摘要: 近些年来,随着电力系统的进步和发展,电力系统的自动化、信息化、智能化技术得到了更为有力的技术支持。但电力监控系统的安全问题显得越发突出,如何确保电力系统能足够安全、稳定地运行成为现阶段电力企业建设发展的主要研究对象。当前各地的电力监控系统网络安全水平参差不齐,如何使各地电力监控网络安全水平达到统一,是一个亟待解决的难题。本文就电力监控系统网络安全防护进行了分析。
关键词:电力监控系统;网络;安全;防护
引言
电力监控系统作为国家关键信息基础设施,面临的网络安全形势日趋严峻,一旦遭受网络安全攻击将可能导致大面积停电事件,严重威胁企业和国家安全。因此提高电力监控系统的网络安全防护能力具有重要的现实意义。
1电力监控系统网络安全防护基本原则
电力监控系统网络安全防护整体方案设计上要遵循“安全分区,网络专用,横向隔离,纵向认证”的原则。
1.1 安全分区
根据运行业务安全等级要求不同,将电力监控系统划分为生产控制大区和管理信息大区,其中生产控制大区又分为控制区(安全I区)和非控制区(安全II 区),管理信息大区又分为安全Ⅲ区和安全Ⅳ区。安全等级低的业务系统可以放在高安全区内,安全等级高的业务系统不允许放在低安全区内。除此之外,还设置安全接入区,使用公网通信、无线通信的业务通过安全接入区接入电力监控系统。
1.2 网络专用
生产控制大区业务使用调度数据网承载,管理信息大区业务使用综合数据网承载,调度数据网和综合数据网使用独立的设备组网,在物理上实现网络安全隔离。使用MPLS-VPN 技术,划分实时VPN 和非实时VPN,实现安全I 区和安全II 区的逻辑隔离。
1.3横向隔离
生产控制大区与管理信息大区使用电力专用的横向隔离装置实现物理隔离,生产控制大区和管理信息大区内部使用防火墙等具有访问控制功能的网络设备进行逻辑隔离,安全接入区使用电力专用横向隔离装置与生产控制大区和管理信息大区实现物理隔离。
1.4 纵向认证
各级生产控制大区使用纵向加密认证装置与调度数据网连接,为上下级调度机构或主站与子站的控制系统之间的调度数据网通信提供双向身份认证、数据加密和访问控制服务。
2电力监控中安全防护面临问题
现阶段,电力监控系统安全防护问题还比较多,工作人员缺乏安全意识,在系统运行的过程中不重视密码的保护,常常将口令或者密码告知不相关的人员,这样就降低了整个系统的安全防护成效。在管理上有缺失,非工作人员可以随意进出机房,并且使用计算机,容易发生信息泄露,给电力企业带来经济损失。电力监控系统安全防护还涉及到了技术方面问题,电力企业网络安全防护意识淡薄,安全防护缺乏技术层面的支持,系统在运行的时候安全等级比较低,无法满足安全监控的需求,分区安全防护得不到落实,在实际操作的时候经常会出现跨区域互联的状况。
3 电力监控系统网络安全防护有效措施
3.1 做好信息传输安全保护
电力监控系统运行的过程中,特别是在信息传输和业务活动的时候,要做好加密工作,提高安全防护等级。监控系统中要增设加密装置,将其设置在上内部网络和外界网络的连接处,装置既要有加密的功能,又要具备解密的作用。
在开展业务中加强网路安全防护,除了要使用防火墙,提高信息传输的安全性和可靠性,还要采取纵向加密的方法,只有将两种安全防护手段有效结合起来,才能及时高效的完成身份验证,识别出具有危险性的信息,然后对其进行自动拦截,最大程度提高数据安全性,在传输的过程中对信息进行加密,即使遇到了外界攻击,信息被盗取和丢失的风险也会降低,相当于有了双重保障。在系统中安装加密装置,在信息传输中会自动对所有数据进行安全检查,进一步提升电力监控系统安全性。电力系统有专属的加密算法,无论是加密设置还是解密处理都要遵循国家规定,只有这样才能确保电力监控数据和信息真实性和安全性。安全防护还要加强纵向防范工作,在局域网和广域网之间设置防线,身份认证要摆脱单一性,向着上双向认证方向发展,访问系统的权限才会被有效控制。
