摘要:近年来国际上网络安全事件频发,调度自动化主站系统作为电力调度控制的枢纽,通过计算机及网络技术远方控制着大量变电站、电厂和用户的电气设备,对调度自动化主站系统的安全性、可靠性、实时性提出了极高的挑战。本文针对电力调度自动化主站系统运行中的安全隐患问题,提出安全防护技术应用,主要对该项技术的种类以及功能表现进行分析。
关键词:电力调度自动化主站系统;网络安全防护技术;安全隐患
0.引言
电力调度自动化主站系统主要由能量管理系统、高级应用系统、调度计划及安全校核系统、调度管理系统等组成,各个系统之间通过网络进行连接,由此协同进行电力调度工作[1]。在缺乏安全防护的条件下,调控指令就可能被窜改,严重时甚至造成电力系统大面积紊乱失衡,对人民和国家的人身财产安全都存在安全威胁,因此本文认为对电力调度管理系统的安全防护技术应用进行研究具有必要性。
1.电力调度自动化主站系统常见安全隐患
目前,电力调度自动化主站系统的安全隐患大致分类上可以分为三类,即主动攻击型、被动攻击型、潜伏隐蔽型,下文将对三类安全隐患具体特征与影响表现进行分析。
(1)主动攻击型
主动攻击型安全隐患是指在人为直接操控下,将某个程序通过网络渠道植入目标系统,由此获取其中信息的一种行为[2]。在人为操控下,直接截取网络中的调度指令由此达到网络攻击的目的,被攻击成功后窜改调度指令,引起电力供给安全性问题,这即为主动攻击型安全隐患的影响表现。
(2)被动攻击型
被动攻击型安全隐患泛指网络病毒一类的攻击,但此类隐患通常分布在网络环境中的某个“角落”,一旦被人触及就会迅速感染目标。例如调度自动化主站系统服务器或工作站被病毒感染,导致重要配置文件、涉密信息被窜改、窃取,连接接口变化,引发电网安全事故。此类安全隐患的威胁性较高,甚至超过主动攻击型隐患,所以防范的迫切性较高。
(3)潜伏隐蔽型
潜伏隐蔽型的病毒的感染机制与被动攻击型病毒大同小异,但进入电脑之后潜伏隐蔽型病毒并不会立即进行攻击,而是将自身伪装成某个正常的文件“伺机而动”,该类病毒会记录用户的操作高峰期、低谷期、停滞期,随后在低谷期、停滞期展开攻击,由此在长时间运作下逐渐侵占系统控制权,常规手段无法清理此类病毒。
2.电力调度自动化主站系统安全防护技术种类与功能
2.1备份恢复技术
备份恢复技术是一种通用性较强的安全防护技术,主要功能是对所有保存的数据与原有数据分开保存备份,随后当系统受到上述各类安全隐患攻击出现数据丢失现象时,对备份数据与数据现状进行对比,找出丢失的数据,再从备份数据中将缺失的数据还原至缺失数据的位置,由此始终保持备份数据完整。因此,备份恢复技术的应用并不会受到各类安全隐患的影响,但同样此项技术的缺陷就在于缺乏预防性,所以此项技术不能作为主动安全防护技术来进行应用,只能作为数据丢失或损坏后的补救措施。
2.2横向隔离技术
横向隔离技术是一种针对主动型攻击安全隐患进行安全防护的技术,在电力调度自动化主站系统中将该项技术应用于生产控制大区与非生产控制大区间的横向网络边界上,具体应用为横向单向隔离装置。该装置具有检查传输信息、验证身份信息的功能,采用软、硬结合及双嵌入式计算机结构,应用综合过滤、访问控制、应用代理技术实现链路层、网络层与应用层的隔离,并基于MAC、IP、传输协议、传输端口以及通信方向的综合报文过滤与访问控制,通过将内外两个应用网关之间的TCP连接分解成内外两个应用网关分别到隔离装置内外两个网卡的两个TCP虚拟连接,防止穿透性TCP连接,具有消除主动型攻击的作用。
2.3纵向加密技术
