试论电力二次系统安全防护的具体措施论文_白振忠

试论电力二次系统安全防护的具体措施论文_白振忠

(国家电投集团宁夏能源有限公司临河发电分公司 宁夏回族自治区 750411)

摘要:首先阐述了电力二次系统安全防护总策略,然后对电力二次系统安全区间的防护措施进行了介绍,最后对调度数据的防护措施以及入侵检测技术的应用进行了探讨,以期对二次系统的安全防护具有一定的参考价值。

关键词:二次系统;安全防护;措施

前言 随着电力行业信息化的深入发展,基于网络的跨地区、全行业系统内部信息网已逐步成型。本文从系统的现状、安全防护的主要目标及防护的策略等几个方面,系统分析了安全防护中所面临的若干问题,并就实施网络安全的方案和策略做了初步的探讨。

1. 电力二次系统安全防护的现状

随着近年二次系统安全防护项目的实施,当前已完成地调、县调、500kV变电站及220kV变电站生产控制区业务系统接入调度数据网及相应调度数据网边界的安全防护。随着应用系统的不断增加以及电网规模的不断扩充,二次自动化系统的规模也越来越大,二次系统安全风险随之增大,需要进一步完善管理手段。按照《国家电网公司电力设施保护工作管理办法》和《电力监控系统安全防护总体方案》,并遵循《电力监控系统安全防护规定》》、《西北区域发电厂并网运行管理实施细则》,根据电力监控系统的特点、目前状况和安全要求,整个二次系统分为四个安全工作区:实时控制区(Ⅰ区)、非控制生产区(Ⅱ区)、生产管理区(Ⅲ区)、管理信息区(Ⅳ区)。

2. 二次系统安全防护建设的必要性

随着计算机技术和网络通信技术在电力系统中的广泛应用,电力二次系统也逐步超越传统概念,与信息化网络结合得愈加紧密。电力二次系统以维护电网的安全、稳定为根本目标,并在此基础上实现电网的优化运行。近年来电网的蓬勃发展极大的带动了二次系统的快速进步。具体体现在三个方面:1)国家电力调度数据网的建设,以满足调度中心和大量厂站之间频繁的数据交换;2)厂站内部生产控制系统和管理信息网络的横向结合,远方控制的大量采用,以提高电力企业生产管理的效率;3)基于网络的新技术、新系统在电力生产控制中的应用,以提高二次系统对全网监控、管理的可靠性、准确性和实时性。可以看到,三个方面都与网络密切相关。与此同时,Internet 在各级电力企业中也得到广泛使用,Email、Web 和 PC 的应用日益普及,随之而来的病毒和黑客也日益猖獗。一旦电力生产控制系统网络遭到病毒或黑客的攻击,后果将不堪设想。毫无疑问,网络技术的应用不仅给电力系统带来生产力的提高,同时也对二次系统的安全性提出了严峻的挑战。一些重大安全事故的发生,使得全国电力二次系统安全形势进入紧急状态。电力相关部门对安全问题的重视程度也达到前所未有的高度。在这一背景下,在电监会、电网公司、发电集团的协调配合下,电力二次系统安全防护工作开始在全国范围分级、分区、分批实施。发电厂二次系统作为电力监控系统的最基本的部分,是安全防护的重要部分。

3电力二次系统安全防护的具体措施

3.1重点强化边界防护

根据电力二次系统安全防护“安全分区、网络专用、横向隔离、纵向认证”的基本原则。采用“纵深防御”策略和“适度安全”策略,主要针对基于电力二次系统的生产控制系统,重点强化边界防护,提高内部安全防护能力,保证电力生产控制系统及重要数据的安全。

3.1.1横向网络边界的防护措施

在电力二次系统中,隔离安全区横向网络边界是一个比较主要的防护方法,并利用设备将安全区隔离开来,特别是要提高生产控制区和管理信息区的保护力度。在进行数据通信时,为了有效抵制病毒以及黑客攻击和渗透电力网络,要使用严格的数据单向传输控制,在非控制区和控制区之间使用具有ACL访问控制功能的设备进行逻辑隔离,要求设备具有检测状态、过滤数据、转换地址的相关功能。要可以对数据的传输方向、传输地址、传输端口等进行控制。一般来说,控制区和非控制区的访问策略值允许非控制区和控制区系统建立连接,不允许非控制区系统访问控制区系统。使用专门的电力安全隔离设备安装在生产控制大区和管理信息大区的网络边界,利用安全岛数据和隔断穿透性TCP连接等技术实现电力安全隔离装置的数据单向传输以及高强度的网络边界隔离。一般这种装置主要有正向型和反向型两种类型,反向型设备主要对生产控制大区和管理信息大区之间的纯文数据传输进行管理,正向型安全隔离装置主要用于管理信息大区向生产控制大区的单向数据传输。

3.1.2纵向网络边界的防护措施

在调度数据网和控制区之间的VPN网络边界设置专用的纵向加密认证网关,在调度数据网实时VPN和非控制区的网络边界设置专用的硬件防火墙,是另一个保证电力监控系统安全防护的重要措施。

