摘要:在科学技术不断进步背景下,计算机、通信和网络技术在电力二次系统中得到广泛应用,同时变电站(所)生产控制业务系统及调度数据网开展数据传输活动也愈发频繁,这也对二次系统及时性、安全性和可靠性提出更高要求,需要电力单位引起高度重视,加强电力网络二次系统安全防护工作,避免恶意代码、病毒等对电力系统正常运行构成严重威胁,在提高系统内部安全管理水平基础上,保证变电站安全、可靠开展工作。基于此,对变电站(所)及电力网络的二次系统安全防护进行研究和分析。
关键词:变电站(所);电力网络;二次系统;安全防护;探讨
近几年,我国电力事业得到突飞猛进发展,电力系统变电站、调度中心、用户之间数据交换也愈加频繁,同时将现代先进信息网络技术应用到变电站系统中,也推动其自动化、智能化进程,实现了电力系统有效控制,无形中也对系统安全性、可靠性提出巨大挑战[1]。此外在电网技术不断发展背景下,变电站业务系统也在不断优化,重视和加强变电站安全防护工作,对保障变电站安全可靠运行和电网持续发展也具有十分重要的现实意义。在本文中,结合电力二次系统安全防护总策略,对系统安全区间具体防护措施进行详细分析,同时对调度数据防护和入侵检测技术应用展开探讨,以希望能够发挥参考和借鉴作用。
1变电站(所)及其电力网络的二次系统安全防护总策略
在对变电站(所)、电力网络开展二次系统安全防护工作时,需要按照以下总策略进行:(1)专用网络,地级、省级电力调度数据网络,需要通过在专用网络通道构建独立设备组网方式实现,以对业务数据网和外部公共信息网进行有效隔离,具体操作时可以利用MPLS-VPN技术,将业务数据网划分成为实时和非实时子网络;(2)安全分区,对电力系统进行分区,需要根据二次系统对整个电力系统产生影响大小展开,将其分为生产控制和信息管理区,生产控制区中又可以进行细分,包含安全区和非控制区两方面内容;(3)横向隔离,对安全区实施隔离,二次系统则可以运用强度不同安全设备进行划分,并在安全区间设置访问控制系统,以达到安全保护作用;(4)纵向认证,针对厂站控制区域、各级调度中心网络的纵向连接位置,可以以加密网关、加密认证等方式,确保设施安全,同时为上下级系统数据通信提供控制服务,见图1[2]。
图1 电力二次系统安全防护模型示意图
2变电站(所)及其电力网络的二次系统安全防护具体措施
2.1横向网络边界
对安全区横向网络边界实施隔离作为二次系统安全防护较常采用方法,可以确保生产控制和管理信息区域安全。在数据通信过程中,为了有效防范病毒、黑客等对电力网络进行攻击,就需要对数据单向传输加强控制,通过将具有ACL访问功能的设备设置在控制和非控制区域之间,可以对这两个区域进行有效隔离,设备也能够对数据通信状态进行检测,对冗余数据也能够及时进行过滤,一旦出现恶意攻击情况也能够通过该设备快速转换地址,可以保障数据通信安全和稳定[3]。通常情况下,非控制区不具有控制区网络访问权限,一旦两个区域建立访问连接,就需要对数据传输方向、地址和端口进行严格控制。
在生产控制和管理信息大区运用专门的电力安全隔离设备,并利用“安全岛”数据、隔断穿透连接技术,对数据单向传输进行有效控制,同时对高强度网络边界进行隔离[3-4]。为达到这一效果,需要对装置正向型和反向型进行准确把握,一般情况下,反向型设备运用主要是对两大区数据传输实施有效管理,而正向型设备则主要是对管理信息大区单项数据传输进行严格控制,当反向型设备接收到管理信息大区传输数据以后,会对数据进行签名认证和编码转换处理,然后将数据传递至生产控制大区各系统。
2.2纵向网络边界
通过在控制区与调度数据网之间设置纵向加密认证网关、在非控制区与调度数据网之间设置专门的硬件防火墙,可以提高二次系统安全防护水平。同时,将电力认证和专用密码技术应用到厂站控制和上下级调度中心中,可以为其提供数据认证和通讯加密服务,在确保数据完整性的同时,使数据通信更加安全。另外,纵向加密认证网关的设置,可以发挥协议报文处理和过滤功能,进而对端口实行有选择性的保护[4]。
