电力二次系统安全防护策略及关键技术综述

发表时间:2020/9/11   来源:《中国电业》2020年11期   作者:李娜 王佳伶
[导读] 电力二次系统运行下,受到来自网络、管理多方面影响,容易产生故障问题,这些安全现象的发生不利于二次系统稳定运行。文章通过对电力二次系统安全防护问题进行分析,对安全防护与关键技术的应用展开探讨。
        李娜 王佳伶
        国网博尔塔拉供电公司 新疆博尔塔拉蒙古自治州 833400
        摘要:电力二次系统运行下,受到来自网络、管理多方面影响,容易产生故障问题,这些安全现象的发生不利于二次系统稳定运行。文章通过对电力二次系统安全防护问题进行分析,对安全防护与关键技术的应用展开探讨。
        关键词:电力二次;二次系统;安全防护;系统安全
        引言
        电力二次系统网络信息是保障电力系统安全稳定运行的前提,可以有效防止不法分子、黑客侵入电力系统。简单而言,如果电力二次系统发生大面积瘫痪,这样在一定程度上会为城市电网带来严重的影响,从而造成大量的经济损失。对电力二次系统网络信息安全防护进行有效的设计,可以在一定程度上对电力系统进行实时监控,从而可以及时发现潜在安全隐患并进行解决。所以对电力系统网络信息防护在可以为电力系统安全运作提供保障,具有促进作用。
        1现阶段电力二次系统安全防护体系概述
        在现阶段电力二次系统安全防护工作中,供电局是依据电监会《电力二次系统安全防护规定》的要求,实现“安全分区、网络专用、横向隔离、纵向认证”的电力调度数据网,将电力二次系统划分为生产控制大区和信息管理大区。首先,生产控制大区分为控制区和非控制区,将应用软件系统、数据采集系统等控制电网且对数据传输实时性要求高的系统分到控制区,将电能量计量系统、调度员培训仿真系统等不直接控制电网、对于信息传输时效性要求不高的系统划分到非控制区,在控制区和非控制区之间安装防火墙、配置访问策略来保护控制区。其次,管理信息大区则分为生产管理区和办公管理区。生产管理区主要是电力调度生产管理信息系统,办公管理区则是安全生产管理系统和企业资源计划系统等。在电力系统二次系统安保防护体系中,管理信息大区与生产控制大区的连接处则是重点防范对象,需要安装物理隔离装置,才能保证信息数据传输的安全性。
        2电力二次系统安全防护现状
        目前,我国电力系统仍然存在着各种防护问题,整个电力系统的安全防御面临着威胁,不同区域的隔离工作无法实现安全防护,计算机病毒、蠕虫等仍然可以通过各种方式进入生产控制区,导致整个系统崩溃。面对未知的攻击,被动防御技术无法检测出来,当前电力系统对于未知威胁仍然无法进行有效防护。为了保证电力二次系统的安全运行,需要对我国电力二次系统的安全防护策略进行分析,提出进一步的改进意见。我国电力二次系统面临的安全风险主要包括信息泄露、恶意软件的入侵、计算机病毒、黑客攻击、违法授权等。有文献总结了产生这些安全风险的主要原因:第一,电力系统使用防火墙和入侵检测技术等存在一定的缺陷和不足,容易导致漏报和误报,不能满足对电力二次系统的安全要求。第二,手动更新病毒库缺乏实时性,使得被动防御技术无法抵御未知的攻击;第三,安全防护目标体系、防护策略体系不健全,对于未知的攻击类型无法做到有效防护;第四,管理信息大区与生产控制大区的数据进行双向交互,没有统一的规则,难以对系统及数据进行安全防护。
        3电力二次系统安全防护策略及关键技术分析
        3.1隔离技术
        相关工作人员对电力二次系统网路信息安全防护设计时,应在此过程中融入网络信息安全隔离技术,从而使得不同性能的电力系统可以实现单独处理的作用。简单而言,就是电脑设备属于专用设备,与其他设备不可以相互使用。通常情况下,电力二次系统网络信息安全隔离技术以物理方式为主,其主要目的是为了使得内外网络之间更好的紧密联系,并且遵循TCP/IP协议规定,进行科学合理的联合,这样即使是外网受到不法分子或黑客的攻击,内网还可以安全正常的运转,这样在一定程度上可以减少运行成本费用的支出。


