和非实时类数据的纵向传输(例如:EMS与保护信息一体化系统,其EMS系统接收的远动数据为实时类数据,保护定值下装、压板远方投、退指令为控制类数据,而录波数据为非实时数据),为了使控制区的这些业务系统既可使用实时VPN传输实时类数据(或控制类数据),又可使用非实时VPN传输非实时类数据且不形成VPN之间纵向交叉连接,可采取如下方法:
1)将控制区具有非实时数据传输的业务系统通信机外网口IP地址通过防火墙由实时VPN业务段的地址转换为非实时段的地址;
2)通过防火墙对转换后的地址实施严格的访问控制,其基本的访问控制策略为,只允许转换后的地址正向访问调度数据网非实时VPN网上的相关业务系统;禁止非实时VPN网上所有地址反向访问调度控制中心控制区业务系统。
(9)公网专用安全通信网关采用透明工作方式。
(10)在生产控制大区的某些业务系统采用公用数据网络进行数据通信的情况下,要求在生产控制大区的通信出口采用物理隔离措施,并在主站端部署公网专用安全通信网关,在业务终端部署公网专用安全通信装置。业务系统采用公用数据网络进行数据通信时,其内外网络互联结构见图7中虚线框部分。公网专用安全通信网关应能与相应子站的公网专用安全通信装置进行身份认证并建立加密数据通信通道,实现业务系统的数据通信。
(11)加密装置管理系统通过独立部署的硬件防火墙接入调度数据网边界交换机。独立部署的硬件防火墙的基本控制策略为:只允许加密装置管理系统访问纵向加密认证网关;禁止外部网络访问加密装置管理系统。 12 变电站二次系统安全防护结构规范
12.1 500kV及以上变电站二次系统安全防护结构规范 12.1.1 500kV及以上变电站二次系统安全防护总体逻辑结构
500kV及以上变电站二次系统安全防护总体逻辑结构如图8。该图示意了二次系统安全区域的划分、安全区域之间横向互联的逻辑结构、安全区纵向互联的逻辑结构以及网络安全防护设备的总体部署。图中虚线框和虚线部分表示不一定存在。
-27-
图8 500kV及以上变电站二次系统安全防护总体逻辑结构示意图
500kV及以上变电站二次系统分为生产控制大区和管理信息大区,其中生产控制大区分为控制区(安全区I)和非控制区(安全区II),管理信息大区可根据需要划分安全区或安全网段。
根据变电站二次系统和功能模块的特点、重要程度、数据流程和安全要求,各业务系统和功能模块按安全分区原则分别置于不同的安全区。
控制区的主要业务系统包括变电站自动化系统、变电站五防系统、广域相量测量装置、稳控系统(控制主站/控制子站)、继电保护装置、具有设置功能的保信子站、安全自动控制装置、集控工作站等。
非控制区的主要业务包括电能量采集装置、故障录波子站、无设置功能的保信子站。
管理信息大区的主要业务系统包括生产管理系统。对没有管理信息大区业务的变电站可不设立管理信息大区。
各安全区内具有纵向、横向数据通信业务的业务系统汇集接入各自安全区的互联交换机;各安全区的互联交换机各自通过相应安全强度的安全防护设备横向连接不同的安全区域,纵向连接不同的广域网络。安全区域的横向互联和纵向互
-28-
联有两个可选方案,见本规范12.1.2和12.1.3,各单位可根据以下原则进行选择:
(1)接入同一调度数据网的各节点应选用同一种方案。 (2)接入南网总调调度数据网的各节点必须选用方案2。 12.1.2 500kV及以上变电站二次系统互联方案1实施细节
500kV及以上变电站二次系统安全区横向及纵向互联方案1结构如图9。 横向和纵向互联的主要设备包括各业务系统的数据通信机、互联交换机、横向互联硬件防火墙、正向隔离装置、控制区纵向加密认证网关、非控制区纵向加密认证网关(硬件防火墙)以及调度数据网网络设备。这些设备均采取冗余备用结构。
数据通信机用于业务系统之间的横向及纵向数据通信。
控制区和非控制区的互联交换机用于各自区内有纵、横向数据通信的业务系统的汇集接入、接入系统之间的访问控制、安全区的横向及纵向互联。
