3.国网河北省电力有限公司吴桥县供电分公司 河北吴桥县 061800)
摘要:电力调度数据网,即传输电力生产实时信息的网络,不仅是维持电力系统各组成部分顺利运转的关键手段,同时在电力生产、调度,水库、燃料调度,安全自动装置,电网调度自动化的保障,在我国电力生产、管理中扮演着不可或缺的角色。
关键词:电力调度数据;网络安全技术;应用;
1 电力调度数据网安全问题
在电力调度数据网实际运行过程中,经常会出现影响其安全性的问题,难以提高电力调度数据网的应用质量,无法为电力调度系统提供良好的外部网络服务与内部隔离服务,导致电力调度数据网安全性降低。具体问题表现为以下几点:
1.1 操作不当引发的安全问题。在电力调度数据网实际使用过程中,相关操作人员不能更好的对数据网系统进行管理,在实际管理期间,还存在较多安全隐患,难以提高电力调度数据网的有效性。尤其是电力调度数据网系统内容较为庞大,导致操作人员不能更好的对其进行管理。同时,部分电力调度数据网操作人员没有树立正确的安全意识,经常会将账号信息与密码等泄露给他人,导致电力调度数据网安全性降低,难以达到一定的运行标准。
1.2 非授权访问问题。当前,部分电力企业在应用电力调度数据网系统的过程中,还存在非授权访问的问题,也就是在计算机系统与网络资源使用之前,还没有得到相关授权就对其进行访问,导致经常出现一些违法操作的问题,难以提高电力调度数据网的安全性,甚至会出现一些严重的问题。
1.3 数据破坏问题。电力企业中电力调度数据网系统在实际运行期间,经常会出现数据破坏问题,难以提高其运行效率与运行质量。同时,在数据传输期间,经常会出现信息丢失或是非法窃取的现象,难以提高其系统安全性,难以达到良好的运行效果。
1.4 配置问题。电力企业电力调度数据网配置问题也是引发各类安全问题的因素。主要因为在电力调度数据网系统实际设计过程中,不能根据其安全性等选择相关配置,难以按照相关安全操作原理开展工作,无法提高其安全性,难以达到一定的技术应用效果。
1.5 其他安全问题。在电力企业电力调度数据网实际运行期间,还存在较多影响其安全性的问题,导致网络数据受到攻击,甚至会出现系统瘫痪的问题,导致出现严重的经济损失。
2 风险评估和风险评估方法
为了保证整个安全管理体系的有效实施,就必须建立有效的风险管理流程。根据电力调度数据网的实际运行情况,将风险管理过程分为风险的评估、识别、分析、评估和控制5个阶段。风险评估方法不仅是设计整个安全管理系统的理论基础,还是切实保证电力调度数据网络安全管理系统顺利实施的关键。通过分配风险评估系统数据网络,明确数据网络系统中存在的安全风险,并针对其中存在的影响系统运行的因素采取了相应的防范措施。风险评估公式为:风险=资产×脆弱性/有效性的可能性。
.png)
图1 电力二次系统安全防护示意图
3 电力调度数据网涉及的安全技术
安全技术主要针对加强网络和应用接入安全两部分,前者包括设备安全,划分虚拟局域网,防范恶意代码,控制安全访问,整合专用安全设备的网络服务并加固网络审计。操作如下:
3.1 网路设备安全。网路基础设施安全是电力调度数据网安全的基础,因此非常有必要完善网络设备安全管理模式,提高设备安全性。主要包括:(1)增强物理安全,严格遵守相关法律法规和安全规范,保证机房建设安全可靠,严格做好防火、防水、防盗工作。机房必须保证能够为调度数据稳定电源,保持静电接地,具有防范电路截获,防电磁防放射功能;(2)保护网络设备上的账号安全。不断改进和完善用户管理制度,实行分账管理模式,确保设备控制的安全。例如,在每一级保护功能处设置口令和重要配置,禁止优先级较低的用户擅自更改设备。高优先级模式下必须设置访问密码,控制网段访问列表,禁止未登记用户名访问,同时重新设置账号中的加密存储口令、弱口令等;(3)保证配置安全,定期升级操作系统,严格检查配置文件的完整性,定期保存配置文件并及时进行备份,避免监控系统出现漏洞时,威胁到电力调度数据网。
