本文根據(jù)電網(wǎng)涉網(wǎng)廠站網(wǎng)絡(luò)安全防護(hù)現(xiàn)狀，詳細(xì)介紹了新能源電站橫向隔離裝置的基本功能與作用。橫向隔離應(yīng)采用不同強(qiáng)度的安全設(shè)備隔離各個(gè)安全區(qū)，在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間必須部署經(jīng)國(guó)家指定部門(mén)檢測(cè)認(rèn)證的電力專(zhuān)用橫向單向安全隔離裝置，橫向隔離分為正向隔離與反向隔離，正向隔離只出不進(jìn)，反向隔離只進(jìn)不出，都是單向訪問(wèn)，在一定程度上保護(hù)了電力系統(tǒng)的網(wǎng)絡(luò)安全。

橫向隔離是電力二次安防的重要設(shè)備，它在網(wǎng)絡(luò)防護(hù)方面起著非常重要的作用。在平時(shí)的工作當(dāng)中，我們要學(xué)會(huì)正確使用橫向隔離裝置，要對(duì)它的組網(wǎng)部署和策略配置有一個(gè)清楚的認(rèn)識(shí)。本文將針對(duì)橫向隔離裝置的概念、特點(diǎn)、性能的實(shí)現(xiàn)方式、配置方法幾方面來(lái)闡述橫向隔離，包括功能劃分與安全分區(qū)。

圖1：新能源電站（風(fēng)電場(chǎng)）監(jiān)控系統(tǒng)典型安全防護(hù)示意圖

一、橫向隔離的基本概念

橫向隔離應(yīng)采用不同強(qiáng)度的安全設(shè)備隔離各安全區(qū)（如圖2所示），在生產(chǎn)控制大區(qū)與信息管理大區(qū)之間必須部署經(jīng)國(guó)家指定部門(mén)檢測(cè)認(rèn)證的電力專(zhuān)用橫向單向安全隔離裝置。橫向隔離裝置隔離強(qiáng)度應(yīng)當(dāng)接近或達(dá)到物理隔離。

圖2：橫向隔離的網(wǎng)絡(luò)部署

二、橫向隔離的特點(diǎn)

橫向隔離裝置部署在生產(chǎn)控制大區(qū)和信息管理大區(qū)之間，即安全區(qū)I/II與安全區(qū)III邊界處。按照功能不同，橫向隔離裝置分為正向型和反向型。從生產(chǎn)控制大區(qū)向管理信息大區(qū)傳輸信息必須采用正向安全隔離裝置；由管理信息大區(qū)向生產(chǎn)控制大區(qū)的少量單向數(shù)據(jù)傳輸必須經(jīng)反向安全隔離裝置。

正向隔離的特點(diǎn)：完全單向通訊方式；單向數(shù)據(jù)1Bit返回方式；虛擬主機(jī)IP地址、隱藏MAC地址。

正向隔離的數(shù)據(jù)傳輸流程：

1）I/II區(qū)需要向III區(qū)傳輸數(shù)據(jù)時(shí)，隔離裝置內(nèi)網(wǎng)主機(jī)接收數(shù)據(jù)，并進(jìn)行協(xié)議剝離，將原始數(shù)據(jù)寫(xiě)入存儲(chǔ)介質(zhì)。

2）控制器收到完整的交換信號(hào)之后，立即切斷與內(nèi)網(wǎng)主機(jī)的物理連接，向外網(wǎng)主機(jī)發(fā)起物理連接，將存儲(chǔ)介質(zhì)內(nèi)的數(shù)據(jù)推向外網(wǎng)主機(jī)。

3）外網(wǎng)主機(jī)收到數(shù)據(jù)后，立即進(jìn)行網(wǎng)絡(luò)協(xié)議的封裝重組，并將數(shù)據(jù)傳輸給III區(qū)應(yīng)用系統(tǒng)。

