前言:中文期刊网精心挑选了数据网络传输方案范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
数据网络传输方案范文1
[关键词]DASNASSANiscsl
随着计算机网络技术的飞速发展,各种网络服务器对存储的需求随之发展,但由于商业企业规模不同,对网络存储的需求也应有所不同,选择不当的网络存储技术,往往会使得企业在网络建设中盲目投资不需要的设备,或者造成企业的网络性能低下,影响企业信息化发展,因此商业企业如何选择和使用适当的专业存储方式是非常重要的。
目前高端服务器所使用的专业存储方案有DAS、NAS、SAN、iscsl几种,通过这几种专业的存储方案使用RAID阵列提供的高效安全的存储空间。
一、直接附加存储(DAS)
直接附加存储是指将存储设备通过SCSI接口直接连接到一台服务器上使用。DAS购置成本低,配置简单,使用过程和使用本机硬盘并无太大差别,对于服务器的要求仅仅是一个外接的SCSI口,因此对于小型企业很有吸引力。但是DAS也存在诸多问题:(1)服务器本身容易成为系统瓶颈;(2)服务器发生故障,数据不可访问;(3)对于存在多个服务器的系统来说,设备分散,不便管理。同时多台服务器使用DAS时,存储空间不能在服务器之间动态分配,可能造成相当的资源浪费;(4)数据备份操作复杂。
二、网络附加存储(NAS)
NAS实际是一种带有瘦服务器的存储设备。这个瘦服务器实际是一台网络文件服务器。NAS设备直接连接到TCP/IP网络上,网络服务器通过TCP/IP网络存取管理数据。NAS作为一种瘦服务器系统,易于安装和部署,管理使用也很方便。同时由于可以允许客户机不通过服务器直接在NAS中存取数据,因此对服务器来说可以减少系统开销。NAS为异构平台使用统一存储系统提供了解决方案。由于NAS只需要在一个基本的磁盘阵列柜外增加一套瘦服务器系统,对硬件要求很低,软件成本也不高,甚至可以使用免费的LINUX解决方案,成本只比直接附加存储略高。NAS存在的主要问题是:(1)由于存储数据通过普通数据网络传输,因此易受网络上其它流量的影响。当网络上有其它大数据流量时会严重影响系统性能;(2)由于存储数据通过普通数据网络传输,因此容易产生数据泄漏等安全问题;(3)存储只能以文件方式访问,而不能像普通文件系统一样直接访问物理数据块,因此会在某些情况下严重影响系统效率,比如大型数据库就不能使用NAS。
三、存储区域网(SAN)
SAN实际是一种专门为存储建立的独立于TCP/IP网络之外的专用网络。目前一般的SAN提供2Gb/S到4Gb/S的传输数率,同时SAN网络独立于数据网络存在,因此存取速度很快,另外SAN一般采用高端的RAID阵列,使SAN的性能在几种专业存储方案中傲视群雄。SAN由于其基础是一个专用网络,因此扩展性很强,不管是在一个SAN系统中增加一定的存储空间还是增加几台使用存储空间的服务器都非常方便。通过SAN接口的磁带机,SAN系统可以方便高效的实现数据的集中备份。SAN作为一种新兴的存储方式,是未来存储技术的发展方向,但是,它也存在一些缺点:(1)价格昂贵。不论是SAN阵列柜还是SAN必须的光纤通道交换机价格都是十分昂贵的,就连服务器上使用的光通道卡的价格也是不容易被小型商业企业所接受的;(2)需要单独建立光纤网络,异地扩展比较困难;四、iSCSI
使用专门的存储区域网成本很高,而利用普通的数据网来传输SCSI数据实现和SAN相似的功能可以大大的降低成本,同时提高系统的灵活性。iSCSI就是这样一种技术,它利用普通的TCP/IP网来传输本来用存储区域网来传输的SCSI数据块。iSCSI的成本相对SAN来说要低不少。随着千兆网的普及,万兆网也逐渐的进入主流,使iSCSI的速度相对SAN来说并没有太大的劣势。iSCSI目前存在的主要问题是:(1)新兴的技术,提供完整解决方案的厂商较少,对管理者技术要求高;(2)通过普通网卡存取iSCSI数据时,解码成SCSI需要CPU进行运算,增加了系统性能开销,如果采用专门的iSCSI网卡虽然可以减少系统性能开销,但会大大增加成本;(3)使用数据网络进行存取,存取速度冗余受网络运行状况的影响。
通过以上分析,下表总结了这四种方式的主要区别。
通过以上比较研究,四种方案各有优劣。对于小型且服务较为集中的商业企业,可采用简单的DAS方案。对于中小型商业企业,服务器数量比较少,有一定的数据集中管理要求,且没有大型数据库需求的可采用NAS方案。对于大中型商业企业,SAN和iSCSI是较好的选择。如果希望使用存储的服务器相对比较集中,且对系统性能要求极高,可考虑采用SAN方案;对于希望使用存储的服务器相对比较分散,又对性能要求不是很高的,可以考虑采用iSCSI方案。
参考文献:
[1]白广思:CSAN与IPSAN架构比较新论.情报科学,2007,(9)
数据网络传输方案范文2
关键词:35kV变电站;调度;数据网
作者简介:李洁(1977-),男,安徽广德人,国网浙江丽水市莲都区供电公司调控中心,工程师。(浙江 丽水 323000)
中图分类号:TM73 文献标识码:A 文章编号:1007-0079(2013)27-0220-02
