浙江浙能华光潭水力发电有限公司 浙江杭州 311322
摘要:近年来,国家和电力行业在安全政策、组织机制、产业发展等方面采取了一系列措施。然而,由于网络安全基础薄弱、人防与技术防范缺乏同步、核心信息技术的制约,网络信息安全威胁依然严重。水电站作为重要的基础设施,具有十分重要的战略意义。
关键词:水电站;监测系统信息;安全保护优化;
一、结构模态分析
水电站自动化系统中最常用的网络措施是台网和现场总线。成熟的开发应用技术,加上自动化电气设施的快速发展,为水电站电气系统自动化控制的实施提供了坚实的基础。根据现场总线布局的监控形式有目的地进行系统规划,规划也可以根据区间的状态进行,区间不同,相关性能也不同。将现场总线控制模式与远程监控控制模式进行比较,它不仅具有所有优点,而且大大减少了远程监控控制模式中使用的隔离设施、终端柜和模拟设备。
二、水电站监控系统安全防护难点
结合某水电站监控信息系统(SIS)应用现状,例举网络安全问题。
1.网络连接问题。水电站的网络数据是单向传输的。禁止向实时监控系统的服务器写入数据。其主要原因是SIS连接了水电站的运行设备。一旦在连接过程中出现安全问题,就会影响水电站的安全运行,容易造成黑客入侵。因此,网络连接是一个常见的安全问题,导致SIS连接,有一个网络缺陷。
2. 网络通信问题。SIS通过开关连接水电站的通信服务器。网络通信的安全水平高于管理、运行等网络系统的安全水平。SIS网络通信虽然采用了安全防护措施,但网络通信也需要遵循单向传输规则。从网络结构的角度来看,网络通信仍存在一些安全问题。例如,SIS中的通信访问过程是透明的。它可以实现任意的程控接入,说明任何具有任何身份的计算机都可以接入SIS通信网络,获取水电站的通信监控信息。从低到高的网络没有安全保护措施,威胁着网络通信中的数据交换。
3.操作和维护监控能力较弱。水电站通常重视系统的可用性和数据的完整性,而不把信息安全作为运行和维护的关键工作。操作系统、网络设备等资产的安全策略没有得到加强。一些单位存在密码管理和权限控制不足的问题。病毒存在于单个Windows平台的PC网络中。大部分水电站没有建立集中资产监测平台,无法实现水电站设备资产的集中状态监测、日志合并集成、报警显示和预警功能。安全事故和故障响应仍然依赖事后补救模式。目前,水电站监测系统大多是在成熟平台的基础上开发的。主流监控平台多采用C类安全操作(TCSEC,根据美国国防部系统安全评估标准。安全操作系统还没有得到广泛的应用。有些监控系统应用层数据采集功能设计不完善,比如有些数据需要通过用户定义的共享、FTP等非安全模式传输。有些平台部署松散耦合的服务,即多个服务共享同一设备。
4. 安全管理的缺点。部分水电站安全管理存在不足,安全防护意识淡薄。目前水电站监控系统的日常安全管控多数由设备管理部门承担,人员配置、岗位职责不明确等因素直接导致专业人员技能不足、缺乏技术指导、管理规范性,与全方位安全管理与防护要求存在一定差距。同时,针对水电站监控系统安全防护资金投入落实到位情况欠佳,对安全防护工作长期存在的薄弱环节和风险隐患熟视无睹,难以适应电力监控系统安全防护的新形势和新要求
三、水电站监控系统信息安全防护优化
1. 水电站监控系统实时数据。水电站监控系统是集实时监视与安全控制、经济运行与优化调度、数据集成与数据挖掘的综合应用系统。监控系统通常由实时数据服务器、历史数据库服务器、操作员站及通信服务器组成。其中,实时数据服务器主要负责系统内实时的数据同步和计算,包括比例—积分—微分(PID)计算、控制逻辑处理、报警逻辑处理以及对原始数据的二次加工等,并对系统内其他节点提供实时数据服务。历史数据库服务器负责及时将断面实时数据存储到历史数据库中。操作员站通过人机界面完成操作员与系统的交互。通信服务器负责与控制单元或外系统的双向数据通信。关键功能节点均可以实现双机热备用冗余。监控系统实时数据包括可靠性要求较高的事件信息和实时性要求较高的同步数据见图1。
.png)
2.系统网络边界隔离。水电站监测信息网络边界隔离的设计主要是为了抵御外界的攻击和干扰。边界隔离设计的基础是防火墙,防火墙需要物理隔离来配合,提高边界安全隔离的水平。在防火墙设计过程中,考虑到系统防火墙存在的隐患,进行了集成防火墙隔离设计。在防火墙设计中,注重对水电站监控的信息流进行控制,采用成熟的技术控制来弥补安全漏洞的不足。在进行防火墙边界隔离时,应注意升级和更新操作,以抵抗复杂的病毒攻击。系统网络边界的物理隔离主要集中在硬件保护方面。在监测信息系统中,水电站利用具有隔离功能的硬件设备通过硬件设计连接运行主机,隔离主机运行。
3.预防及控制。根据水电站监控信息系统对网络安全的要求,提出了提高水电站监控信息系统安全水平的三种防护措施。在水电站建立监测信息系统时,提出了硬件保护措施。监控信息系统中设置了特殊的硬件隔离,以保护监控系统的安全。例如,当水电站的监控信息系统与管理信息系统,单向传动装置安装在硬件控制信息的流动,从而确保数据的监控信息系统可以安全地传输到管理信息系统模块和积极管理信息系统返回的所有数据块信息。硬件保护措施可以保证水电站的数据信息能够准确地通过网络门,避免数据传输中潜在的协议负载,净化监测信息系统中的数据传输。入侵保护策略主要研究水电站监控信息系统的软件组成。根据病毒入侵水平,设计了标准保护策略。例如,在水电站监控信息系统的网络安全保护中,常用的入侵保护策略有:首先,根据操作周期监控信息系统的水电站,规划的病毒检测和杀戮,实施全面的病毒检测和杀戮,检查病毒定义代码完成后的检测和杀戮,设计检测和杀戮的配置软件,以便跟上病毒进化的速度;二是水电站网络卫士。定期修复病毒入侵造成的漏洞,安排漏洞检测方法,科学安排修复措施,弥补病毒造成的缺陷和漏洞。第三,积极引进先进的杀毒软件,快速更新病毒,增加水电站监控系统网络运行风险。随着信息技术在工业控制领域的深入和融合,监控系统的安全保护将很快成为国家战略的重要抓手。水电站监控系统的安全保护将不断面临新的挑战。从客观的角度看,也将迫使其安全保护不断深化和创新,在传统技术方法的基础上,结合民族工业的要求,解决新的安全问题。未来,信息安全形势变化迅速,水电站需要进一步开展安全防护的优化设计和落地工作。
参考文献:
[1]侯占洲.电厂监控信息系统的网络安全问题[J].电力安全技术,2016,01:13-16.
[2]季金付.发电厂厂级监控信息系统的网络安全防护[J].安徽电力,2017,04:66-69.
论文作者:张帆
论文发表刊物:《防护工程》2018年第36期
论文发表时间:2019/4/9
标签:水电站论文; 监控系统论文; 信息系统论文; 网络论文; 数据论文; 实时论文; 系统论文; 《防护工程》2018年第36期论文;