浙江台州、金华、温州、调度数据网的配置:
调度数据网屏主要设备构成:ODF、光电一体化设备、光电一体化设备、调度路由器、调度交换机、纵向加密认证网关、网络安全监测装置、防火墙、入侵检测装置、日志审计系统、恶意代码防护系统、I区站控层交换机、II区站控层交换机、屏体及附件
根据电力二次系统的特点,划分为生产控制大区和管理信息大区。生产控制大区分为控制区(安全区I)和非控制区(安全区I)。信息管理大区分为生产管理区(安全区川)和管理信息区(安全区IV) 不同安全区确定不同安全防护要求,其中安全区I安全等级最高,安全区II次之,其余依次类推。
随着互联网、移动办公的兴起,然后一些外网的系统也要发送数据给电力网,电力系统又做了互联网大区,作为内网和外网交互的中间区域。
横向隔离 :
指不同区的终端互相不可以“直接”访问。隔离是为了安全防护,加强数据传输控制。隔离可以用在安全区之间,或者相同安全区的不同安全等级之间。原则上隔离最好是物理网络彻底断开,但区之间总是有业务交互存在的,通常采用“低安全区不可主动访问高安全区,高安全区向低安全区域推送数据”的释放。这时候的隔离可以进行数据单向、错时传输控制。
隔离的本质是数据访问与传输过滤,主机隔离、端口隔离数据库隔离、文件隔离、服务隔离等。物理隔离装置就是现在大家所说的网闸。安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据交换的网络安全设备
正向隔离:
安全等级高的主机将数据传输给安全等级低的主机。主要方式:如调度推送操作或量测数据给PMS
反向隔离:
安全等级低的主机将数据传输给安全等级高的主机,较少见,如PMS共享图模数据给调度
纵向加密:
指同一区内上级单位与下级单位的网络通讯需要加密传输。通常是省市县三级调度需要交互数据,通过纵向加密装置来创建vpn隧道传输实时及非实时的业务数据用的,因为一旦业务数据经过加密黑客即便获取了报文也不能破解,因为隧道两端的加解密公钥和私钥是-一对应的,这样就保证了电力网络的相对安全。
所以纵向加密所对应的实际的物理物品就是纵向加密装置以前 大多在 电网 公司内 部 使用,目前分布式发电广泛发展,很多地方都要求加装该设备接入电网公司调度网。
信息安全网络隔离装置:
即电力IV区和互联网大区的连接专用装置,目前见过的设备带以下功能:
1、只允许互联网大区主动请求内网;
2、只允许指定方式连接内网大区系统,如JDBC连接;
3、只允许指定数据内容交互,如限制为oracle dml sql通过:
4、通常携带有数据边路审计功能。
其他区域安全防护使用防火墙:
包括三四区内的纵向连接、互联网大区和外网(真互联网大区)之间的连接,采用防火墙加固。
这个就和IT公司说的防火墙一样了,防火墙一般在进行IP包转发的同时,通过对IP包的处理,实现对TCP会话的控制,但是对应用数据的内容不进行检查。这种工作方式无法防止泄密,也无法防止病毒和黑客程序的攻击。因为这些区域之间的数据通讯类型多种多样,比较难监控,目前是有在一些关键节点上做加装数据审计之类的装置。
调度双平面:
双平面:指的是调度一平面和调度二平面。
两个平面属于调度端和厂站端的中间的通讯通道。双平面是通过地调及以上的调度端路由去汇聚起来的。通过不同等级的路由器,进行数据划分传输,最终把数据全部汇集到两个平面里面。
直观理解就是一个A网,一个B网互为主备关系。属于一种几余策略,确保当其中一个平面完全奔溃了,另外一个平面依然可以正常工作。
无线专网区域:
电力公司租用电信部门的专线,使用VPN专用卡,该无线网络视为所属安全区域的延伸,如调度自动化使用的无线终端,视为I-1I区设备,不需要隔离。又如变电站巡视人员的内网作业终端,视为IV区延伸。
但对该网络的安全性有很大争议一是无线终端通常用在偏远无人的地区(像好的站房都走光纤),难以安全管理;二是依赖电信公司的网络节点,很难说他这个网络设备是不是真的做到“专用”,有过多次重复拆建的争论。但无线化总归是大趋势,特别是5G还炒作了很多久,最终应该还是会走无线化道路。
私网:
即独立组网,不与上述任何区域连接的真局域网,以往地市可以自建系统、或现在新建的系统暂时(也可能变永久)不被信通接收时,通常放在自己的网络内,采用专机查看。
典型的如早期的低压用电采集系统,不在调度网内,又不敢接入管理区,就是一个大专网。现在网络管理严了,私网很少见。
关注公众号
了解更多电源知识
公众号:智能电力网
加微信
购买调度自动化产品
微信号:17366154231