关于电网调度自动化系统中WEB服务器若干问题的探讨
【摘要】根据目前的统计,WEB信息流量已经占到了整个Internet信息量的80%以上,而且,越来越多的应用开始采用基于Web服务器的B/S计算模式。WEB服务器的数据共享有两种实现方式,即通过网络透明通信的虚拟实现和通过实时数据库影射的真实实现。那么,这两者之间有何区别,又如何取舍呢?根据电力系统二次防护原则,在Web服务器和SCADA系统之间应设置“物理隔离设备”,这又涉及到WEB服务器与隔离设备的位置关系问题,究竟是WEB在隔离设备外侧还是在隔离设备内侧,孰优孰劣,本文将一一加以探讨。本文依托DS3000调度自动化系统,结合电力系统二次防护的基础知识,翻阅了大量的资料,对以上问题作出合理的解释。
【关键词】WEB服务器;MIS网;物理隔离设备;电力系统二次防护
1.WEB数据共享方式的探讨
DS3000调度自动化系统的一个基本功能就是数据可在县供电公司整个企业网络范围内实现共享,Web服务器建立有其它信息处理系统所需的数据库,包括各类历史数据等,此数据库称为“实时数据共享中心”,它是调度自动化系统数据库子集的映射,供其它信息处理系统查询、调用。这里“实时数据”指的是由实时系统提供的数据,除了真正的实时数据外,还包括实时系统保存的采样历史数据、事件告警信息历史数据等。
实时数据共享中心有两种实现方式,第一种:通过网络透明通信的虚拟实现;第二种:通过实时数据库影射的真实实现。
虚拟实现时,Web服务器上没有实际的数据库,当其它信息处理系统(如MIS)请求SCADA实时数据时,由Web服务器上运行的一个网络服务程序临时向SCADA服务器请求实时数据,再把结果数据发给请求方。虚拟实现的不足之处很明显,就是当同时有很多的数据请求时,Web服务器上的网络服务程序通过排队响应数据请求,一是一定程度上影响响应速度,二是SCADA服务器和Web服务器之间有可能有网络通信瓶颈问题。
真实实现时,Web服务器上有真实的SCADA实时数据库,当其它信息处理系统(如MIS)请求SCADA实时数据时,由Web服务器上的网络服务程序从本机的实时数据中取得数据,把结果数据发给请求方。而Web服务器和SCADA服务器之间必须运行一个完成数据库影射得程序,实际上是一个数据转发程序,它定期把SCADA实时数据转发给Web服务器。这种实现方法,MIS系统的数据请求的多少,不影响SCADA服务器和Web服务器之间的网络通信。即使MIS系统没有数据请求,数据转发程序还是要定时向SCADA服务器请求数据。
因此,我们选择了WEB数据共享通过实时数据库影射来真实实现的方法。实现方式如图1。
2.物理隔离技术的探讨
网络安全隔离设备采用软、硬结合的安全措施,在硬件上使用双机结构通过安全岛装置进行通信来实现物理上的隔离;在软件上,采用综合过滤、访问控制、应用代理技术实现链路层、网络层与应用层的隔离。在保证网络透明性的同时,实现了对非法信息的隔离网络安全隔离设备通过开关切换及数据缓冲设施来进行数据交换。开关的切换使得在任何时刻两个网络没有直接连通,而数据流经网络安全隔离设备时TCP/IP协议被终止,防止了利用协议进行攻击,在某一时刻网络安全隔离设备只能连接到一个网络。
网络安全隔离设备作为代理从外网的网络访问包中抽取出数据然后通过数据缓冲设施转入内网,完成数据中转。在中转过程中,网络安全隔离设备会对抽取的数据报文的IP地址、MAC地址、端口号、连接方向实施过滤控制;由于网络安全隔离设备采用了独特的开关切换机制,因此,在进行检查时网络实际上处于断开状态,只有通过严格检查的数据才有可能进入内网,即使黑客强行攻击了网络安全隔离设备,由于攻击发生时内外网始终处于物理断开状态,黑客也无法进入内网。
网络安全隔离设备(如图2所示)在实现物理隔断的同时允许可信网络和不可信网络之间的数据和信息的安全交换。由于网络安全隔离设备仅抽取合法数据交换进内网,因此,内网不会受到网络层的攻击,这就在物理隔离的同时实现了数据的安全交换。
目前市场上的物理隔离设备众多,经过反复比较,我们决定国电南自电网事业部DS3000调度自动化系统的MIS网web浏览中使用的StoneWall2000(正向型)物理隔离设备。该系列产品可以适用于计算机网络与网络之间,主机与主机之间,主机与网络之间的物理隔离,是应用了安全岛技术的具有物理隔离能力的网络安全产品。在硬件上,使用了嵌入式计算机结构,通过“单向二极管式”安全装置来实现通信上的物理隔离。在软件上,采用综合过虑、访问控制、应用代理等技术在保证网络透明的基础上实现对非法信息的隔离。
3.WEB与物理隔离设备位置关系的探讨
中华人民共和国国家经济贸易委员会第30号令《电网和电厂计算机监控系统及调度数据网络安全防护规定》指出,电力系统安全防护的基本原则是:电力系统中,安全等级较高的系统不受安全等级较低系统的影响。电力监控系统的安全等级高于电力管理信息系统及办公自动化系统,各电力监控系统必须具备可靠性高的自身安全防护设施,不得与安全等级低的系统直接相联。