电力调度数据网为电网生产控制大区各类业务系统提供安全、可靠、稳定的数据传输平台。根据《浙江电力调度数据网技术规范》要求,丽水地区于2011年建成浙江电力调度数据网丽水骨干汇聚层,完成丽水电网220kV、110kV变电站数据接入网建设。丽水地区下辖莲都等9县市,35kV变电站87个,按丽水电网电力调度数据网的建设目标,在目前已完成的调度数据网平台基础上,结合县级电网现状,分析35kV变电站的实施条件,提出35kV变电站数据接入网络建设方案,规范调度数据网的建设,以实现丽水电网全部变电站调度数据网全覆盖的目标,更好地满足丽水电网地县两级调度生产业务的需要。
一、数据网状况及侧需
丽水电力调度数据网是浙江省电力调度数据网的重要组成部分,承载着电力系统各类实时信息和非实时数据的传输,为调度自动化系统、变电站集中监控系统、电能量自动采集系统和其他电网运行系统的业务应用提供了重要的技术支持,日益成为电网安全生产的重要基础。根据丽水电网“十二五”规划,将进一步扩大电力数据网的建设,一方面建设丽水地调配骨干汇聚层等第2平面,另一方面扩大电力调度数据网的应用周围,更加使之覆盖丽水地区所有的35kV变电站,并且展开所有厂站数据信息网络化接入。目前丽水地区35kV变电站调度自动化信息多采用传统的数模转换/拨号等方式进行传输,信号经过多次转换,存在效率低、速率低、误码率高、可靠性差、故障定位难等问题;变电站电能量信息多采用拨号和E1专线方式,其中拨号方式握手时间长,采集的信息的可靠性较差,不少厂站需要多次采集才能采集到可靠的数据。以上方式无法满足现在电力调度生产业务对传输网络安全可靠、稳定、高效的要求,存在安全隐患,需将其逐步纳入到丽水电力调度数据网内,以满足电网快速发展和新信息系统建设对数据传输的更高要求。
二、数据网架构及建设方案
1.丽水地区35kV变电站调度数据网的建设原则
(1)系统配置力求技术先进、经济合理、灵活可靠、安全实用,与丽水数据网骨干汇聚层相匹配。
(2)按照分级分层信息采集原则,在丽水地区所辖9个县调设置35kV变电站数据网县调汇聚层,35kV变电站调度生产数据按区域就近接入所属县调数据网汇聚层,再通过丽水数据网骨干汇聚层汇接所有县调汇聚层节点,实现地县数据网的组网。
(3)设备配置考虑35kV变电站电力通信网现状,35kV变电站接入层、县调汇聚层和丽水数据网骨干汇聚层之间均采用100Mb/s以太网专线方式,部分厂站采用2Mb/s E1专线方式。
(4)数据网采用IP路由交换设备组网,采用TCP/IP协议体系。35kV变电站自动化系统数据需改为采用IEC60870-5-104规约网络传输,电能量采集系统数据需从拨号改为网络传输,实现电网调度业务的数据传输网络化。针对厂站生产调度业务特性采用MPLS-VPN技术构建两个相对独立的逻辑专网,分别用于承载实时控制业务和非实时控制生产业务,实现不同业务接入的隔离。
(5)网络方案应符合《电力二次系统安全防护总体方案》和《电力二次系统安全防护规定》的相关要求,配置安全防护硬件设备,部署安全防火策略,落实相关安全防护措施。
2.数据网络拓扑结构
丽水地调下辖莲都、龙泉、缙云、青田、云和、遂昌、松阳、庆元、景宁九县调。丽水地区骨干汇聚层设置6个骨干汇聚节点,分别布置在丽水地调、500kV万象变、青田县调、缙云县调、龙泉县调和遂昌县调,其中丽水地调为第一出口,500kV万象变为第二出口,丽水地区骨干汇聚层拓扑示意图如图1所示。
丽水地区数据网络总体拓扑结构由地调汇聚层、县调汇聚层和接入层组成,地调汇聚层汇接所有县调汇聚节点及110kV变电站,县调汇聚层汇接下辖35kV变电站,接入层采用星型拓扑结构方式接入汇聚层。
根据丽水调度数据网接入层组网方式,丽水地区骨干汇聚层中的丽水节点汇接莲都、云和县调汇聚层;遂昌节点汇接遂昌、松阳县调汇聚层;龙泉节点汇接龙泉、庆元县调汇聚层;缙云节点汇接缙云县调汇聚层;青田节点汇接青田、景宁县调汇聚层。以莲都为例,县调汇聚层和接入层拓扑示意图如图2所示。
莲都下辖的8个35kV变电站以星型拓扑结构汇接至莲都县调汇聚层,再通过与地调骨干汇聚层互联实现地县数据网组网,全市9个县调的组网结构一致。
3.数据网设备配置
根据《浙江电力调度数据网技术规范》,考虑到目前电力调度生产业务数据平均流量在10kps以下,不会产生数据突发大流量的现象,100Mb/s以太网专线可以满足业务传输要求,所以在丽水35kV变电站与相应接入县调之间开通2条100Mb/s以太网专线,若通信条件不具备可采用2Mb/s E1专线;县调与地调骨干汇聚层对应节点之间开通2条100Mb/s以太网专线互联。传输链路要求能通过通信传输层提供的自愈保护实现数据可靠传输。在数据网接入层方面,每个35kV变电站配置1套接入路由器,与县调汇聚层2套路由器互通;配置2套接入二层交换机,厂站实时控制业务和非实时控制生产业务分别通过2套交换机接入至接入路由器,采用MPLS-VPN技术构建两个相对独立的逻辑专网。
在每个县调汇聚层配置2套汇聚路由器,实现汇接所有35kV变电站接入路由器和与丽水数据网骨干汇聚层的互通;配置2套中心三层交换机,提供县调自动化SCADA/EMS系统、电能量自动采集系统等调度生产业务系统对变电站终端实时控制业务和非实时控制生产业务的直接访问。
按照电力二次安全防护的有关要求,在县调汇聚层和变电站接入层的实时控制业务通道上增配纵向加密安全认证装置,非实时掌握业务通道上增加硬件防火墙,部署好访问掌握策略及相关安全防护措施,以更有效屏蔽非法业务访问、病毒及恶意攻击。县调数据网汇聚层不再单独配置网管系统,在丽水骨干汇聚层的调度数据网网管软件上增配上述县调汇聚层和厂站接入层节点,开发县调相应权限,方便其对县调35kV变电站数据网的运行维护管理。
