摘要:在电力调度自动化二次系统安全建设过程中,不仅需要不断的对技术进行完善,同时还要有效的提高安全产品的集成能力,这样才能对各种攻击和入侵起到有效的防护作用。电力调度自动化二次系统安全建设是一个动态的过程中,具有较强的复杂性,需要在具体实施中要利用全新的观念来对具体安全防护步骤进行规划,进一步对管理工作进行完善,努力提高技术水平,将多种手段和方法有效的结合起来,从而形成有效的安全防护体系,确保电力调度自动化二次系统能够安全、稳定的运行。
关键词:电力调度自动化;二次系统;安全防护
1 电力调度自动化二次系统现状
1.1 地区调度二次系统
地级调度中心二次系统主要包括调度自动化系统(SCADA、PAS等)、电能量计量系统、调度员培训模拟系统、调度生产管理系统和电力调度数据网络等,根据安全分区原则,结合调度中心应用系统和功能模块的特点,将各功能模块分别置于控制区、非控制区和管理信息大区。
1.2 变电站二次系统
变电站监控系统:变电站自动化系统、五防系统、继电保护装置、安全自动装置、故障录波装置和电能量采集装置等。
目前电力二次系统存在的主要问题有:管理区和生产区存在着双向的数据互换;缺乏加密,认证机制,没有入侵检测等预警机制;没有漏洞扫描和审计手段,接入存在安全隐。
2 电网调度自动化二次系统主要特点
电力调度自动化二次系统安全防护的现状随着近年来二次系统安全防护项目的实施,当前已完成地调、县调、500 kV 变电站及 220 kV 变电站生产控制区业务系统接入调度数据网及相应调度数据网边界的安全防护。随着应用系统的不断增加以及电网规模的不断扩充,二次自动化系统的规模也越来越大,二次系统安全风险随之增大,需要进一步完善管理手段。电网调度自动化二次系统牵涉到所有的电力工作,包括保护设备、自动化设备、通信设备和计算机网络设备,牵涉范围大,从电网的调度自动化监测、电厂发电机控制、电压频率控制、保护装置、安全稳定、通信(微波、载波、总机、网络等)、变电站控制、系统办公、管理等所有电力工作层面。二次技术是应用新发展起来的新技术,负责电网核心业务;通信是自动化计算机的基础和脉搏;保护设备是电网安全生产的保障;计算机是其电网调度心脏;自动化是电网生产的眼、耳、鼻、皮肤、神经,以至手、脚、大脑。二次系统属于弱电设备,其灵敏高,工作电压低(一般为5~12 V),但承受雷电过电压和电磁脉冲能力较差。二次系统点多面广,分布在电网的各个厂站点,几乎是有电的地方就有弱电设备。
3 电力调度自动化二次系统安全防护的实现
3.1 电力调度自动化二次系统安全防护主要目标
建立电力二次系统安全防护体系,有效抵御黑客、恶意代码等各种形式的攻击,尤其是集团式攻击,保障电力二次系统安全稳定,防止由此引起电力系统事故。
3.2 电力调度自动化二次系统安全防护的策略
3.2.1 加强纵向防护
边界的安全防护及保证数据的远方安全传送十分重要。通过加密、认证或者访问控制等方法都可以达到该目的。在具备两个系统间认证的情况下,可以考虑采取IP认证加密装备之间完成认证。第一,对需要传输的数据加密和签名,维护数据的机密性和整体性。第二,采用定向认证加密,尝试数字证书方式来验证IP认证加密;第三,具备NAT功能;第四,对工作方法和网关工作方法实现透明化;第五,使装备间能实现智能调节和动态调节;第六,具备传输协议、IP、应用端口号的访问控制和整合报文过滤作用。
期刊文章分类查询,尽在期刊图书馆
3.2.2 加强网络操作系统的安全度
对于电力二次自动化操作系统选择的系统来说,这些系统需要具备健全的系统设计和访问控制机制,要求它们运行性能相对稳定。就整个系统运行的过程来考虑,为了减少过程中的障碍,应该选择应用量相对较少的系统版本。同时,为了增强整个网络操作系统的安全度和稳定度,还需要及时的对不同版本的操作系统设定和安装安全有效的修补补丁。
