摘要:作为国家安全的重要一环,电力 CPS 目前主要 使用信息系统的一般防护措施,无法满足电力 CPS 对网络攻击来源、模式以及防护措施的特殊性要求,尤其无法满足针对电网稳定运行的特定定向攻击。 因此,开展电力系统网络安全防护研究具有非常重 要的理论价值与工程意义。
关键词:态势感知;网络状态转移;调度
1 电力调度系统网络安全态势感知
1.1 电力调度系统定向攻击
北美电网没有物理隔离安全防护,多以 SCADA 实时数据进行执行操作,此模式数据极易出现混淆,导致数据不真实,可能导致继电保护系统误动作, 因此,北美调度安全防护模式极易受到网络攻击,安全防护有效性较低。我国电网采用物理隔离的基 于边界安全防护的模式,能够有效防范一般性的病 毒软件,即一般性病毒软件即便通过了电力调度系 统的边界防护,也会因为无法获取可信认证特征代 码而不能进入白名单,最终不能获取执行权限。因此,我国电力调度系统目前需要防范的是能够躲开 边界防护、绕过物理隔离而入侵调度系统的具有针对性目标的高级病毒软件。此类高级病毒软件能够 迅速识别电网薄弱环节,通过发送虚假遥控命令致 使断路器错误跳闸、向 SCADA 系统注入虚假数据、 重置调度主系统、拒绝执行操作命令等方式致使继 电保护系统误整定、误动作,无法控制整个系统, 最终导致系统崩溃、解列。
1.2 电网安全态势感知
网络安全态势感知(NSSA)表征态势感知(Situation Awareness,SA)应用于网络安全领域, 其模型主要包括网络安全态势要素获取、态势理解、 态势预测。态势要素获取主要对网络设备进行实 时数据采集、数据规范化处理,通过数学模型分析出异常网络活动。态势理解主要是识别攻击活动、 找到攻击源。态势预测则是通过识别的攻击活动判 断系统可能遭受的威胁,进而预测下一步网络的变 化趋势。NSSA既能充分了解自己,又能有效识别 网络威胁。
2 影响电力调度数据网安全的因素
2.1 数据遭破坏,信息泄露
当电力调度数据在使用过程中遭到人为破坏,相关数据信息就会被窃取、篡改以及泄露,进而导致整个网络都会受到安全影响。
2.2 操作不规范
由于电力调度数据是由专人负责,如果操作人员的安全意识低下,操作不够规范,就可能导致相关数据信息泄露或者损坏。
2.3 非授权访问
电力调度数据具有非常强的严密性,是关于整个电网的运行安全。因此操作人员在登录时,必须输入密码进行授权。而很多操作人员没有经过允许,私自登录,非授权访问,违反了相关操作规定,就有可能导致电网调度数据的泄漏和破坏。
2.4 网络病毒
互联网具有着非常多的优势,然而也存在着一些危险因素。如互联网需要定期维护检修,定期进行病毒和漏洞查杀。然而由于电网调度数据网没有定期维护检修,也没有病毒和漏洞查杀,就会致使各种网络病毒侵入网络内部,严重情况下可以导致整个网络运行瘫痪。
3 电力调度数据网的构架图
4 电力调度数据网网络安全防护方案
4.1 网络安全
保护网络安全的防护方案需要划分为四个步骤,第一个步骤为安全区域的科学合理划分。安全区域的科学合理划分是电力调度数据网安全防护工作的前提,也是非常关键的一个环节。在划分过程中可以划分为实时子网和非实时子网。实时子网是指电力调度的整个网络运行环境,需要对网络的实际运行情况进行实时监督,进而提高子网的安全性能。非实时子网是指电力调度的整个数据信息,需要对电力设备进行密切的运行监督、故障监督、电量记录等。
第二个步骤为专网的制定,专网也可以理解为适合电力企业调度工作的专用数据网络。专网的建立,就需要做到专项利用,来负责电力调度工作中的相关数据信息的传输工作,借助电力企业的专用光纤通信网络,建立企业局域网,将数据信息的传输工作局限在企业内部网络中。
第三个步骤为行横向隔离,横向隔离是指实时子网与非实时子网之间的隔离,使其内部的任何一个局域网都实现分离,不与其他局域网相互连接。
第四个步骤为行纵向加密,采取横向加密之后,接下来就需要进行纵向加密。加密装置还要通过国家相关部门的严格检查认定之后才能使用,而且还需要制定相应的安全防护措施。
4.2 建立健全管理制度
只有建立健全管理制度,才能对每一位员工进行管理约束,才能对每一项工作环节进行监管控制,才能对每一个网络设备进行保管维修。
4.3 营造良好运行环境
电力调度数据网的运行过程中,还需要为其营造一个良好的运行环境,保障场地、环境、设备、物理访问以及供电等安全。
4.4 确保系统管理安全
电力调度数据网的网络系统非常复杂,因此系统的管理工作也是一个关键环节。系统管理包括软件开发、设备采购、工程建设、系统备案以及系统运行维修等等。
5 电力调度数据网网络安全防护技术
5.1 网络安全
(1) 网络设备。首先要确保网络设备的运行安全,要促使操作人员不断强化自身的安全防护意识。其次要确保账号的安全可靠,要严格对登录账号进行加密,可以通过存储口令、用户名禁止等方式。最后要做好网络设备的配置安全,很多网络在使用过程中都有病毒,因此为了防止数据信息泄露和丢失,就要做好使用过程中的病毒查杀,并且定期对系统进行升级。
(2) 做好虚拟网络和VPN的隔离。要想保障电力调度数据网的安全性,还要做好虚拟网络和VPN的隔离。只有将两者有效隔离,并且进行数据信息的动态严密监控,才能确保其安全可靠。
(3) 严格抵制恶意代码。严格抵制恶意代码的访问,也能够有效保障网络安全。因此在实际工作中,就要结合实际情况,通过在企业局域网中通过防火墙技术、数据加密技术、审计与跟踪技术、病毒防范技术的应用,来有效避免非法用户获取信息。在登录过程中,将Telnet转变为SSH进行限制,进而将访问列表和网络使用量进行有效控制。
5.2 注意接入时的安全
电力调度数据网在接入时,还需要注意网络安全,接入安全可靠接口,慎重选择合适认证方式,才能从源头上做好安全防护工作。在认证方式的选择中,还需要对用户地址以及接入端口都要严格仔细确认,在结合实际情况,选择合适的接入方式。
6 结束语
综上所述,对于电力企业来讲,电力调度数据网的安全也非常重要。因此在今后的工作中,就要做好电力调度数据网的网络安全工作,制定有效的安全防护措施,运用正确的安全技术,确保电网的安全正常运行。
参考文献
[1]胡鑫,陈信,江海敏.电力调度数据网网络安全防护技术研究[J].自动化技术与应用,2018,37 (5) :20-23.
[2]许洪强, 姚建国, 南贵林, 等. 未来电网调度控制系统应用功能的新特征[J]. 电力系统自动化, 2018,44(1):1-7.
[3]李新鹏, 高欣, 阎博, 等. 基于孤立森林算法的电力调度流数据异常检测方法[J]. 电网技术, 2019, 45(4): 1447-1456.
[4]肖胜.基于云计算的智能电网调度系统设计[J]. 电源技术, 2018, 40(2): 288-290
论文作者:李华伟
论文发表刊物:《中国电业》2019年第10期
论文发表时间:2019/9/11
标签:数据论文; 电力论文; 电网论文; 子网论文; 系统论文; 网络论文; 网络安全论文; 《中国电业》2019年第10期论文;