摘要:当前,随着社会生产力水平的不断提高,基于电力的各种基础设施的重要性正逐渐受到重视。电力调度数据网络是公司运营的核心,并负责电厂和网局之间的通信。在这种情况下,传输过程中数据服务的安全性已成为相关人员关注的关键问题。安全调度数据网络安全保护措施可以有效防止数据被恶意破坏,是优化电力系统调度人员工作的关键部分。
关键词:电力通信网;电力调度数据网;安全传输
1电力调度网络面临的风险分析
电力调度数据网络是承载实时电力调度控制服务和在线生产服务的专用网络。国家电监会发出的《电力二次系统安全防护规定》明确要求:“电力调度数据网络必须在专用通道上使用独立的网络设备,以实现其他电力公司和电力网络的数据网络的物理隔离。该网络分为逻辑隔离的实时子网和非实时子网,分别连接到控制区域和非控制区域。因此,网络安全是保证电网安全稳定运行的关键。
数据传输网络的安全风险可能存在于网络本身中,也可能是由于使用和管理不当造成的;网络威胁可能来自电源系统的内部和外部。内部攻击通常来自不正确的设置,员工和管理员,而外部攻击主要来自恶意组织和个人。从技术细节上讲,当前常见的安全性问题主要是:
1)意识风险。安全的网络离不开人的管理,因此人的意识和管理是整个网络安全中最重要的一环,尤其是对于庞大和复杂的调度数据网更是如此。现实运行中发现一些部门的人员安全意识不够强,安全措施不到位,比如在选择口令时图简单省事,或将自己的帐号随意转借他人或与他人共享信息资源等,这些行为都具有极大的安全隐患。
2)非授权访问。没有预先经过同意就使用网络或计算机资源被看作非授权访问,例如有意避开系统访问控制机制对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息。主要形式有假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作以及事后否认等。
3)信息泄露或数据破坏。此类问题是指业务数据在有意或无意中被泄漏出去或丢失,通常包括:信息在传输中丢失或泄漏,存储介质丢失或泄漏;或者以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息;应用系统设计时设立后门或隐蔽通道等。
4)误操作及配置错误。主要表现在对网络结构和配置参数未作详细研究,对网络设备的功能未作深入了解,以及日常使用和监控中对设备随意操作,这些都会带来安全威胁。同时电力调度数据网是一个技术复杂先进的网络,系统设计功能的实现是一个动态的完善过程,比较容易出现配置错误,某些错误可能短时间内不易看出,需要等到某种触发条件才会表露出来。
5)网络和系统软件的漏洞和多余服务。由于电力调度网涉及的网络设备技术复杂,不可避免地存在许多缺陷和漏洞,这些缺陷和漏洞恰恰是网络攻击的目标。此外某些设备存在一些用处不大而又证明很容易被人利用的薄弱服务,一些应用系统在设计时也可能存在有意无意的一些漏洞和后门。一旦攻击者利用这些漏洞或缺陷侵入网络并进而进入主机系统,将会对电力系统的整体生产和调度安全产生极大的破坏。
6)网络病毒和木马。有网络的地方就有病毒和木马,调度数据网也很难避免。病毒和木马会严重影响网络速度和数据安全,并且可能导致网络瘫痪。
2基于电力通信网的电力调度数据网设计的基本原则
作为电力调度的安全保证,电力调度数据网络在设计过程中具有以下四个原则:安全区域的划分,专用网络的实现,水平隔离和垂直认证。在满足上述原则之后,已经基本建立了用于电力调度数据网络的安全保护系统,以最大程度地减少数据服务的突然中断。同时,上述原理还可以确保电力调度数据网络的外部保护水平,防止数据网络受到恶意攻击导致系统瘫痪,并且在数据传输过程中遭受病毒攻击导致数据泄漏。电力系统相关负责人员必须注意电力调度数据网的安全保护。电力调度数据网络一旦瘫痪,将严重影响电力系统各方面的正常运行。
3电力调度数据网安全防护的具体设计
3.1安全区域的划分
按照电力调度数据网安全设计基本原则,相关工作人员在具体措施上要对电力调度数据网的安全区域进行细致划分,将其分为生产大区和管理信息大区两个方面。两个大区的具体防护要求不尽相同,相关工作人员要根据实际情况建立防护标准,最终实现安全防护。
在承担具体职责方面,管理信息大区需要依照非实时子网进行系统化运转,主要业务为电力资源调度,同时负责雷暴天气的检测、电力统计报表的生成和制作以及自动化服务系统和客户服务系统的运转等。生产大区的主要职责为调度自动化系统的维持,承担变电站自动化和安全自发动控制等。与非实时子网相比,实时子网的安全防护等级更高,在安全区域细致化划分的情况下,电力调度数据网的安全情况才能达到最佳状态。
3.2专网专用的建设
从互联网地址构架方面看,专用网络遵守的互联网规范为RFC1918和RFC4193,依照IP协议中应用的私有IP地址的网络。这些私有网络无法直接与互联网相连,往往需要使用特定的公网进行转发后才能够使用。因此,需要一个专门的光纤通道进行网络搭载,进而完成高效的数据传输。通过专网专用的方式能够最大限度地提升电力调度数据网的安全防护等级,这种与互联网间接相连的方式避免了网络被肆意破坏和攻击,从根源上提升了数据传输的效率。这种专网专用的方式虽然成本较高,但是对于电力调度数据安全性的保障非常明显,同时目的也非常明确。针对专网专用的设计,必须严格遵守电力系统相应的防护措施和国家的相应防护标准,在设计工作开始前向相关通信部门进行报备处理,最终实现电力调度数据网的自动化管理。
3.3横向隔离的设计
横向隔离是在电力调度网专网专用基础上开展的进一步防护。通过横向隔离可以全面提升生产网络的安全习惯,将一些恶意破坏信息隔离在专网之外,从而实现网络信息的交流安全。从具体层面来看,横向隔离的方式主要有防火墙隔离、路由器隔离以及DCS系统隔离等。这些隔离方式能够全面过滤互联网中的一些恶意信息,从而全面提升数据网络的安全性,实现生产效率的全面提升。从一定角度来看,横向隔离技术可以说是电力调度数据网的保护罩。只要这层保护罩存在,就能够切实保障电力调度数据网的安全性。
3.4纵向认证的设计
纵向认证的设计是为了全面提升电力调度数据网的安全防护等级,重点实现信息的防盗。在设置电力调度数据网的过程中,相关工作人员需要在主路由器和交换机中架设一定数量的纵向加密网关,加密处理数据传输过程中的每一个节点,从而全面提升电力调度数据网的安全防护等级。在保护机制的全面作用下,交换机如果出现收发报文不一致的状况,通信网关会立即发出安全预警信号,并自动启动安全保护。这种隔离方式可以全面过滤互联网中的恶意信息,提升数据网络的安全性和生产效率。
4结语
从以上分析可以看出,电力调度数据网络是电力系统中数据传输的基本渠道之一。随着信息技术和互联网技术的不断发展,外部风险对电力系统的攻击程度越来越高,严重影响了电力供应的稳定性。针对这种情况,有关部门和工作人员应把电力调度数据网的安全建设放在首位,并通过纵向和横向隔离相结合的方式进行系统的预防,以最终确保电力系统处于健康状态。
参考文献:
[1]罗汉武,李昉.基于IPSec技术的电力调度数据网安全解决方案[J].电力系统通信,2006,(1):6-8.
[2]李智,蒲凤霞.基于VPN的电网调度数据网网络安全管理研究[J].华东科技(学术版),2017,(7):201.