电力二次系统总体分为两大逻辑安全区:即生产控制区和生产管理区。生产控制区又分为实时控制区(I区)和非控制生产区(II区),生产管理区又分为调度生产管理区(III区)和管理信息区(IV区)。调度系统主要负责安全区I、II、III的安全防护,重点是I区。SCADA系统属于I区,而MIS系统属于IV区。
SCADA系统(I区)的实时数据虽然可在整个供电局网络范围内共享,但是MIS系统(IV区)不能直接访问调度自动化系统的数据库。为了能从结构及数据流向上完全隔离安全等级较低的系统与调度自动化SCADA系统之间的联系,在Web服务器和SCADA系统(实时系统)之间应设置“防病毒物理隔离设备”,以实现调度自动化系统与其他系统的有效隔离,保证系统的网络安全,防病毒物理隔离设备应内置防火墙功能,防止外部非法侵入。
DS3000调度自动化系统是一个实时系统,要求具有极高的安全性与可靠性。系统采用WEB服务器实现实时系统与静态管理系统的隔离,所有向MIS系统、GIS系统等发布的动态数据等服务,均通过WEB服务器提供的第三方开发中间件实现,管理系统不允许直接访问实时监控系统。在第三方服务器上安装防病毒软件与防火墙,以防止黑客与病毒的袭击。采用权限控制策略,控制系统的维护修改权限。
StoneWall2000物理隔离设备目前通用的连接方式主要有两种,第一种:将Web服务器放在隔离设备和外网交换机之间;第二种:将Web服务器放在隔离设备和内网交换机之间。
第一种:WEB服务器放在隔离设备和外网交换机之间。
如图3所示,这种连接方法是将Web服务器从内网中分离出来,实际上Web服务器已经成为外网侧的一台主机。它的IP地址与内网的IP地址处在不同的网段,这样更加保证了内网侧的安全性。网络安全隔离设备虚拟两个路由器主机,添加相应的路由规则。这样内网主机发出ARP请求时,通过路由规则将内网主机要发送的报文发送到网络安全隔离设备上,检查允许通过后,就将报文轮渡到外网侧,实现了内网到Web服务器的数据交换。然后由Web服务器向外网发布。
这种连接方法主要有以下几个优点,一、Web服务器已经被分离出来,外网在访问Web服务器时与内网已经毫无关系,实现了内网与外网的完全分离,内外网之间完全没有数据请求和交换,就电力系统的安全性而言,这种连接方式是最安全的。二、要实现数据交换必须添加内网主机与Web服务器之间的通信规则,内网要与Web服务器实现数据交换的主机数量是有限的,所以添加规则是比较容易的。三、由于内网主机数量少,隔离设备也比较容易管理,包括以后的维护。但由于Web服务器已经放到了外网侧,它的安全性就受到了威胁。还有就是这种连接方式对内网侧的运行程序有较高的要求,它必须适应隔离设备的要求才能实现内网侧数据到Web服务器的交换。这是这种连接方式的缺点。
第二种:WEB服务器放在隔离设备和内网交换机之间。
这种连接方式时是将网络安全隔离设备放在内网和外网之间,Web服务器是内网侧的一台主机,这种连接方式也可以用路由规则来实现,但是路由的对象发生了变化,不是Web服务器与内网主机,而是Web服务器与外网想要访问Web服务器的主机之间的路由。
如图4所示,由于这种连接方式是把 Web服务器放在内网侧,对内网侧的运行程序要求就比较低。相对于上一种连接方式,这种连接方式看起来是内外网完全隔离的,包括Web服务器都受到了应有的保护,起到了内网安全管理的目的,但由于Web服务器放在内网,当外网有主机访问Web服务器时,实际上已经与内网有了数据请求和交换,留下了安全隐患。并且对于外网侧的主机来说,如果要访问Web服务器,必须通过网络安全隔离设备,这样就要添加相应的通信规则,在外网主机数量相对比较大的情况下,规则的添加是比较麻烦的,并且不易于维护和管理。
经过反复比较,我们认为还是第一种方式比较安全,因此DS3000调度自动化系统采用的是第一种连接方式,接线图如图5。
隔离设备的Public口用直通线接Web服务器,Private口用直连线接内网交换机。Web服务器的一块网卡接外网(MIS网)交换机,IP地址与外网设在同一网段,另一块接隔离设备的网卡随便指定一个IP地址,用作路由之用。
4.结语
经过一系列的隔离措施,我们实现了内网系统对外网web服务器的正向数据发布,一旦web服务器被外网病毒感染导致瘫痪,内网系统将不会受到任何影响,保证了电力调度自动化系统的安全稳定运行。
二次系统安全防护工作是一个长期的“攻与防”的斗争过程。我们要加强对已投运系统进行定期的安全风险分析,及时发现关键系统的安全漏洞并进行安全加固;要不断完善安全检测手段、快速响应机制、和防护措施,将电力二次系统安全防护作为电力安全生产的重要内容,逐步提高全调度系统的安全水平,为电力系统的安全稳定可靠运行提供强有力的保障。
评论