机、横向互联硬件防火墙、正向隔离装置、纵向业务汇聚交换机、控制区纵向加密认证网关、非控制区纵向加密认证网关(纵向互联防火墙)、纵向NAT防火墙以及调度数据网路由器。这些设备均采取冗余备用结构。
数据通信机用于业务系统之间的横向及纵向数据通信。
图10 500kV及以上变电站二次系统安全区横向及纵向互联方案2拓扑图
控制区和非控制区的横向互联交换机用于各自区内有横向数据通信的业务系统的汇集接入、接入系统之间的访问控制、安全区的横向互联。为节约投资,也可将一台横向互联交换机划分成逻辑上相互独立的两部分,分别用作控制区横向互联交换机和非控制区横向互联交换机。
横向互联硬件防火墙部署在控制区与非控制区的网络边界上,用于控制区与非控制区网络的逻辑隔离,实现控制区有关业务与其它区域相关业务系统的横向数据通信。
正向隔离装置部署在非控制区与管理信息大区的网络边界,用于生产控制大区网络与管理信息大区网络的物理隔离,实现生产控制大区有关业务系统以正向单向方式向管理信息大区相关业务系统发送数据。
如变电站内无安全区之间的横向通信需求,可以不配横向互联交换机、横向
-32-
互联硬件防火墙以及正向隔离装置,如图10中横向互联防火墙虚线连接部分所示。
纵向业务汇聚交换机直接使用调度数据网已部署的接入交换机。通过采用逻辑隔离技术,将纵向业务汇聚交换机划分成逻辑上相互独立的控制区和非控制区,分别用于控制区和非控制区内纵向数据通信的业务系统的汇集接入、接入系统之间的访问控制、安全区纵向互联。
控制区纵向加密认证网关部署在纵向业务汇聚交换机的控制区和调度数据网路由器之间,用于本地控制区与远端控制区相关业务系统或业务模块之间网络数据通信的身份认证、访问控制和传输数据的加密与解密,保障系统连接的合法性和数据传输的机密性及完整性。
非控制区纵向加密认证网关(纵向互联防火墙)部署在纵向业务汇聚交换机的非控制区和调度数据网路由器之间,用于本地非控制区与远端非控制区相关业务系统或业务模块之间网络数据通信的访问控制。
纵向NAT防火墙部署在纵向业务汇聚交换机的控制区和非控制区之间,用于为跨安全区纵向数据传输提供NAT转换。无跨安全区纵向数据传输的变电站,可以不配纵向NAT防火墙。
500kV及以上变电站二次系统安全区横向及纵向互联方案2的配置要点如下:
(1)在纵向业务汇聚交换机的控制区上划分若干实时业务VLAN,各VLAN地址为调度数据网实时VPN的业务段地址,单独使用一个实时VLAN用于控制区业务系统的纵向互联。
(2)在纵向业务汇聚交换机的非控制区上划分若干非实时业务VLAN,各VLAN地址为调度数据网非实时VPN的业务段地址,单独使用一个VLAN用于非控制区业务系统的纵向互联。
(3)在纵向业务汇聚交换机上使用ACL功能对各VLAN实施访问控制,避免各VLAN间业务系统直接互通。
(4)如生产控制区内业务系统与本地其他业务系统间具有横向数据通信需求,可将业务系统分别接入各区横向互联交换机。启用横向防火墙的访问控制功能,实现生产控制大区业务系统间的本地安全通信。
-33-
(5)在正向隔离装置上配置内外网的业务系统虚拟访问地址及相应安全控制规则。
(6)控制区纵向加密认证网关和非控制区纵向加密认证网关(纵向互联防火墙)均采用透明工作方式。
(7)在控制区纵向加密认证网关和非控制区纵向加密认证网关(纵向互联防火墙)上配置安全控制规则。
