无码成人A片在线观看,性欧美videofree高清变态,中文字幕有码无码av,国产无人区卡一卡二扰乱码 ,最近高清日本免费

周士躍，王勁松，金小達

（江蘇省鹽城供電公司電網(wǎng)調(diào)度通信中心，江蘇省 鹽城市 224002）

    摘  要：隨著信息技術(shù)和網(wǎng)絡技術(shù)在電力生產(chǎn)中的應用，在變電站與調(diào)度自動化系統(tǒng)間傳輸數(shù)據(jù)已經(jīng)實現(xiàn)，同時調(diào)度自動化系統(tǒng)與電力生產(chǎn)中其它系統(tǒng)間也進行了互聯(lián)，因此調(diào)度實時系統(tǒng)和變電站計算機網(wǎng)絡的安全問題也越來越引起人們的關(guān)注。文中結(jié)合鹽城電網(wǎng)的實際情況，提出了相應的系統(tǒng)安全策略和信息安全策略，重點介紹了調(diào)度主站系統(tǒng)和變電站的網(wǎng)絡安全技術(shù)：防火墻技術(shù)、多層次防護策略、入侵檢測系統(tǒng)。
    關(guān)鍵詞：調(diào)度自動化系統(tǒng)；變電站自動化系統(tǒng)；網(wǎng)絡安全；多層次防護策略；防火墻；入侵檢測系統(tǒng)

1 引言    隨著近幾年國家對電力工業(yè)投資的不斷增長，電力通信網(wǎng)絡也取得了長足的發(fā)展，電力調(diào)度四級數(shù)據(jù)網(wǎng)建設和變電站網(wǎng)絡傳輸通信協(xié)議（IEC 60870-5-104）的推廣應用，使得實時數(shù)據(jù)網(wǎng)絡的規(guī)模越來越大。一個地市級供電公司的調(diào)度自動化系統(tǒng)（Dispatching Automation System，DAS）中就包括以下系統(tǒng)：DMIS（調(diào)度管理信息系統(tǒng)）、基于MIS的WEB服務系統(tǒng)、配網(wǎng)自動化（DA）系統(tǒng)、負荷預報系統(tǒng)、負荷控制中心系統(tǒng)、省市三級數(shù)據(jù)網(wǎng)系統(tǒng)（通信規(guī)約采用Tase2.0）、市縣四級數(shù)據(jù)網(wǎng)系統(tǒng)等。隨著IEC 60870-5-104規(guī)約的推廣應用，變電站與主站間也采用了網(wǎng)絡互聯(lián)。由于網(wǎng)絡技術(shù)的普及，以及變電站控制系統(tǒng)大部份為Windows操作系統(tǒng)，使得系統(tǒng)和變電站極易成為網(wǎng)絡黑客和破壞分子的攻擊對象，甚至有可能導致一次系統(tǒng)的振蕩和大范圍停電事故，造成極大的經(jīng)濟損失，嚴重損害社會效益。為了探索電力工業(yè)網(wǎng)絡安全和信息安全問題，本文以鹽城電網(wǎng)實際系統(tǒng)為例，分析了數(shù)據(jù)實時網(wǎng)絡的安全和風險，并提出了相應的措施。
2 鹽城調(diào)度實時網(wǎng)絡現(xiàn)狀
圖1為鹽城DAS與其它系統(tǒng)間互聯(lián)的示意圖。

    由圖1可見，調(diào)度自動化系統(tǒng)（DAS）與多個系統(tǒng)間以直接或間接方式互聯(lián)，彼此之間缺少必要的安全隔離措施。由于調(diào)度多種業(yè)務需要分別訪問實時系統(tǒng)和MIS，而DMIS與MIS尚未分離，致使調(diào)度端系統(tǒng)易受外網(wǎng)黑客和蓄意破壞者和病毒的攻擊。同時，電力調(diào)度的自動化系統(tǒng)管理人員和其它系統(tǒng)維護人員對計算機網(wǎng)絡安全和信息安全的意識不強，缺乏系統(tǒng)的安全口令管理和關(guān)鍵信息加密傳輸，自動化系統(tǒng)內(nèi)部還有遠程撥號這種安全檢查較弱的入口，使系統(tǒng)的網(wǎng)絡安全和信息安全得不到有效保護。
    圖2為鹽城DAS與廠站和縣調(diào)轉(zhuǎn)發(fā)系統(tǒng)的互聯(lián)的示意圖。

