摘要:经济的发展,城市化进程的加快,人们对电能的需求也逐渐增加。随着信息技术在电力系统中应用程度不断提高,电力系统对信息系统的依赖程度日益增加,信息系统规模与技术复杂度逐渐提高,电力系统信息安全风险将增加。火力发电厂生产控制大区的信息安全对发电厂安全运行至关重要。本文就火力发电厂信息安全体系构建与应用展开探讨。
关键词:发电厂;生产控制大区;信息安全
引言
如今电力系统对信息系统的依赖性日益增加,而信息系统规模随着科技的发展在不断扩大,同时信息系统的复杂度在不断提高,而电力系统的信息安全风险也在逐渐加大。火力发电厂生产控制大区信息的安全性有着极为重要的地位。
1风险安全管理对国内火电厂管理质量的影响
从控制环境方面来说,对国内火电厂的管理质量观念和方式带来影响。安全管理强调风险控制,大多国内火电厂都通过技术创新应用来增加电力产品供应的附加值,安全数据已成为国内火电厂的核心资产,所有管理质量都应该围绕安全数据展开,从观念上扭转。另外国内火电厂本身重视技术的应用,因此在控制方式上更加偏向于创新性技术的开发、应用。从风险评估方面来说,安全管理带来的是更多的管理质量提升,但是现代技术发展所带来的风险也越来越大,因此内在地要求国内火电厂加强数据风险预测、分析、评估、备案等等,评估的范围和手段更加复杂和多样,尤其是精确度。从控制活动来讲,不仅要对传统的人进行控制,还要对电力运行数据、易燃易爆物质信息、安全检测软硬件等要素进行控制管理,同时重视控制的效率,防止出现风险。从信息沟通来看,不仅处理好国内火电厂各部门之间的管理信息融通,还要处理好各类安全数据监控全面覆盖。
2安全区的划分
火力发电厂信息系统的安全防护体系主要分为实时监控系统、生产管理系统以及电力信息系统,这3层安全防护体系都有着不同的重要意义。火力发电厂信息系统一般是按照安全等级进行分层,这3层中第1层为独立的安全区Ⅰ,第2层是数据网络,第3层则为信息系统,这3层都属于安全区范围。火力发电厂信息系统具有一定的实时性、实用性以及各功能之间的相互关系。鉴于广域网通信方式受到黑客的攻击以及病毒的传染所产生的影响,将其放在“三层四安全区”的系统安全防护体系中。根据电力系统中相关的条约规定:“发电企业、电网企业以及供电企业这3种基本属于计算机的业务系统,根据原则将其划分为2个大区,分别为生产控制大区以及管理信息大区。而生产控制大区主要分为控制区以及非控制区,控制区属于安全区Ⅰ,而非控制区则属于安全区Ⅱ。而管理信息大区则一般由生产管理区和管理信息区的2个部分构成。控制区一般是由多种业务系统组成,其主要包括实时监控功能以及纵向连接使用电力调度数据网的实施子网等。控制区在整个电力生产中占据举足轻重的地位。该区能够实现对电力系统的监控,其监控主要包括计算机监控系统。处于安全保护的重要核心内容则为计算机监控系统。与控制区不同,非控制区是在生产控制范围中在线运行,但与其他的不一样,则在于不直接参与控制,在这种电力生产的过程中,非控制区是最为关键且重要的环节,该安全区也是由多种业务系统组成的安全区域。安全区以及控制区两者之间由共同的业务系统相互连接。生产控制大区的数据业务速率不高,且数据流相对比较稳定,而业务实时性能相对比较强,与电网安全有着密切相关的由遥控摇调,可靠性要求相对比较高。电力市场业务有着较高的要求,不仅需要对原始数据进行保密,其要求相对比较可靠。生产控制类业务主要分布在各发电厂以及变电站中,一般属于特殊业务。
3生产控制大区安全分析
3.1人员成分与物理环境
运行人员是生产控制大区的固定人员,负责对发电厂机组及其他系统运行的监视、记录、操作、检查、维护等工作。不定期访问的人员包括:管理人员、工程设计人员、施工人员和系统维护人员等。生产控制大区业务设备主要设置在中控室、继电保护室、电子室内。
