(国网甘肃省电力公司庆阳供电公司 甘肃省庆阳市 745000)
摘要:近年来,居民生活水平不断的提高,对于电力系统的需求也不断的增大,在这种形势背景下,一方面为电力系统提供了更为广阔的发展空间,促进了电力系统的发展,另一方面也对电力系统提出了新的要求和挑战。在电力发展过程中,科学技术的发展进步为电力系统自动化水平的提高提供了条件,电力二次自动化系统的运用意义重大。
关键词:电力二次;安全防护;策略
一、电力二次自动化系统安全防护的概述
近年来,我国的电网规模在不断扩大和发展,二次系统安全防护项目的应用可加速了电网扩大的速度,电力企业的二次系统对计算机网络技术的依赖性越来越大,电网随着电力二次自动化系统安全防护项目的实施,已经完成了地调、县调、500kV变电站和220kV变电站生产控制区业务系统接入调度数据网及相应调度数据网边界的安全防护。电力二次自动化系统安全防护技术是为保障电力安全发展而开发的新技术,主要是负责电网核心业务,保护设备安全是电网安全生产的重要保障,计算机是电网调度的核心地带,电力二次自动化系统是弱电设备,其承受雷电过电压和电磁脉冲能力不足。随着网络应用、计算机的不断发展,随之而来的病毒和黑客问题已经变得越来越严重,如何能保障电力系统免遭攻击,确保供电安全已经变成我们电力二次自动化系统安全性的重要挑战。电力二次自动化系统的安全防护设计的意义就变得十分重大。
二、电力二次自动化系统
2.1电力二次系统
电力二次系统是指各级电力监控系统和调度数据网络以及各级电网管理信息系统、电厂管理信息系统、电力通信系统及电力数据通信
网络等构成的超级复杂的巨大系统。
2.2电力二次系统安全防护
电力二次系统安全防护的重点是确保电力实时闭环监控系统及调度数据网络的安全,目标是抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击,特别是能够抵御集团式攻击,防止由此导致一次系统事故或大面积停电事故,及二次系统的崩溃或瘫痪,其具体目标如下:①防范病毒、木马等恶意代码的侵害;②防范入侵者的恶意攻击与破坏;③保护电力监控系统和电力调度数据网络的可用性;④保护电力调度数据网络和系统服务的连续性;⑤保护电力调度数据网络重要信息在存储和传输过程中的机密性、完整性;⑥实现应用系统和设备接入电力二次系统的身份认证,防止非法接入和非授权访问;⑦防止对调度数据网络和应用系统上重要系统操作的抵赖行为;⑧实现电力监控系统和调度数据网安全事件可发现、可跟踪及可审计;⑨实现电力监控系统和调度数据网络的安全管理。
2.3电力二次自动化安全隐患
2.3.1硬件
电力二次自动化系统的正常运行离不开相关硬件设备的支撑。这些硬件设备在使用的过程中存在各种威胁,如人为或者自然灾害。
2.3.2操作系统
首先在电力二次自动化系统操作系统中,所运用的计算机操作系统不断更新换代,但是在应用的过程中,这些操作系统都会出现一些漏洞,进而威胁到电力二次自动化系统。其次在电力二次自动化系统中应用层中,应用层安全性主要依靠操作系统、网络平台以及各种数据库,但还没得到有效解决该平台、系统以及数据中的安全性问题,进而也降低了应用层的安全性。
2.3.3网络系统
运行电力二次自动化系统大部分依靠网络信息技术。然而网络方面的漏洞也给电力二次系统带来了不少的隐患。
三、电力二次自动化系统安全防护设计
3.1硬件安全设计
3.1.1消除通信故障
核心网络设备存在的单点故障隐患一般位于主干链路和网络关键节点处的,如信息外网、核心交换机及互联网之间防火墙等。为提升高可靠性出口链路,在单点处应采用双机热备。
3.1.2自动化入侵检测
在Internet接入区内核心网络中,设置电力调度自动化入侵检测或入侵防御设备。结合现有网络技术水平,依据保护资产的重要性进行入侵检测系统IPS、IDS分层部署。