        3.2防火墙防护技术
        在电力二次系统运行中,防火墙软件与硬件构成了第一道安全防线,是非常重要的保护设备。防火墙一般部署在内外部网络的边缘,具有过滤数据、验证身份、扫描病毒等功能,电力二次系统一般采用硬件防火墙+软件防毒软件的安全防护模式,来保障系统平稳安全运行。在当前阶段,应用较为广泛的防火墙类型为包过滤防火墙,其主要依据端口号、协议类型、目标地址、源地地址等内容对数据信息进行核判,将满足防火墙规则的数据输送到目的地,不满足防火墙规则的数据则被丢弃。在现阶段,包过滤防火墙应用程序包括两种,一是动态包过滤防火墙,能够有效追踪每一个电力二次系统建立的连接,依据实际情况实时修改防火墙过滤规则;二是静态过滤防火墙,能够依据定义好的过滤规则分析相关的数据包。在二次防护系统做好防火墙保护措施,能够有效提升电力二次系统的安全防护水平。
        3.3MPLS-VPN技术
        MPLS-VPN技术就是利用MPLS(多协议标签交换)将网络中的IP地址按照逻辑的不同划分为企业专网,用于解决企业之间互联或实现跨区域、高速、安全的业务数据通信。基于MPLS-VPN技术将电力调度数据网中的VPN划分为实时控制子网和非实时控制子网,分别承载着安全Ⅰ区和安全Ⅱ区的业务数据。有文献指出电厂中的每个业务系统都通过VPN隔离或采用不同的交换机访问路由器,而不同安全区域中的企业隔离为不同的VPN,为控制区和非控制区中的企业电力系统分配相对独立的逻辑通道,在局域网与电力调度数据网之间的安全区域Ⅰ中安装垂直加密身份验证设备,以确保纵向传输中的数据完整性、数据机密性和数据真实性。
        3.4主动防御技术
        主动防御主要任务就是在入侵行为发生之前或发生时,能够及时精准预警并采取相应的阻止措施。为了更好的保证电力二次系统的网络安全,目前的防御手段采用主被动防御技术相结合。第一,蜜罐技术。蜜罐系统是一个包含漏洞的诱骗系统。蜜罐模拟真实系统,诱骗攻击者攻击,同时拖延攻击者对真正目标攻击,转移了攻击目标。第二,入侵防御技术。入侵防御技术,主要功能是主动监视网络内的系统的各种活动,主动检测存在的攻击行为,如若发生攻击行为及时采取相应的阻断措施。IPS部署在内外网交界处以提高电力二次系统的主动安全防御能力。这样使电力二次系统内外网交互的安全防护程度得到有力保障。第三,漏洞扫描技术。漏洞扫描是指基于漏洞数据库,通过扫描等手段进行检测,发现可利用的漏洞的一种安全检测行为。可以使用漏洞扫描工具,根据长期对漏洞分析形成的漏洞库进行匹配检测。
        3.5网络密钥安全防护管理
        通过观察和分析电力系统通信网络的特征,可以得出结论,如果我们要更好地保护电力系统中信息通信网络的安全性,可以通过密钥的组合和应用管理技术,实现密码的管理。最典型的一个是三层密钥系统。在该系统中,它主要由三个级别组成:初级密码,加密密码和主密钥。通过这种分级管理方法,不仅可以提升其上层密钥的安全性,而且其下层密钥可以具有灵活性,可以根据相应的协议要求进行某些更改,从而形成具有动态特征的密钥系统。另外,就网络应用的开放情况而言,仅第一级密钥用于手动实现,其他级别的密钥可以根据相应协议实现自主部署,替换和销毁,从而使得秘密关键自动化管理流程得到进一步加速。专注于密码管理工作不仅有利于确保其系统中各种数据和信息的安全,而且还可以防止黑客入侵和病毒攻击,这有利于增强信息网络系统的安全性。
        结语
        综上所述,电力二次系统需要结合多种防护技术,才能形成完整的电力二次系统安全防护体系,增强电力系统运行的平稳性和安全性。在电力系统运行过程中,一定要做好电力二次系统的安全防护措施,保证电厂与电网调度数据网络中的信息数据安全传输,满足二次系统运行需求。
        参考文献
        [1]孙克建.电力二次系统安全防护策略研究[J].电子制作,2015(6):239.
        [2]王保义,杨丽.基于安全网关的电力二次系统安全防护[J].电力系统通信,2008,29(12):28-32.
        [3]闵芳玲.电力系统二次安全防护策略研究[J].城市周刊,2019(2):59.
       
投稿 打印文章 转寄朋友 留言编辑 收藏文章
  期刊推荐
1/1
转寄给朋友
朋友的昵称:
朋友的邮件地址:
您的昵称:
您的邮件地址:
邮件主题:
推荐理由:

写信给编辑
标题:
内容:
您的昵称:
您的邮件地址: