摘要:网络安全问题越来越引起社会各界的关注,如何提高网络安全性能,完善网络安全防护,保证电厂二次业务的安全性、连续性及可靠性,成为今后网络安全从业者面临的重要问题。本文对电厂二次网络安全隔离与管理进行分析,以供参考。
关键词:二次网络;安全隔离;管理
引言
近些年来,随着电厂系统的进步和发展,电力系统的自动化、信息化、智能化技术得到了更为有力的技术支持。但作为不少国家重要的“网络战场”,电厂二次的安全问题显得越发突出,如何确保电力系统能足够安全、稳定地运行成为现阶段电力企业建设发展的主要研究对象。
1电厂二次网络信息安全防护的用意
电力二次网络系统信息安全是为防止一些不法分子和黑客的入侵而设置,保障电力系统的安全稳定性,使得整个城市的能够正常供电,为国家带来更多的经济收益。电厂二次网络信息安全防护主要是对电力一次系统的设备进行实施监控和矫正,从而防止电力系统受到更为严重的影响,避免出现网络瘫痪的现象。电厂二次网络信息最大的优点就是保障电力安全稳定的运作,防止恶意的攻击,保障网络正常传输。因此电厂二次网络信息对电力系统发挥着十分重要的作用。
2电厂二次网络信息安全防护的缺陷
系统安装、调节与修理水平不高。在电力二次防护系统中,由于二次防护系统属于新式系统,这就需要相关操作人员提高专业技术水平,保障系统安装、调节与修理整体水平不高。除此之外,新式的二次防护系统相关操作人员缺乏详细的了解,从而在使得电力系统在运作过程中出现许多工作漏洞,严重影响电力系统的正常运行。
3电厂二次网络信息安全防护设计实现与建议
3.1管理方式
电厂二次网络信息安全管理中存在诸多不足,相关工作人员应根据电力系统的实际情况,加强电厂二次网络信息安全管理工作的监督和管理力度,从而保障电力系统正常运作,使得电力系统能够正常供电。具体而言为:一是相关工作人员应对电厂二次网络信息安全管理提高重视度,可以安装一些性能较好的杀毒软件,并且提高防火墙的安全系数,从而避险出现不法分子和黑客入侵的现象。二是遵循电力系统设备使用专机原则,实现相关设备专机专用的目的。主要是为防止出现不同性能电脑设备对电力系统的控制现象的出现,从而实现单独区分的目的,防止出现病毒相互感染的发生。三是可以在继电保护设备正式运行之前,对内部系统进行杀毒,从而有效防止病毒入侵到继电保护设备中现象的发生,从而保障电脑杀毒的效率。
3.2优化电厂二次网络基础设施的安全管理
优化电厂二次基础设施的安全管理和数据备份流程,根据不同系统基础设施的分布,形成与之对应的应急预案。为保证电厂二次网络安全,应该从网络层面的安全管理和基础设施安全管理两个方面入手。根据当前系统稳定运行状况,确定基础设施的不同安全等级,制定相应的安全控制手段。依托先进的网络信息技术,对基础设施进行全方位的监控,一旦出现故障,可以及时发现并且进行故障诊断,及时找出故障发生位置和出现原因,根据应急预案的内容进行优先处理。对基础设施的安全管理,集中于设施的优化和防护设备的更新,通过平时的工作确保系统信息安全。按照“谁主管谁负责,谁运营谁负责”的原则,做好电厂二次的安全管理,各个系统的数据备份应遵照系统使用原则和重要性顺序进行,进行备份工作时要保证业务的连续性。
3.3提高网络安全运行监视水平
以业务为中心,以数据为核心,对系统进行全方位的可用性及安全运行水平监测,对全网的安全态势进行全面感知,完善电厂二次安全设备日志分析平台,提升日志信息展示的易读性,提高网络安全监视效率。加快推进网络安全态势感知平台建设实施,实现电厂二次全覆盖,提升态势感知系统覆盖范围和实用化水平。推进安全防御技术应用,积极部署态势感知设备(实时监测及应急处置),利用态势感知设备对电厂二次的网络及设备情况开展相关安全数据采集和监视,所需数据内容主要包括各类网络节点设备的配置信息、关键网络节点的流量信息及相关设备的日志信息等。通过边界设备日志分析、资产变化监视、流量分析等技术措施感知网络安全态势,及时开展应急处置工作。
