电力数据网络隔离机制的安全性分析_NoRestriction.pdfVIP

电力数据网络隔离机制的安全性分析 徐 磊 (华北电力大学计算机科学与技术学院，北京102206) 摘要：电力一体化信息平台的建设和电力营销业务基于网络的展开，使不同业务系统之间、不同网络安全 域之间的数据共享和交换需求越来越多。重点讨论安全防护体系中各种网络安全隔离机制，从网络协议体 系的角度上给出物理隔离和逻辑隔离的定义及概念界定，逐一分析了不同隔离技术的安全性和脆弱性，在安 全性分析的基础上给出了相应的部署建议。 关键词：网络信息安全；网络隔离；安全防护；电力数据网 可以细分为物理媒体隔离和物理信道隔离。 0 引言 1)物理媒体隔离：对网络中物理传输媒体上以 电、磁或光形式所传输的信号的隔离。物理媒体隔离 为实现电力集团企业的统一信息系统平台的 是最严格的隔离机制。为实现物理媒体隔离，常采用 目标，电力企业的信息化强调建立企业的信息基础 的技术是：设备独立(包括网络设备和终端设备)、传 平台和架构，整合企业信息资源和应用，加强企业 输线路独立、电磁屏蔽(防电磁泄露)等技术。 操作层的应用系统的系统性、管理层的集约性、决 2)物理信道隔离：基于物理信道的隔离是指对 策的可控性。由此所带来的业务系统之问的基于 不同信道之问传输的模拟信号或比特流进行隔离， 网络的数据共享和数据交换也越来越多；另一方 包括任何基于物理层调制或编码的如时分多路、频 面，电力体制和机制改革后，电力市场的运营及营 分复用、码分复用、波分复用信道的隔离。电力数 销活动基于网络平台展开，驱使电力系统的数据网 据网络一般采用基于SI)H通道的隔离。 络提供外向性的门户，以上2个因素，使电力企业信 (2)逻辑隔离：数据链路层及以上的隔离都可 息系统的决策和建设人员必须从新的视角考察信 以被认为是逻辑隔离。常采用的技术有：基于VPN 息网络的安全机制。在电力系统信息化建设的同 的隔离、基于标记交换虚电路的隔离、基于VLAN的 时做到安全防护措施必须到位。 隔离。 电力二次系统安全防护需要遵循“安全分区、 表1 通信网络隔离技术的分类 网络专用、横向隔离、纵向认证”的原则。但如何在 物理隔离 逻辑隔离 各安全区之间和不同业务系统之问选择适当安全 物理媒体隔离 物理信道隔离 第2层隔离 第3层隔离 强度的网络隔离机制，是需要认真对待的问题。因 设备独立 基于SDH通基于交换机的 基于MPI．．S 此，有必要对目前不同网络隔离技术的安全性和脆 传输线独立 道的隔离 VLAN的隔离VPN的逻辑 弱点进行深入的分析。