4.数据网技术体制
(1)通信链路。丽水35kV变电站调度数据网以电力通信传输网络为基础,采用IP over SDH技术体制,该体制具有以下优点:电力调度应用系统特性相对单一,多为IP业务,适宜采用IP路由交换网络;网络开销小,结构简洁,效率高;网络复杂度降低,路由设备具备SDH标准接口,有利于日常运行维护;采用IP路由交换网络安全强度高,方便系统整体安全策略的制定和部署。
(2)虚拟专网。35kV变电站数据网建设采用MPLS VPN虚拟专网技术将电力调度数据网业务划分为不同的VPN,即用于承载实时控制业务的实时VPN-RT、用于承载非控制生产业务的非实时VPN-NRT,各级节点接入网络的业务按照二次系统安全防护的要求接入相对应的VPN,实现两个相对独立的逻辑业务传输专网,对所承载的多种业务及应用进行隔离,确保网络安全。
(3)网络路由。丽水35kV变电站调度数据网络路由传统链路状态协议OSPE(Open Shortest Path First,开放式最短路径优先协议),另外配置战略如下:自治系统内部节点公网路由均运行OSPEv2协议;全网MPLS VPN私网路由传递使用IBGP路由协议;接入网按各县调范围进行区域划分,OSPF逻辑域的划分和物理区域的划分尽量一致;各OSPE子区域内采用路由地址汇聚,缩短路由表长度;每台设备的router id应与该设备的回环(loopback)地址相同;各县调汇聚层应通过两点分别接入丽水骨干汇聚层双平面,县调汇聚层间不设直接互联路由。
(4)安全防护。数据网必须按照《电力二次系统安全防护规定》及《电力二次系统安全防护总体方案》的相关技术规定,配置纵向加密认证装置、防火墙、安全隔离装置等;部署访问控制策略,从端口上限制用户访问行为,采用严格的接入控制措施,仅经过授权的节点方能接入调度数据网;部署入侵检测/防御系统、日志系统,对网络设备运行状况、网络流量、用户行为等进行日志记录并分析,实现调度数据网的安全监视;进行边界完整性检查,对网络设备进行安全配置,防止非授权访问,禁止生产控制大区与生产管理大区的直接互联。
(5)IP地址分配。IP地址从省调统一分配丽水地区电力调度数据网的IP地址中选取,由地调统一分配。调度数据网地址分为网络(组网)地址和应用(主机)地址两大类,其中网络地址由网络标识地址(Loopback)、网络设备互联链路地址和网络边界(PE/CE 连接链路)地址组成,应用地址由包括厂站在内的各不相同的应用系统接入数据网络的地址组成。在进行IP地址分配时应充分考虑未来业务发展,保持适度预留,并遵循相关分配原则,如采用CIDR技术,以减小路由器路由表的大小,加快路由的收敛速度;采用VLSM,保证IP地址的利用效率;保证IP地址的唯一性等。
三、结束语
丽水地区各县调所辖35kV变电站通过县调数据网汇聚层与地调骨干汇聚层互联,接入丽水地区电力调度数据网,将实现丽水地区所有变电站调度数据网全覆盖的目标。网络完成后,为丽水地县实现“一体化”调度技术及支持系统提供一个更可靠、统一的专用数据平台,实现地县电网运行协同管理水平上升,为电网的安全稳定运行发挥重要作用,为地县调度自动化系统的发展打下坚实基础。
参考文献:
[1]浙江省电力公司.浙江电力调度数据网技术规范[Z].2011.
数据网络传输方案范文3
摘要: 分析了调度自动化系统的不同应用对安全性、可靠性、实时性、保密性的不同特殊要求。提出了建立调度自动化系统的安全防护体系,在技术体制方面,应该在通道层建立调度专用数据网络;在防护措施方面,应该采取必要的技术手段,并建立严格的安全管理规章制度,以确保调度自动化系统的安全。
关键词: 调度自动化系统 数据网络 安全防护
1.引言
目前数据网络在电力系统中的应用日益广泛,已经成为不可或缺的基础设施。国家电力数据网一级网从1992年2月一期工程开始规划建设,到1997年7月二期工程开通运行,迄今已有近十年的发展历史。目前国家电力数据网同时承载着实时准实时控制业务及管理信息业务,虽然网络利用率较高,但安全级别较低、实时性要求较低的业务与安全级别较高、实时性要求高的业务在一起混用,级别较低的业务严重影响级别较高的业务,并且存在较多的安全隐患。随着信息与网络技术的发展,计算机违法犯罪在不断增加,信息安全问题已经引起了政府部门和企业的高度重视。因此根据调度自动化系统中各种应用的不同特点,优化电力调度数据网,建立调度系统的安全防护体系具有十分重要的意义。
2.电力系统中各类网络应用的特点
电力系统中网络应用的分类方法有许多种,根据业务类型、实时等级、安全等级等因素,电力系统的网络应用主要可分为生产数据传输和管理信息传输两大类,另外其他的应用还包括话音视频传输和对外服务等。不同的应用系统对安全有不同的要求,如图1所示。
生产控制类中的基于TCP/IP的数据业务,速率要求不高,数据流基本恒定,但业务实时性较强,其中遥控遥调更与电网安全直接相关,可靠性要求较高;与计费相关的电力市场业务对安全性有特殊要求,不仅要求可靠,原始数据还要求保密。从应用范围来看,生产控制类业务分布在各网省调及大量发电厂和变电站,属于较特殊的一类窄带业务。
管理信息类业务突发性很强,速率要求较高,实时性不强,保密性要求较高,覆盖除生产控制类以外的所有数据业务,其网络布局集中于行政办公中心,一般要求为宽带网络。
