(南京华润热电有限公司 江苏南京 210019)
【摘要】 基于当前网络环境和电力二次系统特点,结合相关安全防护理论,提出了电力调度数据网二次系统安全防护原则。结合公司实际情况,介绍发电厂电力调度数据网结构,坚持安全分区、网络专用、横向隔离以及纵向认证的原则,从而保障电力调度数据网的安全稳定运行。
【关键词】电力系统;调度数据网;安全防护;发展
1概述
电力监控系统及调度数据网作为电力系统的重要基础设施,是电力监控系统安全的重要组成部分。随着通信技术和网络技术的发展,接入电力调度数据网的电力监控系统越来越多,数据交换也越来越频繁,网络安全问题日益突出,针对计算机网络和软件的攻击破坏技术及病毒技术也繁盛起来,如今已经到了无孔不入的程度,这对电力监控系统和数据网的安全性、可靠性、实时性提出了新的挑战。电力调度数据网络安全的技术防护措施正是在这样的条件下随之发展起来。
结合华润南京发电厂的实际情况,本发电厂电力调度数据网安全防护的总体目标包括:
1.防止发电厂监控系统服务等核心业务(即电力生产)中断。
2.防止发电厂监控系统本身崩溃。
3.抵御外部人员对发电厂监控系统发起的恶意破坏和攻击,及可能对相连的调度自动化系统的影响。
4.防止利用病毒、木马等恶意程序,从发电厂监控系统局域网内部发起的对电力生产及相连的调度自动化系统的恶意破坏和攻击。
5.保护发电厂监控系统实时和历史数据,主要防止数据被非授权修改。
1.1电力网络安全隔离
电力网络专用安全隔离设备是位于调度数据网络与公用信息网络之间的一个安全防护装置,它可以识别非法请求并阻止超越权限的数据访问和操作,从而有效地抵御病毒、黑客等通过各种形式发起的对电力网络系统的恶意破坏和攻击活动,保护实时闭环监控系统和调度数据网络的安全;同时它采用非网络传输方式实现这两个网络的信息和资源共享,保障电力系统的安全稳定运行。因此,此类设备的应用将有助于进一步提高电网调度系统的整体安全性和可靠性,促进各部门的生产和新应用的开发与运用,并为建立全国电网二次系统安全防护体系提供有力保障。
1.2南京华润电力调度数据网拓扑图
.png)
1.3横向隔离安全保障
横向隔离是电力数据网的横向防线。华润南京采用不同强度的安全设备隔离各安全区,在生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置,隔离强度应接近或达到物理隔离。电力专用横向单向安全隔离装置作为生产控制大区与管理信息大区之间的必备边界防护措施,是横向防护的关键设备。生产控制大区内部的安全区之间应当采用具有访问控制功能的网络设备、防火墙或者相当功能的设施,实现逻辑隔离。
按照数据通信方向电力专用横向单向安全隔离装置分为正向型和反向型。正向安全隔离装置用于生产控制大区到管理信息大区的非网络方式的单向数据传输。反向安全隔离装置用于从管理信息大区到生产控制大区单向数据传输,是管理信息大区到生产控制大区的唯一数据传输途径。反向安全隔离装置集中接收管理信息大区发向生产控制大区的数据,进行签名验证、内容过滤、有效性检查等处理后,转发给生产控制大区内部的接收程序。专用横向单向隔离装置应该满足实时性、可靠性和传输流量等方面的要求。
严格禁止E-Mail、WEB、Telnet、Rlogin、FTP等安全风险高的通用网络服务和以B/S或C/S方式的数据库访问穿越专用横向单向安全隔离装置,仅允许纯数据的单向安全传输。控制区与非控制区之间应采用国产硬件防火墙、具有访问控制功能的设备或相当功能的设施进行逻辑隔离。
1.4纵向加密安全保障
纵向加密认证是电力调度数据网安全防护体系的纵向防线,华润南京生产控制大区与调度数据网部署了4台电力专用纵向加密认证装置,实现双向身份认证、数据加密和访问控制。对于重点防护的调度中心、发电厂、风电场在生产控制大区与广域网的纵向连接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施,实现双向身份认证、数据加密和访问控制,并接入到省调内网安全监控平台。
纵向加密认证装置及加密认证网关用于生产控制大区的广域网边界防护。纵向加密认证装置为广域网通信提供认证与加密功能,实现数据传输的机密性、完整性保护,同时具有类似防火墙的安全过滤功能。加密认证网关除具有加密认证装置的全部功能外,还应实现对电力系统数据通信应用层协议及报文的处理功能。