纵向加密技术属于信息认证技术的一种,采用认证、加密、访问控制等技术措施,实现数据的远方安全传输以及纵向边界的安全防护,确保数据传输的真实性、机密性、完整性、不可抵赖性,具有保护数据传输机密性、完整性的作用。在电力调度自动化系统中采用专用的电力纵向加密装置,部署在调度中心与发电厂、变电站的生产控制大区广域网的纵向连接处,是电力监控系统安全防护体系的纵向防线,并根据电力调度通信关系建立加密隧道,使用由调度证书服务系统统一签发的数字证书,实现双向身份认证、数据加密和访问控制,可以有效对网络纵向边界进行安全防护。
2.4防火墙技术
防火墙技术同样是一种通用性技术,该项技术具有预防性表现,主要用于安全Ⅰ、Ⅱ区之间,其原理是对通过的数据进行安全访问控制,只有符合安全策略的数据才允许通过。通过过滤进、出网络的数据流,管理进、出网络的访问行为,记录通过防火墙的信息内容和活动,并对网络攻击进行检测和报警,从而保证网络内部数据流的合法性,防止外部非法数据流的侵入,同时管理内部网络用户访问外部网络的权限。
2.5内部查杀技术
内部查杀技术是针对某个子系统相关设备内部进行病毒查杀的技术,对潜伏隐蔽型病毒最为有效[3]。对于内部查杀技术而言,其在任何数据进入系统内部的第一时间就会根据病毒库进行识别,并锁定该项数据,并使其进入隔离状态,使其无法发挥作用,如果判断为安全隐患,则直接进行删除或隔离操作。
3.电力调度自动化主站系统安全防护方案应用
综合上述各项安全防护技术分析可见,各类防护技术都有自身优缺点,仅使用单项技术不能完全对电力调度自动化主站系统进行防护,所以本文认为可以将多种防护技术联合使用,从而实现全面防护。
(1)技术部署原则
安全分区主要意义在于确认安全防护范围与边界,避免各项技术应用重叠;网络专用是至电力通信专有网络,独立于互联网并以局域网形式运作,由此可以避免互联网侧的安全隐患;横向隔离、纵向加密主要作为安全防护技术来使用,前者主要作用于生产控制大区与非生产控制大区间,后者主要作用于电力调度数据网的纵向边界处。关于安全分区、网络专用、横向隔离、纵向加密的基本原则见图1。
图1 网络安全技术部署示意图
(2)辅助技术应用
在基本技术原则上,同时应用其他一些辅助技术作为补充网络安全技术措施。例如,在系统网络中部署入侵检测系统,依照一定的安全策略,通过软、硬件,对网络、系统的运行状况进行监视,以保证网络系统资源的机密性、完整性和可用性。同时对系统定期进行内部查杀、漏洞扫描,对主站系统的安全脆弱性进行检测,以发现疑似病毒或漏洞。另外,结合文中上述的备份恢复等辅助防护技术,以全面提升调度自动化主站系统的网络安全水平。
4.结语
电力调度自动化主站系统是电力供给的重要环节,网络安全防护技术的选用具有极高的实际意义及重要性。本文主要对当前电力调度自动化主站系统常见网络安全隐患进行了分析,同时阐述了各类安全隐患的特征与影响表现,随后介绍了5项安全防护技术,并结合各项安防技术的特点,提出了电力调度自动化主站系统的安防技术部署原则及辅助技术应用建议,为调度自动化主站系统的网络安全防护提供有力的技术保障。
参考文献:
[1]江茂森.电力调度自动化网络安全防护系统的研究与实现[J].山东工业技术,2018,277(23):226.
[2]邹浩然.电力调度自动化网络安全防护系统实现[J].城市建设理论研究(电子版),2017(29):146.
[3]解丽春.电力调度自动化网络安全防护系统的研究[J].通讯世界,2015(14):158.
论文作者:周炜
论文发表刊物:《电力设备》2019年第15期
论文发表时间:2019/11/21
标签:技术论文; 系统论文; 电力论文; 安全防护论文; 网络论文; 主站论文; 安全隐患论文; 《电力设备》2019年第15期论文;