丁俊峰
天地(常州)自动化股份有限公司 江苏省 常州市 213015
摘要:电力监控系统安全防护是电力安全生产管理体系的有机组成部分,无论是变电站监控系统,还是新兴的泛在电力物联网,每一个环节都需要网络安全这道锁进行管控。鉴于此,本文主要分析电力监控系统网络安全。
关键词:电力监控系统;网络;安全
中图分类号:TU75 文献标识码:A
1、引言
电力系统包括从发电、输电、变电到用电的各个生产单位及个人,要保证整个电力系统安全、稳定且连续不间断地运行在最佳状态,就必须要保证整个电力系统内所有生产单位的设备,都处于正常稳定的运行状态。这就必须要对电力系统各个生产单位的设备运行状态,实时进行不间断地监视或调整控制。
2、电力监控系统网络安全概述
2.1、电力监控系统定义
电能是一种重要的二次能源,随着电力系统自动化水平不断提高,以及数字电网的推进,如今电能生产、传输与消费等环节都依赖于电力监控系统。电力监控系统是电力工业的重要组成,是指用于监视、控制、管理电能生产及供应过程的、基于计算机与网络技术的信息系统,是电力技术、计算机技术、网络技术有机结合的产物。它主要包括能量管理系统、配电自动化系统、电力数据网、通信网管系统、电厂及变电站监控系统等。
2.2、电力监控系统网络安全风险
作为关键信息基础设施,我国对电力监控系统所处的网络结构有明确的规定,将网络划分为生产控制大区和管理信息大区,根据所承载业务的性质,进一步将生产控制大区细分为控制区、非控制区,即安全I、II区,管理信息大区则细分为生产管理区和信息内外网区,即安全III区、IV区和V区。生产控制大区和管理信息大区之间用电力专用隔离装置进行物理隔离,两个大区内的小区之间使用防火墙进行逻辑隔离,电力监控系统按要求部署在安全I、II、III区。这样的划分保证系统处于一个闭合的网络环境,使系统具备一定抵御外部网络安全威胁的能力。但软硬件自身的漏洞、不合理的策略配置、恶意代码及计算机病毒的摆渡攻击、安全管理的缺失都使电力监控系统安全防护存在木桶效应,面对的网络安全风险不容乐观。
3、电力监控系统网络安全防护现状
国电力监控系统网络安全防护体系建设现状如下:第一,我国先后颁布相关规定,包括《电网和电厂计算机监控系统及调度数据网络安全防护规定》、《电力二次系统安全防护规定》、《工业控制系统信息安全防护指南》,基于上述《规定》,我国实施多项网络安全控制管理措施;第二,在2017年我国颁布《中华人民共和国网络安全法》,对电力监控系统网络安全体系建立提出明确的要求,使我国原有的电力监控系统网络安全防护体系建设方式以及体系运行模式发生较大的变化;第三,我国为加强电力行业生产管理,由工信部出台的《工业控制系统信息安全防护指南》明确指出,要求电力监控系统网络安全防护体系必须具备动态实时感知功能,借助动态实时感知功能,可以提升网络安全升级能力,根据网络环境的变化,使安全防护体系升级至最高管理;第四,我国各地区电力企业加大管理人员的培训力度,培养出更多的网络安全管理人员,从事电力监控系统网络安全防护体系的建设与管理工作,使电力监控系统处于稳定的运行状态。
4、电力监控系统网络安全分析
4.1、电站安全防护体系建设
第一,制定安全防护方案、网络安全应急预案,并采用安全防护责任制,要求各个岗位的工作人员必须肩负管理责任,按照安全防护方案开展变电站安全管理工作,如果发生紧急情况,变电站应启动应急预案,将产生的危害控制在合理的范围内;第二,加大电压等级纵向加密管理工作,工作目标主要与35kV以上电压有关,在纵向加密工作中,采用远程管理技术,在平面一区和平面二区,建立纵向加密体系,使变电站电力监控系统处于加密远程控制的状态下运行;第三,建设35kV以上安全监测管理体系,坚持设备自身感知原则、检测装置实时采集原则、平台统一管控原则,使变电站安全防护体系运行更加规范,避免出现安全问题。
4.2、变电站侧部署网络安全监测装置
网络安全监测装置是指部署在变电站站控层或并网电厂的电力监控系统,用于采集变电站站控层或发电厂涉网区域的服务器、工作站、网络设备和安全防护设备的安全事件,并转发至调度端网络安全管理平台的数据网关机。
现阶段,变电站网络拓扑大体可以分为安全I、II区通过防火墙互联,安全I、II区无防火墙连接及无安全II区三大类。第一类仅需部署1台设备于安全II区,第二类则需在安全I区和安全II区各部署1台设备,第三类则需在安全I区布置1台设备。目前应用较为广泛的是第一类,即部署1台II型网络安全监测装置于II区,接入双路不间断电源、GPS对时信号,并将装置自身告警信息接入测控装置并通过远动装置上送调度端。
4.3、变电站网络安全监测设备的信息接入
(1)主机设备采集。主机设备采集原则上包含了变电站内所有类型的主机,如变电站后台监控系统主机、保护信息子站工作站、故障录波器主机等,考虑到业务的可靠运行,一般采用相应厂商开发的探针程序(agent),采集操作系统自身感知的安全信息,再通过TCP/IP协议,发送至网络安全监测装置,并由网络安全监测装置作为服务端,监听来自主机设备的连接请求。
(2)网络设备采集。网络设备采集主要指站控层及间隔层交换机的信息采集,网络安全监测装置通过SNMP协议采集交换机的安全信息,交换机产生告警事件后,通过SNMPTRAP协议向网络安全监测装置发送事件信息,如网口的UP和DOWN、内存使用情况及告警信息等。
(3)安全防护设备采集。安全防护设备采集主要指变电站内防火墙设备、正反向隔离装置等,安全防护设备通过SYSLOG日志格式将数据传送到网络安全监测装置,如果日志格式不符合规范要求,则需要对设备进行升级,提供标准日志或由厂家提供动态解析库,部署到网络安全监测装置上,对原始日志进行解析方可准确上送。
4.4、视频监控系统联动,全面定位网络事件
充分利用变电站视频监控系统的实时及历史浏览功能,结合网络安全事件信息,对全站运行环境进行全面判断。多角度、立体式检查事件发生前后人员进出情况。利用安装在变电站各个角度的摄像机对生产设备和环境安全进行监控,并将监视目标的动态图像传输到监控中心,监控中心可以对摄像机进行控制和录像。监控中心、变电站运行维护人员通过视频监控主机即可对变电站监控范围的目标区域中设备或现场进行监视,同时可以通过主机对镜头进行控制,包括左右、上下、聚焦、变焦、画面切换等动作。
5、结束语
现阶段各领域对电力能源的需求量不断增加,电力是人们正常生活和工作重要能源之一,我国十分重视电力能源的安全管理,在安全管理工作中投入较多的精力,其中应用现代化技术,建立电力监控系统网络安全防护体系是有效途径之一,并且我国制定相关的法律法规以及管理条例,用于规范电力系统运行与管理,同时应对电力系统存在的安全问题以及违法行为,保证供电网络以及电力监控系统处于安全的运行状态。
参考文献:
[1]王辉煌.浅谈电力监控系统网络安全防护问题[J].电子世界,2020(04):202.
[2]陈铁铮.电力监控系统网络安全防护现状及建议[J].通信电源技术,2020,37(04):109-110.
[3]肖汉生,张桂玲,李育龙.电力监控系统网络安全管理平台的建设及应用[J].电工技术,2019(20):49-50+52.