电力二次自动化系统安全防护设计论文_胡鑫

电力二次自动化系统安全防护设计论文_胡鑫

(中国电建集团华中电力设计研究院有限公司 河南郑州 450007)

摘要:电力企业作为提供生产和生活能源的单位,其对国民经济的可持续发展和人民生活水平的提高具有十分重要的意义。随着我国社会主义现代化经济的快速发展,全国各地对电力的需求量变得越来越大,社会对电力的依赖程度越来越高。因此,如何保障电力供应的安全问题就成为我国社会广泛关注的问题,对电力二次系统安全问题也提出了更高的要求。随着高科技手段和技术的不断发展和应用,计算机和通信技术在电力系统中的应用变得越来越广泛,信息技术的发展使得电网二次系统技术得到长远的发展,发挥着巨大的作用。因此,本文针对电力二次自动化系统安全防护设计进行了简要的论述和分析,以期为提高安全体系设计提供参考。

关键词:电力二次话系统;安全性;保护措施;

一、电力二次自动化系统安全隐患分析

1.1电力二次系统

全国电力二次系统是指由各级电力监控和调度数据网络(SPDnet)以及各级电网管理系统(MIS)、电厂管理信息系统、电力通信系统及电力数据通信网络(SPTnet)等构成的极其复杂的巨大系统。二次系统划分为生产控制大区和管理信息大区。生产控制大区划分为安全区Ⅰ(控制区)和安全区Ⅱ(非控制区)。把监控与数据采集系统(SCADA)和应用软件系统(PAS)等可以控制电网并且对数据传输实时性要求较高的系统划分到安全区Ⅰ,把不直接控制电网或实时性要求不高的电能量计量系统(TMR)和调度员培训系统(DTS)等划分到安全区Ⅱ。管理信息大区又分为安全区Ⅲ(生产管理区)和安全区Ⅳ(办公管理区)。安全区Ⅲ主要是电力调度管理系统(OMS),安全区Ⅳ主要是电网生产管理系统(GPMS)和企业资源计划系统(ERP)等。

1.2相关硬件设备的安全威胁

电脑机房、网络设备、通信线路、安全设备等相关设备和线路的安全管理是保证二次自动化系统能够安全稳定运行的前提。但这些设备都面临着自然灾害、人为灾害(操作失误、被盗、断电、恶意破坏等)或辐射导致的威胁,如若出现这种情况,会给用户造成极大损失。

1.3相关网络防护和操作系统的安全威胁

通常在安全区Ⅰ和安全区Ⅱ之间加装防火墙,对其预先设定的策略进行匹配,可以控制进出网络的信息流向和信息包,这是网络的第一道防线。但由于防火墙自身的局限性,无法对数据包及上层的内容进行核查,并且对待内部主动发起的攻击一般无法阻止。防火墙本身就是一个OS,也有其硬件系统和软件,因此依然有着不足和bug,所以其本身也可能受到攻击并出现软、硬件方面的故障。还有不管是funlove病毒也好,还是CIH也好,在内部网络用户下载外网带毒文件的时候,防火墙是不为所动的。倘若防火墙安全策略没有认真配置,那么它的存在就是形同虚设了。计算机的操作系统(Windows系统、Unix系统、Linux系统等)日趋稳定和高效,但是缺省安装的操作系统就会产生很多漏洞,会对二次系统的安全运行产生极大威胁。

1.4应用层的安全威胁

应用层的安全通常依赖于网络平台、操作系统、数据库的安全,但是应用系统相当复杂,没有妥善解决其安全问题,这些安全漏洞或是不合理的配置都可能导致整个网络系统的安全性下降。

1.5内外部网络的安全威胁

系统管理员安全配置不当造成安全漏洞,内部人员若违规操作,将自己的账号随意借与他人或与别人共享都会为网络安全带来威胁。内部人员自身的恶意攻击是整个网络面临的最大威胁。一种是主动攻击,选择性地破坏信息;一种是被动攻击,在不影响整个网络正常工作的前提下,截获、盗取或是破译信息。不管是主动攻击还是被动攻击,都会对整个计算机网络造成极大危害。

