国网日照供电公司 山东省日照市 276826
摘要:为满足人民追求美好生活电力需要,电力供应的可靠性和安全性摆在首位。借助科技的力量越来越凸显,智能电网的建设不断地完善,网络信息技术在电力系统中的应用越来越广泛,为防止黑客、病毒、恶意代码等的侵害,电力企业应采取相应的防护措施。在电力监控系统构建时,就必须建立相应的安全防护系统。否则,若出现网络安全问题,轻则导致国有资产损失,重则导致整个电力系统瘫痪,大面积停电也会严重影响人们的日常生活和生产。例如,2015年12月23日,乌克兰电网遭遇一种“暗黑力量”的恶意软件入侵,通过建立僵尸网络对目标实施DDOS攻击,黑客通过下发指令控制了整个电网,导致乌克兰全国共有140万居民停电。所以,为了保障电力系统安全稳定运行,必须重视电力系统网络安全问题。
关键词:电力监控;系统网络;安全防护;体系建设
1导言
电力监控系统是电力安全生产系统中相对比较重要的内容,这一部分内容能够有效促使电力系统安全有效运行,在电力监控系统运行管理时,不仅需要建设相关的安全防护体系,同时也需要建立相关的网络安全管理制度,只有在技术实施时,具有比较规范化的管理内容对其加以规范化管理,才能够有效促使发电企业的电力监控系统的运行更加安全稳定、可靠高效。
2电力监控系统现阶段安全防护的问题
2.1技术管理方面的问题
电力监控系统现阶段存在安全防护技术管理方面的问题,主要包含分区错误和跨区并联等,首先是分区错误的问题,这一问题的发生,主要是由于电力监控系统本身具有复杂性和多样性等特点,使得系统确定安全等级时存在一定困难,并且这一过程的成本比较多,在系统论角度下,需要将其中具备有不同特性以及重要性的系统进行相关的安全程度分区处理,针对性确立安全防护策略,促使其能够达到不同等级的安全防护的具体要求。但是确立电力监控系统的安全防护体系时,在初期的规划工作以及建设的过程中,往往由于对网络的重视程度不足而造成在建设完成后出现设备和系统分区时定义等错误情况。跨区并联主要是在对生产控制区域相对比较大和管理信息范围比较大的区域设置单项安全隔离装置等,而在一些控制区域、非控制区域之间使用防火墙等系统实施相应的访问控制工作,促使实现逻辑隔离的效果。在通常情况下,安全等级较低的系统在将数据传输到等级高的系统时,需要实施反向隔离传输,也需要对其传输的数据进行加密处理,在现阶段的网络安全防护系统建设的过程中,人们在网络安全方面的防护意识相对比较薄弱,其中监控系统存在有跨区互联等现象。
2.2运行管理方面的问题
在建设和实际管理电力监控系统的安全防护体系时,也存在一定的问题,首先是其中存在着数据明文管理的现象,密码口令泄漏时,就会造成防护系统整体失去防护能力。其次,电力监控系统运行管理中台账和拓扑图等方面的内容和实际情况不符合,在出现系统故障问题或者出现系统异常时,不能够在第一时间内寻找故障的源头,使得设备的风险难以得到控制。同时其中也包含其他方面的问题,在运行管理的过程中,机房准入制度不健全,在防范系统物理入侵等现象时有效性较低,没有比较完备的系统备份制度,促使系统在管理的过程中,由于受到袭击而难以及时恢复。
3建设内容
3.1成立工作小组
成立以调控中心主任为工作小组组长的组织机构,如图 1 所示。在地调设立网络安全专责,全面负责组织地区电力监控系统安全防护体系建设工作。工作小组成员包含主站自动化、运检部自动化、县调自动化、通信、并网电厂负责人等。
图 1%%网络安全防护工作小组
3.2制订安全防护方案
依据 《电 力 监 控 系 统 安 全 防 护 规 定》(国 家 发 改 委〔2014 〕 14 号令)、《电力监控系统安全防护总体方案和评估规范》(国能安全〔 2015 〕36 号)及省公司调控中心的统一部署,组织各专业制订《地县级调度中心监控系统安全防护方案》、《发电厂监控系统安全防护方案》、《变电站监控系统安全防护方案》,经安全防护工作小组审核、分管领导批准并报省调备案后实施。以调控中心部门通知形式,专门印发《关于发电企业电力监控系统安全防护工作要求的通知》,加强并网电厂安全防护工作。
3.3变电站安全防护体系建设
(1 )制订变电站监控系统安全防护方案和网络安全应急预案,落实班组安全防护人员责任。(2 ) 35kV及以上电压等级变电站纵向加密装置改造及远程管理工作。 110kV变电站一、二区纵向安全装置全部改造成纵向加密装置。改造中严把策略配置关,防止大明通现象,同时主站利用纵向加密管理装置实现对变电站内加密装置的远程管理。(3 ) 35kV 及以上电压等级变电站网络安全监测装置安装及接入主站工作。按照“设备自身感知、监测装置就地采集、平台统一管控”的原则,变电站(站控层)部署网络安全监测装置,全面监控网络空间内计算机、网络设备、安防设施等设备上的安全行为。
3.4发电厂安全防护体系建设