4电厂二次网络安全隔离
(1)对于电力系统,要划分为三层,即实时监控系统层、电力调度生产管理系统层、电力信息系统层。每个系统层的安全等级,进行安全工作区的划分,细化为安全Ⅰ区、安全Ⅱ区、安全Ⅲ区、安全Ⅵ区。(2)采取的安全策略如下:(1)分区安全防护措施。结合系统内业务所具有的重要性,以及其对一次系统的影响。对电力系统网络进行划分,使其形成4个不同等级的安全工作区。安全Ⅰ区的安全保护,重点围绕实时监控系统开展。安全Ⅱ区的安全保护,重点围绕电力交易系统开展。(2)网络专用。安全防护中,SPDnet以及SPDret,借助正向以及反向专业安全隔离装置,实施物理隔离。运行中,SPDnet通过提供两个相互逻辑隔离的MPLS-VPN,实现和安全Ⅱ区以及安全Ⅰ区的通信。(3)横向隔离。采取的安全隔离方案中,安全Ⅰ区和安全Ⅱ区之间采取逻辑隔离方案,通过设置防护墙作为隔离设备,起到防护隔离的作用,安全Ⅰ区和安全Ⅱ区,同安全Ⅲ区、安全Ⅵ区,采取近似物理隔离的方法,采取的物理隔离方法,主要为使用正向和反向专用安全隔离装置[1]。(4)纵向认证和防护。对于安全Ⅰ区和安全Ⅱ区的纵向边界部署,设置具具备认证功能和加密功能的安全网关,也就是IP认证加密装置;对于安全Ⅲ区、安全Ⅵ区,选择纵向边界位置,设置硬件防火墙。(5)对于安全Ⅵ区,采取防火墙布置方案,实现和Internet连接。
5电厂二次网络安全运行管理策略
若想切实保障电厂二次网络安全运行,除了采取分区隔离的方式外,还需要做好运行管理。具体措施如下:①分级授权管理。采取此管理模式和方法,规范操作人员的行为,减少人为因素的影响,保障系统安全运行。实际运行中,对安全分区的密码,配置专业人员负责管理,不可以授权给他人,构建安全保护体系。除此之外,严格保密系统逻辑值以及相关参数,切实保障网络安全运行。②容灾备份管理。运用人、数据库的模式,实施容灾备份管理,实现安全信息的及时备份管理。如果遇到系统停止运行的情况,利用备份数据,能够保证系统安全运行。③移动存储管理。借助U盘和光盘以及移动硬盘等,实现移动存储管理。日常管理中,对此类存储盘,要做好杀毒处理,确保系统运行的安全性。对参与电厂二次网络安全运行管理的人员,要做好业务培训,提高人员的业务能力水平,使其能够高效完成各项管理工作,确保网络处于安全运行状态。
结束语
目前,电厂二次网络安全防护要求已上升至国家安全战略层面,做好电厂二次网络安全防护有助于整个电力系统安全、稳定地运行。需要不断加大安全防护的力度,完善电厂二次网络的管理制度,增强网络信息安全从业人员的责任感和安全意识,从而更好地为电厂二次网络的安全性、可靠性作出应有的贡献。
参考文献
[1]李诚,史旭东.仪表无线网络在镇江电厂水平衡及废水零排放工程中的应用[J].电世界,2019,60(08):41-46.
[2]黄国建.电厂二次网络安全隔离与管理研究[J].科技创新导报,2019,16(16):158-159.
[3]赖欢欢,黄佳佳,叶茜茜,刘津源.基于无线网络的新能源电厂安全接入平台研究[J].电气技术,2019,20(03):111-114+121.
[4]任志玲,孙雪飞.电厂废水中和过程的CPSO-RBF神经网络预测控制[J].计算机应用与软件,2018,35(10):74-79.