反向隔離的特點(diǎn)：保證從管理信息大區(qū)到生產(chǎn)控制大區(qū)單向數(shù)據(jù)傳輸，集中接收管理信息大區(qū)發(fā)向生產(chǎn)控制大區(qū)的數(shù)據(jù)，進(jìn)行簽名驗(yàn)證、內(nèi)容過(guò)濾、有效性檢查等處理后，轉(zhuǎn)發(fā)給生產(chǎn)控制大區(qū)內(nèi)部的接收程序。

反向隔離的數(shù)據(jù)傳輸流程：

1）III區(qū)服務(wù)器將待發(fā)送信息轉(zhuǎn)為E語(yǔ)言格式的純文本文件，并進(jìn)行文件簽名。

2）III區(qū)服務(wù)器與反向隔離裝置外網(wǎng)主機(jī)進(jìn)行密鑰協(xié)商（SM2、SM3算法），建立加密通道（電力專(zhuān)用加密算法），將帶有簽名的E語(yǔ)言文件發(fā)送至反向隔離裝置外網(wǎng)主機(jī)。外網(wǎng)主機(jī)對(duì)數(shù)據(jù)進(jìn)行解密、驗(yàn)簽、E語(yǔ)言格式檢查，將通過(guò)驗(yàn)證的數(shù)據(jù)擺渡到內(nèi)網(wǎng)主機(jī)。反向隔離裝置只響應(yīng)UDP協(xié)議，因此協(xié)商報(bào)文與數(shù)據(jù)通信報(bào)文都使用UDP協(xié)議。

3）反向隔離裝置內(nèi)網(wǎng)主機(jī)將數(shù)據(jù)傳送I/II區(qū)服務(wù)器應(yīng)用程序。

三、橫向隔離隔離功能的實(shí)現(xiàn)

（1）網(wǎng)絡(luò)隔離

（2）物理隔離

（3）網(wǎng)閘隔離

1、網(wǎng)絡(luò)隔離

網(wǎng)絡(luò)隔離主要是指把兩個(gè)或兩個(gè)以上可路由的網(wǎng)絡(luò)（如TCP/IP）通過(guò)不可路由的協(xié)議（如IPX/SPX、NetBEUI等）進(jìn)行數(shù)據(jù)交換而達(dá)到如下隔離目的：

①將有害的網(wǎng)絡(luò)安全威脅隔離開(kāi)，以保障數(shù)據(jù)信息在可信網(wǎng)絡(luò)內(nèi)進(jìn)行安全交互。

②一般的網(wǎng)絡(luò)隔離技術(shù)都是以訪問(wèn)控制思想為策略，物理隔離為基礎(chǔ)，并定義相關(guān)約束和規(guī)則來(lái)保障網(wǎng)絡(luò)的安全強(qiáng)度。

2、物理隔離

指處于不同安全域的網(wǎng)絡(luò)之間不能以直接或間接的方式相連接。在一個(gè)物理網(wǎng)絡(luò)環(huán)境下，實(shí)施不同安全域的網(wǎng)絡(luò)物理斷開(kāi)，在技術(shù)上應(yīng)確保在物理傳導(dǎo)、物理存儲(chǔ)上的斷開(kāi)。

圖3：物理斷開(kāi)隔離部件

該信息安全部件位于兩個(gè)不同安全域之間，通過(guò)協(xié)議轉(zhuǎn)換的手段，以信息擺渡的方式實(shí)現(xiàn)數(shù)據(jù)交換，且只有被系統(tǒng)明確要求傳輸?shù)男畔⒖梢酝ㄟ^(guò)。

3、網(wǎng)閘隔離

圖4：網(wǎng)閘隔離部件

該信息安全部件位于兩個(gè)不同安全域之間，通過(guò)協(xié)議轉(zhuǎn)換的手段，以信息擺渡的方式實(shí)現(xiàn)數(shù)據(jù)交換，且只有被系統(tǒng)明確要求傳輸?shù)男畔⒖梢酝ㄟ^(guò)。

