浅谈新能源电站横向隔离装置的功能与作用-北极星风力发电网

投稿

我要投稿

摘要：本文根据电网涉网厂站网络安全防护现状，详细介绍了新能源电站横向隔离装置的基本功能与作用。横向隔离应采用不同强度的安全设备隔离各个安全区，在生产控制大区与管理信息大区之间必须部署经国家指定部门检测认证的电力专用横向单向安全隔离装置，横向隔离分为正向隔离与反向隔离，正向隔离只出不进，反向隔离只进不出，都是单向访问，在一定程度上保护了电力系统的网络安全。

关键词：横向隔离装置、规则配置、网络安全

本文作者：文俊杰单位：新疆风能有限责任公司

横向隔离是电力二次安防的重要设备，它在网络防护方面起着非常重要的作用。在平时的工作当中，我们要学会正确使用横向隔离装置，要对它的组网部署和策略配置有一个清楚的认识。本文将针对横向隔离装置的概念、特点、性能的实现方式、配置方法几方面来阐述横向隔离，包括功能划分与安全分区。

图1：新能源电站（风电场）监控系统典型安全防护示意图

一、横向隔离的基本概念

横向隔离应采用不同强度的安全设备隔离各安全区（如图2所示），在生产控制大区与信息管理大区之间必须部署经国家指定部门检测认证的电力专用横向单向安全隔离装置。横向隔离装置隔离强度应当接近或达到物理隔离。

图2：横向隔离的网络部署

二、横向隔离的特点

横向隔离装置部署在生产控制大区和信息管理大区之间，即安全区I/II与安全区III边界处。按照功能不同，横向隔离装置分为正向型和反向型。从生产控制大区向管理信息大区传输信息必须采用正向安全隔离装置；由管理信息大区向生产控制大区的少量单向数据传输必须经反向安全隔离装置。

正向隔离的特点：完全单向通讯方式；单向数据1Bit返回方式；虚拟主机IP地址、隐藏MAC地址。

正向隔离的数据传输流程：

1）I/II区需要向III区传输数据时，隔离装置内网主机接收数据，并进行协议剥离，将原始数据写入存储介质。

2）控制器收到完整的交换信号之后，立即切断与内网主机的物理连接，向外网主机发起物理连接，将存储介质内的数据推向外网主机。

3）外网主机收到数据后，立即进行网络协议的封装重组，并将数据传输给III区应用系统。

反向隔离的特点：保证从管理信息大区到生产控制大区单向数据传输，集中接收管理信息大区发向生产控制大区的数据，进行签名验证、内容过滤、有效性检查等处理后，转发给生产控制大区内部的接收程序。

反向隔离的数据传输流程：

1）III区服务器将待发送信息转为E语言格式的纯文本文件，并进行文件签名。

2）III区服务器与反向隔离装置外网主机进行密钥协商（SM2、SM3算法），建立加密通道（电力专用加密算法），将带有签名的E语言文件发送至反向隔离装置外网主机。外网主机对数据进行解密、验签、E语言格式检查，将通过验证的数据摆渡到内网主机。反向隔离装置只响应UDP协议，因此协商报文与数据通信报文都使用UDP协议。

