摘要:随着经济的快速发展,各地对电力的需求越来越大,对电力的依赖度极高,因此,对电力安全,特别是调度自动化二次系统安全提出了新的更高的要求。随着计算机技术和通信技术等科技含量高的技术在电力系统中应用的高速发展,电网二次系统技术得到长足发展,其在现代化电网中的应用越来越广泛,发挥的作用也越来越大,电网二次技术已成为电网安全、优质、经济运行不可或缺的技术手段。因此,本文对电力调度自动化二次系统安全防护进行分析研究。
关键词:电力调度自动化;二次系统;安全防护
电力调度系统在大众的社会生活中占据着十分重要的位置,因此一定要保证电力系统可以稳定和安全及有效地服务,对于一个安全和高效的先进计算机网络系统是非常重要的。针对于黑客攻击与恶意代码入侵,必须注重电力系统的相关安全隐患内容。根据国内电力系统的总体方案规定,一定要对配网自动化与调度自动化的二次自动化系统及电能量计量等系统设置对应的安全工具,从而保证系统可以有效运行。
1电力调度自动化二次自动化系统存在的安全隐患
电力调度自动化二次自动化系统于运行过程中,遭遇到许多安全威胁,现归纳为几个方面的内容:硬件设备的安全隐患;应用层的安全隐患;内外部网络的安全隐患;操作系统与网络防护的安全隐患;其他安全隐患。
电力二次系统安全防护的目的为成功抵抗病毒、黑客、和恶意代码等以各种各样的形式对系统实施恶意的攻击与损坏,尤其为其可抵制集团式的进击,避免因此造成大面积停电事、一次系统崩溃和二次系统事故等。于电力调度自动化二次自动化系统执行操作中,将可能产生较多造成系统瘫痪的隐患,所以,于调度自动化二次系统的安全防护设计中,设计人员需明确几个方面的基准,例如:网络专用、安全分区、纵向认证和横向隔离,确保电力调度数据网络与电力监控系统的安全。
2电力调度自动化二次系统安全防护策略
2.1安全分区
根据系统中业务的重要性和对一次系统的影响程度进行分区,将整个电力二次系统分为四个区:I实时控制区、II非控制生产区、III生产管理区、IV管理信息区。I实时控制区的典型业务系统包括电力数据采集和监控系统、能量管理系统、广域相量测量系统、配电网自动化系统、变电站自动化系统、发电厂自动监控系统等。II非控制生产区的典型业务系统包括调度员培训模拟系统、水库调度自动化系统、继电保护及故障录波信息管理系统、电能量计量系统、电力市场运营系统等。III生产管理区典型的系统为雷电监测系统、气象信息接入等。IV管理信息区包括办公管理信息系统、客户服务等。
2.2横向隔离
采用不同强度的安全隔离设备使各安全区中的业务系统得到有效保护,在生产控制大区与管理信息大区之间,隔离强度应接近或达到物理隔离,必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置。在生产控制大区内部的安全区之间,进行逻辑隔离,采用具有访问控制功能的网络设备、防火墙或者相当功能的设施。其中正向安全隔离装置用于生产控制大区到管理信息大区的非网络方式的单向数据传输,反向安全隔离装置用于从管理信息大区到生产控制大区单向数据传输,集中接收管理信息大区发向生产控制大区的数据,进行签名验证、内容过滤、有效性检查等处理后,转发给生产控制大区内部的接收程序。
2.3预防病毒
互联网对网络系统的侵犯会导致系统出现各种故障,严重时直接使系统崩溃。并且互联网病毒的入侵十分迅速。专业维护人员按时将下载好的病毒代码更新至防病毒中心,这是常规的杀毒方法。虽然互联网上的病毒库可以由杀毒软件进一步升级,但实时控制区的自动化系统不能立即升级特征库代码。经过网络连接或者使用移动设备革新病毒库,都会短暂的将系统内部的资料置于安全防护系统之外。