话音视频类业务是指建立在IP平台上的电话及会议电视,对实时性要求高,安全可靠性无特殊要求,目前其质量还有待提高。对外服务类业务则是指根据市场的需要而建立的数据网络。
3.调度自动化系统的安全防护
3.1制定调度自动化系统安全防护策略的重要性
近年来调度自动化系统的内涵有了较快的延伸,由原来单一的EMS系统扩展为EMS、DMS、TMS、厂站自动化、水调自动化、雷电监视、故障录波远传、功角遥测、电力市场技术支持系统和调度生产管理系统等。数据网络是支持调度自动化系统的重要技术平台,一般要求数据网络安全可靠,实时性要求在秒级或数秒级,其中发电报价系统、市场信息等电力市场信息系统由于需要与公网连接,因而还要求做加密及隔离处理。
建立调度自动化系统的安全防护体系,首先要制定安全防护策略。应用系统的安全策略位于安全防范的最高一级,是决定系统的安全要素。从大的方面讲,安全策略决定了一个系统要达到的安全级别及可以付出的代价;从小的方面讲,安全策略的具体规则用于说明哪些行为是允许的,哪些行为是禁止的。系统是否安全,很大程度上依赖于最初设计时制定的安全策略,因为今后的安全措施,都围绕这一策略来选择和使用,如果在安全策略上出了问题,将会给今后的应用系统带来安全隐患,从而使将来的安全建设处于十分被动的局面。因此考虑调度自动化系统的安全,应首先根据系统对安全性、可靠性、实时性、保密性等方面的不同特殊要求,按照国家有关部门的规定,从应用系统的各个层面出发,制定完善的安全防护策略。
3.2信息系统的安全分层理论
一个信息系统的安全主要包含五个层面,即物理安全、网络安全、系统安全、应用安全、人员管理。调度自动化系统的安全防护体系应包含上述五个层面的所有内容。
物理安全主要包含主机硬件和物理线路的安全问题,如自然灾害、硬件故障、盗用、偷窃等,由于此类隐患而导致重要数据、口令及帐号丢失,称为物理安全。
网络安全是指网络层面的安全。由于联网计算机能被网上任何一台主机攻击,而网络安全措施不到位导致的安全问题。
系统安全是指主机操作系统层面的安全。包括系统存取授权设置、帐号口令设置、安全管理设置等安全问题,如未授权存取、越权使用、泄密、用户拒绝系统管理、损害系统的完整性等。
应用安全是指主机系统上应用软件层面的安全。如Web服务器、Proxy服务器、数据库等的安全问题。
人员管理是指如何防止内部人员对网络和系统的攻击及误用等。
3.3国家对网络及信息安全问题的有关政策和法规
国家有关部门对安全问题的有关政策和法规,对制定电力调度控制系统的安全策略起到指导性的作用。
公安部是国家企事业单位及公共安全的主管部门,已经颁布了安全防护方面的一系列文件,正在制定安全保密和保护的等级,规定各部门应根据具体情况决定自己的安全等级,实行国家强制标准。公安部规定,从安全保密角度看,政府办公网应与外部因特网物理隔离,并认为自动控制系统应与外部网络绝对物理隔离,可根据业务的需要建立专用数据网络。
国家保密局是国家党政机关安全保密方面的主管部门,也颁布了一系列安全保密方面的文件。1998年10月国家保密局颁布的“涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法”规定,涉及国家秘密的通信、办公自动化和计算机信息系统的建设,必须与保密设施的建设同步进行,系统集成方案和信息保密方案不可混淆,应从整体考虑。1999年7月国家保密局发出的“关于加强政府上网信息保密管理的通知”、1999年12月10号文“计算机信息系统国际联网保密管理规定”和1998年1号文“计算机信息系统保密管理暂行规定”均确定,涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相联接,必须实行物理隔离。
1996年11月原电力部、国家保密局752号文“电力工业中国家秘密及具体范围的规定”明确了电力工业中涉及的国家秘密和重要企业秘密,均必须参照国家有关保密方面的规定。
电力生产事关国计民生,电力系统的安全和保密都很重要,电力自动化系统要求可靠、安全、实时,而电力信息系统要求完整、保密。两种业务应该隔离,特别是电力调度控制业务是电力系统的命脉,一定要与其他业务有效安全隔离。
3.4调度自动化系统数据网络的安全防护策略
3.4.1数据网络的技术体制
规划数据网络技术体制和电力系统安全防护体系,应根据电力生产业务对数据网络安全性、可靠性、实时性方面的特殊要求,并遵照国家对涉密单位和重要设施在网络安全方面的有关规定。首先应根据网络的规模、目的、服务对象、实时程度、安全级别等综合考虑,确定最基本的网络技术体制。
从应用和连接方式来看,企业内部网络有两类:一类是与公网完全隔离、在链路层上建立的企业内部网络一般称为专用网络;另一类是连接于公网、并利用公网作为通道的企业内部网。第一类网络除了面临来自物理层面的安全问题外,主要面临内部的计算机犯罪问题,如违规或越权使用某些业务、查看修改机密文件或数据库等,以及从内部发起的对计算机系统或网络的恶意攻击。第二类网络除了具有上述安全问题外,还要承受来自公网的攻击和威胁,由于公网上黑客、病毒盛行,网络安全的攻击与反攻击比较集中地体现在公网上。
由于电力调度数据网的服务对象、网络规模相对固定,并且主要满足自动化系统对安全性、可靠性、实时性的特殊需求,为调度自动化系统提供端到端的服务,符合建设专网的所有特征,所以电力调度数据网宜在通道层面上建立专网,以实现该网与其他网的有效安全隔离。