具体操作时,需要注意对生产控制大区,避免对默认路由器进行使用,只需要打开特定通信端口,针对telnet、rlogin、fet等风险较高网络服务尽可能的减少开通。与此同时,如果在生产控制大区,存在公用网络通信系统,则需要在业务系统和通信系统之间设置安全隔离边界,通过对专用公网通信机的有效设置,可以达到这一效果[4-5]。除此之外,若纵向数据通信是使用专项网络,则不需要对加密设备进行设置,必要情况下也可以通过布置TDS探头的方式,对网络数据报文动态进行实时监测。
3调度数据安全防护和入侵检测技术应用
3.1调度数据安全防护
对调度数据安全进行防护,可以利用措施有:(1)虚拟专用技术的运用,充分利用VPN技术将电力调度数据网进行划分,使之构成实时和非实时独立子网,通过在控制业务中运用实时子网,非控制业务中运用非实时子网,然后利用QoS技术实现数据网有效调度,可以满足调度数据网络要求,并提升各个系统开展业务质量水平;(2)设备和路由器安全配置交换,包含限定交换设备、网络服务等内容,通过将高强度口令密码作为基础,使分级认证、多受信网络地址范围设置、空闲网络端口封闭等功能得到充分发挥,对调度数据实现最大程度的保护;(3)提高调度网络可靠性,想要使调度网络可靠性得到进一步提升,就需要将备份冗余机制应用到核心关键设备当中,尤其是针对传输信道,在实际工作开展中容易受到噪音影响,在接收端也经常出现乱码情况,为解决这一问题,可以通过设计基带信号、科学选择调制解调方法和均衡技术有效应用,对工作中存在的干扰因素加以排除,甚至还能够借助差错控制技术,改善通信系统可靠性[5]。
3.2入侵检测技术有效应用
入侵检测技术作为二次系统安全防护中一项重要技术,将其设置在生产控制和管理信息两大区之间,可以对网络边界和业务系统关键路径实施有效检测,实现各项数据通信传输跟踪,使系统安全性和可靠性得到提升。同时,在病毒、黑客入侵的第一时间,也能够及时发现,并采取相应防病毒措施,消除系统存在的安全隐患,在对病毒进行防范时也要做好以下工作:(1)不能在生产控制和管理信息两大区使用相同病毒代码管理服务,在进行病毒特征码更新时,需要提前进行测试,然后使用专门的U盘进行离线更新;(2)进行系统维护时,尽可能避免对远程拨号方式进行使用,必要情况下可以使用专用拨号开关,对网络层进行保护,同时对用户登录认证、操作访问加强控制[5-6]。
4 结语
本文主要围绕电力二次系统总安全防护策略对变电站电力网络的二次系统安全防护开展分析和探讨。随着电力事业不断发展,各项信息网络技术在电力系统中得到广泛应用,变电站业务系统得到优化调整,也对系统安全性和可靠性提出严峻挑战,只有加强二次系统安全防护工作,才能够使整个电力系统更加安全和稳定运行,并推动电网事业健康、持续发展。
参考文献:
[1]高艺.基于电力监控系统的安全防护技术的应用[D].辽宁:辽宁工程技术大学,2017.
[2]马萍.浅谈电力系统内网安全监视平台管理经验[J].山东工业技术,2018,(20):161.
[3]陈庆华.探讨综合自动化变电站二次安防系统实施全过程管理[J].房地产导刊,2015,(35):170.
[4]宋彬彬,赵延青.防恶意代码审计系统在电力监控系统安全防护中的应用[J].信息技术与信息化,2018,(7):82-84.
[5]张建平,程环宇,张肃平.浅析变电站(所)及其电力网络的二次系统安全防护[J].内蒙古科技与经济,2013,(3):60,63.
论文作者:杨欣瑜
论文发表刊物:《电力设备》2019年第8期
论文发表时间:2019/9/9
标签:系统论文; 变电站论文; 安全防护论文; 网络论文; 数据论文; 电力论文; 大区论文; 《电力设备》2019年第8期论文;