摘要:我国社会整体发展在经济不断增长的带动下,已经呈现出势如破竹的状态,每一个体系在社会形态多元化发展的影响下,都出现了翻天覆地的变化。人们在温饱问题得到解决以后,逐渐对能够影响民生大计的行业越来越关注,特别是对电力行业的关注程度正在逐渐加深。因此,加强对变电站监控系统网络安全防护能力,是提升我国电力行业价值的重要途径,也是促进我国经济整体增长的有效措施,这也是本次分析的主要目的。
关键词:变电站;监控系统;网络安全防护
前言:在社会体系的发展模式逐渐健全的情况下,电气设备的发展也越来越完善,科技化水平逐渐提升。新型的变电站能够监控系统网络,为网络的运行安全进行全面防护,能够建立一个安全的平台,将变电站的各种电气设备在此平台中,形成一个完整的网络系统,对电气设备的运行情况,展开实时的监测,为我国智能化变电站的快速发展,做出应有的贡献。
一、变电站监控系统
大力发展电力行业,是关乎人们生活品质的大事。在社会形态科技化、自动化、城市化的特征逐渐明显的前提下,变电站监控系统网络安全防护程度,决定了电力行业的发展状态。我国社会形态在不断发展的经济带动下,城市化进程越来越深,新型社会发展的巨大需求,已经不能被传统变电站所满足,所以,对变电站监控系统网络安全防护措施进行全面优化,是提高电力行业自身能力势在必行的举措。变电站监控系统指的是在发电和供电过程进行件监视和控制的系统,该系统是在计算机网络技术以及相关智能设备基础上建立的,是支持电网运行的基础通信数据网络。“安全分区、网络专用、横向隔离、纵向认证”等是开展变电站监控系统安全防护工作的基本原则,变电站监控系统共有两个主要网络分区,分别为生产控制大区和管理信息大区,其中生产控制大区细分为了控制区以及非控制区,二者的逻辑隔离通过防火墙实现。电力数据的实时性非常强,需要利用控制区进行要遥测以及遥控等操作,而非控制区的主要任务就是对故障录波、点能量等数据进行传输。
变电站监控系统的生产控制大区和管理信息大区间布置了专用的单向隔离装置,而且该装置必须获得国家相关部门的检测许可,同时变电站和主站设置经国家相关部门检测许可专用纵向加密装置,用于传输调度信息,因此业务数据若想在调度数据网络中进行传播都必须要经过纵向装置的加密。调度数据网络由实时子网非实时子网两部分构成,通过逻辑隔离对二者进行隔离,并且分别和生产控制大区的控制区和非控制区连接。另外在主站内设有网络监控平台,其主要作用是对纵向加密装置以及隔离装置进行监控,从而掌握二者的在线情况,同时也可以接收报警信息。
二、变电站监控系统故障案例
某110kv变电站监控系统网络控制区的纵向加密装置对和安全策略的访问请求实施了拦截,调查后发现该远动装置的IP为32.123.29.10,使用的是windows7系统,445端口为其访问外网的入口,访问地址呈现不规则状态,而且数据包和纵向加密装置的任何协议都无法进行匹配,因此纵向加密狗装置拦截了其跨区域访问的行为,同时内网监控平台收到了报警信息。主站工作人员收到报警信息后登陆了前置机,然后对访问地址的连通性进行测试,最后发现不能实现和任何地址的连接。
三、变电站监控系统故障处理措施
为了防止病毒入侵系统,主站工作人员经过检查测试之后断开了生产控制大区445、137等通用端口。在处理故障的过程中,监控系统中通信网关机要遵循最小权限的原则,只对必要服务进行的开启和安装,也就是说要关闭2404、3000、3001等不必要的服务。
期刊文章分类查询,尽在期刊图书馆主站工作人员打了远动装置的本地策略,在原有IP安全策略基础上创建了新的安全策略。