横向互联硬件防火墙部署在控制区与非控制区的网络边界上,用于控制区与非控制区网络的逻辑隔离,实现控制区有关业务与其它区域相关业务系统的横向数据通信。
正向隔离装置部署在非控制区与管理信息大区的网络边界,用于生产控制大区网络与管理信息大区网络的物理隔离,实现生产控制大区有关业务系统以正向单向方式向管理信息大区相关业务系统发送数据。
控制区纵向加密认证网关部署在控制区与调度数据网实时VPN之间,用于本地控制区与远端控制区相关业务系统或业务模块之间网络数据通信的身份认证、访问控制和传输数据的加密与解密,保障系统连接的合法性和数据传输的机密性及完整性。
-29-
图9 500kV及以上变电站二次系统安全区横向及纵向互联方案1拓扑图
非控制区纵向加密认证网关(硬件防火墙)部署在非控制区与调度数据网络非实时VPN之间,用于本地非控制区与远端非控制区相关业务系统或业务模块之间网络数据通信的访问控制。
500kV及以上变电站二次系统安全区横向及纵向互联方案1的配置要点如下:
(1)在控制区互联交换机上划分若干实时业务VLAN,各VLAN地址为调度数据网实时VPN的业务段地址,实时VLAN中,有两个VLAN分别用于控制区的横向互联和纵向互联,其余VLAN分别用于控制区内不同类别业务系统的接入。
(2)在非控制区互联交换机上划分若干非实时业务VLAN,各VLAN地址为调度数据网非实时VPN的业务段地址,非实时VLAN中,有两个VLAN分别用于非控制区的横向互联和纵向互联,其余VLAN分别用于非控制区内不同类别业务系统的接入。
(3)在控制区互联交换机和非控制区互联交换机上使用ACL功能对各VLAN实施访问控制,避免安全区域内各VLAN间业务系统直接互通。
-30-
(4)对于控制区具有横向数据通信的系统,可将其数据通信机上实时VPN业务段的IP地址通过横向互联的防火墙转换为非实时VPN业务段的地址,并且使用防火墙访问控制功能对转换后的地址实施访问限制。
(5)在正向隔离装置上配置内外网的业务系统虚拟访问地址及相应安全控制规则。
(6)控制区纵向加密认证网关和非控制区纵向加密认证网关(硬件防火墙)均采用透明工作方式。
(7)在控制区纵向加密认证网关和非控制区纵向加密认证网关(硬件防火墙)上配置安全控制规则。
(8)业务系统通信机的网关地址为该机所接入VLAN的网关地址;控制区互联交换机上路由到非控制区业务网段的网关地址为横向互联防火墙的内部网口地址,路由到调度数据网实时VPN的下一跳地址为调度数据网网络设备上的实时VPN业务段连接地址;非控制区互联交换机上路由到调度数据网非实时VPN的下一跳地址为调度数据网网络设备上的非实时VPN业务段连接地址。
(9)在控制区,若存在某些业务系统同时具有实时类数据(或控制类数据)和非实时类数据的纵向传输(例如:一体化系统保信子站,其接收主站下发的设置指令为控制类数据,而上传主站召唤的录波数据为非实时类。又如:PMU子站,其上传主站的相量和频率数据为实时类数据,而上传主站召唤的历史数据和录波数据为非实时类数据),为了使控制区的这些业务系统既可使用实时VPN传输实时类数据(或控制类数据)又可使用非实时VPN传输非实时类数据且不形成VPN之间纵向交叉连接,可采取如下方法:
1)将控制区具有非实时数据传输的业务系统通信机外网口IP地址通过横向互联防火墙由实时VPN业务段地址转换为非实时段的地址;
2)通过防火墙对转换后的地址实施严格的访问控制,其访问控制策略为,只允许主站有通信需求的非实时VPN业务段地址(主机地址)及业务TCP端口访问转换后的地址。
12.1.3 500kV及以上变电站二次系统互联方案2实施细节
500kV及以上变电站二次系统安全区横向及纵向互联方案2结构如图10。 横向和纵向互联的主要设备包括各业务系统的数据通信机、横向互联交换
-31-