(宁夏银川供电公司宁夏银川750011)
摘要:电力监控系统安全是电力生产安全不可分割的一部分。除了依据相关规定要求建立可靠的网络安全技术的安全防护体系外,还必须建立健全完善的网络安全管理制度,形成管理和技术双管齐下,才能真正达到保证网络安全的目的。随着风险、技术、人员不断地变化发展,只有不断提高自动化专业人员的业务素质,增强其安全风险防范意识,不断地将先进技术,不断地完善安全管理制度,降低电力监控系统的安全风险,才能保障电力监控系统安全稳定、高效可靠地运行。
关键词:强化电力;监控系统;安全防护
1电力监控系统安全防护的基本原则
电力监控系统安全防护的基本原则是“安全分区、网络专用、横向隔离、纵向认证”。“安全分区”指的是电力监控系统中包含的业务系统划分为生产控制大区与管理信息大区。其中生产控制大区与电力生产直接相关,又可分为直接参与生产控制的控制区与不带实时控制功能的非控制区。管理信息大区主要应用于电力管理、办公等用途。此外,生产控制大区中的业务系统使用无线、公网VPN等方式通信的,应当设立安全接入区。“网络专用”指电力调度数据网应使用专用通道,实时子网连接控制区、非实时子网连接非控制区,避免不同安全区的纵向交叉连接,实现物理隔离。“横向隔离”指生产控制大区与管理信息大区之间的通信必须通过正反向隔离装置,隔离强度应接近或达到物理隔离,并满足单比特传输的规定。生产控制大区内部的控制区与非控制区之间业务系统的通信必须经过防火墙或其他逻辑隔离设备。“纵向认证”指生产控制大区中的业务系统与远方传输信息需要经过纵向加密认证装置,通过加密、认证、访问控制等手段保证信息传输的完整性、机密性、可用性。
2电力监控系统安全防护的主要策略
2.1加强电力系统安全防护的业务传输、纵向认证
一是对纵向加密设置的认证。这个装置安置在广域网络与局域网络的连接处,一般在局域网络与广域网络的交换机之间。该装置通常要成对使用,一方用来加密,另一方用来解密。但是,也存在特殊情况,即单使用其中一方,通常这一用法不具备加密操作。纵向加密操作与防火墙的结合,可以使装置在进行访问设置时,实现对身份的认证和相关数据内容的加密。这样能够确保数据传输更加安全,保护数据的完整性。不仅如此,它还可以进行安全过滤。电力系统中有专用设置,它可以借助于调度设备证书的身份进行认证,以此确保远程通信设备的合法性。采用国家密码局专为电力系统颁发的加密算法和因子,对远程通信的报文进行加密处理,以此确保不同类型的信息内容不会被远程传输过程中被截取与篡改。二是构建纵向防线。纵向防线就是纵向进行加密认证,有效保护上下层级的业务系统在纵向进行传输数据时的安全性。通常是在局域网和广域网的纵向连接处以及地调主站和县调远程终端的连接处来部署电力专用纵向加密认证装置,实现双向身份认证、数据加密和访问控制[3]。
2.2电力系统纵深防御的技术需求
在生产控制区域的业务系统操作中,不仅需要保障系统的安全度,也要发挥加密设置的相关功能。为此,相关工作人员需要首先具备调度数字系统的专业证书,然后进行关键步骤的运行。它可以将远程业务进行加密,然后以身份认证等形式加强保护。其中,针对带有遥控功能的配网而言,需要将加密设置与身份认证相结合,以此加固系统,使现代科技成为安全保障。当然,电力系统中的日常维护需要巩固不足支持与虚弱之处,然后使专业技术成为整个系统加固的保障所在。
2.3电力监控系统安全防护技术
2.3.1物理安全
电力监控系统硬件设备的机房应有防火、防水、防静电、防雷击等措施,机房应设有电子门禁,防护等级为4级的系统所在机房还应有双门禁,必要时安排专人值守。此外,对关键区域应实施电磁屏蔽。