3.2 虚拟局域网划分与VPN隔离。电力调度数据网的划分主要利用虚拟局域网划分和VPN传递,从而区分成几个互不联通的子网网段,这是保障电力调度数据网安全性的重要手段。利用BGP/MPLS[7],VPN技术可以实现流量监控和数据传输功能,同时控制各节点间的访问。
3.3 安全访问与恶意代码防范。通过有效控制访问敏感数据,可保证访问的安全性。按照实际需求,可使用VTY线路,来限制SSH用户的访问,或者是用TELNET登录方式代替SSH方式。或者严格控制网路协议流量、访问列表,限制非授权用户对SNMP的访问。随着电力调度数据网的不断完善,其网络设备更加智能化,便于对IP原路由功能进行操作,并且可直接屏蔽病毒常入侵的网络端口,或者是非业务系统端口。使用TCP连接或者是TCP k e e p alive服务来监控路由,防范恶意代码入侵。
3.4 增加专用安全设备性能和审计政策。及时更新或加装防火墙,加密认证网络的纵向边界,完善病毒入侵检测系统,并且及时对报警信息作出应答,及时处理报警案件。处理之后,需详细记录入侵用户的地点、端口以及精确时间,便于后期开展分析和审计工作。
3.5 应用接入安全,电力调度数据网中通常使用的集中终端授权访问控制的方法包括:MAC地址认证、WEB认证以及802.1X认证。第一种方法更加有效,更加便捷,但是需要记录所有用户的MAC地址,且设备配置和维持程度都相对复杂,不建议在移动终端和用户数量过多的情况下使用;第二种方式比较便捷,使用时无需安装软件,但是由于其自身的认证系统存在安全隐患,易造成网络堵塞,因此安全性能不足;第三种802.1X属于一种认证策略,同时具有物理端口和逻辑端口两种性质,可以辨别就认证端口,也就是说除了自身的认证协议和广播报文,禁止其他端口通过。在实际运用中,操作人员需要结合调度数据网的实际状况选择相应的认证方式,以最大限度地保证电力调度数据网应用接入安全。综合讨论,根据各项需求,参考《电力二次系统安全防护规定》和《电力二次系统安全防护总体方案》等其他方案,网络安全中需要综合采用防火墙、入侵检测、病毒防护、审计、安全管理等多种手段,对调度监控系统安全运行营造安全可靠的运行环境,给出示意图如图1。
安全防护系统具有如下功能:(1)防木马病毒等恶意代码入侵;(2)保证电力监控系统和调度数据网络的可用性、连续性;(3)保护数据存储和传输工程中的完整性和安全性;(4)实现电力调度数据网安全事件的可发现性、可跟踪性和可审计性;(5)实现系统与设备接入电力二次系统时的身份认证,防止非法接入以及非授权访问;(6)提高电力监控系统和调度数据网络的规范化安全管理。
电力调度数据网是一个庞大且复杂的系统,在电力系统中发挥着重要作用,在供电企业的发、送、配、用电等环节发挥着重要的协调作用,是推动我国电网调度自动化、现代化发展的推动引擎。因此必须不断完善电力调度数据网络相关安全技术,保障电力监控系统和调度数据网络的安全性。
参考文献
[1]冯旭辉.简析电力调度数据网安全技术及其应用.2017.
[2]孙梦瑶.浅谈电力调度数据网安全技术及其应用.2017.
[3]马登辉.浅谈电力调度数据网安全技术及其应用研究.2017.
论文作者:袁冰,王昭雷,王顺利
论文发表刊物:《电力设备》2018年第21期
论文发表时间:2018/12/12
标签:电力论文; 数据论文; 系统论文; 安全性论文; 网络论文; 操作论文; 端口论文; 《电力设备》2018年第21期论文;