(国网郑州供电公司 河南郑州 450041)
摘要:基于社会经济的发展,以及信息技术的革新,电力系统的信息化、自动化水平不断的提升,电力二次系统也逐渐得到了完善。在电力系统的运行过程中,电力二次系统则是影响其安全平稳运行的重要因素,对于电厂与电网调度数据网络信息的安全传输具有重要的影响。电力二次系统的安全防护工作主要是通过技术手段和管理措施,实现电力系统监控系统及调度数据网络的安全传输,在数据传输的过程中保证电气量和监控实时数据不受攻击,保障各种电气设备的安全运行。因此,做好电力二次系统的安全防护工作,能够有效保证电力系统安全平稳运行。
关键词:电力二次系统;安全防护体系;运行策略
电力二次系统安全加固的目的是有效防止来自外界对电力系统的各种网络攻击及恶意破坏,确保系统的正常服务,保护敏感数据信息的传输及存储安全,避免因此而导致的一次系统或二次系统事故,并通过全面立体的安全防护加固措施,提升电力系统的稳定性。
1电力二次系统主动安全防御的定义
电力二次系统主动安全防御策略的重点是为了保证电力实时闭环监控系统和数据网络的安全。实施一系列的安全防御策略的目标在于抵制各种运用不同形式损害电力系统的威胁,例如黑客、病毒以及恶意代码等。并且安全策略最重要的价值在于能够抵御大范围的集团式攻击,防止电力系统突然间遭受大面积停电,产生巨大的系统事故。电力二次系统安全策略的主要内容包括隔离风险、将区域进行安全划分、网络专用以及纵向认证。安全分区策略的原则是根据电力二次系统中各个业务的重要性高低以及对电力二次系统产生影响的高低进行划分。整个电力二次系统一般被简单地分成两个区域:管理信息忧患区域以及控制生产区域。控制生产这一区域在电力二次系统中占据着重要地位,一般生产控制区又被分成控制区和非控制区。在进行风险划分以及隔离时,所参考的依据则是利用强度不一样的安全设备。在生产控制大区与管理信息大区之间一定要设立经过国家专业的检测部门检测后的电力专用横向单向安全。隔离装置可以通过在专用的区域或者通道内成立独一无二的网络设备组网,来对省级与地级电力数据进行高强度隔离。除此之外,还可以使线上的业务数据与外界的数据网之间保持隔离。无论是哪个级别的调控中心和厂站为了保持调度数据网的连贯性,保证数据网与控制区之间能够保持纵向连接,都需要设立经过国家专业部门检测后的专用电力纵向加密认证装置,或者是对认证网进行加密以及准备各种安全设施,这些条件可以为上下级之间的数据通信调度网准备彼此身份认证,以及对双方的数据进行加密,并且对外界的访问进行一定的控制与防御。
2电力二次系统面临的安全风险
2.1非授权访问
非授权访问既是不法分子未经同意便使用网络资源或是合法用户通过非授权的方式操作使用网络等。例如,不法分子借助相关工具,利用系统漏洞获取目标主机的控制权后,对系统设置或数据实施更改,或以置入木马的形式非法控制操作主机或实施攻击。
2.2信息泄露或破坏
由于内部人员使用管理不善,致使业务数据无意或有意被泄露或破坏。主要包括:在传输过程中数据丢失,存储介质异常而出现泄露;或不法分子通过非法方式进入获取数据控制权,并对关键数据实施修改或删除;或攻击者通过系统后门或隐蔽通道等漏洞进入系统并实施攻击。
2.3系统缺陷及漏洞
电力二次系统涉及计算机技术、信息技术较为复杂,而网络安全技术及系统的不断更新,使得电力二次系统无法避免的会存在一些缺陷及不足之处,这也就成为不法分子的攻击目标。另外,某些无关紧要的设备在设计时因技术人员疏忽,导致留有后门及漏洞,一旦被攻击者发现并利用,将会严重影响电力企业的正常运行及调度。
2.4网络病毒与木马
随着互联网技术、信息技术的不断深入,各种病毒、木马也随之猖獗,使得电力二次系统网络也很难避免会遭受病毒的攻击。一旦受到病毒及木马的入侵,将会严重影响电网数据、涉密设备的安全。现阶段,造成电力二次系统安全风险的原因主要为:(1)二次系统中网络安全防护的防火墙及入侵检测技术落后或存在缺陷,致使被动防护失去作用,系统对入侵行为漏报误报现象严重;(2)系统间数据交换的加密及安全认证机制不健全,缺乏入侵检测等预警机制;(3)病毒库更新不及时,致使各个厂区、站端以及工控机房管理存在难度;(4)安全防护目标、防护策略及安全防护体系不够完善,所有安全防护措施都建立在被动防护的基础上;(5)各分区间数据双向交互,而数据交互缺乏统一性及规范性,致使对系统及数据的安全防护不够统一,动态及应急管理难度大。
