摘要:水电站实施网络安全防护系统建设,确保电力网络安全。结合国家信息安全等级保护工作的相关要求对电力监控系统从主机、网络设备、恶意代码方案、应用安全控制、审计、备份等多个层面进行信息安全防护的措施。严格遵循信息化建设十六字方针“安全分区、网络专用、横向隔离和纵向加密”建设电站网络防护体系。
关键字: 水电站 电力 网络安全 防护
随着我国电力信息化的大力发展,电厂信息网络发展成一个多连接的信息共享的复杂网络,网络的接入共享,为不法黑客的入侵电力系统带来机会。电力监控、数据调度系统网络空间大,涉及单位多,安全隐患分布广,一旦被攻破将直接威胁电力网络安全。为保障电力网络安全稳定运行,要求各并网电厂均需安装网络安全防护系统。
现状:株树桥水电站装有3台8000KW的机组,通过一条15km的110kV线路并入国家电网。现有计算机监控系统与上级电力调度网络通过一路光纤直连,中间无任何加密措施和安全隔离设备,没有进行有效安全防护,极易产生旁路控制、监听、完整性控制、篡改等风险,存在严重的安全隐患。
作为电力网络的重要组成部分,为加强水电站电力监控系统安全防护,抵御黑客及恶意代码等对电力监控系统的恶意破坏和攻击,以及非法操作间接影响到电力系统的安全稳定运行,积极做好水电站监控系统安全防护既有利于配合电网电力监控系统安全防护工作的实施,确保整个电力系统安全防护体系的完整性,也有利于为水电站提供安全生产和管理的保障措施。
一、分析本站网络安全威胁的来源
本站网络安全威胁来自以下几方面:
1、人员违规操作 内部或外来人员有意无意的违规操作,甚至犯罪行为,给信息系统造成的损害。
2、病毒或恶意代码 病毒和恶意代码主要来自内部网络、USB盘、光盘等介质。
3、管理层面的缺陷 如:缺乏统一的用户权限管理和访问控制策略,用户、口令、权限的管理不严密,系统的安全配置一般都是缺省配置,风险很大。
二、本站安全防护的目标及重点
1、抵御黑客、病毒、恶意代码等通过各种形式对电力监控系统发起的恶意破坏和攻击,尤其是集团式攻击。
2、防止内部未授权用户访问系统或非法获取信息以及重大违规操作。
3、防护重点是对监控系统及调度数据网的安全实施保护,防止电力监控系统瘫痪和失控,并由此导致电力系统故障。
三、本站网络安全防护总体策略
严格遵循信息化建设十六字方针“安全分区、网络专用、横向隔离和纵向加密”,网络安全防护采取了以下策略
1、安全分区
根据系统中作用的重要性和对一次系统的影响程度进行分区,所有系统都必须置于相应的安全区内。新建本站电力调度数据网,实现与其它数据网络物理隔离,并用技术手段在专网上形成多个相互逻辑隔离的子网,保障上下级各安全区的纵向互联仅在相同安全区进行,避免安全区纵向交叉。
2、横向隔离
在安全区之间和安全区通信通道间采用不同强度的安全隔离设备,使各安全区中的业务系统得到有效保护。
3、纵向认证
采用认证、加密、访问控制等手段满足各种数据在远程通信中的保密性、完整性和可用性要求,防止远程攻击和违规操作,形成纵向边界的安全防御,与调度机构建立互信可靠的通信机制。
4、综合防护
结合国家信息安全等级保护工作的相关要求,对水电站监控系统从主机、网络设备、恶意代码方案、应用安全控制、审计、备份等多个层面进行信息安全防护的措施,。
四、安全防护实施方案:
1、合理分区 将水电站各生产控制系统分为安全区Ⅰ(控制区)和安全区Ⅱ(非控制区)
安全区Ⅰ为由具有实时监控功能、纵向联接到电力调度数据网的实时子网或专用通道的各业务系统构成的安全区域,直接实现对电力一次系统的实时监控,是安全防护的重点与核心。主要包括以下业务系统和功能模块:监控系统、继电保护、自动发电控制系统、各种控制装置(调速系统、励磁系统等)、五防系统等组成。
安全区Ⅱ(非控制区)为在线运行但不具备控制功能,使用电力调度数据网络,与控制区中的业务系统或功能模块联系紧密。主要包括电量采集系统、故障录波信息及管理终端等业务系统和功能模块
2、纵向加密
设置电力专用纵向加密认证装置,实现双向身份认证、数据加密和访问控制。设置一套网络入侵检测系统,合理设置检测规则,检测发现隐藏于流经网络边界正常信息流中的入侵行为,统一分析潜在威胁并进行安全审计。
安全区Ⅱ的加固措施采用网络设备与安全设备进行身份鉴别、访问权限控制、会话控制等安全配置加固。应用电力调度数字证书,在网络设备和安全设备实现支持 HTTPS 的纵向安全 Web 服务,能够对浏览器客户端访问进行身份认证及加密传输。对外部存储器、打印机等外设的使用进行严格管理或直接封闭闲置端口。
3、网络安全监测
设置网络安全监测装置,用以对监测对象的网络安全信息进行采集,采集服务器、工作站的用户登录、操作信息、运行状态、移动存储设备接入、网络外联等事件信息;采集网络设备的用户登录、操作信息、配置变更信、流量信息、网口状态信息等事件信息;采集安全防护设备的用户登录、配置变更、运行状态、安全事件信息等事件信息;触发性事件信息的采集和周期性上送的状态类信息的采集。
五、具体部署
为满足上级调度数据通信网络总体要求,按照“分布采集、统一管控”原则,株树桥 110kV 变电站配置2套调度数据网接入设备,每套含接入路由器 1 台、交换机 2 台,与安全防护装置组1面屏。每套调度数据网设备通过 2 路不同路由的 2M 带宽通道直接接入当地汇聚层接点。 安装2纵向 IP 认证加密装置。配置Ⅱ型网络安全监测装置 2 台,安全 I/Ⅱ区各 1 台;2 套入侵检测系统,将采集的信息通过两套调度数据网上送至相应的调度机构。
远动系统、计量系统信息和数据均采用数据通信方式接入调度数据网,主要考虑对远动信息、电量信息等的数据网络传输方式,配置纵向 IP认证加密装置。纵向加密采用认证、加密、访问控制等技术措施实现数据的远方安全传输以及纵向边界的安全防护。
安装 1套电力通信系统:1 台 SDH 设备、1 台 PCM 设备、1 面通信配线柜、1 面通信机柜;通信方式采取光纤通信为主,满足本站至上级调度端各种通信通道的需求。
网络拓扑图如下:
结束语:
水电站网络安全防护系统建设是为确保国家电网安全运行的新要求,对水电站本身虽说不能产生相接的经济效益,但对于全网来说是非常必要的。现今科学技术日益发展,出现了许多新技术新设备,可用到电网安全防护上,各水电站可根据具体情况选择合适的方案,完成网络安全防护系统达标建设。