摘要:现代水电站对安保的要求日益严格,水电厂的监控信息系统的安全防护等级也需要做相应的提高。尤其是我国提出“一带一路”倡议以来,国外水电站的建设项目日益增多,国外比如巴基斯坦、缅甸以及非洲地区严峻的安全形势要求水电厂具备很高的监控信息系统防护等级。这些要求均需要对现有的监控信息系统安全防护进行优化和升级。
关键词:水电厂;监控系统;信息安全防护
1水电厂监控系统概述
水电厂监控系统的主要功能是对整个电厂的遥测量以及遥信量进行采集,对于不同的实时值来讲,通过实时曲线以及表格等多种方式实现显示。对于电气系统来说,当事故,故障或者越限等情况发生时,通过不同的形式实现报警以及提示。假如保护信号发生改变,通过上位机给出故障原因。机组电气系统模拟量以及开关量的数据主要是通过监控系统的数据报表来进行记录。对于每次上传的遥测量以及遥信量,监控系统能够将其通过文件的形式实现保存。对于电厂内部一切断路器的遥控分以及合闸操作,则是通过主接线画面来实现。水电厂监控系统通常都是配备高性能以及高可靠性的控制器,结合高速以太网络组成分布式控制系统,具有配置灵活、操作简单、维护方便的特点,适用于新建水电站的监控、已建水电站的监控技术改造及水电站调度自动化系统。
2水电厂监控信息系统安全优化的原则
水电厂的监控信息安全系统比较复杂,所以对监控信息安全的优化需要一定的原则,以此来规范监控信息系统的优化工作顺利进行。监控信息系统优化的优化原则如下:
2.1简化原则。水电厂的监控信息安全系统必须以水电厂的实际情况为主,尽量不出现冗余设计,但在关键信息传输的方案中,要适当添加以安全为目的的冗余设计。
2.2适用性原则。水电厂的监控信息安全系统的设计优化要满足监控信息传输的安全需要,适用于水电厂设备的实际运营环境,并服从安保的需要。
2.3安全接入原则。水电厂的监控信息系统必须保证设备接入过程的安全,及时有效地甄别非法接入,以提高监控设备的安全防护水平。
2.4技术和系统工程的原则。信息安全防护是一项重要的工程技术,在优化过程中要遵循系统工程的原则和工程优化的相关原则,积极提高信息安全防护的水平。
3监控信息系统安全优化的重点
3.1网络系统安全优化的重点
水电厂监控系统基础设施安全优化的重点主要包含机房及现地工作站的生产场地环境、供电及通信可靠性。其中,现有的监控信息网络的机房参考国家机房标准C类,并需要考虑防破坏、放水、放火以及人员进出的控制系统;要求能够界别人员的进出和尾随,对陌生人员闯入及时做出报警等措施。水电厂监控系统在可靠性方面还要针对机房供电系统可靠性、UPS电源负载可靠性以及强弱电系统可靠性进行分析和优化,所有通信设备应满足N-1安全运行要求,不同的冗余通信通道建议通过不同电缆沟道分设。
3.2设备资产及系统应用优化重点
水电厂监控系统设备资产包含监控系统中的操作系统、数据库、中间件等基础软件及服务器、工作站、现地控制单元、PLC、网络设备等硬件设备。全部资产应建立完善的资产清单,罗列其明细功能,系统拓扑结构图应按照实际情况描绘。系统基础软件应注意需开展专项安全策略加固工作,针对默认开启的非必须通用服务、口令策略强度、账号权限、恶意代码防范、审核粒度等进行集中核查整改;硬件设备应封闭网络设备和计算机设备的空闲网络端口和其他无用端口,拆除或封闭不必要的移动存储设备接口。
期刊文章分类查询,尽在期刊图书馆
4监控信息系统安全优化的策略
4.1网络系统防火墙的优化
水电厂监控信息系统的边界隔离设计的基础是防火墙,并配以必要的物理隔离,以提高监控信息系统的安全隔离水平,防止和避免监控信息系统受到外界的入侵和攻击。此外,系统还有即时侦测和甄别外来设备的非法接入,屏蔽监控信息传输网络非法访问的能力。水电厂监控信息系统安全优化的核心是监控信息网络防火墙的优化和升级。防火墙在升级过程中必须考虑网络运行中的风险隐患,实行综合化的安全隔离设计。防火墙的优化设计中需要采用成熟的控制技术,弥补网络系统安全的不足,控制水电厂监控信息系统的数据安全。防火墙还要及时升级,以提高病毒攻击和非法入侵的防护水平。
