周媛
国网湖北省电力有限公司十堰供电公司 湖北 十堰 442000
摘要:近年来,随着经济和电力工业的快速发展,电力监控系统成为电网安全运行的重要组成部分,随着网络安全形势的日益严峻,对监控系统的网络安全防护性能发挥提出了更高要求,因此提高电力监控系统的安全防护体系功能有着重要意义。该文主要对电力监控系统安全防护管理进行阐述,从安全防护问题入手分析,提出针对性的防护管理办法,希望对电力监控系统的性能优化起到积极的促进作用。
关键词:电力监控;一体化;安全防护
引言
近年来,电力系统信息化建设持续高速发展,并配备了一定规模的信息安全防护系统,能够对电力系统进行实时监控。此外,还开发了相应的网络安全防护设备和网络安全监控系统。2018年,国家能源局发布了《国家能源局关于加强电力行业网络安全工作的指导意见》(国能发〔2018〕72号),要求按照《中华人民共和国网络安全法》的要求,完善电力行业网络安全责任制和网络安全监督管理体制机制,电力监管法规及相关法律法规,加强重点信息基础设施的安全防护,提高电力监控系统的安全防护水平,加强网络安全防护体系建设,确保电力系统安全稳定运行和可靠供电。
1概述
电力监控系统是以计算机和网络技术为基础,以通信和数据网络为基础支撑,对电力生产和供电过程、业务系统和智能设备进行监控的系统。木桶理论决定了整体安全防护水平是由系统中最薄弱环节的水准决定的。对电力监控进行体系化的安全保护十分必要,为了防止黑客利用噪声系统漏洞和对企业系统后门的恶意入侵,并防止使用计算机病毒或恶意代码实施的破坏和攻击,从而导致电力监控系统被劫持或沦陷,造成对电力系统生产安全运行的危害。我国电力监控系统安全防护在十数载不断地强化完善过程中,已经实现了从静态布防到动态管控的转变。电力监控系统从安全防护技术,应急备用措施和全面安全管理三个方面构建了三维立体的安全防护体系。
2电力监控系统一体化安全防护的研究
2.1加强体制完善
涉及以下几方面:一是对电力监控系统的安防设备,施行全寿命周期的精细化与标准化管理,加大设备供应链的管理力度,贯彻设备的设计开发、建设与运行退役等过程,落实各方的安全责任,从源头上规避风险问题,避免出现责任推诿的问题。严格按照安全防护要求,对各业务环节定期展开安全检测工作,实现技术要求与水平的逐步提高。二是加强对安防系统设备的规范管理,对安防设备配置与内网监视平台接入工作及缺陷处置要求等方面的工作严格规范,实现对系统设备的标准化管控。三是完善考核评估指标体系,电力监控系统安全保护的闭环管理。系统安全防护的考核指标,主要包括安防方案审核完成率与纵向设备覆盖率及安防人员配备率、控制功能调度数字证书覆盖率等,定时上报工作进展,以高效落实安防重点工作。四是贯彻制定行业及国家的等级保护要求,落实定级与备案及测评整改等安全评估规范要求,组织各厂站与地调积极展开调查摸底监控系统的工作,对各单位存在的定级不准与未定级信息系统等问题督促整改,加强对监控系统安防评估与等级保护工作落实的指导。
2.2跨区安全监测方法
具体步骤如下。① 对所述第一电源监控区中至少一个工控系统的状态进行监控,获取监控数据及相应的日志信息。通过ICMP/SSH监控模式,实现了工业控制系统中被监控设备的在线状态监控。Syslog获取被监控设备的相关日志信息,并将日志本地存储。这里,第一电力监控区域是生产控制区域和管理信息区域中的一个,第二电力监控区域是与生产控制区域和管理信息区域中的第一电力监控区域不同的另一个,所述单向隔离装置为正向隔离装置或反向隔离装置。② 根据预设的区域ID对应规则,对监控数据对应的日志信息设置源地址标签,生成新的日志信息。根据预设的region-region-ID对应规则,在日志信息的尾部添加指定的源地址标签,将定义好的新日志信息发送到单向隔离装置对应的转发地址端口。这里的区域ID对应规则可以使用现有技术中任何可能的ID设置手段,根据实际需要进行设置。
