信息安全防护技术在电力监控系统中的应用研究论文_李梓楠

信息安全防护技术在电力监控系统中的应用研究论文_李梓楠

(内蒙古电力(集团)有限责任公司呼和浩特供电局 内蒙古呼和浩特 010050)

摘要:电力自动化系统一体化、网络化的发展必然使信息安全问题成为威胁到电力系统的安全、稳定、经济、优质运行的重大问题。以变电站电力监控系统为例,其安全防护目的是抵御黑客、病毒、恶意代码等通过各种形式对变电站二次系统发起的恶意破坏和攻击,以及其它非法操作,造成误遥控、误调度、遥测数据紊乱,防止变电站二次系统瘫痪和失控,并由此导致的变电站一次系统事故。所以建立完善的安全防护体系,就成为一体化电力监控自动化系统设计中的重要部分。文章主要研究信息安全防护技术在电力监控系统中的应用,通过分析电力监控系统的信息安全隐患,提出相应的系统信息安全防护与管理方案。

关键词:信息安全防护;电力监控;应用

1电力监控系统的安全威胁

电力监控系统的安全威胁主要来自黑客攻击、计算机病毒、拒绝服务攻击以及来自网络内部的安全威胁等四个方面。现代黑客则从以系统为主的攻击转变到以网络为主的攻击,新的手法包括:通过网络监听获取网上用户的账号和密码;监听密钥分配过程,攻击密钥管理服务器,得到密钥或认证码,从而取得合法资格;利用Unix操作系统提供的守护进程的缺省账户进行攻击,如Telnet Daemon、FTP Daemon、RPC Daemon等;利用Finger等命令收集信息,提高自己的攻击能力;利用Send Mail,采用debug、wizard、pipe等进行攻击;利用FTP,采用匿名用户访问进行攻击;利用NFS进行攻击;通过隐蔽通道进行非法活动;突破防火墙等等。目前,已知的黑客攻击手段已多达500余种。计算机病毒与“蠕虫”程序有所不同,它们主要的区别是,“蠕虫”寄生于操作系统上,而计算机病毒寄生于一般的可执行程序上。计算机病毒种类繁多,极易传播,影响范围广。它动辄删除、修改文件,导致程序运行错误,甚至死机,已对电力监控系统甚至电网的构成重要威胁。拒绝服务攻击是一种破坏性攻击,最早的拒绝服务攻击是“电子邮件炸弹”。它的表现形式是用户在很短的时间内收到大量无用的电子邮件,从而影响正常业务的运行。严重时会使系统关机、网络瘫痪。

2电力监控系统中信息安全防护的要求

首先,必须遵循国家颁布的相关规定、规范和管理办法,将其作为信息安全防护的执行标准。2017年6月1日起,我国正式实施《网络安全法》,进一步确立了网络信息安全的法律地位,为电力监控系统信息安全防护工作的开展提供了法律支撑。其次,系统信息安全防护方案必须具备一定预测性和预防性,在方案中要遵循网络专用、安全分区、横向隔离、纵向认证的基本原则建设栅格状安全防护体系,有效隔离外部网络,引入先进的技术快速诊断网络存在的异常情况,安装安全防护装置和预警系统,防范信息泄露问题的发生。再则,系统信息安全防护要实施等级保护,提高安全防护能力。等级保护要从电力监控系统不同层面的安全管理入手,包括网络、主机、应用、数据等层面,针对不同层面的安全等级制定不同的安全防护方案,确定安全保护等级,使系统具备防范恶意攻击行为和实时感知网络异常的功能。最后,细化电力监控系统的安全防线,使安全防线满足系统边界、网络传输边界以及业务主机的信息安全防护要求,在这三个层次中设置三道安全防线。

3信息安全防护技术在电力监控系统中的应用原则

电力监控系统包含数据采集与监视控制系统、调度自动化系统、调度指挥管理信息系统、智能监控系统等多种系统。不同系统的数据安全等级存在着差异,数据存储与传输的实时性也有着较大差别。而电力网络信息控制的实时性,是决定电力监控系统安全的主要因素之一。

期刊文章分类查询,尽在期刊图书馆因此信息安全防护系统的应用原则为:首先要保证电力监控系统中各个连接的正常,之后削减系统中的无用连接;然后对网络中存在的实时连接部位进行防护,并对相应的故障部位进行修复;在电力监控系统设置物理隔离、协议防护两方面内容,来保证系统的安全;通过入侵检测系统监视网络、系统的运行状况,并对发现的各种攻击企图和行为进行解决;通过对各种物理硬件安全的审查,来对系统中网络信息的安全性进行评定,对目标传输者的位置进行定位;最后该电力监控系统中,要设置网关、IPsec网络开放标准框架和杀毒软件等,以保证信息传输中的防护安全。