期刊文章分类查询,尽在期刊图书馆使用电力认证技术和专用密码技术为厂站控制区和上下级调度中心提供数据认证服务和通信加密,保证数据的机密性及完整性。尽量不要使用默认的路由器,只将特定的通信端口打开即可。不允许开通等风险比较高的网络服务。如果生产控制大区有公用通信网络数据通信系统,要将专用的电力安全隔离设置在业务系统和通信系统的网络边界,设置专用的公网通信机。对于使用专线的纵向数据通信,暂时不用设置加密设备。在特大型地调、省调以及安全纵向网络边界可以布置IDS探头,并动态监测网络数据报文。

3.2 综合防护措施

3.2.1主机与网络设备加固

生产控制大区主机操作系统应当在电力二次系统厂家的协助下,且确保系统安全的情况下进行安全加固。生产控制大区主机加固方式包括:安全配置、安全补丁、釆用专用软件强化操作系统访问控制能力、以及配置安全的应用程序。关键控制系统软件升级、补丁安装前要请专业技术机构进行安全评估和验证。应限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令;应及时删除多余的、过期的帐户,避免共享帐户的存在。严格管理和规范各类生产监控系统应用主机USB和光驱等外设接口和驱动的使用,防止引入不安全因素。

控制区和非控制区的网络设备与安全设备应当进行身份鉴别、访问权限控制、会话控制等安全配置加固,依据安全策略控制用户对资源的访问。可以应用数字安全证书,在网络设备和安全设备实现支持HTTPS的纵向安全Web服务,能够对浏览器客户端访问进行身份认证及加密传输。应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施。

3.2.2设备选型及漏洞整改

电力二次系统在设备选型及配置时,应当禁止选用经国家相关管理部门检测认定并经国家能源局通报存在漏洞和风险的系统及设备;对于己经投入运行的系统及设备,应当按照国家能源局及其派出机构的要求及时进行整改,同时应当加强相关系统及设备的运行管理和安全防护。生产控制大区中除安全接入区外,应当禁止选用具有无线通信功能的设备。

3.3 防火墙安全防护措施

防火墙是目前电力系统安全防护的主要措施,同时防火墙技术在电力系统二次防护体系中占据着十分重要的地位。防火墙安全技术包括软件技术和硬件技术,主要是在电力系统内外网络的边界地段发挥重要作用。包过滤防火墙技术是电力系统二次防护体系建设中最为常用的一种防火墙技术,主要是根据数据目的的地址、数据端口以及数据源地址等数据信息的标志信息对相关的信息进行系统、有效的审查,如果审查的结果符合包过滤防火墙技术的信息过滤规则,则能够顺利通过防火墙,将信息数据包传送到相关的目的地,但是如果审查的结果不符合过滤防火墙技术的信息过滤规则,则该数据信息包将会被丢弃。根据包过滤防火墙技术在电力系统二次防护体系中的应用,将包过滤防火墙技术分为两种基本的类型,一种是动态的包过滤防火墙,这种防火墙技术能够对防火墙的过滤规则根据实际的情况进行动态的设置,对电力系统中任意一条信息进行追踪,并且结合电力系统的运行安全需要,对防火墙中的过滤规则进行适时的调整。另一种是静态的包过滤防火墙,这种防火墙技术主要是按照一定的规则对电力系统的相关数据包进行过滤审查,如果无法满足静态过滤准则,则会被丢弃,在实际应用过程中具有一定的绝对性。

3.4制度管理措施

本级调度责任单位成立专门的二次系统安全防护领导小组和工作小组,负责本单位二次系统安全防护的组织管理和具体工作。禁止高安全等级区域系统的设备安装或放置在低安全等级区域。不同安全区域等级的系统网络不得通过在同一网络交换机中划分VLAN方式实现。组织制定针对不同业务系统、操作系统平台、功能需求主机的安全防护技术规范,指定专人负责,定期更新其内容。使用Windows操作系统的主机要作好防病毒措施,安装防火墙并定期升级病毒更新代码。做好重要应用系统软件、数据的备份,确保在数据损坏、系统崩溃情况下快速恢复数据与系统。安排专人定期查看IDS入侵检测系统运行日志,及时处理网络异常。

4.结束语

电力二次系统安全除了依据国家规定建立可靠的网络安全技术构成的安全防护体系外,还必须建立健全完善的网络安全管理制度,形成技术和管理双管齐下,才能真正达到保证网络安全的目的。同时,调度自动化系统的安全防护是一个动态的工作过程,而不是一种状态或者目标。随着风险、人员、技术不断地变化发展,以及调度应用与应用环境的发展,安全目标与策略也发生着变化,电力二次系统的安全管理需要不断跟踪并应用新技术,定期进行风险评估、加强管理,才能保障电力行业调度安全稳定、高效可靠地运行。

参考文献:

[1] 曹永光. 试论电力二次系统调度数据网安全运行防护措施[J]. 广东科技,2009(20):139-141.

[2] 李志. 试论电力二次系统调度数据网安全运行防护措施[J]. 工程技术:全文版,2017(3):46-46.

论文作者:白振忠

论文发表刊物:《电力设备》2017年第23期

论文发表时间:2017/12/6

标签:;  ;  ;  ;  ;  ;  ;  ;  

试论电力二次系统安全防护的具体措施论文_白振忠
下载Doc文档

猜你喜欢