本文根據電網涉網廠站網絡安全防護現狀，詳細介紹了新能源電站橫向隔離裝置的基本功能與作用。橫向隔離應采用不同強度的安全設備隔離各個安全區，在生產控制大區與管理信息大區之間必須部署經國家指定部門檢測認證的電力專用橫向單向安全隔離裝置，橫向隔離分為正向隔離與反向隔離，正向隔離只出不進，反向隔離只進不出，都是單向訪問，在一定程度上保護了電力系統的網絡安全。

橫向隔離是電力二次安防的重要設備，它在網絡防護方面起著非常重要的作用。在平時的工作當中，我們要學會正確使用橫向隔離裝置，要對它的組網部署和策略配置有一個清楚的認識。本文將針對橫向隔離裝置的概念、特點、性能的實現方式、配置方法幾方面來闡述橫向隔離，包括功能劃分與安全分區。

圖1：新能源電站（風電場）監控系統典型安全防護示意圖

一、橫向隔離的基本概念

橫向隔離應采用不同強度的安全設備隔離各安全區（如圖2所示），在生產控制大區與信息管理大區之間必須部署經國家指定部門檢測認證的電力專用橫向單向安全隔離裝置。橫向隔離裝置隔離強度應當接近或達到物理隔離。

圖2：橫向隔離的網絡部署

二、橫向隔離的特點

橫向隔離裝置部署在生產控制大區和信息管理大區之間，即安全區I/II與安全區III邊界處。按照功能不同，橫向隔離裝置分為正向型和反向型。從生產控制大區向管理信息大區傳輸信息必須采用正向安全隔離裝置；由管理信息大區向生產控制大區的少量單向數據傳輸必須經反向安全隔離裝置。

正向隔離的特點：完全單向通訊方式；單向數據1Bit返回方式；虛擬主機IP地址、隱藏MAC地址。

正向隔離的數據傳輸流程：

1）I/II區需要向III區傳輸數據時，隔離裝置內網主機接收數據，并進行協議剝離，將原始數據寫入存儲介質。

2）控制器收到完整的交換信號之后，立即切斷與內網主機的物理連接，向外網主機發起物理連接，將存儲介質內的數據推向外網主機。

3）外網主機收到數據后，立即進行網絡協議的封裝重組，并將數據傳輸給III區應用系統。

反向隔離的特點：保證從管理信息大區到生產控制大區單向數據傳輸，集中接收管理信息大區發向生產控制大區的數據，進行簽名驗證、內容過濾、有效性檢查等處理后，轉發給生產控制大區內部的接收程序。

反向隔離的數據傳輸流程：

1）III區服務器將待發送信息轉為E語言格式的純文本文件，并進行文件簽名。

2）III區服務器與反向隔離裝置外網主機進行密鑰協商（SM2、SM3算法），建立加密通道（電力專用加密算法），將帶有簽名的E語言文件發送至反向隔離裝置外網主機。外網主機對數據進行解密、驗簽、E語言格式檢查，將通過驗證的數據擺渡到內網主機。反向隔離裝置只響應UDP協議，因此協商報文與數據通信報文都使用UDP協議。

3）反向隔離裝置內網主機將數據傳送I/II區服務器應用程序。

三、橫向隔離隔離功能的實現

（1）網絡隔離

（2）物理隔離

（3）網閘隔離

1、網絡隔離

網絡隔離主要是指把兩個或兩個以上可路由的網絡（如TCP/IP）通過不可路由的協議（如IPX/SPX、NetBEUI等）進行數據交換而達到如下隔離目的：

①將有害的網絡安全威脅隔離開，以保障數據信息在可信網絡內進行安全交互。

②一般的網絡隔離技術都是以訪問控制思想為策略，物理隔離為基礎，并定義相關約束和規則來保障網絡的安全強度。

2、物理隔離

指處于不同安全域的網絡之間不能以直接或間接的方式相連接。在一個物理網絡環境下，實施不同安全域的網絡物理斷開，在技術上應確保在物理傳導、物理存儲上的斷開。

圖3：物理斷開隔離部件

該信息安全部件位于兩個不同安全域之間，通過協議轉換的手段，以信息擺渡的方式實現數據交換，且只有被系統明確要求傳輸的信息可以通過。

3、網閘隔離

圖4：網閘隔離部件

該信息安全部件位于兩個不同安全域之間，通過協議轉換的手段，以信息擺渡的方式實現數據交換，且只有被系統明確要求傳輸的信息可以通過。

四、橫向隔離配置規則

以某風電場110kV變電站反向隔離配置規則為例。

（1）協議類型：UDP

（2）外網配置

IP地址：外網主機IP地址

端口：由于外網主機發送文件的端口一般沒有特殊規定，發送端口號隨機，故一般寫0

虛擬IP：外網主機的虛擬IP地址，最終會寫到內網測網卡上

網卡：選擇外網測通過哪個網卡通訊

網關：如果在三層環境下，設備外網側與外網主機不在一個網段，此處填寫設備外網測所在的網段的網關地址。如果是二次環境，默認為0.0.0.0

是否設置路由：外網側為二層環境，選擇否；三層環境，選擇是

MAC地址綁定：沒有特殊要求，一般填寫12個0

（3）內網配置

IP地址：內網主機IP地址

端口：根據分配給內網主機接受文件的端口，填寫相應的端口號

虛擬IP：內網主機的虛擬IP地址，最終會寫到外網測網卡上

網卡：選擇內網測通過哪個網卡通訊

網關：如果在三層環境下，設備內網測與內網主機不在一個網段，此處填寫設備內網測所在的網段的網關地址

是否設置路由：內網測為二層環境，選擇否；三層環境，選擇是

MAC地址綁定：沒有特殊要求，一般填寫12個0

圖5：某風電場110kV變電站反向隔離配置

圖6：某風電場110kV變電站網絡安全隔離裝置運行狀態指示

五、總結

本文根據電網涉網廠站網絡安全防護現狀，詳細介紹了新能源電站橫向隔離裝置的基本功能與作用。從二次安全防護中來講，橫向隔離裝置針對的是I/II區與III區之間有業務傳輸時使用，數據只能單向傳輸，不能雙向傳輸。由于橫向隔離的特殊性能，即使遭到黑客入侵，泄露的數據也不具有可讀性，從而保證了數據的安全。因此，橫向隔離裝置的應用將有助于進一步提高電網調度系統的整體安全性和可靠性，并為建立電網二次系統安全防護體系提供有力保障。

審核編輯：劉清