    中國加入WTO后，與國際接軌是必然趨勢，遠動傳輸規(guī)約也從原來使用的非國際標準的CDT和N4F向國際標準IEC60870-5-101（專線傳輸）和IEC60870-5-104（網(wǎng)絡傳輸）轉(zhuǎn)變。而且隨著通信網(wǎng)絡的健全，IEC60870-5-104將是遠動傳輸?shù)闹饕��?guī)約。如圖2所示，變電站在調(diào)度端通過交換機構(gòu)成了一個互聯(lián)互通的網(wǎng)絡，同時由于變電站系統(tǒng)大多是Windows操作系統(tǒng)，若有一個站點被病毒或入侵者控制，則會影響到所有站點的正常運行，對變電站和電網(wǎng)的正常運行構(gòu)成極大的威脅。
    圖3為典型的變電站自動化系統(tǒng)的結(jié)構(gòu)的示意圖^[1]。如圖3所示，變電站網(wǎng)絡和信息安全問題主要來自變電站所連接的外部網(wǎng)絡，使變電站與其它系統(tǒng)的通信可能被非法截獲，并在截獲的基礎上對信息進行篡改或偽造成合法信息發(fā)往調(diào)度主站系統(tǒng)或變電站自動化系統(tǒng)，從而影響調(diào)度員或運行人員的判斷，進而控制變電站甚至電網(wǎng)。
    隨著四級數(shù)據(jù)網(wǎng)的建設的深入，市縣調(diào)度實時數(shù)據(jù)聯(lián)網(wǎng)和調(diào)度應用系統(tǒng)聯(lián)網(wǎng)已成為可能，而且是發(fā)展的趨勢，因此任何一級的網(wǎng)絡和信息安全隱患或漏洞，都有可能擴大為全網(wǎng)的隱患或漏洞，對全網(wǎng)系統(tǒng)造成影響。因此網(wǎng)際的安全隔離措施、信息安全是組網(wǎng)時必須考慮的問題。