将新的规则有针对性的添加到属性对话框中,在此过程中,将任何IP地址设定为原始地址,我的IP地址设定为目标地址,将TCP设定为协议的类型。将此作为基础,将445输入到到此端口的文本框中,并将能够对445端口进行屏蔽的筛选器添加其中,能够有效的防止其他远程监控设备通过445端口展开监控行为[1]。由于数据访问具有双向性特征,因此还要在系统中添加一条具有反方向的规则,将任何IP地址设定为目标地址,我的IP地址设定为原始地址,然后将筛选器的操作设定为默认阻止,同时将筛选器的访问控制打开。
四、变电站监控系统网络安全防护措施及方案
(一)以操作系统为基础加固主机
在对变电站监控系统的网络安全系统具有的账户进行优化的过程中,将非必须用户的访问设置成禁止或删除,并将账户口令具有的政策进行设定,这样能够给予用户口令和账户安全的保障,将口令猜测攻击力度降到最低。在系统内建立一个安全设计模式,使该模式能够审核和记录安全模式中比较重要的内容,为后续工作中对出现的问题采取的解决措施提供依据。将autorun具有的自动播放功能和共享模式关闭,这样能够使autorun的配置文件,具有能够预防病毒通过的能力。与此同时,将非必需的宽口和服务关闭,对未知风险对用户主机造成伤害情况的发生有效避免,将病毒从非必要端口进入的途径,从根源上进行阻挡[2]。
(二)数据安全防护
入侵防范、安全审计、访问控制、身份鉴别等具有安全防护的手段,是变电站监控系统的网络安全系统应该具备的功能。对用户在数据库中具有的应用权限,需要通过对用户的身份鉴别施行,并且尽可能保证最小化,尽量不要给予DBA权限,用户通过设置密码的难易程度来决定最终密码的强度。在控制系统的访问过程中,将系统账户的默认口令进行改变,将全部非必要的账户目标锁定、删除,将除了输入和root以外的其他对文件进行访问的操作,全部限制[3]。
(三)加固路由器和交换机
对变电站监控系统的网络安全系统中的交换机和路由器而言,必须具有超级用户、审计用户、普通用户三种类型,根据不同的用户类型,配置不同的权限。在系统的远程访问中,能够登陆的只有SSH,将AAA作为接口的认证途径,并将SNMP配置在V2以上的版本中。针对访问系统的其他外来软件,要设置必要的访问控制模式,同时,在OUT上方和IN上方也要设置。这样能够将相关业务的数据包进行全面筛查,能够有效的杜绝网站内部的广播数据,在广域网中自行扩散。从物理角度分析,由于交换口具有比较多的端口,因此,对不发挥作用的端口进行shut down操作。
结束语:总而言之,根据以上对我国变电站中,电站监控系统网络安全防护的措施和方案,展开的详细分析,我们能够知道,电力系统想要保证稳定、安全的展开工作,电站监控系统网络安全防护发挥的作用是不可替代的。所以,加强对电站监控系统网络安全防护措施的优化和具体方案的完善,不断深入研究、改革创新,能够最大限度的提升我国电站监控系统网络的安全性。虽然在电站监控系统网络安全防护过程中,存在很多问题,但是在各种有效手段的作用下,将电站监控系统网络安全防护质量进一步提升,使我国变电站的技术水平和工作效率进一步提高。
参考文献:
[1]曹仁军,李兰香.谈变电站电气设备安装建议和意见[J].农村实用科技信息,2017,(09):23-26.
[2]赵英男,鞠永文.变电站电气设备安装技术要点[J].黑龙江科学,2018,(09):34-37.
[3]孙月,高原,于爽.浅谈电气设备安装施工技术中的要点[J].科技与企业,2017,(19):186-188.
[4]李颖,陈纪海,刘昊.变电站机器人巡检系统信息安全问题的研究与探讨[J].信息技术与信息化,2017(Z1):147-150.
论文作者:王亮、崔拼搏
论文发表刊物:《当代电力文化》2019年第5期
论文发表时间:2019/7/22
标签:变电站论文; 监控系统论文; 网络论文; 安全防护论文; 控制区论文; 系统论文; 装置论文; 《当代电力文化》2019年第5期论文;