水电厂监控系统信息安全防护优化研究论文_袁苑,王荔,刘宇杰

水电厂监控系统信息安全防护优化研究论文_袁苑,王荔,刘宇杰

(华能澜沧江水电股份有限公司苗尾•功果桥水电厂 云南大理 672700)

摘要:现代水电站对安保的要求日益严格,水电厂监控信息系统的安全防护等级也需要做相应的提高。加强水电厂信息传输的网络安全,确保监控信息系统能够适应水电厂的应用环境,以及通过系统优化提高监控网络的安全等级等措施,对维护电厂的安全运行至关重要。本文就对水电厂监控系统信息安全防护措施进行深入探讨。

关键词:监控信息系统;防护;优化;安全

水电厂在发展的过程中,应十分重视信息的安全问题,同时各项功能的实现都离不开信息技术,例如监控系统,火灾预防系统等等都需要电子信息技术的支撑,利用信息网络使水电厂形成一个整体,实现信息的共享与交流,同时不断提高水电厂的信息网络安全。

1、水电厂监控信息系统中的网络安全问题

国家电力企业在监控信息系统的网络安全方面,应该遵循相关的规范标准,以免干预电力信息的安全分配。结合某水电厂监控信息系统(SIS),在水电厂中的应用现状,例举典型的网络安全问题。

1.1网络连接问题

该水电厂中的网络数据,采用的是单向传输的方法,禁止向实时监控系统的服务器内写入数据,主要是因为SIS连接了水电厂的运行设备,一旦连接中出现安全问题,即会影响水电厂的安全运行,很容易引起黑客入侵,所以网络连接是一项常见的安全问题,导致SIS连接中出现了网络缺陷。

1.2网络通讯问题

SIS通过交换机连接水电厂的通信服务器,网络通讯的安全级别,要高于管理、操作等网络系统。虽然SIS网络通讯中使用了安全防护措施,但是网络通讯同样需要遵循单向传输的规定,站在网络结构的角度上分析,网络通讯仍旧存在一定的安全问题。例如,SIS中通讯访问的过程是透明的,其可实现任意编程的访问,表明任何身份的计算机,都可访问SIS通讯网络,获取水电站的通信监控信息,由低到高的级别网络中,不存在安全保护的措施,威胁了网络通讯中的数据交流。

1.3防火墙问题

该水电厂SIS中的防火墙设计,比较注重软件防火墙,利用软件操作,提高SIS的安全性。例如,SIS在监控水电厂电网调度信息时,软件防火墙处于被动防御的状态,该水电厂没有升级软件防火墙,只能阻挡常规病毒,对新型的攻击起不到任何作用,此时软件防火墙处于停滞状态,没有完全保护电网调度的信息,导致信息丢失,严重影响了该水电厂的调度过程。

2、水电厂监控系统安全防护优化设计

2.1基础设施与网络结构优化重点

水电厂监控系统基础设施安全优化重点主要包含有机房及现地工作站的生产场地环境、供电及通信可靠性。参照国家C类机房标准,研究新建机组机房等基础设施选址合理性;重点考虑机房防窃、防火、防水、防破坏、门禁系统等物理安全防护措施与机房进出控制、鉴别和人员防尾随等管理措施一致性管理;供电及通信可靠性需关注机房供电可靠性、UPS电源负载、强弱电隔离布设情况、设备使用寿命与故障多发期备品备件准备,通信设备应具备N-1安全运行要求,不同的冗余通信通道建议通过不同电缆沟道分设。网络结构则重点贯彻落实“安全分区、网络专用、横向隔离、纵向认证”的基本防护要求,生产控制大区非实时部分应采用纵向加密认证装置替代防火墙,所有业务功能需要按照安全分区的原则部署;应定期对电力专用正反向、纵向装置及区域间防火墙策略配置的合理性进行核查,杜绝明通现象发生。此外,需要杜绝终端非法外联的情况,即命令禁止接入生产控制大区的计算机设备与互联网相连混用。若部分电厂涉及必需的远程拨号维护,拨号网关设备则必须经由并通过国家有关机构安全检测认证,做好严格的监管审计且非使用状态下应处于断电关机状态。

2.2设备资产及系统应用优化重点

水电厂监控系统设备资产包含监控系统中的操作系统、数据库、中间件等基础软件及服务器、工作站、现地控制单元、PLC、网络设备等硬件设备。全部资产应建立完善的资产清单,罗列其明细功能,系统拓扑结构图应按照实际情况描绘。

