国网四川电力公司南充供电公司 637000
摘要:我国电力二次系统安全防护技术已广泛应用并取得了良好的安全防护效果,通用工业控制系统与电力二次系统既有相似性,又存在行业不同的需求差异。本文将结合当前工业控制系统的实际情况,对电力安全防护技术在工业控制系统中的具体应用进行分析研究,以此完善我国电力二次安全防护技术水平。
关键词:电力二次系统;安全防护;工业控制系统;信息安全
1 工业控制系统安全情况
在安全防护与通信数据保密措施上,当前全球的工业控制系统普遍上缺少较为有效的技术手段。依照工业信息安全库 RISI的统计结果,全球在近几年一共发生了200多起对工业控制系统的攻击事件。对于国家来讲,工业控制系统是安全战略方案结构中的一部分,一旦在工业控制安全上出现差错,整体上将对工业生产与国家经济的安全问题造成巨大隐患。
与通用管理信息系统不同,工控系统的可用性直接影响到企业生产,停机或误动都可能导致巨大的经济损失,甚至人员生命危险和社会安全破坏。同时,早期的工控系统相对独立封闭,其通信设备缺乏认证,工业通信规约也完全公开,这些都成为攻击工控系统的便利条件。尤其在我国“两化融合”后,因自动化单元缺乏网络区域监管,导致一个区域的信息安全问题可以迅速波及整个工控系统,且难以在事后进行审计和故障分析,著名的攻击事例有 2010 年“震网”病毒对伊朗核电站工控系统实施了网络攻击,这次事件给全球工业界敲响了信息安全的警钟。
2 电力二次系统安全防护技术
电力二次安全防护系统是为了保证电力系统的安全稳定运行,通过整体的电力系统安全防护水平所新出台的防护方案与实际技术。整体上的防护对象是电力生产与输配过程直接相关的计算机监控系统,以及调度网络数据网络。一共分为安全分区、网络专用区、横向隔离区和纵向认证区(图1)。我国该手段方案实施较早。从外国情况来看如美国的管理规定对私营电力企业的约束程度不够,安全体系的构建与防护措施也较难部署。相反我国的电力二次系统防护具备明显的技术优势,管理部署上的经验也较为充足。在工业控制信息安全防护中的实际推广有较为便利的条件。
单向隔离部件内部采用双主板结构,核心特点是“双机非网、单向通信”,单向通信由单向光(datadiode)或FIFO等物理上无反向通道的硬件模式实现,内网数据剥离到应用层之后单向传输到外网,内网主板工作于OPC Client状态,外网主板以OPCServer方式对外提供数据服务。
5 双向数据流的监管
双向数据流采用模式匹配、异常检测、协议分析、网络审计等技术进行综合监管。
5.1模式匹配
模式匹配就将网络信息与已知的攻击特征和系统误用模式数据库进行比较,来发现违背安全策略的入侵行为。该方法只需采集相关的数据集合就能进行判断,技术成熟且检测准确率高,不足之处是需要升级特征库以对付新的攻击手段。其主要有3个方面应用:
1)防IP地址欺骗,对所监视网络中主机的IP和MAC地址进行绑定,防止IP或MAC地址盗用,并对非法IP的访问提供详细的记录,防止来自内部的地址欺骗攻击,有效定位内部攻击来源。
2)IP碎片重组,对所监视网络中的IP碎片报文重组后分析,防止IP碎片欺骗。
3)采用网络攻击特征库检测多种典型的通用网络攻击手段。
5.2异常检测
异常检测首先给工控系统通信对象创建一个统计模型,包括统计正常使用时的带宽流量、联接方向、访问次数、操作失败次数和延时等,构造一个通信模型。当观察值在正常值范围之外时,数据流监管就会判断有入侵发生。
5.3协议分析
针对工控通信协议的特点对网络数据报文进行分析,监测可疑的或违反授权的行为。对协议的深度分析具有寻找任何偏离标准或期望值行为的能力,能够检测到已知和未知攻击。典型工控通信有MODBUS-TCP、
DNP3.0、IEC60870-104 等诸多协议,数据流深度分析模块部署在工控防火墙中,根据规则对数据流进行报文头检索、模版比对、攻击判断及告警形成。
5.4网络审计
网络审计即对网络中的工控协议异常进行事件记录,结合已记录完整的网络历史数据,再现网络被攻击时的运行状况。该方法不仅能发现孤立的攻击事件,还可以分析整个攻击过程,了解攻击确实发生与否以及攻击造成的危害,并可由此修订后续的防护策略。
结束语
电力二次安全防护在电力系统的正常运行中发挥着不可替代的作用,其不仅保障了电力系统二次信息传递的安全,为电力系统的正常运行营造了可靠安全的运行环境,还提高了电力系统二次信息传递的准确性和快速性,保证电力系统运行的安全性和可靠性,从而保证国民经济持续快速的增长。
参考文献
[1]刘远威.浅析二次系统安全防护技术在地区电力配网调度自动化中的应用[J].科技展望,2016,(32):119.
[2]罗青青,陈葆超.浅析电力二次系统安全防护技术的应用[J].科技传播,2016,(19):283-284.
论文作者:张华
论文发表刊物:《基层建设》2017年第26期
论文发表时间:2017/12/19
标签:安全防护论文; 网络论文; 系统论文; 工控论文; 电力论文; 控制系统论文; 工业论文; 《基层建设》2017年第26期论文;