张 磊
国网博尔塔拉供电公司 新疆博尔塔拉蒙古自治州 833400
摘要:当前电力事业发展迅速,电力二次系统运行为电力调度生产工作提供了有力支持,提高二次系统安全防护体系运行水平,能够有助于生产管理的安全发展。文章通过对二次系统安全防护进行分析,探讨电力二次系统安全防护体系运行的有效策略。
关键词:电力二次;二次系统;安全防护;防护体系
引言
电力二次系统是指由各级电力监控系统、调度数据网络(SPDnet)、电力数据通信网络(SPTnet)、各级电网管理信息系统(MIS)、电厂管理信息系统及电力通信系统等构成的复杂系统。电力二次系统的安全防护是电力系统安全平稳运行的基本条件,当下因网络安全问题引发的网络袭击而导致供电事故的案列屡见不鲜。
1二次系统安全防护
电网调度自动化系统收集和监控是整个电网系统的主要任务,这关系到电网的数据分析和发电控制等方面。在电网中,电网调度自动化系统中有很多个电网子系统,子系统之间都有着密切的关系。假定一个子系统出现故障,整个系统的数据都会产生一定的偏差,故而会对电网的有关工作人员掌握信息的准确度产生极大的影响。基于相关的资料剖析,电力调度自动化二次系统安全防护旨在使整个电网系统的安全得到保障,防止外部边界攻击以及禁止黑客用户访问电网内部系统等行为。电力调度自动化二次系统安全防护使电网系统能够抵御攻击、危险远离,并可以达到实时监控相关数据的目的,最终使电网系统安全得到保障。
2电力二次系统目前存在的风险
由于电力二次系统在电力系统中处于非常重要的地位,目前电力二次系统存在面临的安全风险主要包括旁路控制、破坏完整性、违反授权、工作人员管理或操作有误、信息泄漏、非法使用、拦截、篡改、欺骗、伪装、拒绝服务、窃听等;主要由以下原因引起:第一,电力系统及业务更新,但网络防护设备和技术并未相应跟上;第二,目前防御仍以被动防御为主,不能在发生之前检测并阻止;第三,加密及认证机制、预警机制、漏洞扫描等技术不完善;第四,病毒库更新方式不科学且效率低,缺乏实时性、主动性;第五,安全防护目标、策略和体系不健全,安全管理各项制度政策不完善;第六,分区后的各区之间对数据进行统一管理困难。
3电力二次系统安全防护体系运行策略
3.1安装入侵检测或防护系统
入侵检测系统指的是通过旁路监听方式不断接收网络数据,并判断其是否存在攻击性,能够通过多种手段向管理员报警。入侵检测系统作为网络安全的第二道防线,则是防火墙的必要补充,构成完整的网络安全解决方案。因此,在电力二次系统生产控制大区的控制区和非控制区的交界处和内部,可以分别部署若干个IDS探头,能够有效地对两个区域的恶意攻击行为进行监控。另外,由于入侵检测系统是一种被动的检测系统,在被攻击前很难预先发出警报,不能有效地阻挡攻击。所以需要在控制区和非控制区之间应用入侵防护系统,预先对入侵活动和攻击型网络数据进行拦截,避免对电力二次系统造成损失。
3.2VLAN技术的应用
有文献详细介绍了VLAN技术在电力二次系统中的应用,指出在生产控制大区一个生产控制系统对应于一个接口单元,该接口单元采用一个支持端口VLAN划分的交换机,该交换机不能访问每个接口单元,以避免各系统相互影响。数据库服务器、交换机、接口单元部署在安全区Ⅱ中,而管理信息大区的安全区Ⅲ/Ⅳ部署了一个数据库镜像服务器来访问MIS,实现数据库服务器和数据库镜像服务器的实时同步传输。由于在两个大区间进行访问,在大区之间部署单向专用安全隔离设备以确保数据单方面传输,并使用双隔离设备热备份来提高网络的高可用性和数据实时性。
3.3安全管理技术的应用
