电力二次系统安全风险评估与安全加固要点刘博--中国期刊网

字体：大中小

首页> 原创作品> 正文

电力二次系统安全风险评估与安全加固要点刘博

发表时间：2020/7/21 来源：《电力设备》2020年第8期作者：刘博

[导读] 摘要：现如今，城市发展中处处离不开电能的需求，电力的稳定运行受到重视。

        （国网通辽供电公司内蒙古通辽市 028000）
        摘要：现如今，城市发展中处处离不开电能的需求，电力的稳定运行受到重视。本文首先对电力二次系统所面临的各种安全风险进行了分析，然后细致阐述了电力二次系统安全风险评估的相关内容，最后探讨了电力二次系统的安全加固要点。希望通过本文的分析与研究，能够有效提高电力二次系统的安全防护能力，消除系统潜在的安全隐患。
        关键词：电力；二次系统；安全风险评估；加固要点
        引言
        电力供应对人们的生产生活有着巨大影响，电力企业作为关系国家能源安全和国民经济命脉的重要骨干企业，为经济、社会发展提供了安全保障，因此，保证电力二次系统网络信息安全显得极为重要。随着互联网的不断发展，电力信息系统面临着各种新的威胁，大量的恶意代码、木马程序、间谍软件等分布在电力二次系统中，如果不能及时阻止这些病毒，将造成系统崩溃。有文献指出，目前防御电力二次系统威胁的基本方法是使用防火墙、防病毒软件、杀毒软件、基于误用检测的入侵检测系统（IDS）等。这些措施都是采用被动防御的方式，只能检测已知的攻击类型。针对未知威胁，有文献提出采用主动防御技术或者采用主被动防御相结合的方式进行抵御，这样能够更好地保护电力信息网络的安全。
        1二次系统的技术分析
        与输变电直接相关的仪器设备称为一次设备，这些设备有变压器、发电机、输电线、电容器、断路器、电抗、刀闸等等。这些设备组成的系统就是一次系统。相对的，对一次系统进行测量、监控、控制和保护的系统就是二次回路系统，简称为二次系统。二次回路可以分为继电保护回路、直流操作电源回路、自动装置回路、测量回路、控制回路以及信号装置回路。
        2我国电力二次系统安全防护现状
        2.1安全防护现状
        目前，我国电力系统仍然存在着各种防护问题，整个电力系统的安全防御面临着威胁，不同区域的隔离工作无法实现安全防护，计算机病毒、蠕虫等仍然可以通过各种方式进入生产控制区，导致整个系统崩溃。面对未知的攻击，被动防御技术无法检测出来，当前电力系统对于未知威胁仍然无法进行有效防护。为了保证电力二次系统的安全运行，需要对我国电力二次系统的安全防护策略进行分析，提出进一步的改进意见。
        我国电力二次系统面临的安全风险主要包括信息泄露、恶意软件的入侵、计算机病毒、黑客攻击、违法授权等。有文献总结了产生这些安全风险的主要原因：（1）电力系统使用防火墙和入侵检测技术等存在一定的缺陷和不足，容易导致漏报和误报，不能满足对电力二次系统的安全防护需求；（2）手动更新病毒库缺乏实时性，使得被动防御技术无法抵御未知的攻击；（3）安全防护目标体系、防护策略体系不健全，对于未知的攻击类型无法做到有效防护；（4）管理信息大区与生产控制大区的数据进行双向交互，没有统一的规则，难以对系统及数据进行安全防护。
        2.2面临的攻击
        有文献详细列出了电力二次系统网络中传统的攻击方式，传统犯罪集团攻击一般没有明确的攻击目标，只是利用这些攻击方式对全网的计算机进行恶意攻击，对于这些传统的攻击都有应对的策略。而对于电力系统的攻击主要是一些新型攻击，新型攻击是在传统攻击的基础上增加一些新的特点。比如新型的DDoS攻击是通过TCP/IP协议漏洞消耗服务器链接资源，从而导致服务器无法正常反馈信息；对于0day漏洞的新型攻击一般具有明确的攻击目标，利用0day漏洞对电力系统发起的攻击，其攻击行为频率高、时间长，但由于被动防御体系中没有针对0day漏洞等新型攻击的特征，所以仍然不容易检测出此种攻击。从防护技术来看，针对传统攻击的被动防御技术已不能检测出新型攻击，有文献给出了应对此类新型攻击采取的主动防御策略。

