2 9 0              吴程楠, 等: 基于网络安全管理平台的电力监控系统网络安全应用实践

              据包与 ACL 中 某条语句匹配, 则列表中其他语
              句会被忽略; 若不匹配, 则继续检查 ACL 下一个
              命令语句, 在到达 ACL 的最后一条命令仍旧不
              匹配时, 该数据包将被丢弃。当出现匹配并且该
              规则允许报文转发时, 才会将该条报文转发; 如果
              无法匹配全部规则, 或匹配既定规则后禁止报文
              转发, 则丢弃该报文。
                  ACL 针对符合规则的入站数据包, 由路由器
              处理器调入内存, 读取数据包的包头信息, 如目标
              IP 地址, 并搜索路由器的路由表, 查看是否在路
              由表项中, 如果有, 则从路由表的选择接口转发
              ( 如果无, 则丢弃该数据包), 数据包进入该接口的
              访问控制列表( 如果无访问控制规则, 直接转发),

              然后按条件进行筛选。访问控制列表流程如图 3
              所示。
                   结合地区调度工作实际情况, 调度数据网接
              入规范及业务 IP 地址访问需要, ACL 规则需要
              实现如下功能需求。
                   ( 1 ) 允许厂站侧电力监控系统安全 Ⅰ 区的业                                图 3  访问控制列表流程
              务主机通过 2404 端口与主站侧安全 Ⅰ 区业务主                       段, 实现电力监控系统安全告警信息的实时采集
              机通信。                                             以及网络安全事件的快速隔离与处理。同时, 采
                                                               用网络 NAT 技术和 ACL 技术可限定网络流量
                   ( 2 ) 允许主站侧安全 Ⅰ 区业务主机通过 SSH
              安全协议远程登录厂站侧电力系统安全 Ⅰ 区的业                          随意性访问, 规范日常业务访问行为。电力监控
              务主机。                                             系统网络安全是一个系统性、 整体性的问题, 系统
                   ( 3 ) 阻止其他任何报文访问。根据实际业务                     中任何一个漏洞 或威胁都有可能造成全网安全
              需求, 需在厂站侧网络出口处对业务访问流量进                           问题。
              行限制, 设置 ACL 并绑定网关设备 MAC 端口。                          结合近几年的电力监控系统网络安全管理平
                   厂站 RTU 如在网络出口有不符合安全策略                       台实践经验, 本文提出若干网络安全技术的应用,
              的访问, 则 丢弃该数据 包。假 设 某 个 IP 地 址 以                  并结合实际工作提出了保证电力监控系统安全高
              TCP 协议试图扫描厂站纵向加密装置以访问其                           效运行的一些措施和建议, 以期为提高电网整体
              他通信端业务主机, 那恶意代码则可通过 TCP 的                        监控系统安全、 建设数字化孪生电网和加快推进
              某端口进行恶意传播的风险大大增加, 存在极大                           调度信息资源夯实技术基础。
              安全隐患。                                            参考文献:
                   提前在厂站侧网络出口侧设定必需的 ACL                        [ 1 ]  王茂钢 . 内外网隔离中 ACL 技术的运用[ J ] . 网络安全技
              访问控制策略后, 所有与业务端口无关的数据包                               术与应用, 2019 ( 4 ): 15-16.
                                                               [ 2 ]  李秀 峰 .NAT 技 术 及 其 应 用 分 析 [ J ] .无 线 互 联 科 技,
              都将被丢弃, 最后一条隐含的语句适用于不满足
                                                                   2019 , 16 ( 19 ): 138-139.
              之前任何条件的所有数据包。这条最后的测试条
                                                               [ 3 ]  孟庆东,李满坡,安天瑜,等 . 电力监控系统网络安全管
              件与这些数据包匹配, 通常会隐含拒绝一切数据                               理平台设计与实现[ J ] .实验技术与管理, 2020 , 37 ( 7 ):
              包的指令。                                                53-57.

                                                                                          收稿日期: 2021-03-05
              4  结语                                                                        ( 本文编辑: 杨林青)
                   电力监控系统网络安全管理平台的建设与应
              用为电力监控系统网 络安全监控提供了技术手