摘要:电力二次系统安全加固的目的是有效防止来自外界对电力系统的各种网络攻击及恶意破坏,确保系统的正常服务,保护敏感数据信息的传输及存储安全,避免因此而导致的一次系统或二次系统事故,并通过全面立体的安全防护加固措施,提升电力系统的稳定性。
关键词:电力二次系统;安全风险评估;安全加固
1电力二次系统面临的安全风险
1.1安全管理意识差
人的意识与有效管理是确保网络安全的根本,尤其是对于庞大的智能电网数据更是如此。然而,在实际的安全管理过程中,管理人员安全意识薄弱、安全防护措施欠缺,例如口令过于简单、内部账号泄露、私密信息共享等,都会为电力二次系统的安全埋下隐患。
1.2非授权访问
非授权访问既是不法分子未经同意便使用网络资源或是合法用户通过非授权的方式操作使用网络等。例如,不法分子借助相关工具,利用系统漏洞获取目标主机的控制权后,对系统设置或数据实施更改,或以置入木马的形式非法控制操作主机或实施攻击。
1.3软件防护手段不到位
在互联网技术快速发展的时代,仅仅做好硬件防范是远远无法满足电力系统二次安全防护工作的,还需要进行软件的防范措施,做到软硬件防范同时开展。在实际工作过程中,软件防护也存在不足之处,主要表现在以下几个部分,主要体现在客户访问记录、攻防行为侦测、黑白名单、端口检查、内部病毒查杀、防病毒软件的升级、堡垒机的部署等。为了能够进一步加强电力系统的二次安全防护,一定要根据设备系统实际情况,做好软件防护。
1.4系统缺陷及漏洞
电力二次系统涉及计算机技术、信息技术较为复杂,而网络安全技术及系统的不断更新,使得电力二次系统无法避免的会存在一些缺陷及不足之处,这也就成为不法分子的攻击目标。另外,某些无关紧要的设备在设计时因技术人员疏忽,导致留有后门及漏洞,一旦被攻击者发现并利用,将会严重影响电力企业的正常运行及调度。
2电力二次系统安全风险评估
2.1设备的应用领域
二次设备是电力系统测量和控制直接性执行设备,是电力系统建设研究发展的重要组成部分。二次设备应用存在的安全风险问题一般是从可靠的领域发展而来,建立相关的模型计算分析之后能够确定可靠性的指标。
2.2信息安全的应用领域
信息安全风险评估主要是指对信息系统的一种处理、传输、存储等信息安全性、可靠性、可用性等进行评价分析的过程。电力信息系统发展本身需要对电力信息面临的各种问题进行分析。现阶段电力信息系统的种类有很多,一般风险评估是从总资产安全策略出发,通过资产受攻击的角度来对电力信息系统自身的脆弱性进行分析,并指出相应的安全策略。针对继电保护系统信息安全问题,继电系统的网络安全风险一般是从数据访问需求多的方面产生。在对继电线路分析的前提下提出了在OSI模型中的数据链路层和网络层虚拟局域网问题。降低CSADA系统安全风险的主要方式包含访问权限限制、防火墙技术和防止入侵系统等。
在定型研究分析之外,在电力信息系统分析方法增加的同时,一些学者也开始建立了信息系统安全风险评估模型,对电力信息系统的安全风险问题进行分析。基于CSADA模型的方法能够全面评估分析网络供给对电力系统自身带来的影响。
2.3人为风险的应用领域
在电网设备智能化水平提高的情况下,人们的风险意识逐渐提高,特别是在电网设备事故发生的扩大阶段。现阶段电力系统人为风险因素研究一般集中在发电厂方面,对于电网的人为风险因素研究较少。人为风险因素的影响不是随机的,和电网设备所处的环境存在关联。人员的认知特性和技术行为不仅会受到组织和管理的影响,而且还会受到相关机构的影响。为此,有关人员提出了基于改进之后的CREAM定量来分析人为风险因素。
期刊文章分类查询,尽在期刊图书馆
3电力二次系统安全加固要点
3.1边界防护加固
3.1.1横向边界防护
电力二次系统最重要的防护加固技术是通过隔离安全区横向网络边界来实现,通过安全隔离设备有效隔离安全区,来提高生产控制区与管理信息区的安全防护水平。
