山东天景工程设计有限公司 山东淄博 255000
摘要:随着计算机控制和网络通信技术的迅速发展,变电站从传统的变电站转变为整合的自动变电站。 特别是近年来,变电站迅速进入数字化和智能化阶段。 随着现代科学技术的飞速发展,电力调度自动化系统中的网络安全隐患日益突出。 这要求我国电力部门认真对待、深入研究,及时采取安全保护技术手段,并建立严格的安全管理措施,确保电力调度系统和电力系统的安全。
关键词:调度自动化;网络安全;防护系统
一、电力调度自动化系统网络面临的威胁
近年来,调度自动化系统从最初的单一能源管理系统EMS扩展到一系列能源管理系统EMS、配电自动化系统DMS、工厂和车站自动化、供水自动化、继电保护管理系统和调度生产管理系统。 作为电力生产系统的主体,电力调度自动化系统中的数据网络对实时性能有很高的要求,通常以秒或毫秒为单位,需要确保绝对的安全性。 但是,由于营销度量系统和市场信息发布系统需要上网,网络攻击越来越频繁,所以生产控制系统和营销系统之间迫切需要绝对的信息隔离。
随着我国电力系统中变电站的迅速发展,从具有单个机组保护的常规变电站到集成自动化站,再到数字化变电站和智能变电站,对电力调度自动化系统的安全威胁也在发生变化。 以原始公共综合自动化站和智能变电站为例。 电力调度自动化系统使用具有专用通道的独立网络,但也存在信息泄露、完整性损坏、非法使用、窃听等常见的信息安全问题。 重要的网络仍有旁路。 主要安全威胁,如控制,拒绝服务,违反授权,员工的任意行为,拦截/篡改,欺骗和伪装等。主要体现在以下几个方面。
1.缺乏统一的企业安全管理策略
如职责划分、权限管理、类型限制、恢复策略、跟踪审计、用户管理等。
2.操作系统的安全性
目前,很多种类的操作系统都存在不同程度的漏洞,以及第三方软件的漏洞。
3.安全产品的安全性
一些网络安全设备本身会带来安全问题,如入侵检测系统、入侵防御系统、防火墙等产品。如果不打开产品配置或不设置策略,内网中的主机也会受到攻击。
4.内部敏感信息的泄露问题
最危险的网络攻击行为来自企业内部,防止内部敏感信息泄露是信息安全策略的核心。
5.网络协议本身缺乏安全性
如 ARP、TCP/IP 网络协议、路由协议(OSPF、RIP、BGP 协议等)
二、电力调度自动化系统的网络安全防护技术
(一)基于系统结构的安全技术
1.访问控制技术
访问控制技术的主要任务是限制对关键资源的访问,防止未经授权的用户访问系统或使用超出合法用户权限的系统资源。 访问控制技术是确保网络安全的核心策略之一。 ISO将访问控制技术定义为网络安全标准ISO7498-2中分层安全服务的重要组成部分。 当前的访问控制技术主要包括自由访问控制DAC、强制访问控制MAC和基于角色的访问控制RBAC。
2.防火墙技术
防火墙是一种特殊的网络互联设备,可以由硬件、软件和硬件组成。 有些人被称为“网守”。 指防火墙的功能。 防止外部网络用户非法访问内部网络、破坏或非法访问内部网络资源、保护内部网络环境、加强网络之间的访问控制。
防火墙技术可以分为包过滤类型和代理类型。为了检测单个报文,根据报文的源地址,目的地址,端口号,协议类型和其他要求,制定了过滤策略,以确定报文是通过还是丢弃。这是数据包过滤防火墙技术。顾名思义,代理防火墙是通过代理程序实现访问。用户需要获得代理程序的同意才能获取由代理程序发送的外部服务器信息。
虽然包过滤防火墙的安全级别低于包过滤防火墙,但它可以避免大量代理所造成的管理困难,不会对数据传输速度产生显著影响。目前,防火墙产品整合了这两种技术的优势,充分发挥两者的优势,同时可以在内外网络中布置防火墙。
3.入侵检测技术
随着网络规模的扩大,网络的复杂性也在增加。 传统的静态安全策略缺乏应对无中断网络攻击的主动性。 在某种程度上,它不能满足网络安全的需要。 与传统的静态安全技术不同,入侵检测技术是一种广泛使用的动态安全技术。 不仅可以全面监控网络、主机和应用程序的运行状况,还可以主动判断网络中的入侵并采取对策。 通过实时监测和检测网络的动态安全周期可以大大提高系统的安全性。
总之,入侵检测技术就是实时分析网络或主机特征点上的相关信息,如果分析存在入侵或违反安全策略,则采取积极措施,将危害降到最低,确保网络和系统不受攻击。
