摘要:随着电力系统的进步和发展,电力系统的自动化、信息化、智能化技术得到了更为有力的技术支持。但作为不少国家重要的“网络战场”,电力监控系统的安全问题显得越发突出,如何确保电力系统能足够安全、稳定地运行成为现阶段电力企业建设发展的主要研究对象。如何使各地电力监控网络安全水平达到统一,是一个亟待解决的难题。本文就电力监控系统网络安全防护体系建设有关内容进行了简要分析。
关键词:电力;监控系统;网络安全;防护体系;建设
1电力监控过程中网络防护具体要求
网络安全是信息化时代不可避免的一个问题,也是电力行业需要面对的挑战,网络安全法颁布和实施,使得网络安全上升到更高层次,是电力监控系统网络安全防护的有效支撑。电力监控系统安全防护要遵循一定的原则和要求,在实际防护的过程中要树立分区安全管理和防护意识,同时还要设立网络专用通道,通过横向消除安全隐患和纵向认证的方法,减少电力网络和外部网络的联系,在这两个网络系统中设置屏障,实现真正意义上的隔离,并且还要升级安全防护系统[1],及时更新各种软件,做好电力监控系统网络安全预警工作,加强对电力网络安全管理,预防和治理相结合的办法,就能将网络安全威胁消灭在萌芽状态,最大程度减少网络安全风险。具体来说,电力监控系统防护要从三个方面着手,除了要做好主机安全防护,还要加强网络管理,提高信息传输的安全性和真实性,同时还要将内部网络和外部网络隔离开来,也就是说要从系统边界进行防护。
2电力监控系统网络安全防护体系的建设内容
首先需要电力监控部门成立网络安全防护小组,首先要设置调度中心主任,由网络安全专责人对接,然后设置地位平行的:自动化人员班长、并网电厂负责人、通信班班长、主站自动化班长以及县调负责人,最后设置其下属工作人员,为自动化人员班长配备相应的自动化人员来完成工作,并电厂负责人和县调负责人要配备自动化专业人员,主站自动化班长配备自动化运维员,通信班班长配备通信专业人员,这样级别分明的电力监控系统网络安全防护工作小组可以更好的完成工作任务,完善的小组设置对提高工作效率有很大的积极作用。还需要加入相应的考核评估,这样可以清楚的了解整个小组的工作能力,从而达到激励小组成员专业技能进步的目的[2]。
以地县级电力监控系统网络安全防护体系的建设为例,建设方案的第一个要素在于在系统主站调度数据网的一平面二区以及二平面一、二区这三个区域进行纵向加密,并且对其进行适当的调试,在原本没有安装安全防护装置的区域进行纵向加密。第二个要素在于需要部署安全装置加密认知的专门管理平台,由平台操作可以对安全防护体系所安装的安全加密装置进行范围内远程安全调度操作。第三个要素在于建设安全性较高的无线接入区,分布式电源接入管理网络的专属调度小电源安全情况区域。第四个要素在于建设电力监控系统网络安全管理的平台,要使得电力设备有自我感知能力,还需能够就地采集信息,并且这些功能全部由平台进行管理,平台要求具备实时监测功能以及安全报警功能,实现自动化安全防护[3]。第五个要素在于要设置安全系统相关的数字证书签发系统,实现数据处理的自动化。第六个因素在于要在电力监控系统网络安全防护体系中设置系统入侵检测系统,这要求实现系统的全面覆盖检测功能,从而能够提前收到入侵信息,从而作出相应的应对措施。第七个要素在于落实每一位电力监控系统网络安全防护体系工作人员的具体责任,由此来保证安全体系建设方案的具体实施情况达到预期的目标。
3电力监控系统网络安全防护的关键技术
3.1风险评估技术
风险评估系统的主要工作目标便是服务器、工作站和数据库等,利用网络安全监测装置扫描监控目标可能存在的风险隐患。并对其安全性和风险程度进行分析,确定系统网络信息是否安全,并对系统网络信息的安全性提出具体整改建议。在进行风险评估技术时,也经常会利用网络漏洞扫描方式。在信息安全防护过程中,风险评估主要是一种辅助手段,还需要利用VPN、防火墙比如氢检测的方式来完成信息安全防护工作。
3.2物理隔离技术
“安全分区,网络专用,横向隔离,纵向认证”中的横向隔离便是主要依赖物理隔离技术,在网络边界防护中,必须采用经国家指定部门检测认证的横向安全隔离装置连接2个独立的主机系统,这样能够保证不直接连通并且传输和共享数据资源。目前的物理隔离技术主要使用的有实时开关、单向连接和网络交换器这三种隔离装置。其中实时开关可以实现在同一时间隔离内外网络,并且实现数据联通进行快速的处理数据。再连接一个网络获取数据,然后转动开关到另一个网络,将之前获取的数据传输到另一个网络,能够快速地在两个网络之间移动数据,并且实现实时处理的效果。同时在传输数据时,实时开关会终止网络连接,这便不会存在漏洞风险,与此同时还能够利用实时开关避免遭到病毒侵害。单向连接指的便是单向地从源网向目的网传输数据,这样便成为了一个“只读”网络,同时数据不能反向向源网传输,单向连接需要利用硬件实现,因为这样可以避免数据传错。而网络交换器指的便是一台计算机中有两个虚拟机,在一个虚拟机当中写入数据,然后再传输到另一个虚拟机中。在传输数据过程中速度会相对较慢,无法实现实时工作。所以网络转换器通常都具备双接口的硬件卡,双接口都连接着相互隔离的网络,但在同一时间只能激活一个网络。
3.3 SSL技术与IPSec技术
SSL协议主要利用传输层进行传输,在应用层影响下保护网络传输信息。它具有透明性、应用性和可移植性,SSL电力系统安全通道主要包括SSL服务器和SSL客户端,SSL客户端主要在浏览器上负责认证服务器端的实际深入,而SSL服务器是在WEB服务器上负责实现客户端的身份验证。SSL可以使数据进行加密传输,并对数据保密性进行更好地保护,利用MAC来保护信息的完整度,然后再通过数字证书来验证发送者与接受者的身份。IPSec是利用AH协议与ESP协议实现安全性,IPSec可以提供各种安全服务,利用身份认证制实施访问控制,在通信前通过IKE协商SA,然后利用公钥签名机制进行身份验证,IP-Sec可以在数据包发放前利用信息鉴别机制实施数据源认证,然后应用信息鉴别法计算MAC,采用HMAC输入部分信息与密钥[4],输出MAC,在接收到IP数据包后在用相同的方式计算数据,在获取的数据完全相同后,便表示数据通过验证。
总而言之,保障电力监控系统安全是共同的责任,所以需要通过管理和技术体系建设来完成相关指标要求,全面提升地区电力监控系统网络安全防护能力,使系统防护水平及人员的技能、安全防护意识得到很大的提升,从而为后续安防工作打下基础,从而共筑电力监控系统网络安全防线。
参考文献
[1]郭抒然,凌芝.新一代电力监控系统网络安全管理平台建设及告警分析[J].中国新通信,2018,20(17):149-150.
[2]崔海.基于局域网的电力安全远程视频监控系统设计[J].通信电源技术,2018,35(08):132-133+138.
[3]骆华志,钟振坤,罗汉青.发电机组涉网设备网络安全可靠性的研究与实践[J].通信电源技术,2018,35(08):58-60.
[4]耿永明.电力监控系统网络安全监测装置功能及实施[J].科技风,2018(24):204.