邱志英
新疆伊犁河流域开发建设管理局 新疆 伊犁 835400
摘要:随着电力生产高度信息化,网络化,信息技术广泛应用,信息安全问题亟需密切关注。本文介绍了某水电站进行电力监控系统一区、二区、三区,二次安全防护部署地具体实施过程。
关键词: 路由器;交换机;纵向加密装置
1 引言
某坝后式水电站,库容1.2亿立方米,装机容量141MW,已于2010年发电,累计发电68亿度。在电力二次系统网络进行安全性检查的过程中,发现有部分电力应用系统和网络不严格地按照我国电力系统网络安全防护标准要求执行。依据《中华人民共和国网络安全法》、《电力行业等级保护管理办法》国能安全[2014]317号、《中华人民共和国计算机信息系统安全保护条例》国务院1994年147号令(2011年修订)有关文件精神以及新电调[2017]224《国网新疆电力公司2017年省调直调涉网厂站电力监控系统安全防护专项整治工作方案通知》,进行了电力监控系统和电力调度数据网二次监控系统的边界安全防护,提高了厂站发电运行监控系统内部网络安全防护能力,加强了发电运行生产各业务网络系统电力生产数据的安全。
该水电站与相关调度数据通信网络划分为I、II、III区。安全生产实时子网(安全一区)业务主要为水电生产相关数据,机组与线路(功率、电压、频率)、主设备信息(励磁调节系统、水轮机调速系统)、继电保护装置信息、PMU(同步相量)装置信息。非实时子网发电信息管理大区(安全二区)业务主要为全站电量采集终端信息、发电能力申报系统信息。调度业务管理系统(安全三区)业务主要为各类计划申报、考核细则管理、综合业务管理等。
2 存在的问题
2.1 硬件部分
实时子网(安全一区)与非实时子网(安全二区)之间共用一套纵向加密装置,如:省调调度数据网实时子网(安全一区)与非实时子网(安全二区)之间共用一套纵向加密装置。各网络分区之间未部署IDS和安全审计系统。
2.2 软件部分
实时子网(安全一区)存在穿越通信范围的e-mail、web、telnet、rlogin、ftp等各种通用网络服务,登录用户未限制权限,用户口令复杂度不满足要求。
3 电力监控系统二次防护设计思路
针对厂站内部网络的安全问题,要求二次安全防护能实时、动态应对安全事件,具备综合防护能力。防护能力必需达到国家能源局及电网的技术要求。
3.1 硬件防火墙
电力生产系统一区与二区系统数据交互,采用网络设备进行访问功能实时控制,实现业务逻辑上的隔离、数据过滤、业务控制等功能。硬件防火墙部署在安全生产控制一区与安全业务二区。
3.2 入侵检测系统
入侵检测系统部署在生产控制大区。进行实时、动态的安全防护以应对各种突发网络安全事件,监视网络行为的合法性、正确性、安全性。
3.3 安全审计业务管理应用平台
在发电生产监控制系统业务大区接入安全审计业务管理应用平台。相关人员可全面地进行日志分析、告警分类、安全管理综合等级测评,应对网络安全系统突发事件的防护能力、决策能力、分析能力进一进加强。
3.4 恶意代码防护系统
安全三区OMS系统应用为水电站提供调度门户网站,业务涉及调度综合业务管理应用、厂站基础参数管理应用、调度业务流程管理应用、生产计划与考核业务管理应用、各专业综合管理应用、报表分析统计管理应用等。为保证安全三区终端与省调OMS系统之间的电力数据通信网络安全,在三区部署恶意代码防护系统。
3.5 加固及消缺
调度数据网及电力监控系统后台厂家的软件部分,按要求进行全面加固及消缺,以达到电网的技术要求。
4 电力监控系统二次防护的实现
按照“安全分区、网络专用、横向隔离、纵向认证”的原则进行电力监控系统二次系统安全加固。在各安全区之间配置国家有关部门认证的专用、可靠的安全隔离设施。
4.1 横向二次安全防护装置部署
生产控制大区(安全一区)与发电信息管理大区(安全二区)之间实行业务逻辑控制,部署1套绿盟公司 NFNX3-G2100M防火墙系统;发电信息管理大区(安全二区)与生产控制大区(安全一区)汇聚交换机侧部署1套绿盟 NIDSNX3-N300A 入侵检测防御系统;生产控制大区(安全一区)部署1套绿盟SASNX3-L1100 安全审计(日志审计)系统,以SNMP协议或SYSLOG实现生产生产控制大区加固设备(防火墙、隔离设备、反病毒系统)、调度数据网设备、运行生产监控系统的安全事件信息记录,对网络安全事件信息进行集中处;安全三区部署恶意代码防护;厂站内数据网及监控系统后台进行厂家软件加固。
4.2 纵向加密认证装置部署
电厂生产控制大区系统(安全一区)与调度端系统通过电力调度数据网进行远程通信时,应当采用密钥认证、加密传输、专用通道等技术措施实现远距离数据传输以及设计数据安全防护范围,水电站内采用南瑞 NetKeeper-2000系列纵向加密认证网关。
水电站对外通信对象具体为省调、地调。在省调接入路由器与一区、二区、三区交换机之间分别部署一台纵向加密装置,使用省调端纵向加密装置签发的数字证书加密通信。在地调接入网路由器与一区、二区交换机之间分别部署一台纵向加密装置,使用地调端纵向加密装置签发的数字证书加密通信。
5 电力监控系统二次防护应用过程中的注意事项
5.1 网络拓扑图
水电站网络二次安全加固后,应及时将防火墙、恶意代码防护、IDS入侵检测、安全审计等硬件变动情况如实绘入网络拓扑图,并提交至省调相关部门。
5.2 备案证书
水电站网络二次安全加固后,应及时进行等保测评,将测评报告报备当地公安网监部门。
5.3 关于VPN的划分
省调调度数据网生产大区、管理信息大区应正确划分VPN,合理的分配实时监控信息、非控制生产信息、备用通道、调度管理业务信息。
5.4 接入方式
各分区的交换机、加密装置应合理部署,避免出现各区业务交叉部分共用纵向加密装置。
6 结语
网络通信的安全性,可靠性应引起高度注视。各种通信技术在不断发展,安全防护部署也需相应加强。部署、使用安全防护软硬件过程中,决不能忽视对人员安全意识地提高。全面对人员、设备、环境、技术等环节进行安全管理,是提高安全性地有力保障。
作者简介:邱志英,女,(1987-),工程师,从事水电站运行管理工作。