周泽虹
国网山西省电力公司忻州供电公司,山西省 忻州市034000
摘要:电力监控系统安全防护是电力安全生产管理体系的有机组成部分,无论是变电站监控系统,还是新兴的泛在电力物联网,每一个环节都需要网络安全这道锁进行管控。基于此,本文主要分析了电力监控系统网络安全加固技术。
关键词:电力;监控系统;网络安全加固技术
引言
当前针对电力领域的网络安全威胁与日俱增,攻击手段层出不穷,电网数字化转型正在迅速推进,智能电网正逐步成型,系统的网络安全加固工作刻不容缓,需要将技术与管理相结合,根据电力监控系统的特点,选择适合的加固技术,重视软硬件的国产化,不断进行实践与探索,做好计划、分析、实施、评估工作,实现对网络安全加固全过程的动态管控。
1电力监控系统网络安全管理瓶颈
1.1网络安全管理平台运维经验匮乏
电力监控系统网络安全管理平台的部署运行,为提升管理水平提供了便捷的途径,该系统功能强大,能满足国家相关要求的各项管控功能,但面对新投人的系统,运维人员缺乏管理平台的使用经验,不能有效发挥管理平台应有的作用,迫切需要提升运维经验,从而有效利用管理平台工具。
1.2调度主站安防设备管理粗放
调度主站防火墙、正向隔离、反向隔离、人侵检测、防病毒、纵向加密等16台安防设备管理粗放,缺少相应的运行管理规定。并且普遍存在大网段、不限协议、不限端口等现象,不满足国家相关部委和国网公司规定,不能有效发挥安防设备的功能[1]。
1.3网络安全各类作业不规范
各类业务地址缺少专人管理,地址分配不规范;缺少针对站端业务调试申请管理;业务调试不能严格执行工作票制度;对作业现场调试的厂家技术人员疏于管理,经常出现非法外联,对出现非法外联的违规操作考核执行不严,形成恶性循环。电力监控系统网络安全管理面临诸多挑战,为切实提高管理水平,须采取各个击破的方式,拓展管理思路,创新管理手段,强化政策执行。
1.4人员管理基础薄弱
网络安全管理与技术密不可分,是一项高技术含量且相对复杂的系统性工作。目前网络安全兴起不久,技术积累薄弱,导致调度自动化人员的网络安全保障能力不足,想要提升网络安全管理水平首要任务是加强人员管理,增强运维人员的技术水平。
2电力监控系统网络安全加固方法
2.1变电站网络安全监测设备的信息接入
变电站网络安全监测装置需采集三类设备信息,分别为主机设备、网络设备和安全防护设备:(1)主机设备采集。主机设备采集原则上包含了变电站内所有类型的主机,如变电站后台监控系统主机、保护信息子站工作站、故障录波器主机等,考虑到业务的可靠运行,一般采用相应厂商开发的探针程序(agent),采集操作系统自身感知的安全信息,再通过TCP/IP协议,发送至网络安全监测装置,并由网络安全监测装置作为服务端,监听来自主机设备的连接请求。(2)网络设备采集。网络设备采集主要指站控层及间隔层交换机的信息采集,网络安全监测装置通过SNMP协议采集交换机的安全信息,交换机产生告警事件后,通过SNMPTRAP协议向网络安全监测装置发送事件信息,如网口的UP和DOWN、内存使用情况及告警信息等。(3)安全防护设备采集。安全防护设备采集主要指变电站内防火墙设备、正反向隔离装置等,安全防护设备通过SYSLOG日志格式将数据传送到网络安全监测装置,如果日志格式不符合规范要求,则需要对设备进行升级,提供标准日志或由厂家提供动态解析库,部署到网络安全监测装置上,对原始日志进行解析方可准确上送[2]。
2.2制定安全防护方案
