(国网河北省电力公司邯郸供电分公司 河北省邯郸市 056000)
摘要:在电力系统中计算机监控系统对于电力系统运行的安全性、可靠性有着至关重要的作用。电力监控系统安全防护包括调度端、站内及纵向安全防护,安全防护主要针对网络系统和基于网络的电力生产控制系统,重点强化边界防护,提高内部安全防护能力,保证电力生产控制系统及重要数据的安全。本文就电力监控系统网络安全防护进行了分析。
关键词:电力监控系统;网络安全;防护
1电力监控系统结构介绍
第一,计算机监控层。计算机监控层设备包括控制键盘、打印机、电脑监视器、UPS等,所采用的软件均为专用软件,能起到对系统进行调度、授权、集中指挥等作用,例如录入图像数据,实时查询,对用户授权进行分区监控,对图像历史资料进行回放调看等。第二,网络通讯层。网络通讯层由现场总线网络和以太网通讯网络组成。现场总线网络是监控层中各个设备间的共通网络,通常以RS485为通讯接口,且支持Modbus-RTU协议;以太网通讯网络则是负责现场总线与监控设备通讯的网络,主要包括交换机、网络服务器等设备。第三,系统管理层。系统管理层主要包括中央控制设备中的电力监控管理设备以及外围设备、网络通讯设备等。中央控制设备与各分点电力监控设备相连,可实现现场各监测点与中控设备的信息交互,监控人员能通过系统管理层向各检测设备发送各项指令,实现电力监控的集约、统一管理。
2电力监控系统网络安全防护的原则
2.1安全分区
“安全分区”,原则上划分为生产控制大区和管理信息大区,生产控制区主要包括那些和电力生产紧密相关的、辅助电力生产决策信息系统,管理信息区主要包括那些和电力管理、经营、行政事务相关的系统。而生产控制大区按是否带控制功能分为的控制区和非控制区。
2.2网络专用
“网络专用”指的是该电力企业其生产大区中的所有数据网络均需要采用独立的网络设备组网,并需要在物理层面上充分实现与其它外部公共信息网的安全隔离,也就是电力的调度数据网。
2.3横向隔离
“横向隔离”指的是在控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置,其隔离强度接近或达到物理隔离,而现有黑客攻击大部分都基于网络,故黑客病毒无法穿透并攻击到电力内部系统。
2.4纵向认证
“纵向认证”指的是通过认证、加密以及访问控制等技术措施来实现对数据的远方安全传输以及纵向边界的安全防护工作,对于电力调度中心、发电厂等生产控制大区需要设置纵向加密认证装置,实现双向身份认证、数据加密以及访问控制等职能。
3现阶段电力监控系统网络安全防护存在问题
3.1分区错误
由于电力监控系统的复杂性和多样性,为所有的系统确立唯一的安全等级是困难的且代价昂贵的,从系统论的角度而言,将具有不同特性和重要性的系统划分到不同安全分区,根据不同安全区的确立不同的安全防护要求,从而决定不同的安全等级和防护水平。然而,由于初期对变电站在规划、设计、建设控制系统和数据网络时,对网络的安全问题重视不够和认识不够深刻,存在一些设备、系统分区错误现象,将防护等级较高设备放置等级较低区域,将应放置生产控制大区设备放置于管理信息大区。如,电能计量系统负责采集网内变电站的进线、主变以及出线表计的电量数据,需要从生产控制大区每天定时采集电量数据,若将其划分到管理信息大区,信息系统未达到相应的防护级别,会使重要系统面临较高的风险。
3.2跨区互联
在对生产控制大区以及管理信息大区之间一般都会进行单项安全隔离装置的设置,而在控制区以及非控制区之间一般则还会借助于防火墙来进行相应的访问控制工作,从而实现逻辑隔离的效果。一般情况下允许安全等级比较高的系统朝着等级较低的系统进行相关数据的发送,并进行正向安全隔离部署。但安全等级较低的系统朝着等级高的系统进行数据的传输过程中,则需要运用反向隔离传输,并将所需传输的数据进行加密。