期刊文章分类查询,尽在期刊图书馆关于机房环境、电磁防干扰、防火防水等物理因素,由于发电厂设计时都遵照了严格的标准,主要应考虑对出入口的监视、重要设施的监视,以防止对设备的物理破坏、盗窃和非法使用。
3.2网络边界
3.2.1电力调度数据网纵向边界
电力调度数据网主要采用了MPLS(多协议标签交换)对其实现标签式的交换通信,其每1个IP都有1个标签,主要是根据标签值进而转发数据包。网络结构对于客户来说不可见,对此要利用发电厂的外部结点与电力调度数据网发动,对厂内设备的攻击性相对比较小。电力调度数据网确保网络的单纯性,维护了网络的安全。电力调度数据网具有一定的安全性,能够预防网络攻击,能使得网络具有一定的安全性。若出现一定的网络攻击,其攻击出自于正规途径,从而使得网络本身的安全性毫无用处。对此,需要采取正确的措施进行解决。
3.2.2传统远动专线通道
国家电力调度数据网各级骨干网络虽然基本建立起来,但是接入各发电厂、变电站等节点还未完全覆盖,常规专线通道一段时间内将被保留作为备用。专线通道由PCM分配64kbps接口上SDH光纤(微波)网络,与调度中心终端服务器实现点对点传输。该通道与其他数据通道物理隔离,通信协议应用层直接建立在SDH链路层之上,所以通道本身不存在任何软件风险。对其安全性的考虑应着重在物理安全和人员安全。
3.3网络内部安全
3.3.1网络入侵防护系统
(IPS)用于发现和抵御黑客攻击,是一种计算机网络安全技术,能发现入侵者或识别对计算机的非法访问行为,并对其进行隔离。在互联网出入口处串联部署IPS,实现网络出口防护(由内到外,由外到内),提供互联网的从网络层、应用层到内容层的深度安全防护。在核心交换机上旁路部署IPS(由内网到内网),在平时可将内网中部分重点服务器的流量镜像到IPS上,可以实时分析访问这些服务器流量的安全性。如果遇到内网中出现攻击事件或异常情况时,可以将出现问题的那一部分流量镜像到IPS上进行安全性分析,从而找到攻击来源和异常情况的原因。
3.3.2火电厂监控信息系统
虽然SIS系统与SCADA(数据采集与监视控制系统)系统比较相似,但SIS系统更加全面。对此可向管理层提供数据,而图2中所表示的SIS,该系统主要与各分散控制系统通信,采用以太网连接,从而形成主要的网络,而该网络由生产控制区控制。SIS能够有足够的安全性,其防护重心主要在网络边界以及安全管理方面。
3.3.3安装防火墙
在网络出口部署高性能硬件防火墙,按照默认关闭所有数据包,只允许指定端口指定IP通过数据的防火墙包过滤配置规则设置,以在最大程度上实现系统安全要求。在不同安全区域网络之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。
结语
火力发电厂提供的电能产品是社会经济发展民生保障不可或缺的能源。加强风险安全管理至关重要。构建完善的火力发电厂网络信息安全体系是一个系统工程,要基于对发电厂自身业务发展与安全需求的分析,结合信息化建设与应用架构,通过逐步求精的方法,建立切实有效、可行的体系,为电力企业的安全生产与高速发展提供安全、可信的信息化服务保障。
参考文献:
[1]杨道驰.火力发电厂生产控制大区信息安全分析[J].电子世界,2018,(21):41-42.
[2]刘念.电力系统信息安全评估方法与安全通信机制[J].华北电力大学(北京),2018,(33).
论文作者:柯洋
论文发表刊物:《基层建设》2020年第1期
论文发表时间:2020/4/20
标签:控制区论文; 大区论文; 火力发电厂论文; 网络论文; 信息系统论文; 数据论文; 安全区论文; 《基层建设》2020年第1期论文;