诚信 共赢 服务 创新
2009年,国家电网公司发布《智能变电站技术导则》企业标准,首次明确了智能变电站定义,并对智能变电站发展思路、建设理念提出了系统性要求。“十二五”发展规划中,将智能电网建设列入国家战略。“十三五”期间,国家电网公司还将继续推进智能电网和智能变电站建设,预计会再建8000多座智能变电站;因此,智能变电站一直是“坚强智能电网”的基石和重要支撑,是推动新一轮能源革命的基础平台之一。近年来,我国一直在坚定不移地推进智能变电站建设,同时我国智能变电站建设成果在国际推广时,具有极强的适应性和兼容性。
智能变电站采用三层两网设计,三层分别为过程层、间隔层和站控层,两网为过程层网络和站控层网络。
同时IEC61850标准是未来变电站发展建设的基础,是基于通用网络通信平台的变电站自动化系统唯一国际标准,对智能变电站内的设备提出了明确的要求,包括可靠性、可用性、时延等要求,如何针对变电站建立一套安全防护体系是目前需要考虑的问题。
主要问题如下:
(1)需抵御黑客、病毒、恶意代码、木马等通过各种形式对变电站系统发起的恶意破坏和攻击,防止变电站系统瘫痪。
(2)边界防护,需实现多区域的逻辑隔离、并进行报文过滤、访问控制等功能。
(3)智能变电站的关键设施需冗余备份,避免单点故障。
对于网络各个网络边界而言,每个单独地网络系统都是一个独立的网络安全区域,因此在网络边界处配置一台高性能防火墙系统,制定安全的访问策略,不仅可以有效地保护内部网络中的系统和数据安全,还可以防止各网络之间有意无意地探测和攻击行为。
通过防火墙可以把安全信任网络和非安全网络进行隔离。目前,防火墙主要是采取状态的包过滤技术,过滤模块位于TCP/IP网络协议的数据链路层和IP层之间,能够监控每一个通过网络的封包。可以根据每个数据包的源MAC地址、目的MAC地址、源IP地址、目的IP地址、协议、源端口、目的端口以及数据包通过的时间,决定是否对这个数据包予以放行,或者把它过滤掉。
防火墙作为网络边界安全防护设备,一直以来都是网络中不可缺少的“守门员”,十几年来,防火墙在网络边界大力提升了网络安全性并逐步摆脱了网络吞吐量瓶颈的障碍。
齐杉科技的下一代防火墙支持基于深度应用、协议检测、分析的入侵防御技术,能有效防御如DoS、代码攻击、病毒、后门黑客攻击或入侵的方法以及各种攻击手段,如扫描、嗅探、后门、恶意代码、拒绝服务、分布式拒绝服务、欺骗等各种攻击规则,实现L2~7层的安全防护。主要功能如下:
防范网络攻击事件:针对应急平台敏感数据处理区域,入侵防御功能采用细粒度检测技术,协议分析技术,误用检测技术,协议异常检测,可有效防止各种攻击和欺骗。针对端口扫描类、木马后门、缓冲区溢出、IP碎片攻击等进行监视和报警。
防范拒绝服务攻击:在防火墙进行边界防范的基础上,开启入侵防御功能能够应付各种SNA类型和应用层的强力攻击行为,包括消耗目的端的各种资源如网络带宽、系统性能等攻击。主要防范的攻击类型有TCP Flood,UDP Flood,Ping Abuse等;
审计、查询策略:能够完整记录多种应用协议(HTTP、FTP、SMTP、POP3、TELNET等)的内容。记录内容包括,攻击源IP、攻击类型、攻击目标、攻击时间等信息,并按照相应的协议格式进行回放,清楚再现入侵者的攻击过程,重现内部网络资源滥用时泄漏的保密信息内容。同时必须对重要安全事件提供多种报警机制。
通过部署双机设备,实现冗余,当主设备出现故障时,即刻切换至备设备,有效保证业务可靠。
通过部署齐杉科技的下一代防火墙,实现L2~7层的安全防护,针对变电站的安全加固手段有效提升变电站的安全防护能力,降低变电站的安全风险。
