摘要:在国民经济迅猛发展的大背景下,我国国民对于电力的需求量也随之逐渐增加,电力监控系统网络安全防护愈发重要。作为一名电力监控系统安全防护人员,笔者根据自身工作和学习经验,首先阐述了电力监控系统网络安全防护的基本要求,其次分析了现阶段电力监控系统安全防护总体原则,最后提出相应的防护对策,仅供参考。
关键词:电力监控系统;网络安全;防护
引言
现阶段,因为计算机的快速发展,电厂内原用的手动监视和控制逐渐被自动化系统取代。此外,因为以太网的广泛使用,在自动化系统之间有了更加频繁的通信。同时,部分自动化系统要通过和网络进行连接来进行远程管理。这种存在众多复杂系统的网络通信难免会有着一定的安全隐患。针对这种情况,国家对二次系统的安全防护进行了规定,进而确保水电厂能够安全稳定运行,给中国经济的发展奠定了坚实基础。
1电力监控系统网络安全防护的基本要求
电力监控系统主要包括生产管理类信息、生产控制类信息和通信网络系统三个方面。在电力监控安全防护工作中,要满足《电力监控系统安全防护规定》(国家发改委2014年第14号令)、《电力行业信息安全等级保护管理办法》(国家能源局国能安全2014年第318号)和《电力监控系统安全防护总体方案等安全防护方案和评估规范》(国家能源局国能安全2015年第36号)三分文件的基本要求,制定相应的安全防护规范。近年来,随着我国政府对电力监控系统网络安全防护工作的重视,《中华人民共和国网络安全法》将电力监控系统安全防护提升到法律保障的高度。在制定电力监控系统安全防护方案时,要遵循“安全分区、网络专用、横向隔离、纵向认证”的十六字方针,强化电力网络系统和外界网络系统的隔离,注重基本安全防护装置的配备和安全防护预警系统的建立,利用先进的科技加强电力监控系统网络安全的敏感性、建立相对完善的栅格状纵深电力监控系统,起到防患于未然的作用。从安全防护层面讲,电力监控系统安全防护主要包括主机安全、物理安全、数据安全和网络安全四个层面,在不同的安全等级要求下有不同的防护需要,有助于强化系统内部对恶意攻击和内部异常感知的能力。根据电力监控系统网络安全防护的要求,主要从系统边界、网络传输边界和工作主机三个方面进行防护,进而形成电力监控系统网络安全防护的三道防线。
2电力监控系统安全防护总体原则
2.1安全分区
发电企业、电网企业内部基于计算机和网络技术的业务系统,原则上划分为生产控制大区和管理信息大区。生产控制大区可以分为控制区(又称安全区I)和非控制区(又称安全区II)。(1)控制区:是电力生产的重要环节,直接实现对电力一次系统的实时监控,纵向使用电力调度数据网络或专用通道,是安全防护的重点与核心。传统典型业务系统包括电力数据采集和监控系统、能量管理系统、广域相量测量系统、配网自动化系统变电站自动化系统、发电厂自动监控系统等。(2)非控制区:是电力生产的必要环节,在线运行但不具备控制功能,纵向联接使用电力调度数据网非实时子网的各业务系统构成的安全区域。传统典型业务包括调度员培训模拟系统、水库调度自动化系统、故障录波信息管理系统、电能量计量系统、实时和次日电力市场运营系统等。(3)管理信息大区:是指生产控制大区以外的电力企业管理业务系统的集合,原则上应划分为生产管理区和管理信息区。传统典型业务系统包括调度生产管理系统、行政电话网管系统、电力企业数据网等。
2.2网络专用
发电企业、电网企业内部专用网络一般分为电力企业数据网和电力调度数据网。(1)电力企业数据网:是电力企业内联网,用于企业内部管理信息大区之间纵向互联。(2)电力调度数据网:是生产控制大区的专用数据网络,承载电力实时控制、在线生产交易等业务。分为逻辑隔离的实时子网和非实时子网,分别连接控制区和非控制区。
期刊文章分类查询,尽在期刊图书馆
2.3横向隔离