3.2电力监控系统网络安全防护技术的运用
3.2.1风险评估技术
在安全防护技术中,风险评估是非常重要的一项技术,是对主机的风险泄露和通过网络远程监控其他主机风险漏洞的分析,风险评估系统的主要工作目标便是服务器、工作站和数据库等,利用网络安全监测装置扫描监控目标可能存在的风险隐患。并对其安全性和风险程度进行分析,确定系统网络信息是否安全,并对系统网络信息的安全性提出具体整改建议。在进行风险评估技术时,也经常会利用网络漏洞扫描方式。在信息安全防护过程中,风险评估主要是一种辅助手段,还需要利用VPN、防火墙比如氢检测的方式来完成信息安全防护工作。
3.2.2物理隔离技术
“安全分区,网络专用,横向隔离,纵向认证”中的横向隔离便是主要依赖物理隔离技术,在网络边界防护中,必须采用经国家指定部门检测认证的横向安全隔离装置连接2 个独立的主机系统,这样能够保证不直接连通并且传输和共享数据资源。目前的物理隔离技术主要使用的有实时开关、单向连接和网络交换器这三种隔离装置。其中实时开关可以实现在同一时间隔离内外网络,并且实现数据联通进行快速的处理数据。再连接一个网络获取数据,然后转动开关到另一个网络,将之前获取的数据传输到另一个网络,能够快速地在两个网络之间移动数据,并且实现实时处理的效果。同时在传输数据时,实时开关会终止网络连接,这便不会存在漏洞风险,与此同时还能够利用实时开关避免遭到病毒侵害。单向连接指的便是单向地从源网向目的网传输数据,这样便成为了一个“只读”网络,同时数据不能反向向源网传输,单向连接需要利用硬件实现,因为这样可以避免数据传错。而网络交换器指的便是一台计算机中有两个虚拟机,在一个虚拟机当中写入数据,然后再传输到另一个虚拟机中。在传输数据过程中速度会相对较慢,无法实现实时工作。所以网络转换器通常都具备双接口的硬件卡,双接口都连接着相互隔离的网络,但在同一时间只能激活一个网络。
3.3 增强工作人员安全意识
电力监控安全防护要增强工作人员安全意识,加强系统安全防护管理,根据工作的实际需要,制定有效的网络安全防护制度,明确安全防护责任,提高工作人员的安全意识和责任感。非工作人员不能进入机房,违规者要处罚,并且要连带责任,密码和口令不能告诉非机房工作人员,做好交接班工作。加强对工作人员网络安全教育,提高网络风险识别能力,这样就能让工作人员及时的发现系统异常状况,采取有效的措施应对。
结束语
保障电力监控系统安全是共同的责任,所以需要通过管理和技术体系建设来完成相关指标要求,全面提升地区电力监控系统网络安全防护能力,使系统防护水平及人员的技能、安全防护意识得到很大的提升,从而为后续安防工作打下基础,从而共筑电力监控系统网络安全防线。
参考文献:
[1]杨有民.电力生产监控系统中网络安全防护的研究[J].科技创新导报,2019,16(35):140+142.
[2]胡若琳,王昆,肖添,姚远,刘渺,刘建国.电力监控系统安全防护管理方法探讨[J].通讯世界,2019,26(06):228-229.
[3]于秋玲.电力监控网络安全态势感知架构与智能化防护[J].电子技术与软件工程,2019(06):202-203+224.
[4]陈正.电力监控系统网络安全防护体系建设[J].电工技术,2019(03):106-107.