国网内蒙古东部电力有限公司赤峰供电公司 内蒙古 024000
摘要:伴随着社会经济的发展进步,互联网发展速度越来越快,网络信息技术受到更多人的关注,多种多样的网络监控体系应运而生,并被应用到各种各样的工作当中,电力工作也不例外。网络监控系统被应用到电力工程当中,提升了电力生产工作网络监控体系的整体水平,确实能够提升工作成效,减轻更多工作人员的负担。但是,网络监控体系仍存在着很多安全隐患,网络安全成为了电子监控系统运行时最大的难点和关键点。
关键词:电力通信;运维;风险分析
引言
电力是国家的支柱能源和经济命脉,其安全稳定运行不仅关系到国家的经济发展,而且维系国家安全。随着机组规模的逐渐扩大,网络安全事故的影响范围越来越大,网络安全问题越来越突出,工控系统网络安全已经成为全球的研究热点。
1.电力监控系统网络安全防护概述
电力监控系统是指用于监视和控制电力生产及供应过程、基于计算机及网络技术的业务系统及智能设备,以及作为基础支擋的通信及数据网络。木桶理论决定了整体安全防护水平是由系统中最薄弱环节的水准决定的。对电力监控进行体系化的安全保护十分必要,为了防止黑客利用噪声系统漏洞和对企业系统后门的恶意入侵,并防止使用计算机病毒或恶意代码实施的破坏和攻击,从而导致电力监控系统被劫持或沦陷,造成对电力系统生产安全运行的危害。我国电力监控系统安全防护在十数载不断地强化完善过程中,已经实现了从静态布防到动态管控的转变。电力监控系统从安全防护技术,应急备用措施和全面安全管理三个方面构建了三维立体的安全防护体系。
2.电力监控系统信息通信网络安全现状
2.1工控系统通信网络安全现状
在电力系统中,工控系统是指一种由中心控制电脑以及电网各部分的自动化控制子系统所组成的电网智能化控制系统。但随着“大云物移智链”等高新信息技术的集成,大量异构终端被接入到工控系统中,形成了数据多元化、网络边界模糊化的通信网络现状,降低了通信网络安全防护系统的效用。在此背景下,工控系统对终端的管控能力逐渐被削弱,导致其不能及时、主动地针对恶意攻击进行预警和防护。就目前来看,包括供电企业在内的 90% 以上的企业,其应用的工控系统,无法在业务中断、设备故障等损失发生之前,进行安全预警和安全威胁溯源,使得通信网络安全防护长期处于被动状态,严重影响了电力系统的安全运行。
2.2需要数据综合分析和处理能力
网络安全设备监控日志数据量越来越大,目前平台难以对这些海量异构数据进行集中存储和分析处理,无法有效整合各个设备产生独立的事件告警,导致分析数据源单一、大规模数据关联效能低,无法满足对于网络空间态势分析的基本需求,而且告警智能分析过滤和辅助决策程度不高,从大量、孤立的单个事件中无法准确发现全局、整体的安全威胁行为。
3.电力监控系统信息通信网络安全及防护对策
3.1完善安全防护系统
为了杜绝恶意攻击事件带来的通信网络安全问题,工作者应提高对通信网络安全防护工作的重视,并基于 GB/T?20438、GB/T?21109 这两项电网安全标准,构建出完善的安全防护系统,提升电力系统安全通信水平。在此过程中,工作者可以利用PON、电力载波 PLC-IoT、无线 eLTE-IoT 等通信技术,结合IPSec、SSL、VPN、SSH等安全协议,来构建一个完善的通信网络安全系统,例如:中国国家电网公司 SGCC构建的“安全分区、网络专用、横向隔离、纵向认证”电力系统信息通信网络安防系统,在该系统中,该公司根据所应用的通信技术类型、通信内容等条件,将整体通信网络划分为四个安全分区,并借助各类安全协议建立的分区防护系统,同时,采用了独立的网络设备进行分区组网,以实现物理层面的防护。在电力系统二次防护机制中,该公司利用 IPSec、SSL 等安全协议,结合防火墙技术,构建了横向边界防护体系,实现了安全防护区域之间的逻辑隔离。
3.2 安全管理制度完善