期刊文章分类查询,尽在期刊图书馆

        3电力二次系统安全加固要点
        3.1安全组织措施
        安全组织措施着眼于现场作业管理流程，以责任制为核心，以工作票为抓手，二次工作安全措施票中的安全措施，包括应打开及恢复压板、直流线、交流线、信号线、联锁线和联锁开关等，从工作流程上保证了各项措施的执行。
        在开工作票和作业实施阶段以“二元法则”确保工作票票面正确和安全技术措施执行可靠。“二元法则”是指在电力生产作业过程中，通过两个及以上的人、物（信号、指示、测量值等）对作业文本和人员行为进行双重把关。
        （1）编制作业文本阶段。填写人根据前期现场勘察和危险点分析填写工作票，另一人审核把关，并在作业前，由工作许可人复核。保证作业文本依据的正确性，为作业安全提供前提和保障。
        （2）安全技术措施执行阶段。工作许可人根据工作票执行安全技术措施，工作负责人核对安全技术措施执行的正确性和完备性，双方确认交接，许可开工作业，为作业提供本质安全措施。
        （3）作业实施阶段。对重要业务和重要节点的作业设置专人监护，保证作业高风险点的管控到位。
        3.2生产控制大区的安全防护
        （1）生产控制大区安全等级大于管理信息大区。止生产控制大区使用邮件服务，控制区禁止使用web服务。（2）防火墙技术防火墙是由软件和硬件共同组成的位于内外网之间的一套网络安全防护系统，在电力二次系统安全防护中，大多在网络边界设置防火墙，起到服务器、网关的作用。防火墙主要是用来防止因特网的攻击，同时对于病毒入侵、非法信息过滤和陌生身份非法入侵等都能有效处理。（3）特殊情况下允许非控制区使用web服务，但也应采取专用协议。（4）内部主站端和重要端口必须采用恶意代码防护系统。防止病毒攻击。（5）根据边界防护原则，在大区边界上采用入侵检测手段。（6）对于生产大区中的拨号访问，都应使用经过国家检测认证的加固系统。（7）强化安全审计系统，严格进行登录认证和授权。
        3.3信息管理大区的安全防护
        统一部署防火墙，定时进行病毒库更新。确保病毒库、木马库经过安全检测，更新时注意离线进行更新。在网络纵向边界，在路由器和交换机间部署纵向加密认证装置或硬件防火墙，可以有效防止来自外界的网络攻击、病毒入侵及恶意代码，同时可及时发现未知异常流量及不法分子的恶意攻击等安全威胁。此外，在关键位置部署智能入侵检测系统（IPS），能够有效监测网络与服务器的异常，及时发现网络边界及内部网络的异常情况，并通过主动防御与响应，向安全人员发出报警，便于及时作出处理。
        3.4主被动相结合
        有文献通过利用主动防御技术与被动防御技术相结合的方式，建立针对电力二次系统的动态安全防御系统，运用被动防御技术中的网络防火墙和入侵检测系统，建立起防御系统的前线，并结合主动防御技术中的陷阱技术形成网络防护，对外界的非法访问和恶意攻击行为进行防范，通过陷阱技术中系统漏洞的制造，模拟出受攻击的网络环境，改变攻击者对系统的攻击方向。在动态安全防御系统的建立中，检测和响应也占据着主要地位，通过陷阱技术设计陷阱，结合取证技术对电力二次系统中的漏洞和攻击进行检测，保留入侵的证据。在响应阶段，利用取证技术对攻击和漏洞检测的网络日志进行记录保存，通过蜜网技术进行智能化分析，对新的病毒和攻击手段生成新的数据库，解决了面对未知攻击和未知威胁被动防御技术无法解决的问题。
        结语
        与电力一次系统一样，二次系统安全也是电力系统运行安全的一项重要工程。当前，国内外众多电力二次系统安全引发的事故暴露出了电力二次系统存在的诸多问题。针对电力二次系统的攻击，采用主被动防御技术，从而加强电力二次系统的安全防护效果，有效保障电力系统的正常运行和电力供给。
        参考文献：
        [1]魏明海．电力通信安全生产的系统分析[J]．陕西电力，2008，36（6）：82-86.
        [2]国家电网公司．电力通信现场标准化作业规范：Q/GDW721—2012[S]．北京：中国电力出版社，2012.
        [3]国家电网公司．Q/GDW1799.1—2013国家电网公司电力安全工作规程（变电部分）[S]．北京：中国电力出版社，2013.