4.2提高监控系统物理隔离的水平
信息系统的安全防护除了依靠防火墙的优化和升级,还需要依靠硬件设备的防护,硬件防护主要依靠提高物理隔离的水平来实现。所以,在水电厂的监控信息系统中需要添加具有隔离设备的硬件系统,通过具有硬件隔离功能的设备实现网络连通过程中对数据的安全防护,控制数据流向的安全、可控,防止硬件系统被非法入侵。硬件系统的物理隔离水平是监控信息系统安全防护的核心,可以有效提高监控系统的信息安全防护水平。
4.3网络传输硬件防护措施的优化
水电厂在优化监控信息系统的安全防护时,还应该有针对性地对网络传输中的硬件进行优化,以保证监控信息网络的数据安全。例如,电厂监控信息传输系统安装单向传输硬件装置,实现数据流的单向传输,以规范硬件网络众的信息流向,主动阻断非法信息的流向。控制网络数据流向的硬件系统目前主要为南瑞SYSKEEPER 2000,该系统可以有效保障水电厂的监控数据在传输的过程中准确穿过网闸,有效减轻网络数据传输过程中的协议负荷,并能够对数据传输过程中的安全环境进行“净化”。
4.4监控系统防护入侵策略的优化
水电厂监控信息系统还必须能够有效防止信息系统的非法侵入,因此需要对监控系统的非法入侵系统的防护策略进行优化。目前针对水电厂监控信息安全网络的中的非法入侵行为进行防护优化的主要策略有以下几点:(1)按照监控信息实际运作的特点和运行周期,规划水电厂监控信息网络病毒查杀的周期,实行全面的病毒检测和查杀;针对侦测出的网络病毒定义码检查网络安全防护和防火墙的配置,并对已有病毒的演化能力进行评估,找出有效的防护方案。(2)对水电厂监控信息系统的网络进行定期检查,完善网络信息安全系统的测试方法,及时修复病毒入侵后留下的系统漏洞,科学安排补救措施。
4.5积极更新病毒安全软件
和系统隔离硬件,以应对不断演化的系统病毒的入侵,增加水电站安全防护系统运行的安全系数;及时更新系统软件的配置,优化系统软件的安全措施,以提高系统应对网络入侵风险的能力。
4.6增加系统软件的可靠性
电厂监控系统网络中的软件既是信息传输的媒介,又负有监控网络安全的功能。软件系统中的漏洞和系统运行的不稳定,都可以为外界的网络入侵提供机会和通道,从而干扰监控信息系统网络的安全运行。因而,水电厂的系统软件必须进行有针对性的安全优化,在优化过程中尽量使用正版软件,拒绝盗版和试点软件,以避免对信息安全监控系统的可靠性造成影响。
结束语
随着信息化在工业控制领域的不断深入与融合,电力监控系统安全防护将很快上升成为国家战略实现的重要抓手。主观上放眼整个电力行业发展形态与潜在威胁,水电厂监控系统的安全防护将不断面临新的挑战,从客观角度也会迫使其安全防护必须在传统技术方法的基础上,结合国家行业要求,不断深化与创新以解决新的安全问题。未来的信息安全态势瞬息万变,水电厂还需进一步开展安全防护优化设计与落地工作,从人防、技防两方面入手,切实提高公司网络与信息安全管理能力、控制能力、防御能力,保障水电厂机组乃至整个电网的安全稳定运行。
参考文献:
[1]陈建林,王家陈,师海峰.浅谈大型水电厂二次系统安全防护存在的风险及防控策略[J].电工技术,2018,(2).
[2]姜家旭.水电厂计算机信息安全问题及对策分析[J].科技与创新,2017(12).
论文作者:王昊飞,唐哲人,刘航通
论文发表刊物:《电力设备》2018年第18期
论文发表时间:2018/10/19
标签:水电厂论文; 监控系统论文; 系统论文; 信息系统论文; 信息安全论文; 网络论文; 防护论文; 《电力设备》2018年第18期论文;