(国网内蒙古东部电力有限公司检修分公司变电运检中心 内蒙古通辽 028000)
摘要:电力二次自动化系统主要指的是各级电力监控系统、电厂管理信息系统、调度数据网络和各级电网管理信息系统、电力通信系统以及电力数据通信网络等共同构成的十分复杂而庞大系统。随着我国社会主义现代化经济的快速发展,全国各地对电力的需求量变得越来越大,社会对电力的依赖程度越来越高,因此,我们应积极采取措施解决电力二次自动化系统的安全问题。
关键词:电力二次;自动化系统;安全防护设计
一、电力二次自动化系统安全防护的概述
近年来,我国的电网规模在不断扩大和发展,二次系统安全防护项目的应用可加速了电网扩大的速度,电力企业的二次系统对计算机网络技术的依赖性越来越大,电网随着电力二次自动化系统安全防护项目的实施,已经完成了地调、县调、500kV变电站和220kV变电站生产控制区业务系统接入调度数据网及相应调度数据网边界的安全防护。电力二次自动化系统安全防护技术是为保障电力安全发展而开发的新技术,主要是负责电网核心业务,保护设备安全是电网安全生产的重要保障,计算机是电网调度的核心地带,电力二次自动化系统是弱电设备,其承受雷电过电压和电磁脉冲能力不足。随着网络应用、计算机的不断发展,随之而来的病毒和黑客问题已经变得越来越严重,如何能保障电力系统免遭攻击,确保供电安全已经变成我们电力二次自动化系统安全性的重要挑战。电力二次自动化系统的安全防护设计的意义就变得十分重大。
二、电力二次自动化系统安全防护的主要目标
目前,我国的电力企业二次系统对于网络的依赖程度已经变得越来越高度非常高,同外部边界网络的联系十分紧密,通过实际情况的研究发现,我国电力网络安全面临的最大安全隐患不是来自控制系统本身,而是来自和控制系统相连的外部网络。现在我国网络的主要威胁包括网络黑客攻击和计算机蠕虫病毒等,电力二次自动化系统安全防护工作的重点应该是通过各种方式抵御黑客和病毒对系统发钱的恶意攻击和破坏,从而保护电网抵御集团式攻击,对电厂监控系统与调度数据的网络安全进行保护,防止电力系统因其攻击而发生故障问题。安全防护要做到的目标包括,第一,要防止由于外部边界遭受攻击和侵入引起的一次系统故障和二次系统崩溃。第二,要防止那些未经授权用户访问系统,同时防止侵入非法获取信息和重大的非法操作。第三,电力二次自动系统安全防护要保证网络专用,增加各分区边界横向安全物理隔离设备,纵向逻辑隔离设备和数据的加密。第四,电力公司要加强对内部人员的工作行为和工作职责的规范,对电力公司调度中心的整体安全管理水平进行提高。
三、电力二次自动化系统安全防护设计
3.1硬件安全设计
3.1.1消除通信故障
核心网络设备存在的单点故障隐患一般位于主干链路和网络关键节点处的,如信息外网、核心交换机及互联网之间防火墙等。为提升高可靠性出口链路,在单点处应采用双机热备。
期刊文章分类查询,尽在期刊图书馆
3.1.2自动化入侵检测
在Internet接入区内核心网络中,设置电力调度自动化入侵检测或入侵防御设备。结合现有网络技术水平,依据保护资产的重要性进行入侵检测系统IPS、IDS分层部署。
3.1.3边界区域划分
在Internet边界防火墙上部署需要对外提供服务的服务器,划分DMZ区,并设置控制防火墙的访问策略。
3.1.4内网业务区域划分
按照国网SG186安全防护总体方案要求,根据业务系统级别,“二级系统统一成域,三级系统独立分域”,划分安全域内网业务服务器,严格部署访问控制设备在安全域边界。
3.1.5三方设备接入
独立划分第三方人员安全域,严禁直接接入企业办公网,如确需与办公网通信,应设置边界访问控制设备,严格访问控制必要的接入,开启审计日志,细粒度审计网络访问行为。
