国网江西省电力公司大余县供电分公司 江西省大余县 341500
摘要:随着经济和社会的快速发展,人们对电力系统的要求变得越来越高。二次安防是在电力系统稳定运行的前提下确保电力系统性能正常的工作,其主要的工作目标就是希望可以将电力系统潜在的安全问题进行排除,提升电力系统的安全性能。本文将提高电力监控系统中的二次安防工作作为研究对象,并探索出二次安防工作中的防护措施,保证二次安防工作的顺利开展,可供参考。
关键词:二次安防;电力监控系统;防护策略
电力二次系统安全防护主要是针对病毒、木马等恶意代码的侵害,防范入侵者的恶意攻击与破坏,保护电力调度数据网络和系统服务的连续性和电力监控系统和电力调度数据网络的可用性,实现应用系统和设备接入电力二次系统的身份认证,防止非法接入和非授权访问,预防对调度数据网络和应用系统上重要系统操作的抵赖行为,实现电力监控系统和调度数据网安全事件可发现、可跟踪及可审计,最终实现电力监控系统和调度数据网络的安全管理。因此,展开对电力二次系统的安全防护方法的讨论具有重要的现实意义。
1. 电力监控系统中二次安防的概述
电力二次系统安全防护的重点是确保电力实时闭环监控系统及调度数据网络的安全,目标是抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击,特别是能够抵御集团式攻击,防止由此导致一次系统事故或大面积停电事故,及二次系统的崩溃或瘫痪。电力二次系统安全防护总体策略是安全分区、风险隔离、网络专用和纵向认证。根据电力二次系统业务的重要性和对电力一次系统的影响程度进行分区,电网电力二次系统一般分为生产控制大区和管理信息大区,其中生产控制大区分为控制区和非控制区,生产控制大区是重点保护对象。电力二次系统采用不同强度的安全设备实现各安全区的隔离,在生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置实现高强度隔离。省级与地级电力调度数据网应当在专用通道上使用独立的网络设备组网,在物理层面上实现与综合业务数据网及外部公共信息网的安全隔离。各级调控中心和厂站在控制区与调度数据网的纵向连接处应部署经过国家指定部门检测认证的电力专用纵向加密认证装置或加密认证网关以及其它安全设施,为上下级控制系统之间的调度数据网通信提供双向身份认证、数据加密和访问控制服务。
2. 电力监控系统中二次安防防护技术
2.1 VLAN技术
VLAN即虚拟局域网,它也是一种局域网,VLAN 是通过将LAN 中的工作站按一定的方法划分到逻辑网中而形成的。VLAN 的形成并没有改变原有网络的拓扑,网络的视图是一致的。VLAN 是建立在LAN 基础上的,能控制不必要的广播报文的扩散,提高网络带宽利用率,减少资源浪费,划分不同的用户组,对组之间的访问进行限制,提高安全性。VLAN保持了网络的广播通信方式,将对路由器的频带减少到最小程度。同时减少了网络移动和变化的成本。
2.2 MPLS-VPN技术
MPLS VPN是一种基于MPLS技术的IP-VPN,是在网络路由和交换设备上应用MPLS 技术,简化核心路由器的路由选择方式,利用结合传统路由技术的标记交换实现的IP 虚拟专用网络,可用来构造宽带的Intranet、Extranet,满足多种灵活的业务需求。VPN被定义为通过一个公用网络建立一个临时的、安全的连接,是一条穿过公用网络的安全、稳定的隧道。虚拟专用网络虚拟出来的企业内部专线,它可以通过特殊的加密的通讯协议在连接在Internet 上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路。采用MPLS-VPN 技术可以把现有IP 网络分解成逻辑上隔离的网络,这种逻辑上隔离的网络的应用可以是千变万化的,可以是用在解决企业互连、政府相同/不同部门的互连、也可以用来提供新的业务。
2.3纵向加密认证技术
纵向加密认证装置负责保障网络内数据的安全传输,其设计及使用的原理涉及密码学和网络安全。纵向加密认证装置采用“统一协调,分级管理”,通过各级装置管理系统对不同厂商的设备进行统一管理。除纵向加密认证装置外,“纵向认证”的实现还涉及调度证书服务系统和装置管理系统。装置管理系统位于电力调度中心,是对所辖多厂商的装置进行统一管理的计算机系统。
