电力调度数据网安全技术及其应用田日升

电力调度数据网安全技术及其应用田日升

(国网山西省电力公司天镇县供电公司山西大同037025)

摘要:以往相对传统的电网模式,已经不能适应当前电力资源需求不断增加的实际特点,传统电网容易出现各种安全问题,也不符合人民群众高质量用电服务的新需求。伴随着电力行业技术的发展,电力调度数据网安全技术则发挥了很好的作用,对于保护数据的安全、完整,进而帮助调整电力行业发展政策都具有非常好的作用。

关键词:电力调度;数据网;安全技术;应用

1电力调度数据网的安全风险影响因素

1.1物理媒质层

物理媒质层包括光缆、传输设备等设施。目前SGDnet以OPGW电力光缆为主,光传输设备的风险因素可以分为硬件和软件两部分,物理媒质层的风险因素包含在OPGW光缆和传输设备当中,而设备本身分为硬件和软件两部分,设备运行环境的风险因素包括机房环境及站点受自然灾害的影响,设备运行支持系统的风险因素包括用于配置及供电系统。

1.2传输层

(1)光传输设备的影响因素

第一,供电能源:光传输设备供电能源是否拥有较高的可靠性,对光传输设备的失效概率具有决定性作用。第二,光纤接续损耗:光纤接续损耗受光纤连接质量、光纤连接环境直接影响。第三,环境温度:温度对光纤传输设备的阈值等参数有直接影响。第四,光功率传输损耗:匹配状态下,光纤传输设备的输入功率能减少损耗。第五,自然灾害:自然灾害会破坏光纤传输设备,进而增加信号中断或衰减的风险。

(2)光链路

光链路的风险因素是光缆和光传输设备影响因素的集合。

1.3网络拓扑层

(1)网络的分层

SGDnet采用了分层式PE技术来部署MPLSVPN,使得不同网络层次对设备的要求不同,即:核心层设备对于业务的转发、路由和QoS参数等要求高,接入层设备对于业务的转发、路由和QoS参数要求相对较低。该技术的优点是在边缘场站的路由也可以部署VPN,且相对于所有层次设备性能相同的情况,降低了投资费用。文献针对不同层设备具有不同数据处理能力进行了建模研究,研究表明核心层节点和高介数线路对数据传输有较大影响,其故障会导致传输性能出现恶化和信息拥塞。

(2)网络的结构

结合实际系统,SGDnet可以分为星型和网型2种典型网络结构。星型网络结构中核心层的省调和备调直接相连,汇聚层的地调分别与核心层的双节点进行连接,接入层节点也采用双归的形式连接到相应汇聚层节点;网型结构的连接形式与星型有所差别,其汇聚层节点以环形或网状相连后再与核心层节点相连,接入层节点则大部分双归至所属汇聚层节点。有关文献通过对比分析调度数据网中的经典网络结构,得出结论表明调度数据网的结构对网络的安全指标(可靠性、脆弱性)有较大影响,具体表现为:星型结构较网状结构能更好的缓解信息拥塞程度,传输性能表现更好;在遭受攻击后,星型结构比网状结构显示出更严重的恶化程度,有较强的脆弱性;星型结构较网状结构不易发生连锁故障。

(3)SGDnet二平面建设

在单一路由平面的网络中,大多业务采用单机方式支持,虽然部分业务为提高网络可靠性采用双重化设备支持,但由于单平面承载的限制,设备双重化率的增加导致了系统与设备耦合度的提高。因此一旦发生故障,网络的可用性受到影响。双平面网络由于平面间的相对独立性,通过与业务层面的配合,业务可通过正常网络平面实现转发,可有效规避上述问题对业务的影响。因此,调度数据网络第二平面的建设,能够有效提升承载业务的可靠性和业务保障能力。

1.4业务组织层

在区域内的调度数据网中,存在着数量较多的路由器,网络拓扑错综复杂。在网络内组织业务数据进行传输,若出现链路或节点故障,会对业务造成风险影响。因此,在调度数据网的业务组织层中,主要存在着两种保护方式:

(1)OSPF协议的应用

在调度数据网中,一旦出现链路或节点设备故障失效的情况,需要将拓扑的变化情况发送至区域内路由器中,若不能及时将路由器内的路由信息进行更新,则会造成业务的中断。OSPF协议具有快速收敛能力,能够及时将拓扑的变化信息发至全网,且通过运算得到新的路由路径。但由于OSPF协议通过自身算法得到最短路径时只考虑了路由器接口带宽,不能较全面的覆盖承载业务的QoS。因此,路由协议的应用是业务传输风险的重要因素。

