电力监控系统安全防护策略研究

(整期优先)网络出版时间:2021-07-08
/ 2

电力监控系统安全防护策略研究

贾晓光

内蒙古东部电力有限公司赤峰供电公司 内蒙古 024000

摘要:随着电力系统的发展和计算机通信技术的革新,火电企业自动化、数字化和智能化程度越来越高,火力发电企业电力监控系统网络之间的信息交互也越来越复杂,在日益严峻的工控安全形势下,必须有一个完善的电力监控系统安全防护策略,来保障机组的安全稳定运行。主要采取火电企业电力监控的安全分区和边界防护的方法以提升提升了网路监控系统运行的稳定性。本文通过生产控制大区安全防护建设,详细探讨了电力监控系统网络安全技术的应用策略,从而实现了电力监控系统的安全运行。

关键词:电力监控;网络安全;策略研究

引言

我国是世界上最早重视电网监控网络安全,并且大规模开展防护部署的国家之一。在本世纪初国内电力系统发生了若干影响较大的网络安全事件,也直接推动了国内电网二次安防体系的建设。经过了近二十年的发展,国内电力监控网络安全防护的体系从建立到逐步完善,经历了从单一维度的结构性防护到综合性防护体系,从被动式查杀到主动性防御等多个发展阶段,并伴随着国家能源互联网的发展新战略,目前又开始面临网络安全的新课题。

1生产控制大区安全防护建设

生产控制大区划分为控制区和非控制区,控制区是电力生产的重要环节,在线运行且具备控制功能,直接实现对生产的实时监控,是安全防护的重点和核心;使用电力调度数据网的实时子网或专用通道进行数据传输的业务系统也属于控制区。非控制区是电力生产的必要环节,在线运行但不具备控制功能,与控制区的业务系统或其功能模块联系紧密;电力调度数据网的非实时子网进行数据传输的业务系统按电网要求划分为独立的非控制区。管理信息大区在不影响生产控制大区安全的前提下,可以根据各单位具体情况不同划分安全区,包括企业办公内网、广域网、互联网及在上述网络内运行使用的信息系统。生产控制大区的控制区与非控制区之间应采用电力专用正向隔离装,仅允许纯数据的单向安全传输。生产控制大区与管理信息大区之间必须部署经国家指定部门检测认证的电力专用横向单向安全隔离装置,隔离强度应达到或接近物理隔离;生产控制大区内的业务系统之间应采取VLAN和访问控制等安全措施,限制系统间的直接互通,通过划分VLAN的方式实现逻辑访问控制功能或部署工业防火墙方式实现逻辑访问控制功能。生产控制大区内业务系统向环保、安全等政府部门进行数据传输时,应遵守当地环保、安全部门防护规定。

2电力监控系统网络安全技术的应用策略

2.1应用数据传输加密技术,加强电力系统网络安全性

就当今现状而言,想要保证电力系统中的各种信息数据或相关资料不被泄露,将数据加密是非常有效的方式。数据传输加密就是指应用加密钥匙以及加密算法等加密技艺对电力系统信息进行保护,把重要的信息变成不重要或者看不懂的符号,进而起到保护电力监控系统安全的作用。加密包含三个要素,包括明文、密文以及密钥。实际上,应用数据加密技术意味着需要在电力监控系统运行过程中,传输信息的一方必须要应用密钥发送密文,然后提取信息的工作人员再通过相关技术解开密文。密钥也分为专用密钥和公开密钥。相关的技术要求都不一样,但是都要应用到电力监控系统的网络安全防护工作当中。具体来讲,国内电力监控生产体系中,一定要选用纵向加密认证装置。调整数据网络体系加强网络安全系数,应用独特的密文,在不影响用户网络设置的基础上提升数据的安全性、可靠性和完整性就是纵向加密认证装置。一般来讲,数据网安全区都应该选择纵向加密方案,利用相关装置把明文变成密文,给数据传输工作提供安全保障。纵向加密技术包含很多技术,其中国内外常用的就是RSA算法。而目前来讲,国内的电力监控系统一定要选择国内的国密算法。在电力监控系统的各个环节都进行加密工作,确保信息不被不法分子窃取,即使被窃取也不知道是什么内容。具体应用纵向加密技术是,首先要把设备恢复到初始化状态,在进行初始化设置期间把密钥设置进去。基本的工作步骤如图1所示:不管是哪一个层级的资源调度都要采用纵向机密技术,才能够尽可能避免在电力监控系统运行的过程中出现信息泄露问题。

