摘要:本文结合电力二次自动化系统常见问题合理分析,提出建立正确的安全防护策略。结合电力二次系统总体防护策略,从软件安全防护、防火墙防护、网络安全防护和数字证书防护等方式实现对电力二次系统安全运行的防护设计。
关键词:电力调度;自动化;二次系统
1电力调度自动化二次系统的运行现状
电力调度自动化二次系统由多个子系统组成,每个子系统之间都有着密不可分的联系,它们对原始数据和信息都起着采集、监控和管理的作用。其中主要的三个子系统分别为自动化系统,变电站系统以及信息数据系统,自动化系统更偏向于对信息数据进行采集、整合和管理,变电站系统则倾向于对各个站点的电力系统进行自动化实时监控。由于目前电力系统的信息数据库是开放的,导致病毒一旦侵入到一台计算机就可以传播到整个电力系统,从而造成电网全盘瘫痪的现象。其安全隐患主要有两个方面,第一,生产区和管理区没有建立防火墙,存在着数据双向交叉的隐患。第二,安全防护区不仅缺少加密认证机制,还缺少漏洞扫描和安全审计机制,这给病毒入侵制造了绝佳的机会。
2电力二次自动化系统的安全防护
2.1制定完整的安全管理制度
电力调度系统中最大的安全风险来自于与其相连的其他网络,必须建立一种科学、合理的管理模式,进而有效抵御黑客以及病毒的破坏,最终保护电力实时闭环监控系统,阻止有网络病毒攻击所带来的系统崩溃现象,保证电力系统的稳定运行,主要从两方面着手:①建立完善的安全分级负责制,坚持“谁主管谁负责”的原则,建立完善的二次系统安全防护制度,根据要求设置电力监控系统,同时明确各个相关人员的职责。②日常应加强维护以及管理,定期对安全防护系统进行巡查,一旦发现有问题,立即采取相关解决措施。若不在自己管辖范围之内,应将安全隐患向上一级相关部门反映,同时做好详细的记录。
2.2逻辑的横向隔离
根据电力二次系统安全防护的安全分区、网络专用、横向隔离、纵向认证原则,可将其划分为安全等级由高到低的不同安全区,并采取对应的安全措施。安全区Ⅰ为实时控制区,Ⅱ为非控制生产区,Ⅲ为生产管理区,Ⅳ为管理信息区。其中,实时控制区是一个重要的防护环节,其能够实现对一次系统运行的监控,而在非控制生产区有调度员模拟以及仿真DTS系统。为此,实时控制区域非控制生产区系统之间应采用防火墙技术,使得实时控制区、非控制生产区与管理信息区无法直接联系,同时实时控制区、非控制生产区域生产管理区应采用经过有关部门认定以及审核的专用安全隔离装置(分为正向型、反向型)。另外,对于非控制生产区的电量采集计量系统以及生产管理区,应采用实时隔离网关(见图1)。
2.3强化网络的操作系统安全性
电力二次自动化的操作系统必须选取运行性能比较稳定的系统,并且具备完善的系统涉及和访问控制机制。通常情况下选取运用量比较少的系统版本,减少电力系统运行时的阻碍。对于选取不同版本的电力操作系统,必须及时设定安全且有效的修补补丁,强化整个电力网络操作系统稳定性与安全性。
2.4提升预防病毒的措施
互联网中病毒的入侵速率已经超出了预想,尽管互联网中杀毒软件也在不断升级病毒库,可是安全区中自动化系统无法对特征库代码实现远程升级。一般的杀毒方式就是专业维护人员在一定时间内利用移动介质把下载好的病毒代码进行自动更新。无论是运用移动设备或是通过网络连接的方式更新病毒库,都将系统内部相关资料短暂暴露在安全防护系统保护之外,而设计一台相对独立的病毒更新服务器就能够处理此难题。可以将病毒服务器建立在安全区中,这样服务器可以利用Linux系统作为其操作平台,适当添加病毒预防软件,运用KDF系统中文件管理处理收取病毒特征库,利用此平台进行杀毒操作之后,再经过物理分离工具提供的总线连接中EMS网络装置,从而系统设施病毒库可以实现安全防毒升级。除此之外,还要将EMS提供的I/O设置与服务器隔开,防止出现系统障碍与崩溃。
2.5建立电力二次自动化安全网络系统
选取防御产品与入侵检验产品过程中,应该选择智能化产品,把这一系列智能化产品用于网络的重要路径上,并且进行串联,有效对入侵活动进行区分,对攻击方式的网络流量进行动态化过滤,防止造成重大损失。这样的主动防护措施,可以及时与准确的报警,并不是在攻击流量传输时与传输过后才可以报警。
2.6纵向防护措施
对于数据的远距离传输及边界的安全防护采用各种加密控制手段来实现。对于安全区工和安全区II内部的纵向通信,主要对两系统中的认证,通常采用IP加密的装置之间的认证来完成的,主要方法为:①针对传输的数据,通过对数据或签名信息进行加密措施,以保证数据整体性和机密性;②利用试验数字证书的方式,验证IP认证加密装备间,实现定向的认证加密;③具备传输协议、IP、应用端口号的访问控制作用,并能够对整合报文进行过滤;④真正实现透明性工作方式和网关工作方法;⑤具备NAT功能作用;⑥可以支持装备间的智能调节和动态调节安全策略。
2.7网络备份
网络备份是在数据范围较大和存在时间限制的情况下对电力系统软件运行中的系统进行准确记录和恢复的防护功能。安全系统中的分割系统是指从数据所在的系统复制到另外一个独立的数据储存系统。在电力系统中,网络备份主要分为场点内备份、场点外备份和系统备份三类。网络备份在电力调度自动化安全防护中所发挥的作用在于:在遭遇自然或人为事故时,其作为安全系统硬件设备的安全防范措施,能有效限制访问和抵御黑客攻击,从而确保数据库的安全和完整,且能为数据的备份和恢复莫定基拙。通常情况下,历史操作数据能储存1~3年,且要按照月份进行备份。其备份内容是各类参数和改动后参数的实时备份,需对Unix和NT配备相对应的备份系统。
结语
随着国民生活水平的不断提高,人们对于电的需求越来越大,目前,家家户户已经离不开电的供应,电气调度工程也显得越发重要。由于信息技术和计算机技术的快速发展,有效地推动了电力调度自动化二次系统安全防护的发展,从而确保我国电力调度系统更加成熟。
参考文献:
[1]夏杰.电力调度自动化系统安全防护研究[J].四川水泥,2016(08).
[2]张艳艳.电力调度自动化应用及改进措施的探讨[J].电子制作,2016(14).
[3]童梅.电力调度自动化网络安全防护系统实现[J]。通讯世界,2016( 17) .
作者简介:
尹明(1982.9.9-);男;河北;汉;大学本科;中级工程师;系统规划与维护业务经理;集控中心;中国广核新能源控股有限公司
李艳娟(1984.10.26-);女;安徽;汉;大学本科;中级工程师;信息化项目经理;软件项目部;中国运载火箭技术研究院
论文作者:尹明1,李艳娟2
论文发表刊物:《电力设备》2018年第2期
论文发表时间:2018/6/11
标签:系统论文; 电力论文; 安全防护论文; 网络论文; 备份论文; 病毒论文; 数据论文; 《电力设备》2018年第2期论文;