期刊文章分类查询,尽在期刊图书馆
3. 电力监控系统中二次安防防护存在的问题
3.1安全防护措施简单
目前我国的电力系统安全防护措施主要是利用防火墙和网闸进行安全防护,这两种方式的共同点是按照系统提前设定的方式对电力系统参数进行匹配,达到控制网络信息流向和信息包的目的。但是这种防护方式,不能完全确保电力系统的网络安全性。加之,现今的网络信息防护技术的更新落后于黑客攻击的形式,在操作系统和网络防护方法相对单一的前提下,直接导致电力二次系统安全运行工作存在极大的风险。
3.2安全防护水平不高
电力系统内防水平低于外防水平,也是电力系统安全防护中存在的问题之一。在电力系统的实际运行中,大多数的网络安全装置都是限制外部网络信息安全的。相对而言,企业的电力系统内部遭受攻击,而无法得到有效的解决。电力系统内防水平低于外防水平,已经逐渐影响了电力二次系统安全运行工作,并对提高电力二次系统安全运行水平造成了一定的负面影响。因此,为了确保电力二次系统安全运行工作,重视电力系统内防水平低于外防水平这一问题非常重要。
4. 电力监控系统中二次安防防护技术策略
4.1安全审计及入侵防范
通过监听调度自动化系统核心交换机的数据,对应用服务器、数据库日志进行采集,并进行关联性分析,从整体上对网络安全状况进行监控,保证用户系统数据的安全性,在有事故发生时有据可依。同时,部署了一套入侵检测系统,以在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。
4.2网络结构安全
根据国家电力监管委员会令第5号《电力二次系统安全防护规定》和原国家经贸委令第30号《电网和电厂计算机监控系统及调度数据网络安全防护规定》,电力二次系统安全防护总体策略为“安全分区,网络专用,横向隔离,纵向认证”。
4.3网络隔离装置集中控制
对不必要的程序进行简化,免除双端修改程度在二次安防工作中体现出了网络隔离装置集中控制的意义。该措施的实施会将全部安全任务归结到隔离装置上,所以,需要提高安全筛强度和隔离装置的性能。同时,还需要不断提升系统信息的安全性和可靠性。
4.4防止监控系统信息外泄
为了避免监控信息的外漏,避免为外部供给创造必要的条件。工作人员在开展二次安防管理工作时,需要强化系统的定期维修和漏洞的修补工作。因此需要对其进行重复检查和关注,认真分析每个可能出现的安全隐患,促进二次安防性能的提升。
5. 电力监控系统中二次安防管理措施
(1)建立完备的可操作的应急预案,一旦出现二次系统安全问题,如何能及时处理,限制问题影响范围是至关重要的,必须建立一套完备的、可操作的应急预案,包括:如何实现自动化系统黑启动、如何快速将出现问题的网络设备或主机设备进行隔离等处理方法。应急预案应每年组织修订,并定期开展培训及应急演练。
(2)提高调控人员及变电站操作人员的安全意识,二次系统安全防护不仅仅是各单位自动化人员的工作,也不仅仅是网络安全员的工作,系统各使用人员包括调控人员、变电站操作人员的安全意识也是至关重要的,应做到以下几点:不要设置过于简单的密码,不要将账号及密码外泄、不要在自动化系统上进行无关操作及安装不必要的软件等。
6. 结束语
综上所述:电力二次系统的安全防护管理工作主要在于对外攻击的防御,对系统不安全因素和信息的隔离、过滤,以及对系统内部信息的保密管理等。除了在二次系统安全防护工作中大量地应用最新的电子信息技术以外,为了保证系统信息的安全性,企业应该对内部信息管理人员进行慎重的把关。内部工作人员的职业素质和责任意识将是确保电力二次系统安全运行以及有效发挥防护技术性能的根本保障。
参考文献:
[1]丁书文.变电站自动化原理及应用[M].北京:中国电力出版社,2010.
[2]章政海.电力企业二次系统安全防护总体设计研究[J].电力大学,2013.
论文作者:刘路
论文发表刊物:《基层建设》2017年第33期
论文发表时间:2018/3/5
标签:电力论文; 系统论文; 网络论文; 安防论文; 安全防护论文; 监控系统论文; 电力系统论文; 《基层建设》2017年第33期论文;