国网山西省电力公司阳泉供电公司 山西省阳泉市 045000
摘要:电力监控系统运用计算机技术,在运行的过程中面临着潜在的网络安全风险,所以重视整个系统的网络安全防护,全方位分析可能对电力监控系统运行造成威胁的因素,然后制定可行性强的网络安全防护措施,防止病毒的入侵和恶意攻击,为电力生产创造一个安全的网络监控环境,电力监控系统的经济价值就能突显出来。
关键词:电力监控系统;网络安全;防护
1电力监控过程中网络防护具体要求
目前,电力监控系统的作用还没有完全发挥出来,主要是系统运行过程中还有很多缺陷,网络安全威胁比较多,电力监控系统实效性低。电力监控系统网络安全防护涉及到很多问题,只有对各类信息进行有效的管理,并且制定有效的安全防护举措,才能最大程度降低网络安全隐患。网络安全是信息化时代不可避免的一个问题,也是电力行业需要面对的挑战,网络安全法颁布和实施,使得网络安全上升到更高层次,是电力监控系统网络安全防护的有效支撑。电力监控系统安全防护要遵循一定的原则和要求,在实际防护的过程中要树立分区安全管理和防护意识,同时还要设立网络专用通道,通过横向消除安全隐患和纵向认证的方法,减少电力网络和外部网络的联系,在这两个网络系统中设置屏障,实现真正意义上的隔离,并且还要升级安全防护系统,及时更新各种软件,做好电力监控系统网络安全预警工作,加强对电力网络安全管理,预防和治理相结合的办法,就能将网络安全威胁消灭在萌芽状态,最大程度减少网络安全风险。具体来说,电力监控系统防护要从三个方面着手,除了要做好主机安全防护,还要加强网络管理,提高信息传输的安全性和真实性,同时还要将内部网络和外部网络隔离开来,也就是说要从系统边界进行防护。
2电力监控系统网络安全防护基本方针
电力监控系统网络安全防护整体方案设计上要遵循“安全分区,网络专用,横向隔离,纵向认证”的十六字方针。
2.1 安全分区
根据运行业务安全等级要求不同,将电力监控系统划分为生产控制大区和管理信息大区,其中生产控制大区又分为控制区(安全 I区)和非控制区(安全 II 区),管理信息大区又分为安全Ⅲ区和安全Ⅳ区。安全等级低的业务系统可以放在高安全区内,安全等级高的业务系统不允许放在低安全区内。除此之外,还设置安全接入区,使用公网通信、无线通信的业务通过安全接入区接入电力监控系统。
2.2 网络专用
生产控制大区业务使用调度数据网承载,管理信息大区业务使用综合数据网承载,调度数据网和综合数据网使用独立的设备组网,在物理上实现网络安全隔离。使用 MPLS-VPN 技术,划分实时 VPN 和非实时 VPN,实现安全 I 区和安全 II 区的逻辑隔离。
2.3 横向隔离
生产控制大区与管理信息大区使用电力专用的横向隔离装置实现物理隔离,生产控制大区和管理信息大区内部使用防火墙等具有访问控制功能的网络设备进行逻辑隔离,安全接入区使用电力专用横向隔离装置与生产控制大区和管理信息大区实现物理隔离。
2.4 纵向认证
各级生产控制大区使用纵向加密认证装置与调度数据网连接,为上下级调度机构或主站与子站的控制系统之间的调度数据网通信提供双向身份认证、数据加密和访问控制服务。
3存在问题
电力行业网络安全防护工作基本遵守“安全分区、网络专用、横向隔离、纵向认证”原则,但仍存在安全区隔离不彻底、防护策略配置不到位、新能源厂站网络安全防护措施不足等问题,威胁电力系统安全运行,具体有如下 5 类。
(1)电力监控系统生产控制大区和管理信息大区未完全横向隔离、电力监控系统管理信息大区与互联网间存在网络直连、不同安全区之间无安全防护措施等问题。
(2)安全防护设备策略配置不正确,主机加固不到位。部分厂站未部署防火墙等安全设备或防火墙配置全明通策略,生产控制大区未做好主机、网络及安全加固工作,存在病毒感染,易于被网络攻击等风险。