3.2.3 预防病毒
互联网对网络系统的侵犯会导致系统出现各种故障,严重时直接使系统崩溃。并且互联网病毒的入侵十分迅速。专业维护人员按时将下载好的病毒代码更新至防病毒中心,这是常规的杀毒方法。虽然互联网上的病毒库可以由杀毒软件进一步升级,但实时控制区的自动化系统不能立即升级特征库代码。经过网络连接或者使用移动设备革新病毒库,都会短暂的将系统内部的资料置于安全防护系统之外。这时只需要在生产管理区设定一台独立的病毒升级服务器就可以巧妙的解决这个难题。操作平台选择Linux系统,增加预防病毒软件系统。在收取病毒特征库文件管理问题上,可以选择KDE系统。通过该平台进行杀毒后,采用EMS网络装置完成系统设备病毒库的安全防毒升级。另外,为了避免系统崩溃,需要把服务器和EMS供给的I/O设置隔开。
3.2.4 网络隔离
为了使各安全区的纵向连接仅仅实施于共同安全区,避免安全区纵向交叉链接,在专用渠道上创建调度专用数据网络,与其他数据网络进行物理分离,可以使用IPsec-VPN或者MPLS-VPN于专网上构成互相逻辑分离的多个VPN。另外,在Internet的访问过程中,系统内容将全部暴露,网络病毒在此时很有可能攻击系统,造成系统崩溃瘫痪。因此,对于DHCP、SNMP和Web等网络服务应慎重使用。
3.2.5 选择智能化产品
在电力调度自动化二次系统安全网络系统的建立过程中,选择防御产品或者入侵检验产品时,要选用能够及时准确报警,并且主动产生防护功能的产品。即智能化产品。这些智能化产品可以在网络的关键路径上串联,有效的保护系统的安全。在病毒入侵时就主动识别入侵行为,过滤攻击流量,灵活性非常高。
3.3 其它防护措施
(1)禁止生产控制大区内部的E-Mail服务,禁止控制区内通用的WEB服务。
(2)允许非控制区内部业务系统采用B/S结构,但仅限于业务系统内部使用。允许提供纵向安全WEB服务,可以采用经过安全加固且支持HTTPS的安全WEB服务器和WEB浏览工作站。
(3)生产控制大区重要业务(如SCADA/AGC、电力市场交易等)的远程通信必须采用加密认证机制,对已有系统应逐步改造。
(4)生产控制大区内的业务系统间应该采取VLAN和访问控制等安全措施,限制系统间的直接互通。
(5)生产控制大区的拨号访问服务,服务器和用户端均应使用经国家指定部门认证的安全加固的操作系统,并采取加密、认证和访问控制等安全防护措施。
结语
随着经济社会发展对电力依赖度的不断提高,电力调度自动化二次自动化系统安全的要求越来越高,加强电力调度自动化二次系统的安全防护,对确保电力安全运营、用户用电安全具有十分重要的现实意义。准确把握电网二次系统的基本特点,着力从软件安全防护、电力调度自动化二次系统中关于远程拨号访问的防护、搞好防雷防护、建立健全二次自动化系统网络安全防御系统等方面,切实采取有力措施,有利于电网系统的整体安全高效运行。
参考文献
[1]张红丹.电力调度自动化安全防护问题探析[J].中国电力教育,2013,(33):211-212.
[2]向刚.探析电力二次系统安全防护技术及应用[J].大科技,2014,(35):95-95,96.
[3]王辉.电力二次系统安全防护探讨[J].机电信息,2014,(30):1-2.
论文作者:张铁柱
论文发表刊物:《电力设备》2018年第11期
论文发表时间:2018/8/6
标签:系统论文; 电力论文; 安全防护论文; 电网论文; 控制区论文; 网络论文; 变电站论文; 《电力设备》2018年第11期论文;