60e668471dcbb_html_7035db5f3b666b73.png

2.2建立防火墙,加强网络身份认证的力度

防火墙及时把网络信息保护起来,不仅能够防范潜在的危险,防止内部信息泄露、病毒入侵,还可以进行检查和检测工作,遏制那些侵害网络安全的违法行为。防火墙一共有三种,每种防护墙都有自身的优缺点,建立防火墙时要具体问题具体分析。想要提升电力监控系统网络安全性,就必须要按照实际情况打造一个防火墙,保护重要的逻辑数据。另外,很多人在网络上任意妄为,无非是基于网络中无法查到实际信息,那么要想防止更多人进行违法犯罪行为,就必须加强网络实名认证的工作力度。确保每一个用户都是真实身份,并且要保障大家的身份信息不被泄露。

2.3探索研究安全可控的技术路线

安全可控,主要是指自主可控,没有自主可控,就没有网络安全,当前外部封杀中国科技发展意图明显,电网电厂等能源工业领域的网络安全形势严峻,加强网络安全防护的自主可控能力刻不容缓。自主可控正是国家电网公司建设安全防护主动性能力的基础要义。国调中心建立工作组,开展了大量的研究评估工作,在电网调度、变电站等电力生产关键环节推动保护监控和网络安全等核心技术的自主可控研究和产品替代。在关键技术领域包括CPU处理器、存储芯片、网络控制、FPGA等关键基础芯片,在操作系统、数据库等基础软件组件等方面,集中力量技术攻关,并进行科学规划,建立基础技术研究、产业开发、工程应用的迭代生态,确保电力产业链、供应链的自主安全可靠,构建安全可控的电网生产控制信息技术体系。

2.4强化工控系统安全防护的主观能动性

在电力系统信息通信网络的安全防护中,工作者可以考虑将人工智能技术以及大数据技术,应用到工控系统的建设中,以增强信息通信网络安全防护的主观能动性,减少恶意攻击等网络安全问题对电力系统带来的破坏。在此过程中,工作者可以利用人工智能技术,赋予工控系统学习能力,使其能够通过系统的运行数据,判断是否存在安全威胁,并根据大数据分析结果,进行安全威胁追溯,确保在恶意攻击等网络安全问题造成损失之前,完成预警和防护操作,保障电力系统通信的安全性。此外,工作者还可以直接利用人工智能技术,为工控系统搭设一个态势感知平台,并以数据为驱动,持续监测信息通信网络流量、工控系统威胁情报数据、网络安全行为、持续性高度威胁因素,然后在此基础上,开展自动化的审计、感知、预警、运维,全面掌控、洞悉工控系统安全状态,保障电力系统信息通信的可靠性。

结束语

针对火电企业电力监控系统,通过规范的网络分区、严格的边界防护和有效的审计分析,通过硬件设备和软件平台相结合,实现了设备自身感知、监测装置就地采集、平台统一管控,能够全面监控电力监控系统内计算机、网络设备、安防设施等设备上的安全行为,达到实时管控,纵深防御,有效阻断外部侵入,提升了网路监控系统运行的稳定性。

参考文献:

[1]杨浩,陈宝靖,李燕.电力监控系统网络安全防护技术应用研究[J].电子世界,2021(01):128-129.

[2]汤震宇.国内电力监控网络安全的演进发展和新挑战[J].自动化博览,2021,38(01):18-21.

[3]汪义舟.风电场电力监控系统网络安全防护方案[J].自动化博览,2021,38(01):38-41.

[4]欧阳宇宏,康文倩,车向北.电力监控系统信息通信网络安全及防护问题研究[J].信息系统工程,2020(12):60-61.

[5]李伟.电力监控系统网络安全管理平台设计[J].电子世界,2020(22):176-177.