非实时业务VLAN可通过二层或三层模式接入调度数据网。
(2)在各区纵向互联交换机上使用ACL功能实施访问控制,避免安全区域内各VLAN间业务系统直接互通。
(3)控制区纵向加密认证网关和非控制区纵向加密认证网关(硬件防火墙)均采用透明工作方式。
(4)在控制区纵向加密认证网关和非控制区纵向加密认证网关(硬件防火墙)上配置安全控制规则。
(5)在控制区,若存在某些业务系统同时具有实时类数据(或控制类数据)和非实时类数据的纵向传输(例如:保护信息系统,其下发的设置指令为控制类数据,而录波数据为非实时类数据。又如:WAMS系统,其周期采集的相量和频率数据为实时类数据,而人工召唤的历史数据和录波数据为非实时类数据),为了使控制区的这些业务系统既可使用实时VPN传输实时类数据(或控制类数据),又可使用非实时VPN传输非实时类数据且不形成VPN之间纵向交叉连接,可采取如下方法:
1)对于纵向互联交换机采用三层模式接入调度数据网的调度控制中心,可将控制区具有非实时数据传输的业务系统通信机外网口IP地址通过防火墙由实时VPN业务段的地址转换为非实时VPN业务段的地址。
2)对于纵向互联交换机采用二层模式接入调度数据网的调度控制中心,可为控制区具有非实时数据传输的业务系统通信机网卡配置两条路由,将非实时数据业务的网关指向横向防火墙内网口,通过防火墙的NAT功能将实时VPN业务段的地址转换为非实时段的地址。
3)在防火墙上应使用访问控制功能对转换后的地址实施严格的访问限制,其基本控制策略为:只允许转换后的地址正向访问非实时VPN网上的相关业务系统;禁止非实时VPN网上所有地址反向访问控制区业务系统。
(6)公网专用安全通信网关采用透明工作方式。
(7)生产控制大区业务系统采用公用数据网络进行应急通信的情况下,要求在生产控制大区的通信出口采用物理隔离措施,并在主站端部署公网专用安全通信网关,在业务终端部署公网专用安全通信装置。业务系统采用公用数据网络进行数据通信时,其内外网络互联结构见图5中虚线框部分。公网专用安全通信
-22-
网关应能与相应子站的公网专用安全通信装置进行身份认证并建立加密数据通信通道,实现业务系统的数据通信。
(8)加密装置管理系统通过独立部署的硬件防火墙接入调度数据网边界交换机。独立部署的硬件防火墙的基本控制策略为:只允许加密装置管理系统访问纵向加密认证网关;禁止外部网络访问加密装置管理系统。 11 地、县级调度控制中心二次系统安全防护结构规范 11.1 地、县级调度控制中心二次系统安全防护总体逻辑结构
地、县级调度控制中心二次系统安全防护总体逻辑结构如图6。该图示意了二次系统安全区域的划分、安全区域之间横向互联的逻辑结构、安全区纵向互联的逻辑结构以及网络安全防护设备的总体部署。图中虚线框和虚线部分表示不一定存在。
地、县级调度控制中心二次系统分为生产控制大区和管理信息大区,其中生产控制大区分为控制区(安全区I)和非控制区(安全区II),管理信息大区分为生产管理区(安全区Ⅲ)和管理信息区(安全区Ⅳ)。
按安全分区原则,各业务系统和功能模块分别置于不同的安全区: 控制区的主要业务系统包括调度自动化系统(SCADA/EMS)、集控系统、自动无功控制、稳控管理系统、具有保护定值下发、远方投退等控制功能的保信系统、配电自动化系统、负荷管理系统。
非控制区的主要业务包括电能量计量系统、调度员培训模拟系统、故障录波管理模块、不带控制功能的保信系统。
-23-
图6 地、县级调二次系统安全防护总体逻辑结构示意图
生产管理区的主要业务系统包括调度信息披露系统、雷电监测系统、生产控制大区系统(如SCADA/EMS、保护信息系统、配电自动化系统、电能量计量系统等)在管理信息大区的发布系统、调度生产管理用户终端。
管理信息区的主要业务系统包括企业管理信息系统(MIS)、办公自动化系统(OA)、统计报表系统、气象信息、客户服务系统、对外信息发布、Internet访问等。
