摘要:在我国社会经济水平显著提升的背景下,电力行业发展迅速。电网的日常维护安全问题是各个电力公司工作尤其需要重视的,电网调度自动化二次安全防护占据了整个电网安全非常重要的位置。实现系统的二次安全防护旨在增强电网系统的安全性。文章就中国的电网调度自动化二次系统的安全保护中基本概念、存在的问题和措施展开了讨论。
关键词:电网调度;自动化;二次安全防护
引言
基于社会经济的发展,以及信息技术的革新,电力系统的信息化、自动化水平不断的提升,电力二次系统也逐渐得到了完善。在电力系统的运行过程中,电力二次系统则是影响其安全平稳运行的重要因素,对于电厂与电网调度数据网络信息的安全传输具有重要的影响。电力二次系统的安全防护工作主要是通过技术手段和管理措施,实现电力系统监控系统及调度数据网络的安全传输,在数据传输的过程中保证电气量和监控实时数据不受攻击,保障各种电气设备的安全运行。因此,做好电力二次系统的安全防护工作,能够有效保证电力系统安全平稳运行。
1二次系统安全防护技术概述
电力二次系统的安全防护主要针对基于网络或者网络系统的生产控制系统。安全防护的总体目标是确保电力调度数据网络和监控系统的整体安全,抵御病毒、黑客、恶意代码的攻击与破坏,避免电力二次系统瘫痪或者崩溃,甚至是大规模停电事故、电力系统事故。二次系统相当于电力资源监控系统,可以实时监测与控制电力资源或者电厂生产的自动化智能设备。其中,南方电网安全防护原则是网络专用、安全分区、纵向认证、横向隔离。其安全防护的核心能力是保护、响应、检测、恢复。二次系统属于保护与控制的一次系统电力回路,目的是保护一次系统中相关电气设备,如变压器、电动机、发电机、母线等。假如一次系统发生过流、短路、过热、过压、雷击等问题时,二次系统会立即启动保护操作。
2存在的问题
2.1防病毒措施
在电力相关的公司的日常管理中,有些企业员工通常认为,物理隔离装置、二次回路系统的安装将完全可以发挥有关预防病毒的作用,其他任何事情无须操心。这样的观念将导致在防病毒方面,相关人员缺乏系统性的日常安全意识。
2.2数据备份方式单一
在当前电力二次安全防护系统的安全管理措施中,主要是以防火墙和物理隔离装置为核心,在一定程度上改善了网络上的安全问题。但是,由于网络安全防护技术一般落后于黑客的攻击技术,导致其不能有效解决网络安全问题,为保证系统受攻击后将损失降到最小,则需要做好数据备份,但若是数据备份方式过于单一,则这条安全防线可靠性并不高。
2.3边界防护不规范
我国电力二次系统安全防护存在的另一个问题是边界防护不规范,在各系统进行安全分区后,在安全防护方面,达不到分区使用的效果,不够系统化、规范化,造成此种问题的原因主要有两个:(1)电力系统运行时普遍存在数据的交换传输,而在传统的防范措施中,在控制区与非控制区没有设置物理隔离措施,可能会导致外部病毒对整个系统的攻击;(2)非控制区的某些系统利用交换机与管理信息大区之间进行数据传输,在某种程度上,将会直接到达办公内网,对内部往来系统造成威胁。
3防护措施
3.1完善硬件管理措施
为了更好地保障调度自动化网络信息安全防护效益,需要完善硬件管理措施。
