摘要:随着国民经济水平的不断提高,我国的科技水平和电子网信息网络技术也得到快速发展。新时代计算机电子技术和互联网技术的结合辅助,使其他行业得到发展和进步。在电力、水利工程管理中,信息网络信息技术的普及使的运行得到改变。同时,由于网络信息技术的发展,运用网络技术与中监控系统的结合,既给电力监控系统的监护带来了便利,也隐藏了一定的安全危机。
关键词:电力监控系统;网络安全;防护体系
引言
电力监控系统中的安全威胁主要来自计算机网络内部威胁、计算机病毒、黑客攻击以及拒绝服务攻击等,导致文件被删除、篡改、程序运行错误或者死机,严重的将导致机密文件泄露。国内外受网络攻击影响频繁发生的大停电事故不仅造成了巨大的经济损失,影响了电力系统的正常运行,也严重影响社会稳定。我国电力监控系统的安全防护遵循国家信息安全等级保护制度,坚持“安全分区、网络专用、横向隔离、纵向认证”的方针,安全区之间横向隔离,安全区内部采用防火墙和服务器等措施进行安全加固。
1电力监控系统网络安全防护要求
电力监控系统主要包括生产管理类信息、生产控制类信息和通信网络系统三个方面。根据国家相关法律法规及南方电网公司要求,电力监控系统网络安全防护需要满足国家发改委颁布的《电力监控系统安全防护规定》(国家发改委2014年第14号令)、国家能源局颁布的《电力监控系统安全防护总体方案等安全防护方案和评估规范》(国能安全[2015]36号)以及《信息安全技术网络安全等级保护基本要求》(GB/T22239-2019)所提出的要求。同时南方电网公司结合自身实际情况,根据上述规定和总体方案,分别制定了《中国南方电网电力监控系统安全防护管理办法》、《中国南方电网电力监控系统安全防护技术规范》。
2电力监控系统网络安全防护面临问题
现阶段,电力监控系统安全防护问题还比较多,工作人员缺乏安全意识,在系统运行的过程中不重视密码的保护,常常将口令或者密码告知不相关的人员,这样就降低了整个系统的安全防护成效。在管理上有缺失,非工作人员可以随意进出机房,并且使用计算机,容易发生信息泄露,给电力企业带来经济损失。电力监控系统安全防护还涉及到了技术方面问题,电力企业网络安全防护意识淡薄,安全防护缺乏技术层面的支持,系统在运行的时候安全等级比较低,无法满足安全监控的需求,分区安全防护得不到落实,在实际操作的时候经常会出现跨区域互联的状况。
3电力监控系统网络安全防护体系相关技术
3.1物理隔离技术
“安全分区,网络专用,横向隔离,纵向认证”中的横向隔离便是主要依赖物理隔离技术,在网络边界防护中,必须采用经国家指定部门检测认证的横向安全隔离装置连接2个独立的主机系统,这样能够保证不直接连通并且传输和共享数据资源。目前的物理隔离技术主要使用的有实时开关、单向连接和网络交换器这三种隔离装置。其中实时开关可以实现在同一时间隔离内外网络,并且实现数据联通进行快速的处理数据。再连接一个网络获取数据,然后转动开关到另一个网络,将之前获取的数据传输到另一个网络,能够快速地在两个网络之间移动数据,并且实现实时处理的效果。同时在传输数据时,实时开关会终止网络连接,这便不会存在漏洞风险,与此同时还能够利用实时开关避免遭到病毒侵害。单向连接指的便是单向地从源网向目的网传输数据,这样便成为了一个“只读”网络,同时数据不能反向向源网传输,单向连接需要利用硬件实现,因为这样可以避免数据传错。而网络交换器指的便是一台计算机中有两个虚拟机,在一个虚拟机当中写入数据,然后再传输到另一个虚拟机中。在传输数据过程中速度会相对较慢,无法实现实时工作。所以网络转换器通常都具备双接口的硬件卡,双接口都连接着相互隔离的网络,但在同一时间只能激活一个网络。