一级文件:电力监控系统的工控网络安全管理方针,能够反映最高管理者对工控网络安全管理下达的工作意图等,能为所有下级文件的编写提供方向。二级文件:各类属于电力监控系统工控网络安全管理的规范性制度、标准、办法、策略文件、配置规范等。三级文件:各种体系运行所需的规范文档模板。内置丰富的攻击特征库,结合硬件加速信息包捕捉技术来探测包括PLC等控制设备的拒绝服务攻击漏洞、缓冲区溢出攻击漏洞等典型工控漏洞的攻击行为,并及时告警。采用TCP/IP数据重组、目标和应用程序识别、完整的应用层有限状态追踪、应用层协议分析、先进的事件关联分析技术以及多项反IDS逃避技术,提供业界超低的误报率和漏报率。能够为用户提供丰富的动态图形报表,以及数十种分析报表模版和向导式的用户自定义报表功能。采用旁路部署方式,不会对网络造成任何影响。安全区域边界:在生产控制大区计算机监控系统地上环网与地下环网各就地控制单元(LCU)之间部署工业防火墙,实现区域间的逻辑隔离和网络威胁防护,保证电力监控系统区域边界安全。安全通信网络:在生产控制大区网络关键节点部署工控安全监控与审计系统和网络威胁感知系统,对网络中的实时流量进行监测,及时发现网络攻击、异常操作等行为,特别是新型网络攻击行为,并告警通知安全管理员。
3.3 工控网络监控系统安全防护体系建设研究
综合参考电厂工控网络监控系统,其主要涉及四个层次,包含现场控制层、现场监控层、厂级 SIS 层、MIS 层,由于各个工控网络在任务、功能方面存在差异性,工控网络监控系统安全防护体系建设也需要结合各个层次的特征进行针对性的优化[6]。对于现场控制层来说,协议包含各类工业控制网络的私有协议,一般是以实时控制数据为主,主要特征在于传输周期短、周期性传输。工控网络安防体系,应当避免影响其具有的实时性特征,因此选择旁路部署方案,即利用镜像口来复制该层对应的数据信息,其仅仅接收数据,不会传输数据,保障现场控制层的实时性。对于现场监控层来说,对应的协议包含向上信息反馈、向下发送控制命令,,主要是通过在环网核心交换机镜像口进行布局,基于上述节点复制,保障现场监控层的稳定运行。对于 SIS 层来说,其本身涉及的协议相对较为繁杂,传输信息数据量大是其主要的特征,工控网络监控系统安全防护体系建设,同样是在核心交换机镜像口进行布局。对于MIS 层来说,主要特征在于带宽高、数据量大,同样是在核心交换机镜像口进行布局。在完成上述完全防护采集信息设施部署的基础上,火电厂还需要在空中网络中心设置服务器,以此来针对工控网络监控系统进行统一规范的管理。
3.4强化入侵检测技术,加强电力系统网络安全性
入侵检测技术简单来说就是指对电力监控系统中的各项重要信息和数据进行日常分析和检查的技术,在分析研究的过程中,就会发现电力系统有没有异常情况或者其中有没有恶意代码。入侵检测技术的最大作用就是发现电力监控系统中出现的各种异常情况并向工作人员发出警报。这也同防火墙一样,是一项有效提升网络安全的手段。
结束语
电力监控系统智能分析管控技术基于现有的电力监控系统安全防护体系,可接收处理来自多渠道采集的流量结构化数据、检测设备日志、各类告警信息等,并借助大数据技术对海量数据集中存储和分析处理,结合对实时数据和历史数据的综合分析,实现安全威胁的快速发现、追溯定位和实时应急处理,提高电力监控系统网络安全的监视分析和防护水平。
参考文献:
[1]杨民.电力系统信息通信的网络安全及防护[J].科技创新与应用,2019(36):137-138.
[2]王桂彬.电力系统信息通信网络安全及防护安全探究[J].信息通信,2019(12):168-169.
[3]王懿嘉. 电力系统信息通信的网络安全及防护探究[A]. 中国环球文化出版社、华教创新(北京)文化传媒有限公司.2019年南国博览学术研讨会论文集(二)[C].中国环球文化出版社、华教创新(北京)文化传媒有限公司:华教创新(北京)文化传媒有限公司,2019:3.
[4]陶涛.浅谈电力系统信息通信网络安全及防护研究[J].中国新技术新产品,2019(18):146-147.
[5]叶磊,刘立亮,张科健.电力系统信息通信的网络安全及防护研究[J].通讯世界,2019,26(09):319-320.