钟洪建 郭勇 逯珊
(国网山东省电力公司昌乐县供电公司 山东潍坊 262400)
摘要:随着科技含量较高的通信技术、计算机运用技术在我国的普遍推广和应用,使其在电力自动化系统中发挥着重要的作用,电网二次自动化系统技术也随之得到了发展,并在人们的生活中有着重要的影响。由于我国近年来实施了二次系统安全防护项目,使电力二次自动化系统的安全防护水平有了进一步的提高。随着我国电网规模的不断扩大和相应应用系统的不断增加,需要加大系统的安全管理力度,进一步完善安全管理手段。
关键词:刍议电力调度自动化二次系统安全防护分析
一、电力调度自动化二次系统安全防护概述
电力调度自动化二次系统的安全防护工作主要是通过一定的技术管理手段保证电力实时闭环监控系统和调度数据网络的安全,其目标在于建立健全的电网电力二次系统安全防护体系,在统一的安全策略下使重点保护的系统免受黑客、病毒、恶意代码等侵害,特别是能够抵御来自外部有组织的团体、拥有丰富资源的威胁源发起的恶意攻击,能够减轻严重自然灾害造成的资源损害,在系统遭到损害后,能够迅速恢复绝大部分功能,防止电力二次系统的安全事件引发或导致电力一次系统事故或大面积停电事故,保障电网安全稳定运行。
二、电力二次系统安全需求分析
对于电力二次系统而言,其安全防护为一个系统的工程,其总体防护水平取决于系统中最薄弱的环节。经过对电力企业的电力二次系统深入地调研、分析后,可以发现,目前,电力二次系统面临的安全风险主要包括信息泄漏、非法使用、拦截、旁路控制、窃听、篡改、欺骗、拒绝服务、破坏完整性、管理或操作失误等;主要由以下原因引起:①电力系统采用的防火墙和入侵检测技术等存在着一定缺陷或不足,被动防御或漏报误报率高;②系统之间信息交换缺乏加密及认证机制、入侵检测等预警机制、漏洞扫描和审计手段,接入存在安全隐患;③基本手动更新病毒库,缺乏实时性,导致各厂、站端及工控机房管理困难;④安全防护目标、策略和体系不健全,所采取的安全措施几乎都基于被动防护;⑤管理区与生产区的数据双向交互,各级调度系统结构复杂,数据交互缺乏规则性,很难对系统及数据进行统一的安全防护、动态管理和应急处理。电力二次系统安全防护的对象主要是网络系统以及基于网络的电力生产控制系统,重点在于强化边界防护,提高内部安全防护能力。其工作重点是确保电力实时监控系统及SPDnet的安全;抵御黑客和病毒等各种攻击,保障系统的可用性和正常服务,保护重要信息在存储及传输过程中的机密性和完整性,实现应用系统和设备接入电力二次系统的身份认证,防止非授权访问,实现SPDnet和应用系统的可审查性及安全管理等。
三、电力二次自动化系统的安全防护策略
3.1制定完整的安全管理规定
电力调度系统中最大的安全风险来自于与其相连的其他网络,必须建立一种科学、合理的管理模式,进而有效抵御黑客以及病毒的破坏,最终保护电力实时闭环监控系统,阻止有网络病毒攻击所带来的系统崩溃现象,保证电力系统的稳定运行。
期刊文章分类查询,尽在期刊图书馆一方面,需要建立完善的安全分级负责制,坚持“谁主管谁负责”的原则,建立完善的二次系统安全防护制度,根据要求设置电力监控系统,同时明确各个相关人员的职责。另一方面,日常应加强维护以及管理,定期对安全防护系统进行巡查,一旦发现有问题,立即采取相关解决措施。若不在自己管辖范围之内,应将安全隐患向上一级相关部门反映,同时做好详细的记录。
3.2进行逻辑横向隔离