制定安全防护方案,是电力监控系统网络安全防护体系运行的指导依据。在制定安全防护方案过程中,电力企业应按照以下要求进行,包括《电力监控系统安全防护规定》、《电力监控系统安全防护总体方案和评估规范》,并且各地区结合实际情况,还应出台有助于网络安全防护体系建设以及运行的规章制度,包括《发电厂监控系统安全防护方案》、《变电站监控系统安全防护方案》等。上述《规定》和《规范》,可以优化和完善安全防护方案,使电力企业管理人员,按照方案内容开展工作,提升电厂网络安全防护体系安全水平。
2.3网络及电力二次安防设备加固
这一部分的加固工作涉及网络的物理环境与逻辑环境两个层面,包括策略修改、补丁安装及软件升级、硬件设备的增改、系统所处安全区再评估及迁移等。(1)策略修改、补丁安装及软件升级是常规的网络安全加固方式,针对存量网络及电力二次安防设备具有成本低、效率高的特点,具体内容包括:以最小权限开放IP地址及端口,置顶黑名单与封堵高危端口,部分业务通道开启加密方式传输、安装设备补丁、升级设备软件及网络安全设备特征库等。(2)硬件设备的增改,网络安全技术日新月异,适度的增加或改变网络与安防设备,对抵御新的网络安全风险有立竿见影的效果,具体内容有:网络边界增加入侵防御系统,在生产控制和管理信息大区部署网络安全态势感知装置、移动介质管控平台及防病毒管理中心,将生产控制II区纵向互联防火墙更换为电力专用纵向加密认证装置等[3]。
2.4数据库及中间件加固
数据库与中间件作为两大支撑软件,是信息系统的基础。中间件运行在操作系统与应用软件之间,它以底层操作系统的基础服务为支点,实现资源与服务的共享,为上层应用提供数据管理、消息传递、应用服务等支撑功能,常见的中间件软件有WebLogic、IIS、Tomcat等。数据库管理系统也是一种重要的系统软件,它通过管理与操纵数据库,为用户提供数据的定义、存储、维护等服务,常见数据库主要以关系数据库为主,主要有Oracle、SQLSever、MySQL等。电力监控系统运行于中间件之上,与数据库进行实时交互,没有此二者的安全,就没有系统的网络安全。针对数据库与中间件的加固,主要是从账号、口令、服务、权限、系统补丁等方面着手,具体内容为修改或禁用默认账号、删除或禁用不必要的用户、设置密码策略符合复杂度要求、登录失败处理设置、禁用多余服务以提升系统安全性与效率、账号授权采用最小化权限原则、保持系统补丁及时更新。
2.5视频监控系统联动,全面定位网络事件
充分利用变电站视频监控系统的实时及历史浏览功能,结合网络安全事件信息,对全站运行环境进行全面判断。多角度、立体式检查事件发生前后人员进出情况。利用安装在变电站各个角度的摄像机对生产设备和环境安全进行监控,并将监视目标的动态图像传输到监控中心,监控中心可以对摄像机进行控制和录像。监控中心、变电站运行维护人员通过视频监控主机即可对变电站监控范围的目标区域中设备或现场进行监视,同时可以通过主机对镜头进行控制,包括左右、上下、聚焦、变焦、画面切换等动作。根据授权,监控人员可以调用历史录像进行查看,从而对发生的网络安全事件进行有效监视[4]。
结束语
电力监控系统的安全防护体系是保障电力监控系统安全运行的重要支撑。为应对日益严峻的网络安全形势,拟从管理、技术、人员三要素入手,聚焦新一轮科技革命和产业变革中呈现的新业务、新业态、新模式,研究通过部署攻防渗透平台及动态完善应用场景,在安全边界、网络通道、业务系统三个层面上筑牢由外至内的三道网络安全防线,全面提升电力监控系统安全防护水平。
参考文献
[1]章伟华.电力监控系统网络安全防护探讨[J].信息记录材料.2017(06):121-123.
[2]胡倩云.电力监控系统网络安全防护体系建设[J].技术与市场.2020(04):95-96.
[3]陈正.电力监控系统网络安全防护体系建设[J].电工技术,2019(03).
[4]饶巨为.电力监控系统二次安全防护探讨[J].通信电源技术,2019,36(6).