目前国家电力数据网同时承载着调度控制业务和管理信息业务,应当在将来通道资源允许的条件下,将现有电力调度数据网上的信息业务逐步分离出去,改造成为实时控制业务专用的数据网络。
电力系统中的光纤通信网络正在加紧建设,采用光纤+SDH+IP模式容易实现对不同IP应用业务之间的物理隔离,具有较高的传输效率,能满足控制、保护等电力系统的关键业务的要求,便于调度部门能对网络进行有效监控,并便于通信部门对外出租带宽。因此用光纤+SDH+IP模式建立调度数据专网是一个适当的选择,可以很好满足电力系统的下列要求:
(1)数据传输的实时性(继电保护毫秒级,自动化秒级),要求网络层次简化。
(2)传输的连续性,通信负荷基本恒定,需要恒定带宽。
(3)远方控制的可靠性(遥控、遥调、AGC等),要求有效隔离。
(4)因特网时代的安全防护体系(防黑客、防病毒、防破坏等)。
(5)网络拓扑结构必须覆盖远离城市的电厂、变电站。
(6)充分利用SPDnet的现有设备,节约大量资金,便于平滑过渡。
3.4.2调度专用数据网络的安全防护措施
调度专用数据网除了传送EMS数据外,还传送电能量计量计费、水调自动化、电力市场信息和调度生产信息(工作票和操作票、发电计划和交易计划、负荷预报、调度报表、运行考核等)。应根据各类应用的不同特点,采用不同的安全防护措施,如EMS等实时控制业务具有较高的优先级,应该优先保证,生产信息的优先级次之,而电力市场信息须进行加密处理等。
采用调度专用网络体制使数据网络在网络层的的安全得到最大程度的保证。但也不能保证100%的安全,对调度数据专用网络还必须做到技术措施和管理制度双管齐下,才有可能从根本上保障信息和控制系统的安全。在管理制度方面,要做到:
(一)对全网实施监管,所有与电力调度数据网连接的节点都必须在有效的管理范围内,保障安全的系统性和全局性。
(二)加强人员管理,建立一支高素质的网络管理队伍,防止来自内部的攻击、越权、误用及泄密。
(三)加强运行管理,建立健全运行管理及安全规章制度,建立安全联防制度,将网络及系统安全作为经常性的工作。
(四)聘请网络安全顾问,跟踪网络安全技术。
在技术措施方面,要做到:
(一)在网络传输层,为了保证数据网络的安全,又能向外传输必要的数据,必须坚持调度控制系统与调度生产系统之间、调度生产管理系统与企业办公自动化系统(OA/MIS)之间有效安全隔离,它们之间的信息传输只能采用单向传输的方式。常采用的措施包括防火墙、专用网关(单向门)、网段选择器等进行有效隔离。另外在调度数据专用网络的广域网和局域网上,根据不同的业务系统,还可采取以下技术手段:
(1)网络安全访问控制技术。通过对特定网段和服务建立访问控制体系,可以将绝大多数攻击阻止在到达攻击目标之前。可实施的安全措施有:防火墙、VPN设备、VLAN划分、访问控制列表、用户授权管理、TCP同步攻击拦截、路由欺骗防范、实时入侵检测技术等。
(2)加密通信技术。该措施主要用于防止重要或敏感信息被泄密或篡改。该项技术的核心是加密算法。其加密方法主要有:对称型加密、不对称型加密、不可逆加密等。
(3)身份认证技术。该项技术广泛用于广域网、局域网、拔号网络等网络结构。用于网络设备和远程用户的身份认证,防止非授权使用网络资源。
(4)备份和恢复技术。对于网络关键资源如路由器、交换机等做到双机备份,以便出现故障时能及时恢复。
(二)在系统和应用层面,包括计算机防病毒技术、采用安全的操作系统(达B2级)、应用系统的关键软硬件及关键数据的热备份和冷备份等。防病毒技术和备份措施是通常采用的传统安全技术,而安全的操作系统是一个新的发展趋势。
4.结论
电力调度数据网络是调度自动化系统的支撑平台,网络安全是系统安全的保障,专用数据网络是整体安全防护体系的基础,专网体现在网络互联、网络边界、网络用户的可管性和可控性。目前,国际上正在制定相应的自动化系统网络安全标准,国内也开始进行相关课题的研究,对于调度自动化系统及数据网络的安全防护措施,首先应在网络技术体制方面,采用光纤+SDH+IP的数据专网模式,在全系统实现电力调度专用数据网络与其它公用信息网络、电力生产控制系统与办公自动化系统等的安全隔离,同时在调度专用数据网及各相关应用系统上采取必要的安全防护技术手段,建立严密的安全管理措施,以确保电力调度系统和电力系统的安全。
参考文献
1.余建斌. 黑客的攻击手段及用户对策. 北京:人民邮电出版社,1998年
2.OthmarKyas著.王霞,铁满霞,陈希南译. 网络安全技术-风险分析、策略与防火墙. 北京:中国水利水电出版社,1998年
3.赵遵廉等主编,电力市场运营系统,北京:中国电力出版社,2001年1月
4.辛耀中等,电力系统数据网络技术体制分析,电力系统自动化,2000年11月
数据网络传输方案范文4
【关键词】数据通信;构成原理;网络协议
引言
数据通信是通信技术和计算机技术相结合而产生的一种新的通信方式。数据通信通过传输信道将数据终端与计算机连接起来,使不同地点的数据终端实现软、硬件和信息资源的共享。近年来,山西电力在省级骨干光纤网和市级光纤传输网的基础上建设覆盖面广泛的数据通信网络,为电网安全公司提供营销自动化、信息化建设服务。
1数据通信交换方式及适用范围
通常数据通信有三种交换方式:
(1)电路交换:电路交换是指两台计算机或终端在相互通信时,使用同一条实际的物理链路,通信中自始至终使用该链路进行信息传输,且不允许其它计算机或终端同时共享该电路。