3.2系统安全设计
3.2.1Windows操作系统
从官方网站下载最新的安装补丁。应在升级前进行测试、备份系统文件和数据。删除多余账户、设置登录口令、禁用Guest账户。
3.2.2Aix主机
遵循最小权限原则定义应用系统普通用户、系统用户权限。删除系统多余,用户,删除测试账户,选择复杂口令。改善系统账户,应当仔细确认、修改/etc/security/user文件,设置系统的角色防治误删除。修改/etc/security/user文件,设置rlogin属性为false。
3.2.3Linux主机
需要注意的是,安装补丁可能会导致不可用某些服务,严重时可能导致机器崩溃。建议根据服务运行的情况,安装一些有选择性补丁。从厂商站点下载最新的安全补丁,测试后再安装生产系统。双机主备的,先在备机上运行一段时间,宜进行一系列验证后,再安装主机。Linux操作系统在默认情况下不会启用Telnet协议。这主要是因为Telnet其有一个比较大的安全隐患。即其在数据传输的过程中,用户名、密码、指令都是明文传输的。为此在传输过程中,容易遭受到攻击,如利用嗅探器攻击者可以轻松的获取帐号、密码等敏感信息。为了Linux服务器的安全,建议大家采用ssh协议,而不是Telnet协议。如果一定要采用这个Telnet协议的话,则首先需要在Linux服务器上启用这个Telnet协议。
3.3安防系统
3.3.1防火墙
了解现有应用的需求,强化访问防火墙的控制策略设置,细化防火墙策略控制粒度,规划数据流,每个业务系统的实际数据应用宜采用细化规则,进行详细配置网络协议、目的IP、源IP、源端口、目的端口。提供外网服务的服务器必须放在DMZ区,DMZ区内的服务器对内外网的控制粒度需相同,也要求限制到IP地址及端口。
3.3.2入侵检测
科学分配客户端的管理策略、防病毒服务器,设立更新时间,实时更新病毒库防病毒软件并定期扫描;制定报告机制、病毒预警,预设合理的预警和报告策略,应规定1周内至少进行一次扫描策略。
3.3.3网络管理
网管系统部署应能监控该网络中所有相关网络设备,在条件允许的情况下,还应对一些重要的业务服务器进行监视。制定合理的补丁升级策略机制,升级策略应规定1周内至少进行一次升级;信息内网升级补丁库应做到专盘专用、专人负责从信息外网拷贝补丁文件到信息内网时应配置专用的移动存储介质,并由专人负责。合理配置补丁升级服务器和客户端的管理策略,设置更新时间,定期升级补丁库。
结语
综上所述,在电力系统中,电力二次自动化系统的应用使电力进入到一个新的发展阶段。电力二次自动化系统的安全防护与计算机网络安全密不可分,完成这样的一个系统工程,不仅要防止黑客的非法入侵,以保障系统的安全性,更要保证系统之间能够畅通地进行共享与交互。因此,我们应该意识到电力二次自动化系统安全防护的重要性,完善安全防护设计策略,加快电力行业的发展。
参考文献
[1]李苗.关于电力二次自动化系统安全防护设计的相关探讨[J].中国电业(技术版),2012.
[2]韦建平.浅谈电力二次自动化系统安全防护设计[J].世界家苑,2011.
[3]潘伟林.浅谈电力二次自动化系统安全防护设计[J].中国科技财富,2011.
作者简介
姜鹤宇(1984.11.02),性别:男 ;籍贯:内蒙自治区通辽市;民族:蒙古族;学历:大学本科;职称:工程师单位:国网内蒙古东部电力有限公司检修分公司变电运检中心。
论文作者:姜鹤宇
论文发表刊物:《电力设备》2017年第35期
论文发表时间:2018/4/28
标签:电力论文; 安全防护论文; 自动化系统论文; 系统论文; 网络论文; 电网论文; 边界论文; 《电力设备》2017年第35期论文;