应尽可能选择安全性较高、稳定性与可靠性好的设备,这些设备虽然初期投入相对较高,但是设备运行效益以及后续维护维修成本方面的优势突出,不容易损坏。在设备采购方面,管理人员不能过度重视眼前利益,而应具有长远视角,提高安全防护意识,特别是交换机、堡垒机、入侵检测装置、隔离装置等重要设备的采购应特别重视。服务器是自动化网络信息的重要环节,必须做好服务器的安全管理措施,定期进行计算机信息系统的安全检查工作,做好防入侵检测系统的安装、更新以及维护工作,为服务器的安全高效运行提供保障。在外部环境方面,也需要做好硬件设备的安全保护管理工作,对设备进行维护时,应使用专用笔记本电脑及杀毒U盘,关闭专用笔记本电脑的无线网卡,防止专用笔记本电脑接入到互联网。对于远程维护,需使用堡垒机审计厂家工作人员的操作行为,做到有效的过程管控。
3.2单向技术的应用
其一,数据泵技术。该技术是在通信基础上只能单向传输数据,如在数据收到后确认、流量控制、差错控制等。不过数据泵中协议控制信息属于双向技术,假如协议存在漏洞,可能会通过漏洞反向发送数据。其二,单向二极管技术的应用。数据二极管技术也称信息流单向技术。该技术已经在国外实现产品化,如荷兰的Fox-IT公司、澳大利亚的Tenix公司。以OWL公司为例,该公司生产的硬件单向光网卡已经逐渐形成了完备的配套软件产品,技术的关键就是经历两次单向隔离处理。珠海鸿瑞生产的网络单向隔离装置主要利用单向多模光纤光接口技术,和国外的单向二极管技术应用类型相似,其主CPU使用的是国产的龙芯2F,平均网络宽带为300Mbps,传播速度是百兆装置的6倍。
3.3纵向加密
目前,我国很多地方的电力调度数据网纵向安全防护体系是以纵向加密装置、纵向加密装置管理系统、电力调度证书系统和安全监控平台的建设为前提的,其中纵向加密装置中的密码包括对称加密算法、非对称加密算法、随机数生成算法等多种形式,以实现数据网络的安全防护。纵向加密装置的管理系统不仅能设置和查询全网的加密认证网关,且能够实现对数字证书的管理及密钥的初始化,对全网加密认证网关的工作模式、状态等进行查询和设置,并对全网的各个加密装置实施有效的监控和管理。
3.4防火墙防护措施
在电力二次系统运行中,防火墙软件与硬件构成了第一道安全防线,是非常重要的保护设备。防火墙一般部署在内外部网络的边缘,具有过滤数据、验证身份、扫描病毒等功能,电力二次系统一般采用硬件防火墙+软件防毒软件的安全防护模式,来保障系统平稳安全运行。在当前阶段,应用较为广泛的防火墙类型为包过滤防火墙,其主要依据端口号、协议类型、目标地址、源地地址等内容对数据信息进行核判,将满足防火墙规则的数据输送到目的地,不满足防火墙规则的数据则被丢弃。在现阶段,包过滤防火墙应用程序包括两种,一是动态包过滤防火墙,能够有效追踪每一个电力二次系统建立的连接,依据实际情况实时修改防火墙过滤规则;二是静态过滤防火墙,能够依据定义好的过滤规则分析相关的数据包。在二次防护系统做好防火墙保护措施,能够有效提升电力二次系统的安全防护水平。
结语
电力二次系统需要结合多种防护技术,才能形成完整的电力二次系统安全防护体系,增强电力系统运行的平稳性和安全性。但是,仅仅依靠技术构成的安全防护体系是不够的,还需要优化完善电力系统的安全管理机制,在技术与管理的有效结合中,才能有效保证电力二次系统运行安全。因此,在电力系统运行过程中,一定要做好电力二次系统的安全防护措施,保证电厂与电网调度数据网络中的信息数据安全传输,获得更大的经济效益和社会效益。
参考文献
[1]张学锋,裘龚铭.浅析二次系统安全防护技术在地区电力配网调度自动化中的应用[J].科技经济导刊,2017(32):72.
[2]焦伟.电力调度自动化网络安全防护系统的研究与实现[D].保定:华北电力大学,2014.
[3]蒋斌.电网调度自动化系统存在的二次安全防护[J].电子技术与软件工程,2016(20):156.