杨洋
贵州电网有限责任公司毕节大方供电局 贵州毕节市 551600
摘要:目前,社会进步迅速,我国的店里行业建设的发展也有了创新。基于电力监控系统网络安全防护原则与发展现状,针对实际工作中暴露出的问题和缺陷,紧密结合电力监控系统网络安全运行监控需求,从综合数据分析、安全事件推理、决策支持以及应急处置等层面进行智能分析管控研究,提出策略建议,提高整体安全防护水平。
关键词:电力监控系统;安全防护管理;方法分析
引言
随着网络技术及通信技术等现代科技与电力监控系统的深入对接,使得电网自动化与智能化管理水平逐步提升。尤其是在国家大力提倡信息安全重要性的发展背景下,更应当加大对电力监控系统的安全防护管理创新。作为安全防护管理团队,应当加强实践经验总结,积极引入新的管理理念与手段,确保电力监控系统安全稳定运行。
1电力监控系统网络安全防护
1.1?概述
电力监控系统是指用于监视和控制电力生产及供应过程、基于计算机及网络技术的业务系统及智能设备,以及作为基础支擋的通信及数据网络。木桶理论决定了整体安全防护水平是由系统中最薄弱环节的水准决定的。对电力监控进行体系化的安全保护十分必要,为了防止黑客利用噪声系统漏洞和对企业系统后门的恶意入侵,并防止使用计算机病毒或恶意代码实施的破坏和攻击,从而导致电力监控系统被劫持或沦陷,造成对电力系统生产安全运行的危害。我国电力监控系统安全防护在十数载不断地强化完善过程中,已经实现了从静态布防到动态管控的转变。电力监控系统从安全防护技术,应急备用措施和全面安全管理三个方面构建了三维立体的安全防护体系。
1.2?安全形势与发展现状
电力监控系统是支撑电力系统安全稳定运行和电力可靠供应的重要手段,随着网络规模急剧扩大化和网络空间的一体化的趋势,针对电力监控系统网络安全的管控愈加复杂。从国际形势上看,世界范围内发生网络战的概率不断增大,网络安全对抗与攻击愈加激烈,网络攻击具有手段隐蔽、攻击成本低、取证困难等特点,能够对企业生产运营、企业名誉甚至对社会和国家层面造成重大影响.
2安全防护管理现状
2.1体系结构不合理
发电厂等场所的安全防护设备配置,俨然达不到安全防护要求,普遍存在防护装置安全性能低与漏配安全防护装置或网络边界未使用防护装置等问题,尤其是在防护设备的安全加固对策方面,普遍存在设置过大的账号权限与未关闭空闲端口及弱口令等问题。
2.2忽视运行维护
网络安全设备的基本巡检与功能巡检频次低。网络安全装置未编制事故预防措施,反事故的能力相对较低。在制定网络安全设备的技改方案时,通常缺乏严谨与真实的参照依据。对安全防护装置的日常管理及运行维护工作相对忽视,仍采取事后抢修维护的管理方式,无法提前掌握装置运行状况的相关数据信息,面对异常情况,缺乏应急处理预案。在消防设施与环境监控系统及机房门禁系统等基础设施方面,普遍存在配置不当或设施缺失等问题,存在明显的设施物理安全电源单套配置等方面的隐患。加上网络拓扑混乱与设施图纸资料不全等问题,不利于故障排查与网络结构深入检查。大部分电厂忽视对接入的移动介质设备实行管理,摆渡攻击概率随之提高。
部分电厂与第三方运维人员的联系不密切,未建立签订保密协议等合作关系,导致电力监控系统的运行风险较大。主要问题体现在网络安全装置的检验工作缺乏周期性,缺乏等级保护管理;运维管理措施落实形式化,技术人员缺乏安防专业理念,未规范管理外来人员技术服务行为,忽视终端介质管理,未规范管理文档与移动存储设备等方面。电力监控系统的类型多样化,但对各系统网络安全配置与设置的检查维护工作严重缺失;加上各系统的网络安全运行维护管理规范尚未明确编制,管理维护人员的责任分工不科学,导致系统网络安全管理的成效无法实现持续改进。