(2)报文交换:报文交换是将用户的报文存储在交换机的存储器中(内存或外存),当所需输出电路空闲时,再将该报文发往需接收的交换机或终端。这种存储一转发的方式可以提高中继线和电路的利用率。
(3)分组交换:分组交换是将用户发来的整份报文分割成若干个定长的数据块(称为分组或打包),将这些分组以存储一转发的方式在网内传输。
各种交换方式的适用范围:
(1)电路交换方式通常应用于公用电话网、公用电报网及电路交换的公用数据网(CSPDN)等通信网络中。前两种电路交换方式系传统方式,后一种方式与公用电话网基本相似,但它是用四线或二线方式连接用户,适用于较高速率的数据交换。正由于它是专用的公用数据网,其接通率、工作速率、用户线距离、线路均衡条件等均优于公用电话网。
(2)报文交换方式适用于实现不同速率、不同协议、不同代码终端的终端间或一点对多点的同文为单位进行存储转发的数据通信。由于这种方式,网络传输时延大,并且占用了大量的内存与外存空间,因而不适用于要求系统安全性高、网络时延较小的数据通信。
(3)分组交换是在存储一转发方式的基础上发展起来的,但它兼有电路交换及报文交换的优点。它适用于对话式的计算机通信,如数据库检索、图文信息存取、电子邮件传递和计算机间通信等各方面,传输质量高,成本较低,并可在不同速率终端间通信。其缺点是不适宜于实时性要求高、信息量很大的业务使用。
2数据网络解决方案
绝大多数的数据网络可以归为局域网(LAN)或广域网(WAN)。
2.1局域网
由计算机、网络接口卡、传输介质、网络通信控制设备以及设备组成。局域网使得企业可以利用计算机技术有效地共享文件或打印机。局域网把数据、通信、计算机和文件服务器紧密地结合在了一起。
局域网主要完成以下工作:(1)在有限的地理范围内运转;(2)允许多个用户同时接入高带宽物理介质;(3)提供本地服务的全时连接;(4)互连物理上相邻的设备。
2.2广域网
随着计算机的相互连接,计算机、打印机和其他设备可以跨越广域网进行相互通信、共享信息和资源,以及接入互连网。以下是一些常用的广域网技术:(1)模拟调制解调器(2)综合业务数字网(ISDN);(3)数据用户线路(DSL);(4)帧中继(FRAME RELAY);(5)异步传输模式(ATM);(6)T传输系列和E传输系列;(7)同步光纤网(SONET)
3 阳泉电力数据通信网应用及特点介绍
山西电力市级数据通信网在已经建成的山西电力骨干光纤网络和市级光纤传输网的基础上建设,形成覆盖地调-集控站、受控站、直属单位,市-县-营业站、供电所、35kV站的数据网络,为各类数字化业务提供高密度高带宽数据接入和电路组织。为山西省电力公司和市级供电公司的生产、信息化建设服务。
阳泉电力数据通信网负责市网下属各类站点单位的数据业务接入和汇聚;该市级数据通信网主要在地调与现有省级骨干数据通信网进行互联,实现全省MPLS-VPN组网的功能,为营销、财务、NGN等系统业务的全省大集中运行模式提供条件;同时市级电力数据通信网在县调与现有省级骨干数据通信网进行互联,在地调发生故障的情况下,提供市至县的故障时网络管理排错备用数据通道。
组网电路原则上采用IP over MSTP模式,利用传输设备提供以太网汇聚或透传通道实现数据通信网设备之间的连接。
3.1自治域分配方案
山西电力已经建成的省骨干以及即将建设的各地区市级数据网将使在网路由器设备达到近2000台,如果仍然运行在一个AS内,不利于网络管理的扁平化和整个数据网的稳定运行。所以山西电力数据网将划分为多个自治域(AS)。省骨干网络为一个单独的AS,各地市新建设市级网络为一个单独的AS,既方便了各地市独立部署本地业务,也实现了网络管理的扁平化,也大大减少了路由收敛时间,提高了地区内业务部署的灵活性。阳泉市级数据网ASN为65529。
3.2 MPLS VPN解决方案
由于山西省电力骨干数据网与阳泉市级电力数据网处于两个不同的AS域,因此必须考虑跨越的MPLS VPN解决方案。
省骨干网地市核心节点与阳泉市级数据网核心节点之间采用VRF-VRF方式实现MPLS VPN的跨域连接。省骨干网阳泉地区核心节点(7609-1,7609-2)与阳泉市级数据网核心节点(NE40E-1,NE40E-2)之间采用静态路由;阳泉市级数据网核心节点(NE40E-1,NE40E-2)向省骨干网阳泉地区核心节点(7609-1,7609-2)Loopback地址路由;阳泉市级数据网核心节点(NE40E-1,NE40E-2)之间采用OSPF路由协议。
3.3网络拓扑
连接层次多少是由网络规模和网络中信息传输的流向和流量决定的,通常有三层: 核心层、汇聚层和接入层。阳泉市级电力数据网采取三层结构:核心层、汇聚层、接入层。采用三层方式结合合理的路由规划,可以实现网络的带宽合理利用,尽量减少路由条数。
市级电力数据通信网网架层次结构如下:
地调为市级电力数据通信网的核心节点,设置2套市级网核心路由器设备。分别出GE口与地调现有省级网骨干路由器互联,出GE口与县调汇聚路由器设备互联,出FE口与集控站、操作队站、所有110kV站和分公司直属单位互联。
县调为汇聚节点,设置汇聚路由器设备1套。出GE口接入市级网核心路由器设备,出FE口与县调现有省级网接入路由器互联,各35kV站、供电所、县级营业站的接入路由器使用FE口采用点对点方式接入县调汇聚路由器。
各220/110/变电站和驻市单位设置1套市级网接入路由器设备,直接接入地调市级网核心路由器设备。
各县局所属35kV变电站、营业站、供电所设置1套市级网接入路由器设备,直接接入县调汇聚路由器设备。