一方面,在信息通信过程中,为防止病毒及不法分子渗透和攻击电力网络,应严格按照数据单向传输的控制机制,使用具有ALC访问控制功能的隔离设备将非控制区与控制区进行逻辑隔离,隔离设备应具备状态检测、数据过滤以及地址转换等功能口,并能控制数据的传输方向、地址及端口等。通常,控制区与非控制区间可建立连接,但非控制区系统不允许对控制区进行访问,若必须进行访问时,必须严格控制访问的协议、访问地址及访问端口。另一方面,在生产控制大区与管理信息大区的网络边界安装专业的安全隔离设备,通过数据“安全岛”及截断TCP连接技术,达到安全隔离设备的数据单向传输及网络边界的高强度隔离的目标。该种隔离设备分为正向型及反向型两种,正向型主要实现管理信息大区向生产控制大区数据的单向传输,反向型主要实现生产控制大区与管理信息大区间的数据传输,当反向型隔离设备收到来自管理信息大区的数据传输时,会首先对数据进行签名认证、编码转换,然后对数据进行检查处理并发送至生产控制大区的各系统。
3.1.2纵向边界防护
在网络纵向边界,在路由器和交换机间部署纵向加密认证装置或硬件防火墙,可以有效防止来自外界的网络攻击、病毒入侵及恶意代码,同时可及时发现未知异常流量及不法分子的恶意攻击等安全威胁。此外,在关键位置部署智能入侵检测系统(IPS),能够有效监测网络与服务器的异常,及时发现网络边界及内部网络的异常情况,并通过主动防御与响应,向安全人员发出报警,便于及时作出处理。
3.2网络防护加固
3.2.1设备安全加固
(1)物理安全。按照国家标准所规定的安全规范,提高机房环境的安全性与可靠性,通过完善的措施,做好二次设备的防窃、防损、防尘及静电接地,提高设备的抗电磁干扰、防线路截获及防电磁信息泄露等能力。
(2)账号安全。建立健全用户管理机制强化对账号的安全管理,确保设备安全可控。例如,设置口令分级保护,禁止优先级较低的用户对设备配置进行更改,并在经密码验证后方可进入优先级较高的模式,失效用户名进行禁用,对系统账户的弱口令进行更改,系统口令长度设置应为超过8位的复杂口令,并实施加密存储。
(3)配置安全。设备配置文件应定期存储及备份,并对配置文件的正确性及完备性实施检查,设备操作系统应定期进行升级,以有效避免系统缺陷而引发的网络攻击。
3.2.2安全访问控制和恶意代码防范
安全访问控制主要是利用访问控制列表实现敏感数据的安全访问,对此,可结合实际需求通过VTY类型线路对TELNET用户进行限制,或通过启用SSH并禁用TELNET的方式登录设备。此外,还可通过对SNMP实施访问列表控制,禁止未经授权而通过SNMP访问设备。
对于路由器及防火墙等智能化较高的设备,可关闭IP源路由,并且将病毒、木马常用端口以及超过1024的非业务端口全部关闭,通过启用TCP保持连接实现对路由器进出TCP连接的监控。
结论
在当下,随着我国经济的进一步的发展,我国的科技水平也在不断的快速发展,所以电力系统这个在当下至关重要的基础设施对于我国的发展有着很重要的作用,所以为了保证我国的快速发展,也就必须要保证电力系统的安全稳定运行,所以需要不断的对我国的电力系统的二次安全防护工作作进一步的完善,对此,有关技术人员应当对于电力系统当中所出现的漏洞作针对性的技术改进,使用更加高级的现代化技术来避免恶意代码对电力系统的入侵,防止安全事故的发生,进而保证我国人民的生命与财产安全。
参考文献:
[1]杨贤,冯加辉,李朝晖等.智能电站控制-维护-管理系统集成中的安全隔离技术[J].电网技术,2018(07).
[2]伍晓泉.软件测试技术在电力系统安全防护中的应用[J].电子技术与软件工程,2018(21):96-98.
[3]乔丽鹏.有效提高电力监控系统中二次安防的防护策略[J].电工文摘,2018(04):13-15.
[4]李宇峰.浅谈电力监控系统二次安全防护的解决方案[J].水电厂自动化,2018(03):11-14.
论文作者:王峰
论文发表刊物:《电力设备》2019年第7期
论文发表时间:2019/9/18
标签:设备论文; 电力论文; 电力系统论文; 系统论文; 网络论文; 控制区论文; 数据论文; 《电力设备》2019年第7期论文;