4信息安全防护技术在电力监控系统中的应用

4.1安全分区

安全分区的主要意思是:对于各种不同的设备系统,根据他们业务数据的重要性,以及对一次系统是否有重大影响来进行分区。并且需要把比较重要的分区的业务数据进行加密、认证传输,使数据得到有效的保护。国家电网公司的所有电力监控系统都是基于终端系统和网络系统,主要划分为生产控制大区和管理信息大区。生产控制大区主要分为两大安全区:实时控制区(安全区Ⅰ)和非控制生产区(安全区Ⅱ);管理信息大区重要性不如生产控制大区,可以根据各企业不同安全要求划分安全区。根据应用系统的实际情况,在满足总体安全要求的前提下,可以简化安全区的设置,但是应当注意避免通过广域网形成不同安全区的纵向交叉连接。根据电力监控系统的重要程度、对一次系统的影响力以及具体的安规,将电力监控系统分为四大安全区:安全区Ⅰ:实时控制区;安全区Ⅱ:非控制生产区;安全区Ⅲ:生产管理区;安全区Ⅳ:管理信息区。

4.2网络专用

网络专用是指用路由器、交换机等网路设备搭建专门的电力网络,根据分区不同,几个网络之间使用网络安全隔离装置或防火墙进行隔离。并根据网络的密切程度,建立逻辑隔离或物理隔离分区。上下级之间通讯必须在一个网络之中,不能跨区访问。根据网络专用的要求,以下级是数字化变电站,上级是调度中心为例:在下级数字化变电站侧与上级调度中心侧,建立两套相互物理隔离的数据网络。

4.3横向隔离

横向隔离主要是指将四大安全区之间根据访问需求进行隔离开来,比如安全区Ⅰ与安全区Ⅱ、安全区Ⅲ与安全区Ⅳ关系密切,在它们之间增设防火墙。安全区Ⅰ、安全区Ⅱ与安全区Ⅲ、安全区Ⅳ之间业务往来较少,因此需要使用网络安全隔离装置等等。实时监控系统处在安全区Ⅰ:实时控制区,办公自动化系统处在安全区Ⅳ:管理信息区,原本两大区分别处在两套数据网络中,之间并无物理连接。但是安全区Ⅱ与安全区Ⅲ之间有单向业务访问的需求。为了将两种系统有效的隔离开,在安全区Ⅱ与安全区Ⅲ之间加设安全隔离装置,安全隔离装置可以实现业务的单向访问,隔离强度也可以达到物理隔离。安全区Ⅰ与安全区Ⅱ部分业务之间有互相访问的需求,需加设防火墙,进行逻辑隔离。安全区Ⅲ与安全区Ⅳ的办公自动化系统关系密切,时常有业务往来,因此也需要在安全区Ⅲ与安全区Ⅳ之间加设防火墙进行逻辑隔离。安全区Ⅳ与外部公共因特网之间也应加设防火墙以保障内网的安全性。

4.4纵向认证

纵向认证是指上下级之间,业务传输路途较远,有可能数据被窃取,因此需要增加防火墙或电力专用纵向加密认证网关,用来保障数据的安全性并对网络边界进行防护。在四大安全区中,数字化变电站与上级调度中心之间进行数据的交互,在传输过程中,由于经过的节点可能较多,传输距离较远,数据信息被截取甚至篡改的几率较大。因此,需要在数字化变电站与上级调度中心之间按照四大区安全性的重要程度分别加设纵向加密认证网关或防火墙。安全区Ⅰ、安全区Ⅱ是相对重要的两个安全区,需要加设纵向加密认证网关。安全区Ⅲ与安全区Ⅳ安全性相对较低,需要加设防火墙。这样,就保证了数据的安全,边界的防护也得到了增强。

参考文献

[1]张标新.电力生产应用中的信息安全与防护[J].通讯世界,2017,No.31407:157-158.

[2]郭仕杰,高鹏.电力监控自动化系统中信息安全防护与应用[J].电子技术与软件工程,2017,No.11921:189.

[3]潘路.电力二次系统网络信息安全防护的设计与实现[D].华南理工大学,2014.

[4]乔丽鹏.有效提高电力监控系统中二次安防的防护策略[J].电工文摘,2016,No.29404:13-15.

论文作者:李梓楠

论文发表刊物:《电力设备》2018年第4期

论文发表时间:2018/6/25

标签:;  ;  ;  ;  ;  ;  ;  ;  

信息安全防护技术在电力监控系统中的应用研究论文_李梓楠
下载Doc文档

猜你喜欢