期刊文章分类查询,尽在期刊图书馆如果在同一台设备上用两个网卡对生产控制大区以及管理信息大区的IP地址进行设置,也就会在这两个大区之间建立了一个直连通道,并可以将信息的交互直接绕过了隔离装置,并导致生产控制大区出现了失去防护这一情况。在现阶段的网络安全防护系统构建过程中,因为网络安全防护意识淡薄等原因,很多监控系统有跨区互联现象,甚至还存在有个别系统同时连接着Ⅰ、Ⅲ区。
3.3运行管理方面问题
第一,网络安全策略性较低。网络设备的安全性体现在其配置参数及策略的可靠性,包括验证接入者身份,部署路由的访问控制,确保信息传输的保密与完整性以及实施入侵检测的手段,增强网络设备防御病毒的能力等,若有某一方面达不到要求,都有可能是设备失去防护能力。第二,弱口令、数据明文管理问题。一些运行管理人员,系统使用默认情况下的简单口令,并且远程登录使用Telnet协议时数据以明文传输数据和口令,一旦口令泄露就失去了所有的防护能力;另一方面,对外来人员和未加强管理,默许其直接对设备操作,如:更改设备口令,修改安全设备策略配置,等等。第三,台账、拓扑图与实际不符,一旦系统故障或异常时,无法在第一时间内找到故障来源,导致设备风险难以掌控。
4优化电力监控系统网络安全防护的措施
4.1完善电力监控防护工作
在当前电力监控网络安全防护工作中,由上至下均由自动化专业负责,但其工作所跨部门专业较多,推动也较为困难。因此,新业务接入时一定要遵循提前介入、规范化实施等原则,在新建变电站、其他系统投产前需与工程建设单位提前联系,要求提前制定实施方案提交地调主站进行审核,审核通过后方可进行下一步工作。从而有效确保电力监控系统网络安全。
4.2完善管理机制
在管理层面,建立监督及检查的常态化工作机制,实现“以查促建、以查促管、以查促改、以查促防”机制,对历史规划存在分区问题,针对当前或历史规划遗留问题,根据轻重缓急制定整改计划,落实国家及行业的要求。
4.3保证数据的机密性、完整性和不可否认性
由于电力监控系统应用的特殊性,必须同时保证数据的机密性、完整性和不可否认性。对于从外部拨号访问的用户,应严格限制所访问的系统信息和资源;其次,应加强对拨号用户的身份认证,通过加密减少口令密码泄露的可能性;此外,严查同一台服务器同时布置不同网段的地址,放置不同等级应用无通过隔离进行交互。
4.4提升维护管理人员的素质,定期培训和考核
对于弱口令、数据明文传输、台账拓扑与实际不符等问题用技术和管理手段是较为容易解决的,是完全可以避免的,进一步提升维护人员的安全意识以及责任心,设置专职技术管理人员,使相应的管理措施以及技术措施能够得到充分的落实。对相关的安全防护人员进行定期的培训和绩效考核,使其拥有足够的技术能力处理相关现场问题。
5结束语
电力监控系统作为电力安全生产系统的一个重要组成部分,其除了建立相应的安全防护体系之外,还需要构建一个完善的网络安全管理制度,而只有达到管理与技术两个方面的共同优化效果,才能确保企业的电力监控系统能够得到安全稳定、高效可靠的运行效果,从而有效保障电力系统运行的安全性、可靠性、稳定性。
参考文献:
[1]关于电力监控系统的结构和功能详议[J].郑旭冬.科技风.2012(19)
[2]电力监控系统设计探讨[J].朱文.现代建筑电气.2016(07)
[3]浅谈电力监控系统二次安全防护的解决方案[J].李宇峰,臧磊.水电自动化与大坝监测.2013(05)
[4]浅谈远端电力监控系统的开发[J].袁淼.科技创新与应用.2013(35)
论文作者:贾鹏洲,岳海群,杨超
论文发表刊物:《电力设备》2017年第31期
论文发表时间:2018/4/18
标签:电力论文; 监控系统论文; 大区论文; 安全防护论文; 网络论文; 系统论文; 数据论文; 《电力设备》2017年第31期论文;