张国健
内蒙古东部电力有限公司赤峰供电公司 内蒙古 024000
摘要: 电网作为我国最重要的关键基础设施,如何设计有效的新能源关键信息系统的防护方案,保障新能源安全的并入国家电网,是一项比较大的挑战。风力发电因环保、能量储蓄大、资源丰富等特点,受到全球各国的广泛重视。目前我国的风力发电每年的发电量全球排名第一,风力发电不仅解决了日益增产的能源需求,同时有效的保护了我国的自然生态环境。本文分析了电力监控系统中已经出现的网络安全疏漏,并提出了电力监控系统网络安全防护技术应用措施,进行了一体化、一致性的安全设计,同时对其他新能源的并网的安全防护建设进行了展望。
关键词: 网络安全防护; 电力监控系统;应用
引言
我国电力系统的运营和管理主要依靠自动化信息系统,结合人工操作来完成的,使得电力系统不得不面临信息通信网络安全问题,因此,为了持续推进我国电力系统运作水平的发展,工作者应当深入分析信息通信网络安全问题,并采取有效防护措施,增强电力系统的稳定性,提高企业供电质量。
1电力监控系统中已经出现的网络安全疏漏
1.1网络安全防护技术水平较差,对网络安全的重视程度偏低
实际上,整个电力监控系统是非常繁杂的,涉及到的内容非常多,想要电力监控系统百分之百安全本来很难,再加上工作人员不重视,整体的网络安全防护技术水平偏差,进而导致安全防护工作不到位,电力监控系统仍然受到众多安全问题的影响。
1.2 网络安全防护工作实施效率低
首先,大部分进行相关工作的工作人员,不会更改系统中自带的比较容易记住的口令,而且经常以远程操作的方式进行一系列工作,导致很多口令和密码都被泄露出去,进而使得电力监控系统出现严重的安全隐患。电力监控系统在运行过程中需要大量的工作人员,如果不严格监管,那么很容易将口令密码泄露出去。其次,现在很多电力网络系统仍存在系统风险,比如实际设备和系统台账连接失误,导致机密外泄,监管力度不到位,工作人员并没有担负起自己应付的责任,最终导致电力监控系统出现非常多的网络安全问题。
图1 厂站端安全状态采集工作示意图
1.3泛在电力物联网通信安全现状
在智能电网建设的不断推进中,“大云物移智链”等高新信息技术的应用,使得电力系统中泛在电力物联网通信机制日趋完善,但在通信网络安全方面,摄像头、无人机、充电桩、巡检设备等物联网终端,尚处于“裸奔”状态,如果出现了恶意攻击行为,则会形成大面积的损失,例如:电力系统中的充电桩,由于充电桩同时与用户和后台通信网络交互,因此,恶意代码可以通过充电桩直接影响到通信系统,危害电力系统的安全运行。此外,在信息时代的发展中,通信网络已经成为国家之间的重要对抗空间,使得未知、定制化的恶意代码层出不穷,导致电力系统面临着严峻的通信网络安全问题。
2电力监控系统网络安全防护技术应用措施
2.1建设网络安全监测和态势感知系统
近两年,国网和南网均开展了大规模的网络安全监测和态势感知系统的技术研究、产品开发和工程部署工作,实现网络安全监管从调度中心向厂站端的延伸,将数量众多的变电站和电厂涉网的保护监控网络的安全状态纳入监管范围,大大增强了电网对二次监控系统网络安全的监视和管控能力。新扩的电网监控安全状态监测的采集范围覆盖到监控主机、保护测控等嵌入式装置、防火墙隔离等二次安防设备,以及网络交换机,并将告警信息、突发事件、周期状态等数据上送到调度侧的网络安全态势平台。部署到厂站端的安全采集装置工作如图2所示。
2.2强化入侵检测技术,加强电力系统网络安全性