该区域是一个划分的单元监控区域或单个工业控制系统,如工业控制系统上位机(操作员站、工程师站、接口机等)、下位机(DCS控制器、PLC可编程逻辑单元)、网络设备(交换机、PLC等)路由器)、安全设备(防火墙、,入侵检测等)。③ 监测数据和新的日志信息通过单向隔离装置传输到第二电源监测区。对转发的新日志信息进行分析和识别,获取新日志信息对应的监控数据的IP地址,并识别具有相同IP的不同监控设备。
2.3加强外设管理
发电、供电公司在电力监控系统的日常管理活动中,应当努力强化网络安全防护方面的管控力度,面向安全区域中所涵盖的所有外部设施设备,特别是对于那些需要连接生产控制区的设施而言,一定要完全满足我国有关设施投入生产使用的相关规定和要求,并且还要求具备质监部门签署的质量认证书,全方位的满足防护工作的安全需求,严谨使用任何未经质量认证抑或是具有安全风险的外部设施。此外,在监控系统的网络之中,对于那些非安全区域所连接的子系统而言,是不可以同外部网络加以连接的,每个主机上配置的USB软盘与光盘驱动接口都要按照要求及时断开,一旦发生违章问题则需要立刻告知电力监控部门来予以调整处理。
2.4安全数据资源化及建模分析
在对内外部数据源进行统一采集、初筛和存储的基础上,通过流式数据的实时分析与历史数据的离线分析相结合,产生了大量类型多样、独立值较低的数据(包括II类监控设备、代理信息、安全设备信息、网络设备信息、数据库、业务应用信息等),进行建模和规范化,形成可逐步分析和利用的数据资源。根据电力监控系统的实际安全防护要求,通过采用关联分析、多级组合关联分析、攻击场景关联分析等方法,进行静态设备模型、动态运行模型、风险分析模型、网络异常检测模型、安全审计模型、自动化应急处置等建模,形成全局式的网络安全态势分析。
2.5入网设备接入管理
涉及以下几方面:一是加大入网安全扫描力度,对即将上线的电力监控系统,实行安全准入与源头管控等措施,对网络接入安全进行严格的扫描测试,确保设备和系统处于正常工作状态,避免不符合防护要求的设备或系统上线,以切实提高网络安全水平。二是优化安防设备接入流程,尤其是针对纵向加密及隔离等装置的接入,调控部门应当结合多方面的资料,严格审批设备运维与建设管理等部门提及的接入申请。完成审批后,将资料移交给调控部,由该部门传达接入方式单。各部门再围绕方式单展开设备配置与调试等工作,加强技术指导,避免在调试中出现策略漏加等情况。三是认真履行接入管理流程,调度数据网设备与各接入网的对接,需由建设管理部门认真书写接入申请单,调度机构审批后下达方式单,避免出现审核不严谨等情况。
结语
电力监控系统安全防护属于一项十分复杂的工作,对于广大电力公司而言,其综合防护水平将决定着电网是否能够安全稳定的运作。该项防护工作同时也是一项长期性的、动态的监察控制工作,合规是基础要求,所选取的防护策略是关键,同时还要保障相关策略和规章制度的确切落实。从管理层面不断加强防护管理力度,才能够充分实现网络强国的最终目标。
参考文献
[1]朱海鹏,赵磊,秦昆,王耀斐.基于大数据分析的电力监控网络安全主动防护策略研究[J].电测与仪表,2020,57(21):133-139.
[2]丁伟.风电场电力监控系统网络安全威胁防控体系[J].电信科学,2020,36(05):138-144.
[3]江志东.电力监控系统网络安全防护探究[J].网络安全技术与应用,2020(03):99-100.
[4]栗会峰,栗维勋,李宣义,等.电力监控系统安全漏洞管控策略优化方法[J].东北电力技术,2019,40(7):22-24,27.
[5]张礼星.电力监控系统安全防护与网络安全加固研究[J].幸福生活指南,2019(31):1.