对处于外部网络边界的其他通信网关,应进行操作系统的安全加固,对于新上的系统应支持加密认证的功能。
重点防护的调度中心和重要厂站两侧均应配置纵向加密认证装置;当调度中心侧已配置纵向加密认证装置时,与其相连的小型厂站侧可以不配备该装置,此时至少实现安全过滤功能。
传统的基于专用通道的数据通信不涉及网络安全问题,新建系统可逐步采用加密等技术保护关键厂站及关键业务。
2电厂调度数据网安全防护的未来发展
随着电力体制改革的不断深入,电力信息化已经不能仅仅满足于提供基础支持,国家电网明确地提出建设了“SG186工程”的工作部署。“SG186”工程是指:“SG”,State Grid是指国家电网公司英文名称缩写。“1”,是指一体化的信息集成平台(网络通道、应用集成)。“8”,是指建立八大应用系统。这八大系统是指将全公司的信息系统分为八类,即:财务、营销、安全、生产管理、OA、人力资源、项目管理、综合管理(含审计、决策等其它),其中每一类可能有若干子类。每类在全公司范围内集中到2个左右软件产品,分别交由有经验和实力的省公司开发。开发方式要坚持业务部门负责,信息部门进行技术支持。“6”,是指建立六大保障体系(安全防护体系、标准规范体系、管理控制体系、评价考核体系、技术研究体系、人才队伍体系)。国家电网“SG186工程”的出台在整个电力行业产生了巨大的影响,对电力行业的IT厂商、系统集成商和独立软件开发商等供应商产生了极大的影响。
SG186业务未来发展的必然趋势是利用互联网安全发布应用办公自动化(OA)——下属单位众多,覆盖地理面积广,远程安全访问电力市场和营销系统——销售网点众多,需要远程接入总部电力工作票系统——远程接入,提高工作效率企业ERP系统——远程接入,提高工作效率远程设备维护电力行业设备系统主要包括通信设备、网络设备、传输设备、服务器等,数量多,维护压力大。实现安全的现场办公和无线访问任意地点-办公室、用户现场、酒店、无线接入点任意终端-PC、手机、PDA解决性能和安全的矛盾良好的用户体验大并发业务处理提纲电力行业概述电力行业信息化建设简述电力行业信息化网络情况介绍电力调度系统组网方案介绍电力应急指挥中心高清视频接入方案介绍电力系统应急指挥中心方案设计电力行业信息化网络分类电力行业信息化网络分类:电力调度网SPD net是电力生产实时信息传输网络,传输的信息是电力调度实时数据、生产管理数据、通信监测数据等,是电网安全生产的重要保证。电厂随时能监测并发现隐藏于流经网络边界正常通信流中的入侵行为,分析潜在的威胁并进行安全审计就显得尤为重要。
部署安全审计系统,能够对操作系统、数据库、业务应用的重要操作进行记录分析,及时发现各种违规行为以及病毒和黑客的攻击行为。对于远程登陆用户到本地的操作行为,可以进行安全严格的安全审计。部署入侵检测设备可以有效的记录入侵和非法流量,在本质上,入侵检测系统(IDS)是一个典型的"窥探设备"。它不跨接多个物理网段(通常只有一个监听端口),无须转发任何流量,而只需要在网络上被动的、无声息的收集它所关心的报文即可。对收集来的报文,入侵检测系统提取相应的流量统计特征值,并利用内置的入侵知识库,与这些流量特征进行智能分析比较匹配。根据预设的阀值,匹配耦合度较高的报文流量将被认为是进攻,入侵检测系统将根据相应的配置进行报警或进行有限度的反击。
3总结
总而言之,实现电力调度数据网网络安全是一项十分必要的工作,这对于电力系统的稳定有重要意义,相关的工作人员必须要不断进行探索和努力,从而让电力调度数据网网络安全工作更加顺畅。
参考文献:
[1] 叶磊,陈媛媛,吴俊.电力调度自动化安全防护问题剖析[J].科技创新与应用,2016,04:174.
[2] 李智勇.电力调度自动化网络安全防护系统的研究[J].中国新技术新产品,2016,15:180-181.
[3] 张羽晨.电力调度自动化网络安全防护系统研究[J].湖南城市学院学报(自然科学版),2016,02:374-375.
[4] 夏杰.电力调度自动化系统安全防护研究[J].四川水泥,2016,08:234.
论文作者:王茜
论文发表刊物:《江苏科技报》2017年2期
论文发表时间:2017/9/22
标签:电力论文; 大区论文; 数据论文; 装置论文; 安全防护论文; 纵向论文; 网络论文; 《江苏科技报》2017年2期论文;