(2)路由冗余

在链路或节点设备发生故障时,路由器根据路由协议会进行路径的转换,从而保护业务的正常运行。同时,在网络建设方面,调度数据网在建设时大部分节点间配置了两条链路,主要目的是为了在其中一条链路失效后,另一条能够承担其全部功能,从而实现路由的自我调整。因此路由冗余是十分必要的。由于路由冗余的存在,导致业务传输存在三种主要形式,分别为:单路径业务,使用一条业务路径实现传输的业务;完全双路径业务,使用两条完全不相交的业务路径互为备用,共同实现1+1保护传输的业务;部分双路径业务,利用两条部分不相交的业务路径互为备用,共同实现1+1保护传输的业务。调度数据网的业务风险从网络拓扑入手,由于OSPF协议存在不确定性,计算得出的路由路径可以规划为其备用路径。

2电力调度数据网安全技术及其应用

2.1网路设备安全

网路基础设施安全是电力调度数据网安全的基础,因此非常有必要完善网络设备安全管理模式,提高设备安全性。主要包括:①增强物理安全,严格遵守相关法律法规和安全规范,保证机房建设安全可靠,严格做好防火、防水、防盗工作。机房必须保证能够为调度数据稳定电源,保持静电接地,具有防范电路截获,防电磁防放射功能;②保护网络设备上的账号安全。不断改进和完善用户管理制度,实行分账管理模式,确保设备控制的安全。例如,在每一级保护功能处设置口令和重要配置,禁止优先级较低的用户擅自更改设备。高优先级模式下必须设置访问密码,控制网段访问列表,禁止未登记用户名访问,同时重新设置账号中的加密存储口令、弱口令等;③保证配置安全,定期升级操作系统,严格检查配置文件的完整性,定期保存配置文件并及时进行备份,避免监控系统出现漏洞时,威胁到电力调度数据网。

2.2对VPN和虚拟局域网进行有效隔离

从理论上来看,按照一定的标准要求对虚拟局域网进行科学有效的划分,可以实现对电力调度数据网的有效逻辑分隔,从而将其划分成为了一个个相互不影响的子网网段,一旦其中一个网段出现问题,不会影响到其他的网段安全,这也把问题发生后的影响降到了最低。

2.3安全访问与恶意代码防范

通过有效控制访问敏感数据,可保证访问的安全性。按照实际需求,可使用VTY线路,来限制SSH用户的访问,或者是用TELNET登录方式代替SSH方式。或者严格控制网路协议流量、访问列表,限制非授权用户对SNMP的访问。随着电力调度数据网的不断完善,其网络设备更加智能化,便于对IP原路由功能进行操作,并且可直接屏蔽病毒常入侵的网络端口,或者是非业务系统端口。使用TCP连接或者是TCPkeepalive服务来监控路由,防范恶意代码入侵。

2.4应用接入安全

Web认证、MAC地址认证和802.1x认证是电力调度数据网常用的集中终端授权访问控制的方法。Web认证的方式比较便捷,无需安装复杂的软件,但其认证系统存在较大的安全隐患,容易出现网络堵塞,因此Web认证的安全性能一般。MAC地址认证比较简单、有效,但需要对所有用户的MAC地址进行记录,因此不适合用户较多和移动终端的情况,且其维护和配置都相对复杂。802.1x认证是一种认证策略,其具有逻辑端口和物理端口的双重性质,能够对认证端口进行辨别,除了802.1x的广播报文和认证协议,不允许其他端口通过。在实际应用过程中,可以根据电力调度数据网的实际情况来选择合适的认证方式,实现电力调度数据网的应用接入安全。

参考文献

[1]白茂楠.阿拉善供电公司电力调度数据网设计与实施[D].华北电力大学,2017.

[2]黄国伦.电力调度数据网网络安全管理系统设计[D].华北电力大学(北京),2017.

[3]高云.南昌地区电力调度数据网组网研究与提升设计[D].南昌大学,2015.

标签:;  ;  ;  

电力调度数据网安全技术及其应用田日升
下载Doc文档

猜你喜欢