根据入侵检测系统的结构和监视策略,可以将其分为三种类型:主机类型(HIDS),网络类型(NIDS)和混合类型。基于主机的入侵检测系统的误报率最低。它主要检测是否存在明显的入侵,并根据网络连接和检测到的主机的日志来判断是否存在攻击。基于网络的入侵检测系统可对入侵做出快速响应,并经常用于重要的网络中。它用于监视数据并分析可疑数据的特征。一旦发现有违反安全规则的行为,它会迅速报警甚至自动断开网络。混合入侵检测系统综合了上述两种系统的优点和缺点。在同一网络中,它不仅可以检测可疑数据,还可以发现异常日志,大大提高了主机和网络的防御能力。无论什么样的入侵检测系统都需要维护一个特征库,因此入侵检测系统未来的发展方向是实现智能入侵检测系统的自学习和自完善,这将大大减轻网络管理员的负担和网络管理成本。
(二)基于通信数据的安全技术
1.信息加密技术
信息加密是保持数据机密性的唯一技术手段,可防止未经授权的用户以极低的成本截获和检索原始文本。要加密的数据通常包括密码、文件和控制信息。有三种常用的网络加密方法:连接加密、端点加密和节点加密。网络节点之间链路数据的安全性依赖于链路加密,源和目标最终用户之间的信息加密依赖于端点加密。节点加密可保护源节点和目标节点之间的传输链接。不同的加密算法可以提供不同级别的保护。
2.物理隔离技术
在人们充分享受信息共享的同时,如何保护一些保密性较高的数据和网络?这就产生了物理隔离技术。物理隔离技术实现了计算机硬件设备与网络的接入断开。事实上,物理链路是通过隔离技术互联的,这保证了计算机不受来自网络的大量攻击。
物理隔离技术经历了双网双机、双硬盘、单硬盘和基于服务器四个发展阶段。在双机双网阶段,一台主机中有两套完全独立的物理主机。为了克服双机双网环境下信息交换的困难,采用了双硬盘。在双硬盘阶段,使用不同的硬盘连接不同的网络,避免硬盘之间的数据交换;在单硬盘阶段,一个硬盘由不同的操作系统控制,方便用户在访问不同的网络时进行切换;在服务器阶段,服务器端实现网络隔离,在快速处理数据的基础上实现物理隔离。
物理隔离技术也存在一些亟待解决的问题,即电子开关等物理设备的使用寿命有限,影响后期的数据交换率,以及如何在隔离数据的传输过程中检测数据的安全性。这些问题的解决将有助于物理隔离技术的实质性发展。
三、提高电力调度自动化中的网络安全措施
(一)提高电力企业人员的综合素质
在维护电网安全的过程中,电力企业人员的素质起着重要作用。只有员工拥有自己扎实的专业技能,他们才能维护整个网络的安全运行。同时,电力企业人员的综合专业素质也很重要。实际上,为了增强网络安全性,我们都需要从我们自己的行为入手。公司本身可以为其人员提供专业培训,以便电力公司的员工对工作中遇到的问题有清晰的了解,同时他们可以进行知识竞赛讨论。只有提高电力企业人员的素质,才能从根本上消除网络安全隐患,为网络安全问题提供正确的解决方案。
(二)完善管理制度
管理系统的完善与网络安全本身有很大关系。首先,我们需要聘请具有专业素质和专业技能的专业人员来维护整个网络安全。如果有专门的人员来测试网络安全,那么我们维护网络安全的道路就会更加平坦。二是让专业人员管理设备,实行责任到人。第三,平时要警觉险情,对可能出现的安全问题要做好应急预案,使问题一旦发生,尽最大努力把损失降到最低。
(三)加强技术管理和软件管理
如果许多电力公司想提高电力调度网络管理的安全性,可以从以下几个方面入手: 首先,分割整个电网系统,必要时使用加密通信技术,将电网与外部有效隔离。 其次,利益相关方需要备份重要的网络数据,以防止因突发数据丢失而带来的不便,并提供良好的保护。 第三,网络系统中经常使用调度程序。 使用软件时,必须按照相关规定进行操作。不同职位的人员有不同的权限,必须注意。
结论
为了保证网络安全,必须将多种网络安全技术结合起来,以形成完整高效的网络安全体系。 另外,仅由网络安全技术构成的网络安全系统是不够的。 为了形成技术和管理两种方法必须改进网络安全管理系统 因此,电力公司必须从人员、技术、设备等方面实现电力调度自动化系统的网络安全,促进电力公司的健康持续发展。
参考文献
[1]陈显超.关于电力调度自动化网络安全防护系统的研究[J].数码设计(下),2020,9(7):42.
[2]郝一楠.电力调度自动化网络安全防护系统的研究与实现[J].百科论坛电子杂志,2018,(21):598.
[3]李智勇.电力调度自动化网络安全防护系统的研究[J].中国新技术新产品,2016,(15):180,181.