(8)在控制区,若存在某些业务系统同时具有实时类数据(或控制类数据)和非实时类数据的纵向传输(例如:一体化系统保信子站,其接收主站下发的设置指令为控制类数据,而上传主站召唤的录波数据为非实时类。又如:PMU子站,其上传主站的相量和频率数据为实时类数据,而上传主站召唤的历史数据和录波数据为非实时类数据),为了使控制区的这些业务系统既可使用实时VPN传输实时类数据(或控制类数据)又可使用非实时VPN传输非实时类数据且不形成VPN之间纵向交叉连接,可采取如下方法:
1)在调度数据网非实时VPN内新增一段非实时业务地址,用于控制区业务系统非实时类数据的传输。
2)在纵向业务汇聚交换机的控制区和非控制区之间部署纵向NAT防火墙,将有跨区传输需求的控制区业务系统通信机实时VPN地址转换成非实时VPN地址,如图10中纵向纵向NAT防火墙虚线连接部分所示。
3)在纵向NAT防火墙上配置安全控制规则,对业务的传输方向、通信协议、通信机地址实施严格的访问控制。
12.2 220kV变电站二次系统安全防护结构规范 12.2.1 220kV变电站二次系统安全防护总体逻辑结构
220kV变电站二次系统总体逻辑结构如图11,该图示意了二次系统安全区域的划分、安全区域之间横向互联逻辑结构、安全区纵向互联逻辑结构以及网络安全防护设备的总体部署。图中虚线框和虚线部分表示不一定存在。
-34-
图11 220kV变电站二次系统安全防护总体逻辑结构示意图
220kV变电站二次系统分为生产控制大区和管理信息大区,其中生产控制大区分为控制区(安全区I)和非控制区(安全区II),管理信息大区可根据需要划分安全区或安全网段。对没有管理信息大区业务的变电站可不设立管理信息大区。
根据变电站二次系统和功能模块的特点、重要程度、数据流程和安全要求,各业务系统和功能模块按安全分区原则分别置于不同的安全区。
控制区的主要业务系统包括变电站自动化系统、变电站五防系统、广域相量测量装置、AVC子站、稳控系统执行站、具有设置功能的保信子站、安全自动控制装置、集控系统工作站等。
非控制区的主要业务包括电能量采集装置、继电保护装置、故障录波子站、无设置功能的保信子站。
管理信息大区的主要业务系统包括生产管理系统。对没有管理信息大区业务的变电站可不设立管理信息大区。
各安全区内具有纵向、横向数据通信业务的业务系统汇集接入各自安全区的
-35-
互联交换机;各安全区的互联交换机各自通过相应安全强度的安全防护设备横向连接不同的安全区域,纵向连接不同的广域网络。安全区域的横向互联和纵向互联有两个可选方案,见本规范12.2.2和12.2.3,各单位可根据以下原则进行选择:
(1)接入同一调度数据网的各节点应选用同一种方案。 (2)接入南网总调调度数据网的各节点必须选用方案2。 12.2.2 220kV变电站二次系统互联方案1实施细节
220kV变电站二次系统安全区横向及纵向互联方案1结构如图12。
图12 220kV变电站二次系统安全区横向及纵向互联方案1拓扑结构图
横向和纵向互联的主要设备包括各业务系统的数据通信机、横向互联交换机、横向互联硬件防火墙、正向隔离装置、纵向业务汇聚交换机、控制区纵向加密认证网关、非控制区纵向加密认证网关(纵向互联防火墙)、纵向NAT防火墙及调度数据网路由器。本规范中仅对单设备配置的情况进行描述,具备条件的变电站可参照500kV及以上变电站二次系统安全区横向及纵向互联方案1,结合自身实际情况,对关键设备采用冗余配置。
数据通信机用于业务系统之间的横向及纵向数据通信。
控制区和非控制区的互联交换机用于各自区内有纵、横向数据通信业务系统的汇集接入、接入系统之间的访问控制、安全区的横向及纵向互联。
-36-