3  數(shù)據(jù)網(wǎng)絡安全策略

（1）多層次防護策略
    所謂多層次防護策略就是應用和實施一個基于多層次安全系統(tǒng)的全面信息安全策略，在各個層次上部署相關(guān)的網(wǎng)絡安全產(chǎn)品以增加攻擊者侵入時所需花費的時間、成本和資源，從而有效地降低被攻擊的危險，達到安全防護的目標。目前，多層次防護已經(jīng)成為網(wǎng)絡安全的主流策略。
    （2）入侵檢測技術(shù)
    入侵檢測系統(tǒng)是指監(jiān)視（或者在可能的情況下阻止）入侵或者試圖控制DAS和網(wǎng)絡資源等不良行為的系統(tǒng)。入侵檢測系統(tǒng)是近年出現(xiàn)的新型網(wǎng)絡安全技術(shù)，其目的是提供實時的入侵檢測及采取相應的防護手段。選擇入侵檢測系統(tǒng)時，應特別注意其主要性能，包括：協(xié)議分析及檢測能力、解碼效率(速度)、自身安全的完備性、精確度及完整度／防欺騙能力、模式更新速度，等等。
    入侵檢測系統(tǒng)是分層安全中日益被普遍采用的手段，它能有效地提升黑客進入網(wǎng)絡系統(tǒng)的門檻。入侵監(jiān)測系統(tǒng)能夠通過向管理員發(fā)出入侵或者入侵企圖警報來加強當前的存取控制系統(tǒng)，例如防火墻。它能識別防火墻通常不能識別的攻擊，如來自企業(yè)內(nèi)部的攻擊；在發(fā)現(xiàn)入侵企圖之后提供必要的信息，幫助系統(tǒng)移植防火墻。
    （3）防火墻技術(shù)
    通過有選擇地拒絕非法端口，允許合法的TCP/IP數(shù)據(jù)流通過，防火墻技術(shù)[2]可以保證內(nèi)部網(wǎng)的數(shù)據(jù)和資源不會流向非法地點。
    由于入侵檢測系統(tǒng)有漏洞存在，防火墻就成為多層安全防護中必要的一層。防火墻為了提供穩(wěn)定可靠的安全性，必須跟蹤流經(jīng)它的所有通信信息。為了達到控制目的，防火墻首先必須獲得所有通信層和其它應用的信息，然后存儲這些信息，還要能夠重新獲得以及控制這些信息。防火墻僅檢查獨立的信息包是不夠的，因為狀態(tài)信息是控制新的通信連接的最基本的因素。對于某一通信連接，通信狀態(tài)（以前的通信信息）和應用狀態(tài)（其他的應用信息）是對該連接做控制決定的關(guān)鍵因素。因此，為了保證高層的安全，防火墻必須能夠訪問、分析和利用通信信息、通信狀態(tài)及應用狀態(tài)，并進行信息處理（基于以上所有元素的靈活的表達式的估算）。
    （4）防病毒軟件
    防病毒軟件的應用也是多層安全防護的一項必要措施。它是專門為防止已知和未知的病毒感染信息系統(tǒng)而設計的。它的針對性很強，但是需要不斷更新，而且存在一定的片面性。
4  鹽城調(diào)度實時網(wǎng)絡的安全策略
4.1  調(diào)度自動化系統(tǒng)與其它系統(tǒng)互聯(lián)的安全措施
    首先，將圖1中所示的各子系統(tǒng)組成相互獨立網(wǎng)段的子網(wǎng)，特別是將DMIS從MIS中分離出來獨立組網(wǎng)[3]。
    在系統(tǒng)互聯(lián)中選擇屏蔽子網(wǎng)體系結(jié)構(gòu)的防火墻，將安全等級要求最高的調(diào)度自動化EMS作為內(nèi)部網(wǎng)；將負荷預測、電量采集與計費系統(tǒng)、DMIS、值班系統(tǒng)、通信網(wǎng)監(jiān)控系統(tǒng)等作為中間層應用網(wǎng)；MIS則構(gòu)成外網(wǎng)。在內(nèi)部網(wǎng)和中間層應用網(wǎng)之間用內(nèi)部路由器相聯(lián)，對進出的數(shù)據(jù)包進行過濾，在中間層應用網(wǎng)和外網(wǎng)之間設置外部路由器，并在中間層設堡壘主機，它對外作為訪問的入口，對內(nèi)則作為代理服務器，使內(nèi)部用戶經(jīng)由它間接訪問外部服務器[4]。
    由于防火墻無法防范病毒和內(nèi)部攻擊，且只能按照固定的工作模式來防范已知的威脅，因此可在系統(tǒng)加裝入侵檢測系統(tǒng)（IDS），在內(nèi)外網(wǎng)聯(lián)接處的兩側(cè)和重要工作站加裝網(wǎng)絡監(jiān)測器和控制臺，為網(wǎng)絡提供實時的入侵檢測。同時關(guān)閉系統(tǒng)內(nèi)服務器和工作站的不必要的服務進程（FTP-Server、Telnet-Server等），建立必要的系統(tǒng)口令的管理和修改周期規(guī)定，以對各個系統(tǒng)中的遠程撥號進行管理，它們在非工作狀態(tài)時應關(guān)閉。在重要系統(tǒng)工作站中安裝防病毒軟件，并對病毒樣本庫定期更新。
圖4為采用安全策略后DAS與其它系統(tǒng)間互聯(lián)的示意圖。對圖4中三層交換機A的每一端口進行配置，并對各端口的訪問地址進行限制，以免造成中間層網(wǎng)絡系統(tǒng)互聯(lián)的局面。