3.1.3边界区域划分
在Internet边界防火墙上部署需要对外提供服务的服务器,划分DMZ区,并设置控制防火墙的访问策略。
3.1.4内网业务区域划分
按照国网SG186安全防护总体方案要求,根据业务系统级别,“二级系统统一成域,三级系统独立分域”,划分安全域内网业务服务器,严格部署访问控制设备在安全域边界。
3.1.5三方设备接入
独立划分第三方人员安全域,严禁直接接入企业办公网,如确需与办公网通信,应设置边界访问控制设备,严格访问控制必要的接入,开启审计日志,细粒度审计网络访问行为。
3.2系统安全设计
3.2.1Windows操作系统
从官方网站下载最新的安装补丁。应在升级前进行测试、备份系统文件和数据。删除多余账户、设置登录口令、禁用Guest账户。
3.2.2Aix主机
遵循最小权限原则定义应用系统普通用户、系统用户权限。删除系统多余,用户,删除测试账户,选择复杂口令。改善系统账户,应当仔细确认、修改/etc/security/user文件,设置系统的角色防治误删除。修改/etc/security/user文件,设置rlogin属性为false。
3.2.3Linux主机
需要注意的是,安装补丁可能会导致不可用某些服务,严重时可能导致机器崩溃。建议根据服务运行的情况,安装一些有选择性补丁。从厂商站点下载最新的安全补丁,测试后再安装生产系统。双机主备的,先在备机上运行一段时间,宜进行一系列验证后,再安装主机。Linux操作系统在默认情况下不会启用Telnet协议。这主要是因为Telnet其有一个比较大的安全隐患。即其在数据传输的过程中,用户名、密码、指令都是明文传输的。为此在传输过程中,容易遭受到攻击,如利用嗅探器攻击者可以轻松的获取帐号、密码等敏感信息。为了Linux服务器的安全,建议大家采用ssh协议,而不是Telnet协议。如果一定要采用这个Telnet协议的话,则首先需要在Linux服务器上启用这个Telnet协议。
3.3安防系统
3.3.1防火墙
了解现有应用的需求,强化访问防火墙的控制策略设置,细化防火墙策略控制粒度,规划数据流,每个业务系统的实际数据应用宜采用细化规则,进行详细配置网络协议、目的IP、源IP、源端口、目的端口。提供外网服务的服务器必须放在DMZ区,DMZ区内的服务器对内外网的控制粒度需相同,也要求限制到IP地址及端口。
3.3.2入侵检测
科学分配客户端的管理策略、防病毒服务器,设立更新时间,实时更新病毒库防病毒软件并定期扫描;制定报告机制、病毒预警,预设合理的预警和报告策略,应规定1周内至少进行一次扫描策略。
3.3.3网络管理
网管系统部署应能监控该网络中所有相关网络设备,在条件允许的情况下,还应对一些重要的业务服务器进行监视。制定合理的补丁升级策略机制,升级策略应规定1周内至少进行一次升级;信息内网升级补丁库应做到专盘专用、专人负责从信息外网拷贝补丁文件到信息内网时应配置专用的移动存储介质,并由专人负责。合理配置补丁升级服务器和客户端的管理策略,设置更新时间,定期为升级补丁库,并及时升级。
参考文献
[1]余丽.刍议电力二次自动化系统安全防护设计[J].中国新技术新产品,2014.
[2]焦伟.电力调度自动化网络安全防护系统的研究与实现[D].华北电力大学,2014.
冯勇(1982.4),男,甘肃庆阳人,西南交通大学本科,单位:国网甘肃省电力公司庆阳供电公司,研究方向:调度自动化厂站端调试检修
论文作者:冯勇
论文发表刊物:《电力设备》2017年第26期
论文发表时间:2018/1/6
标签:电力论文; 系统论文; 自动化系统论文; 安全防护论文; 网络论文; 数据论文; 庆阳论文; 《电力设备》2017年第26期论文;