(中国南方电网超高压输电公司梧州局 广西梧州 543002)
摘要:随着电力监控系统自动化程度的不断提高,电力监控系统的安全防护工作,变成了变电站的重难点工作。电力监控系统安全防护工作应满足安全防护原则,从而预防电力监控系统存在网络安全隐患,保障电网安全稳定运行。本文就某500kV变电站电力监控系统安全防护工作开展探讨,提出相关技术措施以及管理措施。
关键词:变电站;电力监控系统;安全防护;
电力监控系统是指用于监视和控制电力生产和供应过程的、基于计算机及网络技术的业务系统及智能设备,以及作为基础支撑的通信及数据网络等[1]。电力监控系统作为变电站的重要监控设备,保障着变电站的安全稳定运行。因此,我们必须采取相关的管理措施、技术措施保障电力监控系统的安全,抵御黑客、病毒、恶意代码等的破坏和攻击,防止电力监控系统的崩溃或瘫痪[2],从而确保电网的安全可靠运行。
1 国内外电力监控系统安全防护形势
近年来,随着信息技术的不断发展,电力监控系统的管理控制逐渐网络化,由此产生的问题也频频发生。2010年11月,伊朗核电厂遭受震网病毒攻击,该核电厂电网控制系统被Wtuxnet蠕虫病毒感染,造成核电厂推迟发电。2015年12月,乌克兰电网遭受网络攻击,黑客通过植入木马、后门连接等方式,对乌克兰境内三处变电站控制系统发起网络攻击,造成7个110kV和23个35kV变电站发生故障,导致大面积停电事件,140万人受到影响。因此,如何保障电力监控系统的安全防护将成为电力系统安全运行的核心问题之一。
目前面对复杂的网络安全形势,我国积极推进电力监控系统安全防护工作,接连发布了《电力监控系统安全防护规定》、《电力行业网络与信息安全管理办法》、《电力行业信息安全等级保护管理办法》、《电力监控系统安全防护方案及评估规范》等规范文件,规范了电力监控系统安全防护的根本要求。
2 电力监控系统安全防护总体要求
电力监控系统安全防护方案的核心,即十六字方针:“安全分区、网络专用、横向隔离、纵向认证”[3],这是电力监控系统安全稳定运行的重要保障。安全分区是根据相关系统功能以及对一次系统的影响程度进行分区,以某500kV变电站为例,变电站监控系统、五防系统、广域相量测量装置、继电保护装置及管理模块、安自装置及管理模块属于控制区,而故障录波系统、厂站端电能量采集系统、一次设备在线监测系统等均属于非控制区,各系统之间严禁出现跨区互联的情况。网络专用针对电力调度数据网而言,应在专用通道上使用独立的网络设备组网。横向隔离包括物理隔离以及逻辑隔离,通过安装电力专用横向安全隔离装置实现物理隔离,通过防火墙或带有访问控制功能的网络设备实现逻辑隔离。纵向认证是指通过电力专用纵向加密认证网关或加密认证装置,在子站与主站通讯时提供双向身份认证、数据加密和访问控制服务。
3 安全防护问题探讨
以某500kV变电站为例,变电站电力监控系统包括变电站监控系统、五防系统、广域相量测量装置、继电保护装置及管理模块、安自装置及管理模块、故障录波系统、厂站端电能量采集系统、一次设备在线监测系统等,各系统均通过调度数据网通道或专线通道方式与相关主站通讯,发送采集到的数据信息,接受主站下发的控制命令。
3.1 网络边界设备防护手段不足
500kV变电站内电力监控系统可以看做一个整体,通过网络与外界相连,若网络边界设备(如交换机、路由器等)未设置相关防护手段,则很容易被黑客由网络边界侵入变电站监控系统,完成对变电站监控系统的控制。因此应通过技术措施提高网络边界设备的防护能力,例如关闭多余的网络服务及空闲端口、关闭网络边界的OSPF路由功能等,通过有效的技术措施提升网络边界设备的防护能力。
期刊文章分类查询,尽在期刊图书馆
3.2 安全防护设备不足
