国网湖北省电力有限公司十堰供电公司
摘要:近些年来,随着电力系统的进步和发展,电力系统的自动化、信息化、智能化技术得到了更为有力的技术支持。但作为不少国家重要的“网络战场”,电力监控系统的安全问题显得越发突出,如何确保电力系统能足够安全、稳定地运行成为现阶段电力企业建设发展的主要研究对象。当前各地的电力监控系统网络安全水平参差不齐,如何使各地电力监控网络安全水平达到统一,是一个亟待解决的难题。
关键词:电力监控;网络安全;防护体系
1 电力监控系统网络安全防护现状
计算机监控系统是电力系统的主要组成部分,并且对电力系统的安全可靠运行有着重要的作用,在电力企业发展的过程中,计算机监控系统会因为多种原因而出现运行不畅的问题,导致无法安装安全防护软件和不能升级相关操作系统,这便是多数发电企业电力监控系统在运行的过程中所存在的安全隐患。所以按照网络安全分区的原则来讲,电力监控系统安全区的系统和其他系统之间是没有联系的,但如果出现病毒入侵的情况,就会导致不设防的其他系统处于危险的状况。所以需要相关电力系统工作人员,不断完善其网络安全防护工作,使电力系统运行能够有相对较高的安全性和可靠性。
2 建设电力监控系统网络安全的范围与目标
电力监控系统网络安全防护工作由调控中心统一管理,设立网络安全管理专职,防范黑客及恶意代码等对电力监控系统发起攻击和侵害,特别是抵御集团式攻击,防止电力监控系统瘫痪。同时也要完成以下安全防护指标:地调安全防护专业人员配备率100%;厂站安全防护纵向加密设备覆盖率100%;内网安全监视平台覆盖率100%;控制功能调度数字证书覆盖率100%;地调管辖发电厂电力监控系统安全防护方案审核完成率100%;厂站安全防护纵向加密设备密通率不小于90%。同时,使各地电力监控网络安全水平达到一致。
3 电力监控系统网络安全防护的关键技术
3.1 风险评估技术
在安全防护技术中,风险评估是非常重要的一项技术,是对主机的风险泄露和通过网络远程监控其他主机风险漏洞的分析,风险评估系统的主要工作目标便是服务器、工作站和数据库等,利用网络安全监测装置扫描监控目标可能存在的风险隐患。并对其安全性和风险程度进行分析,确定系统网络信息是否安全,并对系统网络信息的安全性提出具体整改建议。在进行风险评估技术时,也经常会利用网络漏洞扫描方式。在信息安全防护过程中,风险评估主要是一种辅助手段,还需要利用VPN、防火墙比如氢检测的方式来完成信息安全防护工作。
3.2 物理隔离技术
“安全分区,网络专用,横向隔离,纵向认证”中的横向隔离便是主要依赖物理隔离技术,在网络边界防护中,必须采用经国家指定部门检测认证的横向安全隔离装置连接2个独立的主机系统,这样能够保证不直接连通并且传输和共享数据资源。目前的物理隔离技术主要使用的有实时开关、单向连接和网络交换器这三种隔离装置。其中实时开关可以实现在同一时间隔离内外网络,并且实现数据联通进行快速的处理数据。再连接一个网络获取数据,然后转动开关到另一个网络,将之前获取的数据传输到另一个网络,能够快速地在两个网络之间移动数据,并且实现实时处理的效果。同时在传输数据时,实时开关会终止网络连接,这便不会存在漏洞风险,与此同时还能够利用实时开关避免遭到病毒侵害。单向连接指的便是单向地从源网向目的网传输数据,这样便成为了一个“只读”网络,同时数据不能反向向源网传输,单向连接需要利用硬件实现,因为这样可以避免数据传错。而网络交换器指的便是一台计算机中有两个虚拟机,在一个虚拟机当中写入数据,然后再传输到另一个虚拟机中。在传输数据过程中速度会相对较慢,无法实现实时工作。所以网络转换器通常都具备双接口的硬件卡,双接口都连接着相互隔离的网络,但在同一时间只能激活一个网络。
3.3 SSL技术与IPSec技术