2.3接入设备管理不足
网络安全设备接入监控系统后,地调应加强对接入设备的型号与缺陷故障分析,及现场交接检验等工作展开制定相应的规范文件,从而为网络安全维护管理提供基础保障。大部分电厂的电力监控系统防护计划缺乏科学性,与安全防护要求与标准俨然不符,普遍存在防护计划与实际运行方案错位等现象。安全防护业务的类型多样化,包括安防设备接入与调度数据网接入等方面,但对标准体系与管理制度及工作流程的优化工作相对忽视,导致接入管理的工作体制缺乏高效性与实际性。
3安全管理制度完善
完善生产网安全制度与标准体系,满足等级保护的基本要求、测评要求,规范网络安全管理,保障网络安全工作的顺利开展;建立企业自身的工控网络安全制度与标准,需要企业业务主管部门、安全管理部门与我司共同配合完成,在满足国家等级保护相关要求基础上,能够与企业自身生产特点相融合。一级文件:电力监控系统的工控网络安全管理方针,能够反映最高管理者对工控网络安全管理下达的工作意图等,能为所有下级文件的编写提供方向。二级文件:各类属于电力监控系统工控网络安全管理的规范性制度、标准、办法、策略文件、配置规范等。三级文件:各种体系运行所需的规范文档模板。内置丰富的攻击特征库,结合硬件加速信息包捕捉技术来探测包括PLC等控制设备的拒绝服务攻击漏洞、缓冲区溢出攻击漏洞等典型工控漏洞的攻击行为,并及时告警。采用TCP/IP数据重组、目标和应用程序识别、完整的应用层有限状态追踪、应用层协议分析、先进的事件关联分析技术以及多项反IDS逃避技术,提供业界超低的误报率和漏报率。能够为用户提供丰富的动态图形报表,以及数十种分析报表模版和向导式的用户自定义报表功能。采用旁路部署方式,不会对网络造成任何影响。安全区域边界:在生产控制大区计算机监控系统地上环网与地下环网各就地控制单元(LCU)之间部署工业防火墙,实现区域间的逻辑隔离和网络威胁防护,保证电力监控系统区域边界安全。安全通信网络:在生产控制大区网络关键节点部署工控安全监控与审计系统和网络威胁感知系统,对网络中的实时流量进行监测,及时发现网络攻击、异常操作等行为,特别是新型网络攻击行为,并告警通知安全管理员。安全计算环境:在电力监控系统中工程师站、操作员站、服务器和接口机上安装工控主机卫士软件,开启程序白名单、外设管控、安全基线及访问控制等功能,实现阻拦病毒、木马等恶意程序的运行、主机安全加固和移动介质管控等安全需求。安全管理中心:在在生产控制大区部署统一安全管理平台和安全运维管理系统,实现安全设备进行集中管控,并对日志数据、告警数据等进行集中分析,同时对不同权限账户进行身份鉴别及权限管理,保证电力监控系统管理安全;同时配置工控漏洞扫描系统,定期对电力监控系统进行漏扫扫描,及时发现电力监控系统中的网络安全漏洞。
结语
电力监控系统智能分析管控技术基于现有的电力监控系统安全防护体系,可接收处理来自多渠道采集的流量结构化数据、检测设备日志、各类告警信息等,并借助大数据技术对海量数据集中存储和分析处理,结合对实时数据和历史数据的综合分析,实现安全威胁的快速发现、追溯定位和实时应急处理,提高电力监控系统网络安全的监视分析和防护水平。
参考文献
[1]辛耀中,卢长燕.?电力系统数据网络技术体制分析[J].电力系统自动化,2000,24(21):?1~6.
[2]高昆仑,辛耀中,李钊等.?智能电网调度控制系统安全防护技术及发展[J].?电力系统自动化,2015,39(10):?48-52.