电力监控系统应具备入侵检测系统、内网安全监视系统、横向隔离装置、纵向加密装置等一系列安全防护设备,若相关安全防护设备不足或不满足安全防护要求,安全防护工作就将存在薄弱点,容易被针对进行攻击。为此,运维单位应根据安全防护要求,及时开展项目建设,完善安全防护设备。
3.3 未开展等保测评。
根据国家对于信息系统等级保护的划分,500kV变电站自动化系统安全等级为3级[4],应严格按照国家要求,每年至少开展一次等级保护测评,并根据测评的情况及时开展整改工作。
3.4 设备跨区互联
根据安全防护原则,各系统、各设备不应出现跨区互联情况。常见的跨区互联情况包括以下几种:设备存在多块网卡,分别连接在生产控制大区以及管理信息大区之间;现场调试人员使用电脑与系统连接进行调试,同时电脑连接无线网络,上网查找相关资料;相关设备厂家通过远程拨号方式连接至变电站监控系统内部网络进行远程维护调试等。
3.5 移动介质随意接入系统
在变电站日常运行过程中,经常需要通过移动介质从相关系统中导出数据或向系统中导入数据,变电站运行人员或系统调试人员经常进行相关操作。但现场可能存在部分运行人员、系统调试人员安全防护意识不足的情况,随意将移动介质接入变电站电力监控系统中,通过移动介质完成病毒或恶意代码的传播。为了避免此类情况的发生,除了加强对人员的安全意识培训外,根据相关规范的要求,对该项工作,专门制订了相关的管理制度,编写了工作的作业指导书,形成了固定的操作流程,在进行移动介质使用时,必须使用固定的专用U盘,并经专用的杀毒电脑检查无误后方可使用。
3.6 主机安全存在漏洞
变电站电力监控系统中存在大量的主机,其中不少主机采用Windows操作系统,而该主机由于未直接连接外部网络,无法通过网络完成补丁升级,因此相关操作系统可能存在大量漏洞未能修补。同时由于Windows操作系统在世界上应用较为广泛,针对该操作系统的病毒、恶意代码较多,该系统承受的威胁较为严重。因此必须针对Windows主机开展主机加固工作,通过相关设置完成Windows系统主机端口封闭、安全加固,并定期开展补丁安装、病毒查杀等工作,确保Windows系统主机的安全,防止主机安全存在隐患。
3.7 专业运维人员技术技能不足
目前变电站的电力监控系统安全防护工作主要由通信人员或变电站自动化专业维护人员开展,相关人员安全防护意识不足,开展安全防护工作专业性不强,技能技能欠缺,当系统遭受外部攻击时追查手段有限。为了解决这种情况,必须加强专业运维人员的管理以及培训,由专人负责电力监控系统防护工作,定期开展电力监控系统安全防护理论培训以及技能实操培训,通过培训提高运维人员安全意识,通过实操提升运维人员技术技能水平。
4 结语
随着电力系统区域化、智能化的不断发展,电力监控系统安全防护工作日趋重要。为了保证电力监控系统的安全,必须始终坚持遵守电力监控系统安全防护十六字方针,并通过一些技术、管理措施提高电力监控系统安全防护可靠性,提升安全防护水平,进而保障电网安全稳定运行。
参考文献:
[1]高夏生,黄少雄,梁肖.电力监控系统安全防护要素[J].电脑知识与技术,2017
[2]国家发展和改革委员会令第14 号.电力监控系统安全防护规定[Z],2014.
[3]国家能源局国能安全[2015]36 号.电力监控系统安全防护总体方案[Z],2015.
[4]国家能源局国能安全[2014]318 号.电力行业信息安全等级保护管理办法[Z],2014。
论文作者:韦鑫
论文发表刊物:《电力设备》2018年第30期
论文发表时间:2019/4/1
标签:监控系统论文; 安全防护论文; 电力论文; 变电站论文; 系统论文; 网络论文; 设备论文; 《电力设备》2018年第30期论文;