SSL协议主要利用传输层进行传输,在应用层影响下保护网络传输信息。它具有透明性、应用性和可移植性,SSL电力系统安全通道主要包括SSL服务器和SSL客户端,SSL客户端主要在浏览器上负责认证服务器端的实际深入,而SSL服务器是在WEB服务器上负责实现客户端的身份验证。SSL可以使数据进行加密传输,并对数据保密性进行更好地保护,利用MAC来保护信息的完整度,然后再通过数字证书来验证发送者与接受者的身份。
4 电力监控网络安全的建设内容
4.1 成立工作小组
成立以调控中心主任为工作小组组长的组织机构,工作小组成员包含:主站自化、运检部自动化、调度自动化、通信管理员、并网电厂负责人,负责统筹与管理,下面又有着实际操作者,与工作管理人员在网络安全监控管理本地管理工作开展中,在实际管理的过程中,不同角色之间所承担的管理责任有所不同。如管理员能够对安全监测装置进行时区管理、进程管理、用户操作管理等;操作者则需要强大的知识量来负责各个部门不同的网络安全工作。上下配合,才能做好电力监控网络安全建设。
4.2 网络安全监测装置的功能实施
在网络安全监测装置功能实施之前,需要能够实现对该装置的安装,首先需要注意安装布线,完成网络安全监测装置的设备上架及网络布线,在接线的工作完成之后,对接入的设备进行及时的软硬件的更新和升级,并且根据实际的运行,使用相关的运行数据进行适当的修改和调整。按照国家能源局[2015]36号文件及部分省电力公司调度的要求,35 kV及以上电压等级并网发电厂,要求在一、二区部署网络安全监测装置。
4.3 制订安全防护方案
根据《关于发电企业电力监控系统安全防护工作要求的通知》,加强发电企业的电力监控系统的安全防护管理。第一,项目在前期的评审期间,根据“安全分区,网络专用,横向隔离,纵向认证”的基本原则,要求发电企业分区配置接入相应的加密认证装置、物理隔离装置、防火墙等相关安全设备。第二,主厂站专门对安全设备进行联合调试,调试完成后进行现场检查验收,严格要求完全通过验证流程。第三,部署入侵检测系统。具有等保二级系统的发电厂,需要主动部署入侵检测系统,实现对数据网数据的全监视,提前发现入侵行为。并在其他方面要求发电企业制定内部安全管理制度,明确网络安全管理措施与网络安全负责人,要求发电企业制定网络安全事件应急预案,并且需要进行定期的演练。
5 电力监控系统现阶段存在的问题及处理
就目前来看,大多数电力企业的管理存在着各种问题,大体上说可以分为运营管理和人员管理这两大方面。运营管理方面,由于管理制度以及系统软件的不及时更新,使得数据安全得到不到应有的保障,黑客的入侵给电力系统的数据安全带来了很大的威胁;人员管理方面,由于缺少专业的技术管理人员,不合适的管理方式使得数据不易保存,数据的安全隐秘性也处于最低程度,再加上对网络安全防护的重视度不高,使得在最初的建设中就埋下了根本的安全隐患。首先,企业必须认识到信息安全的重要性,也要直面企业现状和有可能遇到的风险,加强组织领导,在国家相关法律的支持下,严格落实相关部门人员及经费,将网络信息安全管理融入生产安全评估考核,真正做到责任落实到位。提高安全事件应急处理能力企业需要加强安全应急预案及处理方法的编写、审核等工作,定期组织安全应急演习,以及信息安全攻击演习,以提高电力系统遇到攻击后的应急处理能力。
6 结语
保障电力监控系统安全是共同的责任,所以需要通过管理和技术体系建设来完成相关指标要求,全面提升地区电力监控系统网络安全防护能力,使系统防护水平及人员的技能、安全防护意识得到很大的提升,从而为后续安防工作打下基础,从而共筑电力监控系统网络安全防线。
参考文献
[1] 钟丽波,周洋,马煜,等.基于泛在电力物联网的电力监控系统安全防护研究[J].东北电力技术,2019,40(11):28-30.
[2] 王剑.电力监控系统在供配运行过程中的应用[J].炼油与化工,2018(6).