期刊文章分类查询,尽在期刊图书馆系统基础软件应注意需开展专项安全策略加固工作,针对默认开启的通非必须通用服务、口令策略强度、账号权限、恶意代码防范、审核粒度等进行集中的核查整改;硬件设备应封闭网络设备和计算机设备的空闲网络端口和其他无用端口,拆除或封闭不必要的移动存储设备接口。新建水电厂在计算机、存储设备、路由器、交换机等关键设备选型过程中,需注意设备是否存在安全隐患或恶意芯片;新建或已投运水电厂不得使用曾被公安部通报存在后门漏洞的PLC产品,已使用的需尽快联系厂商完成整改工作。新建水电厂监控系统应用层安全设计应充分考虑全生命周期管控理念,即在系统规划设计、研究开发、施工建设、安装调试、系统改造、运行管理、退役报废各阶段充分考虑系统应用层面安全管控与治理,形成隐患消缺的闭环模式,并逐步摆脱对非国产、非安全操作系统或开发平台的依赖。

3、水电厂监控信息系统网络的安全防控措施

3.1网络传输硬件防护措施的优化

水电厂在优化监控信息系统的安全防护时,还应该有针对性地对网络传输中的硬件进行优化,以保证监控信息网络的数据安全。例如,电厂监控信息传输系统安装单向传输硬件装置,实现数据流的单向传输,以规范硬件网络众的信息流向,主动阻断非法信息的流向。控制网络数据流向的硬件系统目前主要为南瑞SYSKEEPER2000,该系统可以有效保障水电厂的监控数据在传输的过程中准确穿过网闸,有效减轻网络数据传输过程中的协议负荷,并能够对数据传输过程中的安全环境进行“净化”。

3.2监控系统防护入侵策略的优化

水电厂监控信息系统还必须能够有效防止信息系统的非法侵入,因此需要对监控系统的非法入侵系统的防护策略进行优化。目前针对水电厂监控信息安全网络的中的非法入侵行为进行防护优化的主要策略有以下几点:(1)按照监控信息实际运作的特点和运行周期,规划水电厂监控信息网络病毒查杀的周期,实行全面的病毒检测和查杀;针对侦测出的网络病毒定义码检查网络安全防护和防火墙的配置,并对已有病毒的演化能力进行评估,找出有效的防护方案。(2)对水电厂监控信息系统的网络进行定期检查,完善网络信息安全系统的测试方法,及时修复病毒入侵后留下的系统漏洞,科学安排补救措施。(3)积极更新病毒安全软件和系统隔离硬件,以应对不断演化的系统病毒的入侵,增加水电站安全防护系统运行的安全系数;及时更新系统软件的配置,优化系统软件的安全措施,以提高系统应对网络入侵风险的能力。

3.3增强信息安全防护意识

水电厂要定期抽调信息安全专业技术人员对系统操作人员开展信息安全防护培训,认真细致、全面详细地传达计算机系统操作、计算机安全接入的相关规定,对内网准入系统的安装注册、桌面管理系统的管理操作、统一数据保护与监控平台客户端的安装使用方法进行详细讲解,使计算机系统操作人员更加明确接入内网计算机的入网要求以及防止弱口令的操作方法,全面提升水电厂访问操作口令的安全性以及防范高危漏洞的能力,同时,还要积极地向全体员工宣传计算机信息安全防护的重要性,形成全员重视信息系统安全隐患防范、参与信息系统安全防护的氛围。

3.4提高监控系统物理隔离的水平

信息系统的安全防护除了依靠防火墙的优化和升级,还需要依靠硬件设备的防护,硬件防护主要依靠提高物理隔离的水平来实现。所以,在水电厂的监控信息系统中需要添加具有隔离设备的硬件系统,通过具有硬件隔离功能的设备实现网络连通过程中对数据的安全防护,控制数据流向的安全、可控,防止硬件系统被非法入侵。硬件系统的物理隔离水平是监控信息系统安全防护的核心,可以有效提高监控系统的信息安全防护水平。

4、结语

综上所述,水电厂的运行需要配备专门的网络,水电厂中的信息安全也关乎着国计民生,网络信息体系的安全运行直接影响着社会经济的发展,水电厂管理部门必须高度重视信息网络安全的防护工作,实施提高安全系数的措施,将各个单元进行独立运行,设置局域网,减少外网的接入,应用防火墙来阻挡病毒的侵袭,最大程度的保障水电厂的网络信息安全,使水电厂的运行能够在安全的范围内,促进其长远发展。

参考文献

[1]石文昌,梁朝晖.信息系统安全概论.电子工业出版社.2019.

[2]向宏,傅鹏,詹榜华.信息安全测评与风险评估.电子工业出版社.2019.

[3]邓钧健.计算机网络技术在电子信息工程中的应用[J].电子技术与软件工程,2014(16):208.

论文作者:袁苑,王荔,刘宇杰

论文发表刊物:《电力设备》2019年第20期

论文发表时间:2020/3/16

标签:;  ;  ;  ;  ;  ;  ;  ;  

水电厂监控系统信息安全防护优化研究论文_袁苑,王荔,刘宇杰
下载Doc文档

猜你喜欢