四、橫向隔離配置規(guī)則

以某風(fēng)電場(chǎng)110kV變電站反向隔離配置規(guī)則為例。

（1）協(xié)議類(lèi)型：UDP

（2）外網(wǎng)配置

IP地址：外網(wǎng)主機(jī)IP地址

端口：由于外網(wǎng)主機(jī)發(fā)送文件的端口一般沒(méi)有特殊規(guī)定，發(fā)送端口號(hào)隨機(jī)，故一般寫(xiě)0

虛擬IP：外網(wǎng)主機(jī)的虛擬IP地址，最終會(huì)寫(xiě)到內(nèi)網(wǎng)測(cè)網(wǎng)卡上

網(wǎng)卡：選擇外網(wǎng)測(cè)通過(guò)哪個(gè)網(wǎng)卡通訊

網(wǎng)關(guān)：如果在三層環(huán)境下，設(shè)備外網(wǎng)側(cè)與外網(wǎng)主機(jī)不在一個(gè)網(wǎng)段，此處填寫(xiě)設(shè)備外網(wǎng)測(cè)所在的網(wǎng)段的網(wǎng)關(guān)地址。如果是二次環(huán)境，默認(rèn)為0.0.0.0

是否設(shè)置路由：外網(wǎng)側(cè)為二層環(huán)境，選擇否；三層環(huán)境，選擇是

MAC地址綁定：沒(méi)有特殊要求，一般填寫(xiě)12個(gè)0

（3）內(nèi)網(wǎng)配置

IP地址：內(nèi)網(wǎng)主機(jī)IP地址

端口：根據(jù)分配給內(nèi)網(wǎng)主機(jī)接受文件的端口，填寫(xiě)相應(yīng)的端口號(hào)

虛擬IP：內(nèi)網(wǎng)主機(jī)的虛擬IP地址，最終會(huì)寫(xiě)到外網(wǎng)測(cè)網(wǎng)卡上

網(wǎng)卡：選擇內(nèi)網(wǎng)測(cè)通過(guò)哪個(gè)網(wǎng)卡通訊

網(wǎng)關(guān)：如果在三層環(huán)境下，設(shè)備內(nèi)網(wǎng)測(cè)與內(nèi)網(wǎng)主機(jī)不在一個(gè)網(wǎng)段，此處填寫(xiě)設(shè)備內(nèi)網(wǎng)測(cè)所在的網(wǎng)段的網(wǎng)關(guān)地址

是否設(shè)置路由：內(nèi)網(wǎng)測(cè)為二層環(huán)境，選擇否；三層環(huán)境，選擇是

MAC地址綁定：沒(méi)有特殊要求，一般填寫(xiě)12個(gè)0

圖5：某風(fēng)電場(chǎng)110kV變電站反向隔離配置

圖6：某風(fēng)電場(chǎng)110kV變電站網(wǎng)絡(luò)安全隔離裝置運(yùn)行狀態(tài)指示

五、總結(jié)

本文根據(jù)電網(wǎng)涉網(wǎng)廠站網(wǎng)絡(luò)安全防護(hù)現(xiàn)狀，詳細(xì)介紹了新能源電站橫向隔離裝置的基本功能與作用。從二次安全防護(hù)中來(lái)講，橫向隔離裝置針對(duì)的是I/II區(qū)與III區(qū)之間有業(yè)務(wù)傳輸時(shí)使用，數(shù)據(jù)只能單向傳輸，不能雙向傳輸。由于橫向隔離的特殊性能，即使遭到黑客入侵，泄露的數(shù)據(jù)也不具有可讀性，從而保證了數(shù)據(jù)的安全。因此，橫向隔離裝置的應(yīng)用將有助于進(jìn)一步提高電網(wǎng)調(diào)度系統(tǒng)的整體安全性和可靠性，并為建立電網(wǎng)二次系統(tǒng)安全防護(hù)體系提供有力保障。

審核編輯：劉清