2.3.2网络设备安全防护
网络设备安全防护措施包括关闭多余的网络服务及空闲端口,采用安全性能增强的SNMPV2及以上版本的网络管理协议,限制使用默认的网络路由,关闭网络边界的OSPF路由功能,并限制通信方式及类型。设置访问控制列表,限定受信任的网段等。使用高强度的用户口令,由字母、数字、特殊字符组合8位以上。
2.3.3入侵检测技术
通过合理设置入侵检测系统(IDS)的检测规则,可及时发现网络中的异常行为,分析潜在的威胁。IDS运行主要分为三步:提供事件记录流的信息源、通过分析引擎发现入侵迹象、基于分析引擎的结果产生反应。根据技术原理,入侵检测系统IDS可分为以下两类:基于主机的入侵检测系统(HIDS)和基于网络的入侵检测系统(NIDS)。目前,在IDS的基础上出现了入侵防御系统(IPS),能够即时阻止一些不正常或是具有伤害性的网络入侵行为。
2.3.4内网安全监视应用
内网安全监视应用可对电力监控系统的主机设备(服务器、工作站)、网络设备、数据库、安全设备(纵向设备、隔离设备、防火墙设备、入侵检测系统、防病毒系统)运行状态进行实时监测,对非法入侵、违规外联等异常行为实时告警并记录、统计分析。主要功能模块包括安全数据采集、监视与告警、运行分析、安全审计、安全管理、平台互联、人机界面功能七部分。
2.3.5其他技术措施
可信计算技术,以密码硬件为核心,可以免疫未知恶意代码的破坏。数字证书技术,可提高系统安全强度,通过身份认证和加解密保障上下级调度、主站与厂站等数据传输的机密性。
3电力监控系统安全防护下一步工作建议
对于弱口令、数据明文传输、台账拓扑与实际不符等问题用技术和管理手段是较为容易解决的,是完全可以避免的,必须提高相关维护人员安全意识和责任心,设置专职技术管理人员,真正落实相应的管理措施和技术措施。同时加强培训及完善考核制度,使其有足够的技术能力处理现场安全防护问题。
由于电力监控系统应用的特殊性,必须同时保证数据的机密性、完整性和不可否认性。对于从外部拨号访问的用户,应严格限制所访问的系统信息和资源;其次,应加强对拨号用户的身份认证,通过加密减少口令密码泄露的可能性;此外,严查同一台服务器同时布置不同网段的地址,放置不同等级应用无通过隔离进行交互。
目前电力监控防护工作,由上至下均由自动化专业负责,但其工作所跨部门专业较多,前期阶段未参与,其推动也较为困难。因此,新业务接入要遵循提前介入、规范化实施原则,在新建变电站、其它系统投产前需与工程建设单位提前联系,要求提前制定实施方案提交地调主站进行审核,审核通过后方可进行下一步工作。
在管理层面,建立监督及检查的常态化工作机制,实现“以查促建、以查促管、以查促改、以查促防”机制,对历史规划存在分区问题,针对当前或历史规划遗留问题,根据轻重缓急制定整改计划,落实国家及行业的要求。
结束语
如今,计算机技术飞速发展且受到了大力欢迎。电力监控系统的安全防护问题受到了重视,因为计算机技术存在于电力生产的很多环节。根据责任落实制度,要确保主管单位与运营单位的职责,使各级工作人员明确掌握防护工作的开展要点,从而使先进技术成为安全防护工作的保障所在。
参考文献:
[1]刘勇.电力监控系统二次安全防护的解决方案初探[J].电子制作,2016(15):71+73.
[2]陈学婧.确保电力监控系统安全无虞[N].中国电力报,2014-12-04(001).
[3]李宇峰,臧磊.浅谈电力监控系统二次安全防护的解决方案[J].水电自动化与大坝监测,2013,37(05):32-36.