3.2SSL技术与IPSec技术
SSL协议主要利用传输层进行传输,在应用层影响下保护网络传输信息。
它具有透明性、应用性和可移植性,SSL电力系统安全通道主要包括SSL服务器和SSL客户端,SSL客户端主要在浏览器上负责认证服务器端的实际深入,而SSL服务器是在WEB服务器上负责实现客户端的身份验证。SSL可以使数据进行加密传输,并对数据保密性进行更好地保护,利用MAC来保护信息的完整度,然后再通过数字证书来验证发送者与接受者的身份。IPSec是利用AH协议与ESP协议实现安全性,IPSec可以提供各种安全服务,利用身份认证制实施访问控制,在通信前通过IKE协商SA,然后利用公钥签名机制进行身份验证,IP-Sec可以在数据包发放前利用信息鉴别机制实施数据源认证,然后应用信息鉴别法计算MAC,采用HMAC输入部分信息与密钥,输出MAC,在接收到IP数据包后在用相同的方式计算数据,在获取的数据完全相同后,便表示数据通过验证。
3.3风险评估技术
在安全防护技术中,风险评估是非常重要的一项技术,是对主机的风险泄露和通过网络远程监控其他主机风险漏洞的分析,风险评估系统的主要工作目标便是服务器、工作站和数据库等,利用网络安全监测装置扫描监控目标可能存在的风险隐患。并对其安全性和风险程度进行分析,确定系统网络信息是否安全,并对系统网络信息的安全性提出具体整改建议。在进行风险评估技术时,也经常会利用网络漏洞扫描方式。在信息安全防护过程中,风险评估主要是一种辅助手段,还需要利用VPN、防火墙比如氢检测的方式来完成信息安全防护工作。
4构建纵深防御的技术体系
信息保障技术框架(IATF)的思想,是实行多层防御、多点防御的纵深防御策略。电力监控系统网络安全防护体系的建设,也采用纵深防御的策略,根据等级保护的要求,主要从物理安全、计算环境安全、区域边界安全、主动防御四个方面着手,提高电力监控系统的网络安全防护能力。
4.1物理安全
电力监控系统机房应采用有效防水、防潮、防火、防静电、防雷击、防盗窃、防破坏措施,应配置电子门锁加强物理访问控制,有条件还可增设专人值守,防止社工攻击。
4.2计算环境安全
电力监控系统的主机应进行安全加固,采用自主可控操作系统,实行双因子身份认证,配置访问控制策略,启动安全审计功能,安装杀毒软件,定期进行漏洞扫描,及时安装安全补丁,关闭高危端口以及高危服务,加强U盘等移动介质使用管控。
4.3区域边界安全
严格遵循“安全分区,网络专用,横向隔离,纵向认证”的基本原则,严禁跨区互联。应在区域边界部署横向隔离装置、防火墙等防护设备,配置访问控制策略,在网络关键位置,部署IDS、IPS等网络设备,对数据流量进行监控,防范入侵。
4.4主动防御
建立电力监控系统网络安全态势感知系统,对公司各电力监控系统全方位、全天候的网络安全态势感知,及时发现各类网络安全风险以及非法访问事件,实现电力监控系统网络安全的态势感知及预警。
结语
随着电力监控系统网络规模不断扩大和渐趋复杂,复杂的网络环境暗藏着巨大的挑战与机遇,网络攻击手段也越来复杂多样,网络威胁溯源尤为重要。未来网络安全威胁溯源工作应该是技术与管理相结合,在多个层面解决问题的系统工程,网络威胁溯源技术仍有待长期的探索研究。
参考文献
[1]钟丽波,周洋,马煜,等.基于泛在电力物联网的电力监控系统安全防护研究[J].东北电力技术,2019,40(11):28-30.
[2]王剑.电力监控系统在供配运行过程中的应用[J].炼油与化工,2018(6).