便的维护管理方式:基于证书的管理人员认证,使用图形化的管理界面。
悬赏任务 搜索文档 专业PPT定制!加入vip免费专享在手机打开B.反向隔离装置
反向隔离装置用于从安全区III 到安全区 I/II 传递数据,是安全区 III 到安全区 I/II 的唯一一个
数据传递途径。反向隔离装置集中接收安全区III 发向安全区 I/II 的数据,进行签名验证、内
容过滤、有效性检查等处理后,转发给安全区I/II 内部的接收程序具体过程如下:
1.全区 III 内的数据发送端首先对需要发送的数据签名,然后发给反向隔离装置;
2.反向隔离装置接收数据后,进行签名验证,并对数据进行内容过滤、有效性检查等处理。
C.安全区I/II内部接收程序
将处理过的数据转发给安全区I/II 内部的接收程序,其功能如下:
1.有应用网关功能,实现应用数据的接收与转发;
2.具有应用数据内容有效性检查功能;
3.具有基于数字证书的数据签名/解签名功能;
4.实现两个安全区之间的非网络方式的安全的数据传递;
5.支持透明工作方式:虚拟主机IP 地址、隐藏 MAC地址;
6.支持 NAT;
7.基于 MAC、IP、传输协议、传输端口以及通信方向的综合报文过滤与访问控制;
8.防止穿透性TCP联接。
D.装置安全保障要点
隔离装置本身应该具有较高的安全防护能力,其安全性要求主要包括:
1.用非 INTEL 指令系统的(及兼容)微处理器;
2.安全、固化的操作系统;
3.不存在设计与实现上的安全漏洞,抵御除Dos 以外的已知的网络攻击。
四.网络隔离装置要点
1.一个网络隔离装置(作为阻塞点、控制点)能极大地提高一个监控系统的安全性,并通过过
滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过网络隔离装置,所
以网络环境变得更安全。如网络隔离装置可以禁止不安全的NFS 协议进出保护网络,这样
外部的攻击者就不可能利用这些脆弱的协议来攻击监控系统。网络隔离装置同时可以保护网
络免受基于路由的攻击,如IP 选项中的源路由攻击和ICMP 重定向中的重定向路径。网络
隔离装置应该可以拒绝所有以上类型攻击的报文并通知网络隔离装置管理员。
2.通过以网络隔离装置为中心的安全方案配置,能将所有安全策略配置在网络隔离装置上。
与将网络安全问题分散到各个主机上相比,网络隔离装置的集中安全管理更方便可靠。例如
在网络访问时,监控系统通过加密口令/身份认证方式与其它信息系统通信,在电力监控系
统基本上不可行,它意味监控系统要重新测试,因此用网络隔离装置集中控制,无需修改双
端应用程序是最佳的选择。
3.如果所有的访问都经过网络隔离装置,那么,网络隔离装置就能记录下这些访问并作出日
志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,网络隔离装置能进行
适当的报警,并提供网络是否受到监测和攻击的详细信息。
4.通过网络隔离装置对监控系统及其它信息系统的划分,实现监控系统重点网段的隔离,一
个监控系统中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣甚,至
因此而暴露了监控系统的某些安全漏洞。使用网络隔离装置就可以隐蔽那些透漏内部细节,
例如网络隔离装置可以进行网络地址转换(NAT),这样一台主机 IP 地址就不会被外界所了
解, 不会为外部攻击创造条件。五、纵向加密
纵向加密认证装置一般装在各个高压变电所的所内监控系统与地调,省调之间的网络接
口的地方。用于变电所二次系统安全防护,满足电监会的相关规定。
纵向加密认证装置:位于电力控制系统的内部局域网与电力调度数据网络的路由器之
间,用于安全区I/II 的广域网边界保护,可为本地安全区I/II 提供一个网络屏障同时为上下
级控制系统之间的广域网通信提供认证与加密服务,实现数据传输的机密性、完整性保护。
纵向加密认证网关:位于安全区I/II 中应用系统的边界,用于为一个或多个控制系统提
供认证与加密服务,除了要求符合本规范外,还要求满足应用层通信协议转换功能,以便于
实现端到端的电力应用保护。
调度证书服务系统:为电力调度生产及管理系统与调度数据网上的用户、关键网络设备、
服务器提供数字证书服务,以解决网络应用中的机密性、完整性、不可否认性等安全问题。
装置管理系统:位于电力调度中心,完成对所辖的多厂网的装置进行统一管理的计算机
系统。
六、路由器
路由器(Router),是连接因特网中各局域网、广域网的设备,它会根据信道的情况
自动选择和设定路由,以最佳路径,按前后顺序发送信号。路由器是互联网络的枢纽,"
交通警察"。目前路由器已经广泛应用于各行各业,各种不同档次的产品已成为实现各种骨
干网内部连接、骨干网间互联和骨干网与互联网互联互通业务的主力军。路由和交换机之间
的主要区别就是交换机发生在OSI 参考模型第二层(数据链路层),而路由发生在第三层,
即网络层。这一区别决定了路由和交换机在移动信息的过程中需使用不同的控制信息,所以
说两者实现各自功能的方式是不同的。
路由器(Router)又称网关设备(Gateway)是用于连接多个逻辑上分开的网络,所
谓逻辑网络是代表一个单独的网络或者一个子网。当数据从一个子网传输到另一个子网时,
可通过路由器的路由功能来完成。因此,路由器具有判断网络地址和选择IP 路径的功能,
它能在多网络互联环境中,建立灵活的连接,可用完全不同的数据分组和介质访问方法连接
各种子网,路由器只接受源站或其他路由器的信息,属网络层的一种互联设备。
标签:广域网 路由 链路 操作 字节 发电机 扫描 数字 访问控制
原文地址:https://www.cnblogs.com/zhangxingdong/p/14965871.html