根据国家相关文件的规定,专门印发《关于发电企业电力监控系统安全防护工作要求的通知》,加强发电企业电力监控系统安全防护管理。(1 )项目前期评审。项目前期评审期间,按照“安全分区,网络专用,横向隔离,纵向认证”的基本原则,要求接入发电企业分区配置相应的加密认证装置、物理隔离装置、防火墙等相关安全设备。(2 )编写《 XX发电厂监控系统安全防护方案》。地县调管辖的发电企业通过调度数据网方式接入地调自动化系统,必须编写安全防护方案,并经地调审核通过后方能进入下一环节。(3 )安全设备调试与验收。主、厂站对安全设备进行联合调试。调试完成后,进行现场检查验收。(4 )部署入侵检测系统。按照国家能源局〔 2015 〕36号文件及安徽省调的要求,具有等保二级系统的发电厂,需部署入侵检测系统。(5 )部署网络安全监测装置。按照国家能源局〔 2015 〕36号文件及安徽省调的要求, 35kV 及以上电压等级并网发电厂,要求在一、二区部署网络安全监测装置。(6 )等级保护测评和安全评估。电力监控系统的定级以国能安全〔2015 〕 36 号文件为标准,系统应在所属各市公安局备案。要求各单位应定期请有资质的测评机构进行等保测评和安全评估,等保三级系统每年 1 次,等保二级系统每 3 年 1 次。(7 )其它方面。要求所有发电企业制定内部安全管理制度,明确网络安全管理措施与网络安全责任人。要求所有发电企业制定网络安全事件应急预案,并定期演练。
4保障电力系统安全稳定运行的措施
4.1完善电力监控系统安全防护体系
以“安全分区、网络专用、横向隔离、纵向认证”为原则,做好“保护、检测、响应、恢复、审计”的闭环机制,建立健全的电力监控系统安全防护体系。电力监控系统安全防护总体结构模型如图1所示:
电力监控系统根据业务的重要性进行分区,分为生产控制和管理信息两个大区,其中生产控制大区又根据对电力一次系统的影响程度进行分区,分为安全区I和安全区II。安全I区是电力监控系统重点防护区域,在组网上面采用物理层的系统内网和外部公共网的完全隔离,在生产控制大区和管理信息大区之间加设电力专用的横向隔离装置,禁止低安全区访问高安全区。在技术上采用电力专用纵向加密认证网关或加密认证装置,为上下级调度机构或主站与子站端的应用系统之间数据网络通信提供双向身份认证、数据加密和访问控制服务。对安全II区纵向防护墙进行改造根据国能安全[2015]36号《国家能源局关于印发电力监控系统安全防护总体方案》的要求,全力改造电力监控系统安全防护,将系统安全II区纵向防火墙更换为加密认证设备,这样保障了电力系统的信息安全,避免信息泄密。
4.2与省公司联网,及时更新防病毒库和IDS规则库
地市主站安全运维网建设及I、III区运维网与省地互联。提高主站系统的网络安全,按照《地级OS2安全运维网络建设规范》要求,结合主站网络实际情况,加速完成了OS2安全运维网建设,实现了各类安全设备的快速部署和对各孤立系统的信息采集和监控,方便运维人员及时掌握各系统和网络安全运行状态。Ⅲ、Ⅳ区分离明确了各专业的运维职责,为其他电力监控系统迁移到正确的安全区提供了条件。Ⅰ、Ⅲ区省地互联通道的接通实现了上下级调度中心的安全设备互联,可连接省公司及时更新防病毒库和IDS规则库,提高安全防护能力,也便于上级实时掌握地调信息安全状态。
4.3开展系统Windows漏洞风险防控,对各主机进行全面查杀和加固
贯彻落实《关于落实加强网络安全保障要求的通知》,组织相关部门召开网络安全工作落实会,明确责任,落实各项网络安全保障措施。承接公司系统13号文、22号文有关网络安防的要求,加强视频监控及设备在线监测等系统病毒感染风险防控,落实整改计划和责任部门等,组织专业维护人员组成一支整改队伍,对网区具有在线监测系统、视频监控系统的变电站进行全面整改。禁止134、135、137、138、139、3389、445等高危端口,对主机进行全面查杀病毒,对能更换系统主机进行重装系统,对不能整改的主机申报专项技改项目进行整改。对变电站监控系统、五防系统进行全面的整改,同时再次对设备在线监测系统、视频监控系统、信息管理机的整改情况进行检查验收,确保变电站网络安全、系统安全。
4.4生产大区规范使用专业杀毒U盘,配置专用工作终端
组织专家编制《生产大区设备使用U盘及病毒查杀作业指导书》,对相关专业发放专业杀毒U盘、配置专用工作终端,并督促相关部门按照要求落实生产控制大区内U盘使用控制措施,规范U盘的使用和审批管理流程等,避免发生病毒感染事件。
5结语
总之,在电力系统网络管理中,安全防护为首要任务。电力企业要重视网络安全问题,在建设电力系统同步完善安全防护机制,做到未雨绸缪,不要等到出现问题才去解决问题。切实做好网络安全防护工作,才能提高电力企业的生产和经济效益。
参考文献:
[1]黄海舫.电力行业工业控制系统安全防护技术应用[J].网络空间安全,2018,9(03):14-18.
[2]高艺. 基于电力监控系统的安全防护技术的应用研究[D].辽宁工程技术大学,2017.
[3]王舒.电力企业网络信息安全现状与分析[J].电脑知识与技术,2016,12(06):30-32.
论文作者:厉文秀,王家武,刘祥波,李毅
论文发表刊物:《防护工程》2019年第7期
论文发表时间:2019/6/26
标签:监控系统论文; 安全防护论文; 电力论文; 系统论文; 网络安全论文; 装置论文; 变电站论文; 《防护工程》2019年第7期论文;