期刊文章分类查询,尽在期刊图书馆

由于生产和工作的需要,内部网络(调度自动化系统)与外部网络(各基层单位网络、省公司信息中心网络等)进行了连接。由于缺少隔离措施,内部网络的安全漏洞很容易受到外部入侵者的利用,造成系统拒绝服务,甚至信息被窃取或篡改。某流域梯级水电站就曾发生过电能计量或计费系统被入侵者修改的恶性事件。

二、电力二次自动化系统的安全预防措施

2.1网络隔离方法

经过使用IPsec—VPN亦或者MPLS--VPN于专网上构成互相逻辑分离的多个VPN,进而完成于专用渠道上创建调度专用数据网络,完成和其他数据网络物理分离的目标。方便确保各安全区的纵向相连仅在共同安全区实施,防止安全区的纵向交叉链接。此外,切勿应用DHCP、SNMP和Web等网络服务,倘若有需要,也需非常谨慎和安全的情况下进行。倘若采取远程访问,虽能有利于系统的程度的保护,完成厂家的在线技术支持,但经过Internet的访问,所有的系统内容将全部暴露,该有利于恶意攻击从访问端口侵入,大量网络病毒将伺机攻击系统,造成严重的网络瘫痪。

2.2纵向防护措施

使用加密、访问控制和认证等方法完成数据的远方安全运送与向边界的安全防护。安全区I、安全区II内部的纵向通信流程,一般具备2个系统间的认证,可思考采取IP认证加密装备之间的认证完成,主要方法为:(1)针对传输的数据经过数据加密和签名实施数据整体性和机密性维护。(2)IP认证加密装备间可试验数字证书方式来验证,可实现定向认证加密。(3)具备传输协议、IP、应用端口号的访问控制和整合报文过滤作用。(4)实现透明性质的工作方法和网关工作方法。(5)具备NAT功能作用。(6)支持装备间的智能调节,动态调节的安全战略。

2.3加强网络操作系统的安全度

电力二次自动化操作系统需选择运行性能较为稳定的系统,同时具备健全的系统设计与访问控制机制。一般情况下选择应用量较少的系统版本,有利于整个系统运行过程中缺少障碍。针对选择不同版本的操作系统,都需立即设定和安装全新安全有效的修补补丁,加强整个网络操作系统的稳定度和安全度。

2.4提高预防病毒的方法

互联网的病毒入侵速率远远超出人们的预想,虽互联网上的杀毒软件会进一步升级病毒库,但安全区I的自动化系统不能立即远程升级特征库代码。常规的杀毒方法为经专业的维护人员定期采取移动介质将下载好的病毒代码自动革新至防病毒中心。但不管为使用移动设备,或者是经过网络连接的形式革新病毒库,均把系统内部的资料短暂显露于安全防护系统以外,而设计一台独立的病毒升级服务器即可处理该难题。病毒服务器能设定在安全区III,服务器能使用Linux系统为操作平台,然后增加预防病毒软件系统,使用KDE系统的文件管理作用解决收取的病毒特征库文件,通过该平台的杀毒操作后,通过物理分离工具供给于总线连接的EMS网络装置,进而完成系统设备病毒库的安全防毒升级。此外,需把EMS供给的I/O设置和服务器隔开,避免产生系统障碍和崩溃。

三、结语

综上所述,在电力系统中,电力二次自动化系统的应用使电力进入到一个新的发展阶段。但是,电力二次自动化系统运行过程中还存在一些安全隐患,给电力系统的正常运行造成了严重威胁。因此,为了适应新时期的电力发展需要,我们要设计一个安全防护平台,保证电力二次自动化系统的安全运行,使电力系统更好地为我国经济社会发展和人们生产生活服务。

参考文献

[1]李苗.关于电力二次自动化系统安全防护设计的相关探讨[J].中国电业(技术版),2012(3):23-25.

[2]韦建平.浅谈电力二次自动化系统安全防护设计[J].世界家苑,2011(7):241.

[3]潘伟林.浅谈电力二次自动化系统安全防护设计[J].中国科技财富,2011(6):127.

论文作者:胡鑫

论文发表刊物:《电力设备》2019年第15期

论文发表时间:2019/12/2

标签:;  ;  ;  ;  ;  ;  ;  ;  

电力二次自动化系统安全防护设计论文_胡鑫
下载Doc文档

猜你喜欢