摘要:文章论述了电力配网自动化系统的运行监控安全防护要求,阐述了电力配网自动化系统运行监控安全防护的安全分区及业务,分析了电力配网自动化系统的主要安全漏洞,进而提出了电力配网自动化系统的运行监控安全保护策略,探讨了电力配网自动化系统网络安全措施,以供相关人员参考。
关键词:电力配网自动化系统;监控;安全保护;安全分区;漏洞扫描
运行监控系统是电力配网自动化系统的重要组成部分,主要包括通信设备、测控设备以及服务器等终端装置,为电力配电自动化系统数据采集、系统设备状态监控等方面总做提供有效的技术支持。但从实际情况来看,电力配网自动化系统的运行监控方面常常存在一定漏洞,从而面临相应的网络安全风险,进而影响到电力配网自动化系统的安全运行。因此,电力企业必须高度重视电力配网自动化系统的运行监控安全保护工作。
1.电网自动化系统的监控安保要求
电网自动化系统的监控安保需要全面遵循电网监控安保相关规定、《电力监控系统安全防护总体方案等安全防护方案和评估规范》和《电力行业信息安全等级保护管理办法》等相关标准规定的要求,这三项文件是电力配网自动化系统运行监控安全防护的基本指导依据[1]。2017年6月开始施行的《中华人民共和国网络安全法》,反映了国家已经从法律层面关注网络信息安全事宜。
电网自动化系统监控安保的核心在于安全分区环节、网络专用环节、横向隔离环节以及纵向认证环节,注重对外部网络边界的隔断,在安装相应的安保设备的基础上,构建自动化系统的监控安保预警系统,通过先进技术的应用,提高对网络异常的感知速度,从而构建电力配网自动化系统运行监控栅格状的全面安全防护体系。
电力配网自动化系统的运行监控等级保护,主要目的是为了有效增强电网自动化系统监控安保能力。该等级保护立足于物理安全、网络安全以及数据安全等诸多方面,根据安全等级不同,针对不同安全等级的电网自动化系统监控方面提出相应的安保要求,以达到提高系统感知水平、提升防控水平的目的。电网自动化系统监控安保工作,以系统边界、网络传输边界以及业务主机等为主要关注方面,为电力配网自动化系统的运行监控安全防护打造相应防线。
2.电力配网自动化系统运行监控模块的安全分区及其业务分布
从电网自动化系统监控特点及其实际安全要求来看,电网自动化系统监控模块的分布范围,主要涵盖了两大三小区以及一个安全接入区等[2]。
2.1安全区的业务分布
第一个安全区是指控制区,这也是生产控制大区的一个重要构成部分,该区包括有自动化系统的核心部分以及实时监控系统等,属于电力生产的核心业务方面,系统实时运行过程中,以调度数据网络或专用通道作为信息传输路径,是安全防护最为重要的方面,所以拥有最高的安全等级。
第二个安全区是指非控制区,属于生产控制大区的另一重要构成部分,是电力生产不可或缺的业务方面,但该区内的系统均没有远方控制功能,系统实时运行过程中,以调度数据网络作为信息传输路径,是安全防护中非常重要的方面,其安全等级比安全区I相对要低。
第三个安全区是指调度生产管理区,也就是管理信息大区。该安全区的主要功能是管理电力调度生产,其覆盖范围主要是管理提升系统以及生产决策能力提升系统等方面。该区不直接与电力生产环节闭环,以综合业务网作为信息传输路径,并通过电力专用横向单向隔离设备,与第一、第二安全区进行隔离。
2.2电网自动化系统运行监控模块的安全接入区
第一点,安全接入区的覆盖范围主要在于以非可控通信通道为数据传输路径的前置通信系统,该区通过电力专用横向反向隔离设备,来连接生产控制大区业务。
第二点,安全接入区与外部网络连接位置需要采用防火墙技术等。在山区小电源的安全接入方面,通常在北斗卫星通道以及GPRS 通道的接入过程中,都要提前通过安全接入区。
3.电力配网自动化系统运行监控安全防护方面存在的漏洞
在电力配网自动化系统中,C/S结构的数据传输模式是系统进行数据传输的基础,其技术结构分为感知层、网络层与应用层三个层次。应用层为自动化系统主站,其功能是收集、分析与监控各项数据。感知层为配电终端部分,其功能是对遥测、遥信数据进行收集,并利用无线公网?有线光纤网络、无线专网等将收集到的数据传输到网络层,然后在网络层对这些数据进行加工处理,最后把处理后的数据传输到应用层,由应用层实施审核处理。网络层包括有光纤、无线网以及载波等通信方式,尽管其为系统进行数据传输提供了诸多途径,但同时也为系统应用层带来诸多安全威胁,如数据被盗或被捏造等,都能对电力系统运行造成严重影响。
期刊文章分类查询,尽在期刊图书馆
4.电力配网自动化系统的安全保护策略