4.2  調(diào)度自動化系統(tǒng)的安全措施
    為了確保調(diào)度自動化系統(tǒng)的安全可靠，將SD6000服務器上的 Web服務功能進行剝離，建立獨立的SD6000對外服務+Web工作站，關(guān)閉系統(tǒng)內(nèi)服務器和工作站的不必要的服務進程（FTP-Server、Telnet-Server等）。將原系統(tǒng)內(nèi)的遠程撥號服務移到獨立的SD6000對外服務+Web工作站上，同時，在正常情況下關(guān)閉系統(tǒng)內(nèi)的遠程撥號維護MODEM，經(jīng)身份確認后方可允許撥號登錄修改。
    圖5為DAS與廠站和縣調(diào)系統(tǒng)互聯(lián)時采用的安全策略的示意圖。并限制圖5中交換機的每一端口進行配置，對各端口的訪問地址，以免造成變電站網(wǎng)絡系統(tǒng)互聯(lián)的局面。在內(nèi)外網(wǎng)聯(lián)接處的兩側(cè)和重要工作站加裝網(wǎng)絡監(jiān)測器，為網(wǎng)絡提供實時的入侵檢測。為了維護調(diào)度實時數(shù)據(jù)網(wǎng)絡和變電站系統(tǒng)間信息的安全傳輸，應提倡對遙控、重要遙測、重要遙信報文進行加密傳輸。
4.3  變電站自動化系統(tǒng)的安全措施
    為了確保變電站自動化系統(tǒng)的安全運行，在正常情況下關(guān)閉變電站內(nèi)的遠程撥號維護MODEM，經(jīng)身份確認后方可允許撥號登錄修改。

    在變電站內(nèi)的每個工作站加裝防病毒軟件，并建立定期升級病毒標本庫的制度。若遠動工作站為Windows或Unix操作系統(tǒng)，還要在工作站上加裝軟件放火墻，或設置操作系統(tǒng)內(nèi)的路由表文件，對通信的IP地址進行限制，以防造成變電站之間可以互訪的情況。應提倡對在遙控、重要遙測、重要遙信報文進行加密傳輸。站內(nèi)系統(tǒng)和通信工作站之間應通過IP網(wǎng)絡地址分段隔離。

4.4  四級數(shù)據(jù)網(wǎng)建設對市縣調(diào)度數(shù)據(jù)網(wǎng)絡的安全措施原則
    首先，在建設四級數(shù)據(jù)網(wǎng)時，應嚴禁市縣調(diào)度實時系統(tǒng)和各應用系統(tǒng)經(jīng)過四級網(wǎng)簡單互聯(lián)，并充分考慮安全隔離措施。其次，對市縣調(diào)度通過IEC60870-5-104規(guī)約同時直收的廠站應考慮在主備通信工作站上加裝雙網(wǎng)卡，并分配不同網(wǎng)段的IP地址（該地址可由市基調(diào)度同意規(guī)劃分配）。再者，站內(nèi)系統(tǒng)和通信工作站之間應通過IP網(wǎng)絡地址分段隔離。
5  結(jié)束語
    從技術(shù)方面看，任何安全防護都不能百分之百地起到保護作用，任何安全體系都有漏洞和薄弱環(huán)節(jié)，如果擁有多層安全防護系統(tǒng)，那么，黑客或破壞者滲透進來的成本將更高，他們就需要更多的資源，而這種條件是大多數(shù)潛在的黑客達不到的。多層安全防護系統(tǒng)使得入侵者更可能放棄對系統(tǒng)的攻擊。網(wǎng)絡安全的技術(shù)發(fā)展很快，對安全體系管理人員的技術(shù)水平提出了很高的要求。不同的系統(tǒng)和不同的通信傳輸網(wǎng)絡都有各自的特點，建立安全體系時都要加以考慮，并在考慮安全體系投資的大小后，選擇一種投資省效果好的方案。建立安全體系時不應忽略建設安全體系管理制度的重要性，只有將安全技術(shù)和安全管理制度有機地結(jié)合起來才能產(chǎn)生事半功倍的效果。

參考文獻

[1]   高卓，羅毅，涂光瑜（Gao Zhou，Luo Yi，Tu Guangyu）．變電站的計算機網(wǎng)絡安全分析（Analysis of computer network security in subsations）．電力系統(tǒng)自動化（Automation of Power Systems），2002，26(1)：53-57．
[2]   王先培，熊平，李文武（Wang Xianpei，Xiong Ping，Li Wenwu）．防火墻和入侵檢測系統(tǒng)在電力企業(yè)信息網(wǎng)絡中的應用（Application of firewall and IDS in the information network for power enterprises）． 電力系統(tǒng)自動化（Automation of Power Systems），2002，26(5)：60-63．
[3]   熊桂喜．計算機網(wǎng)絡[M]．北京：清華大學出版社，1999．
[4]   周海默．用多層防護構(gòu)筑網(wǎng)絡安全[P]．中國計算機報，2001，08，28．