各安全区内具有纵向、横向数据通信业务的业务系统汇集接入各自安全区的互联交换机;各安全区的互联交换机各自通过相应安全强度的安全防护设备横向连接不同的安全区域,纵向连接不同的广域网络。安全区的横向互联和纵向互联细节见本规范11.2。
11.2 地、县级调度控制中心二次系统安全区横向及纵向互联实施细节
对于具备条件的地、县级调度控制中心,可参照本规范10.2和10.3省级及以上调度控制中心二次系统安全区横向及纵向互联拓扑结构进行建设,但在设备冗余备用上可适当简化。
地、县级调度控制中心二次系统安全区横向及纵向互联可采用图7所示拓扑结构。
-24-
图7 地、县级调度控制中心二次系统安全区横向及纵向互联拓扑结构图
横向和纵向互联的主要设备包括各业务系统的数据通信机、互联交换机、横向互联硬件防火墙、正向隔离装置、反向隔离装置、控制区纵向加密认证网关、非控制区纵向加密认证网关(硬件防火墙)、公网专用安全通信网关和调度数据网网络设备,这些设备均应采用冗余备用结构,其中正向隔离装置、反向隔离装置可根据实际需求以及互联结构,适当增加配置数量。
数据通信机用于业务系统之间的横向及纵向数据通信。
互联交换机用于有纵、横向数据通信的业务系统的汇集接入、接入系统之间的访问控制和安全区的横向及纵向互联。
横向互联硬件防火墙部署在控制区与非控制区的网络边界上,用于控制区与非控制区网络的逻辑隔离,实现对控制区有关业务与其它区域相关业务系统的横向数据通信的访问控制。
正、反向隔离装置部署在非控制区与管理信息大区的网络边界,用于生产控制大区网络与管理信息大区网络的物理隔离,实现生产控制大区有关业务系统以正向单向方式向管理信息大区相关业务系统发送数据;管理信息大区相关业务系统以反向单向方式向生产控制区相关业务系统导入纯文本数据。
控制区纵向加密认证网关部署在控制区与调度数据网实时VPN之间,用于本地控制区与远端控制区相关业务系统或业务模块之间网络数据通信的身份认证、访问控制和传输数据的加密与解密,保障系统连接的合法性和数据传输的机
-25-
密性及完整性。
非控制区纵向加密认证网关(硬件防火墙)部署在非控制区与调度数据网络非实时VPN之间,用于本地非控制区与远端非控制区相关业务系统或业务模块之间网络数据通信的访问控制。
公网专用安全通信网关部署在主站端生产控制大区与公用数据网络之间,用于本地生产控制大区与公用数据网络之间物理隔离,以及生产控制大区涉公用数据网络业务系统与业务终端之间的身份认证和传输数据的加密与解密,保障系统连接的合法性和数据传输的机密性及完整性。
地、县级调度控制中心二次系统安全区横向及纵向互联的配置要点如下: (1)在控制区互联交换机上划分若干实时业务VLAN,各VLAN地址为调度数据网实时VPN的业务段地址;实时VLAN中,有两个VLAN分别用于控制区的横向互联和纵向互联,其余VLAN分别用于控制区内不同类别业务系统的接入。
(2)在非控制区互联交换机上划分若干非实时业务VLAN,各VLAN地址为调度数据网非实时VPN的业务段地址,非实时VLAN中,有两个VLAN分别用于非控制区的横向互联和纵向互联,其余VLAN分别用于非控制区内不同类别业务系统的接入。
(3)在控制区互联交换机和非控制区互联交换机上使用ACL功能对各VLAN实施访问控制,避免安全区域内各VLAN间业务系统直接互通。
(4)对于控制区具有横向数据通信的系统,可将其数据通信机上实时VPN业务段的IP地址通过横向互联的防火墙转换为非实时VPN业务段的地址,并且使用防火墙访问控制功能对转换后的地址实施访问限制。
(5)配置正向及反向隔离装置内外网的业务系统虚拟访问地址及相应安全控制规则。
(6)控制区纵向加密认证网关和非控制区纵向加密认证网关(硬件防火墙)均采用透明工作方式。
(7)在控制区纵向加密认证网关和非控制区纵向加密认证网关(硬件防火墙)上配置安全控制规则。
(8)在控制区,若存在某些业务系统同时具有实时类数据(或控制类数据)
-26-