(1)生产控制大区与管理信息大区之间:采用经国家指定部门检测认证的电力专用横向单向安全隔离装置,隔离强度应当接近或达到物理隔离。(2)生产控制大区内部的安全区之间:采用具有访问控制功能的网络设备、防火墙或者相当功能的设施,实现逻辑隔离。
(3)安全接入区与生产控制大区之间:采用电力专用横向单向安全隔离装置进行集中互联。
2.4纵向认证
(1)生产控制大区与广域网之间:采用经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施,实现双向身份认证、数据加密和访问控制。(2)安全接入区内:采用基于非对称密钥技术的单向认证等安全措施,重要业务可以采用双向认证。
3保证电力监控系统网络安全的措施
3.1强化电力监控系统网络安全防护的业务传输和纵向认证
在进行业务传输时,要强化纵向加密设置的认证。一般而言,加密装置的认证安装在广域网和局域网的交接点,也就是广域网和局域网的交换机之间。加密装置通常成对出现,分别是加密和解密功能。特殊情况下,加密装置也可以使用在其中的一方,在这种情况下通常不进行加密。采用纵向加密和防火墙相结合的方法,可以实现对身份的认证和相关数据内容的加密,提高数据传输的安全性和可靠性。与此同时,该装置还可以对数据进行安全过滤。在进行电力系统安全专用设置时,可以通过调度设备证书进行身份认证,从而确保通信设备的合法性。国家密码局为电力系统设置了专用的加密算法和因子,以便于通信报文的加密和解密处理,确保电力信息传输的安全。纵向防线的构建。纵向防线是指在纵向进行加密认证,可以有效保证数据传输的安全性。纵向防线通常设置在广域网和局域网之间,在地调主站和县调远程终端的连接处,部署电力专用纵向加密认证装置,可以实现双向身份认证、数据加密和访问控制等功能。
3.2提高生产大区拨号访问控制力度
在进行电力监控系统网络安全防护时,要重点关注数据信息。在这个过程中,为了确保信息的安全性和可靠性,生产控制区在进行电力监控系统网络安全维护时,要重点关注外部拨号和网络用户的身份问题。在用户使用网络时,要加强信息系统的验证,对系统运作过程中,要重视一台服务器同时布置不同网段地址的情况,电力系统在良好的网络环境下正常运行,规范生产大区拨号访问控制的力度,以促进电力监控系统稳定发展。
3.3提升安全防护人员的综合素质
工作人员的综合素质对电力监控系统网络安全防护有直接影响。要强化工作人员的责任心、安全意识和使命感,在具体维护工作的管理中,需要专职的电力系统安全防护人员,确保相应的管理措施可以得到有效发挥和落实。随着电力监控系统发展的速度越来越快,对电力监控系统维护人员的要求也不断提升,对维护人员的专业素养提出了新的要求。一方面,要强化对维护人员的定期考核和培训,注重理论知识和综合操作技能的提升;另一方面,建立奖罚分明的制度,提高维护人员工作的积极性和主观能动性,促使电力监控系统网络安全维护人员在开展工作的过程中注重自身综合能力的提高。
结语
如今,计算机技术飞速发展且受到了大力欢迎。电力监控系统的安全防护问题受到了重视,因为计算机技术存在于电力生产的很多环节。根据责任落实制度,要确保主管单位与运营单位的职责,使各级工作人员明确掌握防护工作的开展要点,从而使先进技术成为安全防护工作的保障所在。
参考文献:
[1]周振辉.电力监控系统安全防护风险分析及软件配置[C].电机工程学会,2016:1-4.
[2]刘帝勇.三门核电站电力监控系统安全防护方案研究[C].信息安全,2017:1-5,11.
[3]高夏生.电力监控系统安全防护要素[J].电脑知识与技术,2017,13(8):212-214,222.
论文作者:刘秀艳
论文发表刊物:《电力设备》2018年第26期
论文发表时间:2019/1/16
标签:电力论文; 监控系统论文; 安全防护论文; 大区论文; 纵向论文; 网络论文; 系统论文; 《电力设备》2018年第26期论文;