入侵检测技术简单来说就是指对电力监控系统中的各项重要信息和数据进行日常分析和检查的技术,在分析研究的过程中,就会发现电力系统有没有异常情况或者其中有没有恶意代码。入侵检测技术的最大作用就是发现电力监控系统中出现的各种异常情况并向工作人员发出警报。这也同防火墙一样,是一项有效提升网络安全的手段。入侵检测技术共有两种,一个是对主机进行检测,一个是对网络进行检测。应用入侵检测技术,可以明确电力监控系统主机的具体情况,查看信息数据有没有受到入侵。另外,检测网络安全情况的相关技术是比较简单方便的,只需要检测登录、审计等环节,就可以了解到网络安全情况。入侵检测技术同其它安全检测技术是有一定差别的,属于主动进行安全防护的技术。完整的入侵检测技术打造出来的入侵检测系统,是依据各种入侵行为的实际特点,所制定的对策,实时监控网络安全运行情况,一旦发现网络安全遭到破坏,会以最快的速度发出警报。
2.3研究可信计算技术在安全防护上的应用
可信计算技术是网络安全等级保护2.0的重要内涵,也是电力监控安全防护体系进入第三代的关键需求。网络安全的主动性防御能力主要体现在自主可控、可信计算、态势感知分析上。传统的二次安防架构中以边界防护部署的被动防御为主,对于日益增多且多变的网络安全未知性攻击,缺乏对设备底层开始到设备间通信的主动信任的防护体系架构研究,对保护监控等关键设备缺少基于可信免疫机制的主动安全设计和实现。当前的一个重要工作是研究电力保护监控场景下设备的可信主动安全技术,掌握可信架构设计,并研制继电保护、测控装置、通信网关机、监控主机等关键设备,实现安全启动、操作系统可信加载、可信程序调用、运行一致性度量、可信安全监测等高安全性的主动防御功能,建立保护监控关键设备对未知网络攻击的核心防护能力,从而大幅度提高电力保护监控系统的运行安全可靠性。近期,国网正在开展服务器工作站的可信方案验证和检测,计划在调度端监控系统中首先推行基于可信的监控主机本体安全设计,并在将来向厂站端推广。
2.4电力 专用安全防护设备
支撑电力监控系统的电力调度数据网采用专用网络建设,网络边界防护极其重要,也容易成为各种网络攻击的突破口。在电力调度数据网纵向网络边界上,应在网络出口部署电力专用纵向加密认证装置或硬件防火墙,并严格限定安全设备访问策略,阻挡大部分外部非法访问、病毒入侵以及恶意代码攻击。将纵向加密认证装置和硬件防火墙的日志接入网络安全管理平台,可发现网络非法访问、异常流量以及恶意攻击等威胁。在电力监控系统横向边界上,根据业务需求可采用不同隔离强度的网络安全设备,有效地保护各安全区中的业务系统。生产控制大区与管理信息大区之间则采用电力专用横向单向隔离装置使得电力生产网络与管理信息网络物理隔离,并严格限制数据流的方向;管理信息大区内部信息系统数据交互采用硬件防火墙隔离。纵向加密认证装置接入网络安全管理平台后,采集设备的运行状态以及隧道运行情况,以及基于隧道之上的安全策略信息进行监视,纵向加密认证可部署在网络出口处,从而发现网络边界和网络内部的异常现象并及时报警,告知网络安全人员前来处理。
结束语
电力监控系统网络安全是一个系统性的、整体性的问题,系统中任何一个漏洞或威胁都有可能造成全网安全问题,必须遵循电力行业安全防护原则和要求,切实做好分层分区,突出重点、强化边界网络安全防护。通过系统性的安全加固、指定行之有效的网络安全管理方法,落实工作人员安全意识等措施,提高电力监控系统运行安全性与稳定性。电力调度数据网络的建设与应用在给调度应用带来高效率的同时,也必然存在着各种安全风险和威胁。
参考文献:
[1]王晶晶,李世昌,杨敬沫.网络安全监测装置在抽水蓄能电站的应用[J].水电站机电技术,2020,43(12):45-46+80.
[2]李伟.电力监控系统网络安全管理平台设计[J].电子世界,2020(22):176-177.
[3]王中,李晗宇.新能源电厂电力监控系统安全防护的设计分析[J].林业科技情报,2020,52(04):137-138.
[4]汤超.浅析电力监控系统网络安全监视体系建设[J].机电信息,2020(32):142-143.
[5]郭丰.电力监控系统网络安全加固技术探讨[J].网络安全技术与应用,2020(11):132-134.