数据网络传输方案范文5
【关键词】电力自动化;通信技术;信息安全
电力行业在国民经济中占主导地位,近几年,凭借科技不断发展,电力行业正日益向自动化方向迈进。通信技术在电力自动化中起到了举足轻重的作用,但其涉及到的信息安全问题却关系到供电稳定性与安全性。因此,强化对信息安全方面的探究,找出现阶段存在的问题,采取有效防护措施予以处理和加强,是具有重要作用与现实意义的。
1信息安全防护范围与重点
某城区通信网的主要任务为对市区内22座变电所提供纵向通信,所有通信网均采用光纤通信电路,根据方向的不同,可分成东部与西部两部分。其中,东部采用ATM网络,设备选择为Passport6400;西部采用IP+SDH交换机网络,设备选择为Accelar1100与150ASDH。该市区通信网负责县级调度与少数枢纽变电所通信,主要采用自带两类适配端口的设备。在通信网中,信息安全防护范围为整个信息通信网,主要防御对象为黑客或病毒等经过调度数据网络与实时监控系统等主动发起的攻击与破坏,确保传输层上的调度数据网络与实时监控系统可靠、稳定、安全运行。
2安全防护原则分析
电力调度数据网络与实时监控系统在实际运行过程中各个变电所和调度通信中心之间存在若干条纵向通信,根据相关规定,在系统总体技术层面上主要提出以两个隔离为核心的安全防护基本原则。其中,涉及通信隔离的基本原则可总结为以下几点:(1)为确保调度数据网运行安全,网络需要在通道上借助专用网络的设备组网,并采取同步数字序列或准同步数字序列,完成公用信息网络及物理层面上的有效安全隔离;(2)根据电力系统信息安全防护技术路线明确的有关安全防护区涉及的几项基本原则,为所有安全防护区当中的局域网均提供一个经过ATM配置的虚拟通信电路或者是经过同步数字序列配置的通信电路,采取这样的方式为各个安全等级提供有效的隔离保护[1]。
3通信网络的安全分析
根据上述目标要求与基本原则,通信网必须向不同的应用层提供具有良好安全性的传输电路,即VirtualPrivateNet-work,虚拟专用网络,其原理如图1所示。该市区已经完成了各项初步设计工作,具备充足的条件严格按照目标要求与基本原则开展后续工作。在现有通信网的ATM系统中,根据实时要求或非实时要求,已完成对四个安全区的有效划分,每一个安全区都可以配置虚电路,因虚电路的端口主要适配于ATM系统的适配层,借助ATM系统的信元完成信息传输,各个虚电路的内部连接属于典型的端与端物理式连接,不同虚电路之间不涉及横向上的通信,并且与外界也不存在通信联系。因此,对于通信网络的ATM系统而言,其在虚拟专用网络方面的虚电路之间主要为物理隔离,不同区的虚拟专用网络传输具备良好的安全性。对1100IP交换机系统而言,它需要承担不少于四个区的实时业务通信,因为这些业务通信区在所有站上都采用交换机完成传输与汇接,不同区之间仅仅是根据IP地址方面的差异而进行划分,形成各自的VLAN(VirtualLocalAreaNetwork,虚拟局域网),区之间并未完成原则上要求的物理隔离,作为虚拟专用网络主要传输链路,无法满足其在专用局域网方面的基本要求[2]。根据上述分析结果可以看出,该城区通信网络将ATM视作虚拟专用网络的信息传输链路基本满足安全性要求,但交换机实际传输与汇接却存在不同程度的安全隐患,违背了安全防护方面提出的各项基本要求,为了从本质上确保通信网络安全,必须对此予以有效改造,可采取如下改造方案:充分利用西部系统现有电路,增设2M/10M适配设备,借助同步数字体系为所有安全区构建透传电路,在中心站集中交换机,每个安全区都配置一个交换机,以此达到“一区一网”的根本目标,即一个安全区配置一个虚拟专用网络。
4安全防护技术手段
该城区设置的电力信息通信网本质上属于专门为电力系统提供服务的通信网络,其自身作用较为单一,仅为信息中心和调度通信中心与各个变电所间的通信,根据安全防护提出的各项基本原则,充分考虑现阶段网络基本状况,可实施采取以下技术手段:(1)切断与外界之间的直接通信,确保系统和外界不存在直接通信关系;(2)采用同步数字体系向所有安全防护区提供专用电路,同时采用速率适配装置等实现和业务端之间的连接;而不同业务端之间则可以使用点与点的方式进行通信,以此满足安全防护区以内通信业务方面的纵向通信要求。由同步数字体系设置的专用电路通常不会产生横向通信[3];(3)由ATM系统向所有安全防护区提供虚电路,以此构成一个完整的虚拟专用网络,并确保不同虚拟专用网络间没有产生横向通信的可能;(4)城区整体电力信息通信网与市县级通信网在完全相同的安全防护网中构成相同的虚拟专用网络。
5总结
(1)根据电力系统信息安全防护明确的防护范围与各项图1虚拟专用网络基本原理低碳技术基本原则,对某城区所用通信网潜在的各类安全问题进行深入分析,并结合现阶段实际发展要求,提出一系列技术手段,为制定合理、有效的处理方案提供依据。(2)该城区电力信息通信网本质上属于一个具有封闭性特点的单一用途通信网络,可实现与外部间的完全隔离以及系统内部电路之间的相互隔离,其具备的安全防护能力可以很好的满足系统安全运行要求。然而,考虑到系统安全防护水平的提高必然会引起相关要求的改变,因此以上结论仅限当前水平。
作者:周建新 单位:国网湖南省电力公司沅江供电分公司
参考文献
[1]程雪.电力自动化通信技术中的信息安全及应用[J].网络安全技术与应用,2014(12):46+48.