安全技术措施着眼于隔离和防护等安全技术方法和措施,把控作业关键环节,发现作业人员行为不规范时,技术措施起强制作用,从而有效保障现场作业的人身安全以及电网、设备和信息安全。紧扣各类作业特点,对关键环节用技术措施进行把控。在电力通信、监控和信息等二次系统作业时,以保障系统安全、业务安全和数据安全为主线,通过授权、备份和验证等技术措施来防范事故风险。第一,授权。作业前作业人员必须通过身份验证,获得系统的检修账号,取得相应的检修权限,以确保检修作业合法、可追溯。第二,备份。作业前对工作中可能受到影响的业务数据(包括数据库)、配置文件、系统参数、日志文件等进行备份,确保检修过程发生异常时系统可恢复。第三,验证。作业前检查、确认检修对象及受影响对象的运行状态与检修方案一致,确认受影响的业务、组件、设备等可中断或已转移,确认所需使用的新版本软件、补丁等与原系统环境兼容等。
3.4安全分区
安全防护系统可以划分为生产控制大区和信息管理大区。生产控制大区又可分为控制区(安全区1)和非控制区(安全区2)。控制区直接纵向的调度电力信息数据和专用通道,是电力防护系统的重点和核心。非控制区是电力运行不可缺少的地方,可以在线运行,但不具有控制功能。信息管理大区即信息管理系统,分为内部网数据调度系统,内部电话及网络系统,调度管理系统等。监控系统控制区的设备主要有:厂级分散控制系统(DCS系统,该系统位于控制区,分为机组单元控制,自动发电控制,辅机控制,机组保护和公共系统等),轮机控制系统(TCS),自动电压控制系统(AVC),厂级信息监控系统,升压站监控系统,相量测量装置PMU,自动发电控制系统(AGG),变电站自动化系统。位于非控制区的有:故障录波系统RTU和电能量采集装置。其中,DCS、TCS、厂级信息监控系统、火警探测、管理系统都是变电站内部监控设备,其它设备是与调度中心有关的监控系统。
3.5强化企业内部的安全网络工作
电力企业要增强安全防护意识,自上至下推动电力二次系统安全防护工作的开展,保证各个部门严格遵守二次系统防护方案落实工作,在企业内部做好电力二次系统安全制度的宣传工作,不断增强工作人员的安全意识,并对员工进行相应培训,提升工作人员的业务能力和责任感。另外,电力企业管理部门需要定期对电力二次系统的防护体系进行安全性风险评估,在评估过程中尽量保证专业性的细致检查,对各项安全措施进行全面的检查,有效落实相应的管理制度,才能保证真正发现电力二次系统中存在的安全隐患,并制定出合理的解决方案,对其进行整改和完善。
3.6取证技术
取证技术主要用于系统被入侵后进行攻击者的信息取证收集。动态取证技术是通过实时数据分析,在受到攻击时切断连接或者采取诱敌深入的方式进行取证。动态取证依靠入侵检测系统与蜜罐技术的紧密结合,对数据进行实时分析和获取,在保证安全的情况下获取大量证据。通过在受保护的主机上安装代理服务器,这样当黑客入侵时,对于黑客对系统的操作和对文件的盗取和破坏等行为,系统和代理服务器会产生相应的日志文件加以记录,并将恢复后的日志文件传输到取证机上进行备份保存。在检测到非法入侵和恶意行为时,利用IDS收集证据,将计算机取证结合到入侵检测等网络系统结构中进行动态取证。
结语
综上所述,随着时代的发展,电力系统电网自动化的现代二次系统在国民生活中起着重要的作用。为了确保电网运行的安全和稳定,需要不断完善相关制度,加强公司员工的责任安全意识和忧患意识,优化数据备份管理系统,其实提高网络运行环境,注重防火墙、杀毒等方面技术的引入,提高系统运行水平,完善电力二次系统的整体效果。
参考文献
[1]闵芳玲.电力系统二次安全防护策略研究[J].城市周刊,2019(2):59.
[2]侯红梅.浅谈电力调度自动化运行中的网络安全问题及解决对策[J].中国高新技术企业,2017(1).
[3]邬伟波.二次系统安全防护技术在电力配网调度自动化中的运用研究[J].机电信息,2019(35):125.