4.1创建安全接入区
电力企业可通过安全接入区的创建,来识别和拦截各种不合理数据与参数,以提升感知层终端设备的鉴别水平,增强应用层系统报文内容安全。同时利用数据交换系统,将接入区和系统间主站与公网隔离开来,通过安全接入平台传输运营商与电力行业数据,从而确保公网与调度数据网一直错开。
4.2设置可信安全接入网关
可信安全接入网关可有效保护配网主站前置机,所以电力企业可设置可信安全接入网关,在防火墙受到侵袭或被破坏的情况下,通过可信安全接入网关对入侵对象进行抑制和处理,以充分保证配网主站前置机的安全性。同时,可信安全接入网关还能在一定程度上将感知层终端的加密与访问等诸多功能唤醒,并通过高速Hash查表、加密卡多核平衡调度等方法的提出,有效增强数据加密功能和解密功能,提升数据隔离摆渡效率。
4.3加强应用访问控制技术以及各种加密技术
第一点,加密认证以及访问控制技术的应用,能够在很大程度上保证感知层与应用的数据传输安全,该安全保护功能需要通过鉴权与密钥协商、安全性能激活、信令与数据加密、数据与信令完整程度检测等若干流程来实现[3]。
第二点,在感知层终端程序中合理应用加密认证功能,可在赋予感知层终端加密处理数据信息的功能的同时,有效遏制恶意篡改?非法破译与拷贝等不良行为,从而增强感知层终端以及配网自动化系统的安全。
第三点,增添以串联模式为主的终端加密认证设备,以有效解决型号多、通信方式多以及扩容性不足等配电终端方面的诸多问题。
第四点,在配网终端专用安装加密认证芯片,以便于审核认证终端数据。
4.4构建安全管理平台
电力企业应积极推进安全管理平台建设,以提高配网自动化系统收集数据、分析数据与存储数据等各项工作效率?
5.电力配网自动化系统运行监控网络的安全保护措施
5.1漏洞扫描措施
充分发挥漏洞数据库的作用,对电力配网自动化系统信息资源就进行全面扫描,以及时发现和反馈系统中存在的各种风险与漏洞,并从客观角度来评价和确定系统安全风险等级。
5.2渗透测试措施
渗透测试是通过对黑客恶意攻击的模仿,来检验电力配网自动化系统安全程度的一种高效评估手段,该手段的应用能够将配网自动化系统相关安全问题有效检验出来。
5.3风险评估措施
电力企业可根据《电力监控系统安全防护总体方案》以及《中华人民共和国网络安全法》相关标准规定,来合理划分电力配网自动化系统应用、资产在完整性?可用性、机密性等方面的安全等级,并采用常见评价方式对安全事故发生率及其影响程度进行合理评估。
5.4代码审计与基线核查措施
第一点,代码审计。代码审计是指通过人工检测或智能检测等手段,来有效检测源代码中的安全缺陷,同时为弥补这些缺陷提供合理建议和科学方案。
第二点,基线核查。基线核查以配网设备、数据库等相关信息资源为主要核查对象,利用脚本工具对这些信息资源的最低安全指标进行核查。
5.5系统加固与业务安全测试措施
第一点,系统加固措施主要有:对系统安全配置进行合理修改,进一步建立健全安全机制,不断填充系统相关各种补丁等,从而有效增强电力配网自动化系统的安全性,防范系统安全风险的出现。
第二点,业务安全测试是指利用模拟方式来有效检测业务安全程度,并针对系统受攻击力度以及受侵严重程度等具体情况,进行相应解决方案的合理制定?
6.结语
总之,加大电力配网自动化系统的运行监控安全保护力度,在增强电网自动化系统安保能力的同时,还对电力配网自动化系统运行效率的提升等方面,有着十分重要的现实意义。因此,电力企业必须全面把握电力配网自动化系统的运行监控安全防护要求,充分认知电力配网自动化系统运行监控安全防护的安全分区及其业务分布,深刻了解电力配网自动化系统运行监控方面存在的安全漏洞,合理制定电力配网自动化系统的安全保护策略,有效采取电力配网自动化系统监控网络安全手段,进而从根本上保证电网自动化系统运行监控的安全性。
参考文献:
[1]梁东方. 发电厂自动化系统安全防护设计[J]. 通讯世界,2017(6):192-193.
[2]黎新. 信息安全防护技术在电力监控系统中的应用研究[J]. 信息通信,2018(1):114-115.
[3]郭仕杰,高鹏. 电力监控自动化系统中信息安全防护与应用[J]. 电子技术与软件工程,2017(21):199.
论文作者:洪属良
论文发表刊物:《防护工程》2019年第4期
论文发表时间:2019/5/30
标签:自动化系统论文; 电力论文; 电网论文; 数据论文; 安全防护论文; 安保论文; 系统论文; 《防护工程》2019年第4期论文;