数据网络传输方案范文6
关键词:视频监控;数据存储;网闸,视频
金融视频监控系统经过多年发展已经进入一个成熟稳定期,数字硬盘录像机这个产品在金融业视频监控中承担了主力。针对近年来各地金融行业进行的联网项目越来越多,联网过程中暴露的一些问题也逐渐摆到每个设备厂家面前,如何将视频监控与金融行业自身行业特点相结合,使银行安垒风险降到最低,确保金融系统稳定行使自己的职能。下面就金融联网项目中个人的一些经验和大家分享。
一 如何保证存储数据的安全性
目前金融监控行业应用的监控主机的存储架构,无论是选用嵌入式方案还是工控式方案,由于受到成本原因都使用IDE硬盘和利用PCI总线完成硬盘控制和扩展功能。在存储数据的管理上,存在两个原因可能造成数据丢失:1、由于监控主机都在银行网点,设备出现故障没有及时发现,造成查询时没有数据。2、由于管理方面的原因可能造成数据丢失;另外在内部管理上没有严格按照制度执行,使不法分子有可乘之机,系统可能会被故意停机或者被随意删除数据。
针对上述问题参考的解决方案就是视频数据网络异地备份。利用银行网络,使用存储软件配合专业网络数据存储设备,在管理中心进行数据异地存储,保证数据的安垒性,确保出现问题能查询到相应数据图像。目前中心异地数据存储前常用的有两种解决方案:一种是由于网点白天工作时间网络比较繁忙,数据本地存储,晚上利用网络全部带宽备份到中心存储设备中。另一种方案是银行网点划定一定网络带宽给数据传输,使图像实时备份到上级数据中心。
二、如何处理本地视频质量和网络传输效果
如何提高视频图像本地录像质量一直是金融监控追求的目标。银行一方面要保证本地数据要保存一定时间,并且视频图像清晰度要满足要求,另一方面在现有网络环境下要求传输更多画面的视频图像。根据银行不同的网络环境,设计了相应的解决方案:a、通过银行现有的E1线路进行传输,如果带宽过低,可以通过调整主机视频压缩参数,进行“双码流”传输,这样即保证了前端视频的质量,又保证了远程链接的效果。b、通过申请ADSL线路进行传输,对不能实现“a方案”的网点进行申请ADSL线路与中心联网,前端网点通过申请一个免费的域名,中心利用域名查找前端主机,每次通过输入前端域名即可实现对前端主机的连接,节省网络投资。c、对于网络带宽较低又需要传输多路视频的网点,可以通过设备“流媒体转发服务器”来实现功能的实现,流媒体服务器软件是是专门针对带宽在2 M以下的网络环境进行音视频传输而开发的网络视频管理软件,以缓解网络带宽紧张的问题,对该区域内的数字硬盘录像的访问垒部通过流媒体服务器软件来进行转发,对传输所有音视频信号只占一个通道。通过使用流媒体服务器软件,可提高响应访问的效率,用更少的时间代价换取更高的带宽利用率,从而解决带宽过低问题。
三 如何保障视频网络传输的安全
如何保障视频网络传输的安全,基于网闸的网络视频监控安全隔离解决方案,可以在保证系统物理隔离的情况下,实现内、外网监控资源的灵活调用,从而有效解决视频的网络传输问题。
网闸(或物理隔离网闸)是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于网闸所连接的两个独立主机系统之间,不存在通信的物理连接与逻辑连接,不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”,所以,网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,可以实现真正的安全。
网闸在处理信息时的流程和交互方式为:切断网络之间的通用协议连接。将数据包进行分解或重组为静态数据,对静态数据进行安全审查,包括网络协议检查和代码扫描等,确认后的安全数据流入内部单元;内部用户通过严格的身份认证机制获取所需数据。
由于网络视频监控系统在网络层面的信息传输方式与传统数据通信网完全一样,因此,在多个网络视频监控系统需要互联、又要进行安全隔离的情况下,也可以通过部署网闸来满足应用需求。鉴于网闸本身工作原理的特殊性,位于网闸两侧的内网视频监控系统和外网视频监控系统必须要与网闸配合,才能实现两侧视频监控码流的正常传输。通过内置网闸穿越功能,可以与各类网闸配合,在保障网络高安全性的同时,实现视频监控码流的透明传输。
四、系统联网后遇到的问题
系统联网后,原有金融行业的监控系统存在两方面的不足:
1、作为历史监控图像数据的使用者,公安机关和金融内部相关职能部门无法方便的进行查阅。2、如何对网点监控设备进行有效管理?
针对第一个问题,为了能让相关职能部门在需要的时候方便的使用该系统,并对历史数据进行查询,我们在联网软件架构上提供了c/s和B/s两种应用模式。C/s应用模式为用户提供了功能丰富的良好的人机界面,而B/s则为用户提供了简单的按入模式,尤其对于职能部门对历史数据的查询、视频图像调用过程中,可以通过B/s架构通过操作IE浏览器直接登录管理中心对外接口,验证后登录中心数据备份主机进行历史数据的查询。从而实现了和公安机关的系统接入,保证公安机关和本系统内部职能部门对有效数据的查询,另外一方面也和公安网做到了有效隔离,保证公安网的安全性。