电力系统的安全防护的原则为安全分区、网络专用、横向隔离、纵向认证,因此,在进行电力二次系统的安全防护时,可以将其划分为安全等级由高到低的Ⅰ-Ⅳ4个安全区,并有针对性地采取不同的安全措施。其中,安全区Ⅰ为实时控制区,Ⅲ为非控制生产区,3为生产管理区,Ⅳ为管理信息区。其中,实时控制区是一个重要的防护环节,其能够实现对一次系统运行的监控,而在非控制生产区有调度员模拟以及仿真DTS系统。为此,实时控制区域非控制生产区系统之间应采用防火墙技术,使得实时控制区、非控制生产区与管理信息区无法直接联系,同时实时控制区、非控制生产区域生产管理区应采用经过有关部门认定以及审核的专用安全隔离装置(分为正向型、反向型)。另外,对于非控制生产区的电量采集计量系统以及生产管理区应采用实时隔离网关。
3.3纵向防护
对于数据的远距离传输及边界的安全防护采用各种加密控制手段来实现。对于安全区工和安全区11内部的纵向通信,主要对两系统中的认证,通常采用IP加密的装置之间的认证来完成的,主要的方式是通过对网络层的双向的身份认证、数据的加密及访问权限的控制等。
3.4权限控制
在实时控制的系统中,应通过设置权限来对系统中的运行节点、工作组及其进程进行控制。根据节点的不同权限设置,确立控制各级访问的权限,包括:图形、数据库、WEB等。通过上述权限的控制,增加多重防护措施,可初步控制非法用户的侵入。
3.5提升预防病毒的措施
当前,互联网中病毒的入侵速率不断提高,尽管互联网中杀毒软件也在不断升级,可是安全区中自动化系统无法对特征库代码实现远程升级。一般的杀毒方式就是专业维护人员在一定时间内利用移动介质把下载好的病毒代码进行自动更新。无论是运用移动设备或是通过网络连接的方式更新病毒库,都将系统内部相关资料短暂显露在安全防护系统之外,然而设计一台相对独立的病毒更新服务器就能够处理此难题。可以将病毒服务器建立在安全区中,这样服务器可以利用Linux系统作为操作平台,适当添加预防病毒的软件系统,运用KDF系统中文件管理作用处理收取病毒特征库问题,利用此平台进行杀毒操作之后,再经过物理分离工具提供的总线连接中EMS网络装置,从而系统设施病毒库可以实现安全防毒升级。除此之外,还要将EMS提供的I/0设置与服务器隔开,防止出现系统障碍与崩溃。
3.6网络备份
网络备份是在数据范围较大和存在时间限制的情况下,对电力系统软件运行中的系统进行准确记录和恢复的防护功能。安全系统中的分割系统是指从数据所在的系统复制到另外一个独立的数据储存系统。在电力系统中,网络备份主要分为场点内备份、场点外备份和系统备份三类。网络备份在电力调度自动化安全防护中所发挥的作用在于:在遭遇自然或人为事故时,其作为安全系统硬件设备的安全防范措施,能有效限制访问和抵御黑客攻击,从而确保数据库的安全和完整,且能为数据的备份和恢复莫定基拙。通常情况下,历史操作数据能储存1~3年,且要按照月份进行备份。其备份内容是各类参数和改动后参数的实时备份,需对Unix和NT配备相对应的备份系统。
结语
总而言之,电力系统的自动化安全防护对于保证系统安全、防止黑客入侵有重要作用,其与计算机工程紧密相关,因此要重视研究安全防护的计算机技术。二次自动化系统是一个长久、动态的过程,需要多重防护技术手段来确保二次系统的安全,形成有效合理的二次系统安全防护体系。同时,还需要建立完善的安全管理体系,加强员工的安全意识,将安全工作纳入到日常管理工作中,使技术和管理相辅相成,保证二次系统的安全稳定运行。
参考文献
[1]李涛.智能变电站二次安全防护系统设计与应用研究[J].电气应用,2013.
[2]钱前.电力调度自动化系统信息安全保障方案设计[J].商情,2013.
作者简介
钟洪建,男,学历:本科,单位:国网山东省电力公司昌乐县供电公司, 研究方向:调度自动化
论文作者:钟洪建,郭勇,逯珊
论文发表刊物:《电力设备》2016年第11期
论文发表时间:2016/8/15
标签:系统论文; 安全防护论文; 电力论文; 实时论文; 备份论文; 病毒论文; 网络论文; 《电力设备》2016年第11期论文;