3电力二次系统安全防护体系的安全防护策略
3.1防火墙防护措施
在电力二次系统运行中,防火墙软件与硬件构成了第一道安全防线,是非常重要的保护设备。防火墙一般部署在内外部网络的边缘,具有过滤数据、验证身份、扫描病毒等功能,电力二次系统一般采用硬件防火墙+软件防毒软件的安全防护模式,来保障系统平稳安全运行。在当前阶段,应用较为广泛的防火墙类型为包过滤防火墙,其主要依据端口号、协议类型、目标地址、源地地址等内容对数据信息进行核判,将满足防火墙规则的数据输送到目的地,不满足防火墙规则的数据则被丢弃。在现阶段,包过滤防火墙应用程序包括两种,一是动态包过滤防火墙,能够有效追踪每一个电力二次系统建立的连接,依据实际情况实时修改防火墙过滤规则;二是静态过滤防火墙,能够依据定义好的过滤规则分析相关的数据包。在二次防护系统做好防火墙保护措施,能够有效提升电力二次系统的安全防护水平。
3.2安装入侵检测或防护系统
入侵检测系统指的是通过旁路监听方式不断接收网络数据,并判断其是否存在攻击性,能够通过多种手段向管理员报警。入侵检测系统作为网络安全的第二道防线,则是防火墙的必要补充,构成完整的网络安全解决方案。因此,在电力二次系统生产控制大区的控制区和非控制区的交界处和内部,可以分别部署若干个IDS探头,能够有效地对两个区域的恶意攻击行为进行监控。另外,由于入侵检测系统是一种被动的检测系统,在被攻击前很难预先发出警报,不能有效地阻挡攻击。所以需要在控制区和非控制区之间应用入侵防护系统,预先对入侵活动和攻击型网络数据进行拦截,避免对电力二次系统造成损失。
3.3应用数据备份技术
基于电力系统调度自动化系统的发展,更多的系统集中到调度中心,则需要对其进行数据备份,才能保证信息数据的安全性。因此,电力单位需要应用数据备份技术,通过多元化的数据备份方式,增强数据备份的可靠性。在应用程序服务器备份时,在不影响系统正常操作的基础上,可以依据应用程序服务器文件系统稳定性的特点,延长备份周期,使用主机的备份方式快速备份整个系统。在进行备份时,也可以使用数字库服务器进行快速备份,有效避免因工作人员手动安装造成的不必要安全隐患。还可以对系统的操作系统和应用系统进行备份,便于在整个系统瘫痪后,也能够尽快地将系统恢复到可用的状态,有效避免了重装系统、重新配置应用系统带来的不便。
3.4部署防病毒系统
在电力二次系统中部署多层次、全方位的网络防病毒体系,能够实现对所有服务器和工作站进行监控筛选。另外,需要设置大面积的保护系统实现对生产控制区的防护,依据相关标准,定期对病毒代码进行更新,有效杜绝恶意网址的连接,增强电力二次系统防护系统的防护能力。
3.5强化企业内部的安全网络工作
电力企业要增强安全防护意识,自上至下推动电力二次系统安全防护工作的开展,保证各个部门严格遵守二次系统防护方案落实工作,在企业内部做好电力二次系统安全制度的宣传工作,不断增强工作人员的安全意识,并对员工进行相应培训,提升工作人员的业务能力和责任感。
3.6开展防护系统风险评估工作
电力企业管理部门需要定期对电力二次系统的防护体系进行安全性风险评估,在评估过程中尽量保证专业性的细致检查,对各项安全措施进行全面的检查,有效落实相应的管理制度,才能保证真正发现电力二次系统中存在的安全隐患,并制定出合理的解决方案,对其进行整改和完善。
4结语
电力二次系统需要结合多种防护技术,才能形成完整的电力二次系统安全防护体系,增强电力系统运行的平稳性和安全性。但是,仅仅依靠技术构成的安全防护体系是不够的,还需要优化完善电力系统的安全管理机制,在技术与管理的有效结合中,才能有效保证电力二次系统运行安全。因此,在电力系统运行过程中,一定要做好电力二次系统的安全防护措施,保证电厂与电网调度数据网络中的信息数据安全传输,获得更大的经济效益和社会效益。
参考文献:
[1]张羽晨.电力调度自动化网络安全防护系统研究[J].湖南城市学院学报(自然科学版),2016(2).
[2]侯红梅.浅谈电力调度自动化运行中的网络安全问题及解决对策[J].中国高新技术企业,2017(1).