期刊文章分类查询,尽在期刊图书馆这时只需要在生产管理区设定一台独立的病毒升级服务器就可以巧妙的解决这个难题。操作平台选择Linux系统,增加预防病毒软件系统。在收取病毒特征库文件管理问题上,可以选择KDE系统。通过该平台进行杀毒后,采用EMS网络装置完成系统设备病毒库的安全防毒升级。另外,为了避免系统崩溃,需要把服务器和EMS供给的I/O设置隔开。
2.4防病毒措施
利用防病毒软件是系统遏制病毒入侵、防范病毒危害的重要手段。病毒是不断发展、衍变的,厂家由此定期会通过INTERNET升级病毒特征库,基于安全一区的自动化系统,不可能直接远程升级特征库代码。传统的方法主要利用设备提供的光盘驱动器、软盘驱动器、USB输入口等设备直接将拷贝下的病毒升级程序迁入系统设备中。中间无论是采取移动设备还是通过网络连接的方式实际上都将系统暂时暴露系统安全防护体系之外。
有鉴于此,可以设置一台独立的病毒升级服务器解决这个问题。病毒服务器可以设置与安全三区,该服务器采用Linux系统为操作平台(KDE)平台并加装防病毒特征库文件,利用KDE系统的文件管理功能处理获取的病毒特征库文件,经过本机杀毒后,经过物理隔离设备提高给总线结构连接的EMS网络各设备,从而实现系统设备病毒库的安全升级。
2.5建立健全二次自动化系统网络安全防御系统
利用智能化的入侵检测和防御产品,通过串接在网络的关键路径上,对入侵活动和攻击性网络流量进行有效的区分和动态化的过滤,避免其造成损失,其是一种主动防护策略,而不是简单地在攻击流量传送时或传送后才发出警报。入侵防御系统一旦检测到入侵的发生,能实时地中止入侵行为的发生和发展,实时地保护信息系统不受实质性的攻击,从而确保电力二次系统的安全运行。网络入侵防御系统与传统的防火墙比较:传统的防火墙只能依靠事先定义的访问控制策略,不能过滤策略中未作定义的攻击流量,灵活性不足,因此防火墙无法防御某些入侵攻击。网络入侵防御系统与入侵检测系统比较:入侵检测系统多数是被动防御的,即在攻击实际发生之前,通常不能预先发出警报;在攻击过程中,亦不能实时过滤攻击流量。
2.6制度管理措施
调度责任单位成立专门的二次系统安全防护领导小组和工作小组,负责本单位的二次系统安全防护的组织管理和具体工作。禁止高安全区域系统的设备安装或放置在低安全等级区域。不同安全区域等级的系统网络不得通过在同一网络交换机中划分VLAN方式实现。做好防病毒措施,安装防火墙并定期升级病毒更新代码。
2.7其他加固措施
作为辅助措施,备份与恢复、入侵检测IDS、安全“蜜罐”、应用程序安全、安全评估技术等手段,可视县调系统工程实际进行配置,进一步完善二次系统分区分界防护。
结束语:
电力调度自动化二次自动化系统的安全防护与计算机网络安全密不可分,完成这样的一个系统工程,不仅要防止黑客的非法入侵,以保障系统的安全性,更要保证系统之间能够畅通地进行共享与交互。调度自动化二次系统的安全防护是一个长期的、动态的过程,为确保二次系统的安全,需要多种防护技术结合,形成完整有效的调度自动化二次系统安全防护体系。
参考文献:
[1]电力调度自动化二次系统安全防护探讨[J].谭俊杰.科技展望.2016(35)
[2]电力调度自动化二次系统安全防护研究[J].王朝琴.通讯世界.2014(23)
[3]电力调度自动化二次安全防护实施方案的研究[J].吴锡.通讯世界.2015(13)
[4]电力调度自动化安全防护问题分析[J].樊兵.通讯世界.2017(23)
论文作者:刘大泉
论文发表刊物:《电力设备》2018年第11期
论文发表时间:2018/8/1
标签:系统论文; 电力论文; 安全防护论文; 病毒论文; 大区论文; 自动化系统论文; 网络论文; 《电力设备》2018年第11期论文;