(3)新能源场站网络安全问题较突出。近年来,新能源场站发展迅速,网络安全防护水平参差不齐,部分场站存在违规开展远程监控或运维;外部设备接入管控、操作系统安全加固、人员及账号管理、安全事件监测感知等技术措施和管理要求落实不到位;发电单元就地测控终端与站控系统的通信缺乏安全防护措施。
(4)部分企业未按要求及时开展等级保护测评和安全评估工作,相关制度不健全,未定期开展网络安全事件应急演练。
(5)网络安全监测装置暂未全覆盖,掌握网络安全状况的手段落后,主要依靠检查整改,网络安全运行缺乏闭环管理的技术支撑手段。
4 建议
网络安全是整体、动态且开放的,面对国内外复杂严峻的网络安全形势,电力行业应不断落实网络安全责任主体,加强网络安全运行管理工作,提升网络安全整体防御能力,确保电力监控系统网络安全。
4.1 落实网络安全责任主体
各有关电力企业要强化习近平总书记网络强国战略思想,牢固树立正确的网络安全观,落实电力监控系统网络安全防护的主体责任和工作职责,明确各单位党政一把手是本单位电力监控系统网络安全的第一责任人。各单位要建立从上至下的有效三人体系,即领导者、安全管理者及一线的网络安全防御团队。各单位应制定安全责任岗位清单,确保网络安全人员到岗到位,切实将网络安全防护纳入电力安全生产管理,推动网络安全防护工作有序开展。
4.2加强网络安全运行管理工作
网络安全防御体系最后一关往往是现场运行管理,按照“谁主管谁负责、谁运行谁负责”的原则,电力行业应将电力监控系统网络安全运行管理纳入日常安全生产管理体系,建立健全电力监控系统安全管理制度,强化日常运行管理工作,加强对网络安全风险的监测,落实等级保护测评及安全评估要求,采取专项检查、技术监督、渗透测试及攻防演练等方式,及时发现电力监控系统薄弱环节,落实闭环整改,提升电力监控系统网络安全防护水平。
4.3提升网络安全整体防御能力
各有关电力企业应进一步加强网络安全监测和应急管理,强化网络安全事件的发现、处置和事后完善工作,确保网络安全事件得到及时有效控制。应加强新技术研究和应用,实现网络空间安全的实时监控和有效管理。
4.4增强工作人员安全意识
电力监控安全防护要增强工作人员安全意识,加强系统安全防护管理,根据工作的实际需要,制定有效的网络安全防护制度,明确安全防护责任,提高工作人员的安全意识和责任感。非工作人员不能进入机房,违规者要处罚,并且要连带责任,密码和口令不能告诉非机房工作人员,做好交接班工作。加强对工作人员网络安全教育,提高网络风险识别能力,这样就能让工作人员及时的发现系统异常状况,采取有效的措施应对。
结束语
电力监控系统安全防护是复杂的系统工程,其总体安全防护水平取决于系统中最薄弱点的安全水平。电力监控系统安全防护过程是长期的动态过程,合规是基础,策略很关键,落地良运行,保障成体系。随着电力泛在物联网建设、5G 技术发展与应用,只有通过技术上提升电力监控系统安全防护水平,管理上持续重视电力监控系统网络安全防护管理,技术与管理齐抓共管,方可维护好网络强国的战略目标。
参考文献:
[1]李战宝,潘 卓 . 透视“震网”病毒 [J]. 信息网络安全,2011,(9):230-232.
[2]李宇峰 . 浅谈电力监控系统二次安全防护的解决方案 [J]. 水电厂自动化,2013,(3):15-18.
[3]乔丽鹏 . 有效提高电力监控系统中二次安防的防护策略 [J]. 电工文摘,2016,(4):13-15.
[4]赵银春 . 配电网安全防护系统[D]. 成都:电子科技大学,2013.
[5]陈红军 . 电力检修二次安防综合措施的实践探讨 [J]. 通讯世界,2016,(9):175-176.