3）反向隔离装置内网主机将数据传送I/II区服务器应用程序。

三、横向隔离隔离功能的实现

（1）网络隔离

（2）物理隔离

（3）网闸隔离

1、网络隔离

网络隔离主要是指把两个或两个以上可路由的网络（如TCP/IP）通过不可路由的协议（如IPX/SPX、NetBEUI等）进行数据交换而达到如下隔离目的：

①将有害的网络安全威胁隔离开，以保障数据信息在可信网络内进行安全交互。

②一般的网络隔离技术都是以访问控制思想为策略，物理隔离为基础，并定义相关约束和规则来保障网络的安全强度。

2、物理隔离

指处于不同安全域的网络之间不能以直接或间接的方式相连接。在一个物理网络环境下，实施不同安全域的网络物理断开，在技术上应确保在物理传导、物理存储上的断开。

图3：物理断开隔离部件

该信息安全部件位于两个不同安全域之间，通过协议转换的手段，以信息摆渡的方式实现数据交换，且只有被系统明确要求传输的信息可以通过。

3、网闸隔离

图4：网闸隔离部件

该信息安全部件位于两个不同安全域之间，通过协议转换的手段，以信息摆渡的方式实现数据交换，且只有被系统明确要求传输的信息可以通过。

四、横向隔离配置规则

以某风电场110kV变电站反向隔离配置规则为例。

（1）协议类型：UDP

（2）外网配置

IP地址：外网主机IP地址

端口：由于外网主机发送文件的端口一般没有特殊规定，发送端口号随机，故一般写0

虚拟IP：外网主机的虚拟IP地址，最终会写到内网测网卡上

网卡：选择外网测通过哪个网卡通讯

网关：如果在三层环境下，设备外网侧与外网主机不在一个网段，此处填写设备外网测所在的网段的网关地址。如果是二次环境，默认为0.0.0.0

是否设置路由：外网侧为二层环境，选择否；三层环境，选择是

MAC地址绑定：没有特殊要求，一般填写12个0

（3）内网配置

IP地址：内网主机IP地址

端口：根据分配给内网主机接受文件的端口，填写相应的端口号

虚拟IP：内网主机的虚拟IP地址，最终会写到外网测网卡上

网卡：选择内网测通过哪个网卡通讯

网关：如果在三层环境下，设备内网测与内网主机不在一个网段，此处填写设备内网测所在的网段的网关地址

是否设置路由：内网测为二层环境，选择否；三层环境，选择是

MAC地址绑定：没有特殊要求，一般填写12个0

图5：某风电场110kV变电站反向隔离配置

图6：某风电场110kV变电站网络安全隔离装置运行状态指示

五、总结

本文根据电网涉网厂站网络安全防护现状，详细介绍了新能源电站横向隔离装置的基本功能与作用。从二次安全防护中来讲，横向隔离装置针对的是I/II区与III区之间有业务传输时使用，数据只能单向传输，不能双向传输。由于横向隔离的特殊性能，即使遭到黑客入侵，泄露的数据也不具有可读性，从而保证了数据的安全。因此，横向隔离装置的应用将有助于进一步提高电网调度系统的整体安全性和可靠性，并为建立电网二次系统安全防护体系提供有力保障。

参考文献：

[1]. 国家发展改革委2014年第14号令《电力监控系统安全防护规定》

[2]. 国能安全〔2014〕318号《电力行业等级保护管理办法》

[3]. 国能〔2015〕36号国家能源局关于印发《电力监控系统安全防护总体方案等安全防护方案和评估规范》的通知

作者：文俊杰单位：新疆风能有限责任公司

投稿与新闻线索：陈女士微信/手机：13693626116 邮箱：chenchen#bjxmail.com（请将#改成@）

订阅北极星周刊，精彩内容不再错过！

特别声明：北极星转载其他网站内容，出于传递更多信息而非盈利之目的，同时并不代表赞成其观点或证实其描述，内容仅供参考。版权归原作者所有，若有侵权，请联系我们删除。

凡来源注明北极星*网的内容为北极星原创，转载需获授权。

阅读下一篇

全球首个海上制氢站长什么样？

风电技术查看更多>风电建设查看更多>风电场查看更多>

姓名：
性别：
出生日期：
邮箱：
所在地区：
行业类别：
工作经验：
学历：
公司名称：
任职岗位：

浅谈新能源电站横向隔离装置的功能与作用

全球首个海上制氢站长什么样？

登录注册

绑定账号

想要获取更精准资讯推荐？建议您完善以下信息~

订阅成功

想要获取更精准资讯推荐？建议您
完善以下信息~