赵柳青
贵州电网有限责任公司遵义桐梓供电局 贵州遵义563200
摘要:在我国快速发展过程中,市场经济在迅猛发展,社会在不断进步,基于电力监控系统网络安全防护原则与发展现状,针对实际工作中暴露出的问题和缺陷,紧密结合电力监控系统网络安全运行监控需求,从综合数据分析、安全事件推理、决策支持以及应急处置等层面进行智能分析管控研究,提出策略建议,提高整体安全防护水平。
关键词:电力监控系统;网络安全;监控技术;智能化
引言
电力监控系统的主要作用在于针对电力系统中的各个电力设备的运作情况加以实时监测、把控以及相关信息的传递,是电力公司与电网安全运作的重要基础。严格依照电力监控系统网络安全防护理念,合理设置网络安全防护设备与落实各项管理制度,怎样有效解决各类系统漏洞和安全风险,同时有效防范由于网络病毒或是恶意代码而带来的破坏与攻击,是当下电力公司电力监控系统面对网络安全问题时亟须解决的重大难题。本文就此方面问题展开论述,探究了网络安全防护的具体措施。
1设计思路
电力监控系统网络安全防护方案的主要设计思路:强化安全区域边界访问控制能力;提高网络内、外入侵和恶意代码防御能力;提高违规内联、外联检测能力;提高系统内主机病毒防范能力;提高主机身份认证能力,采用双因子认证机制;一键式安全加固,提高主机安全基线;关闭不必要的服务端口,提高入侵防范能力;利用访问控制策略,保证业务配置文件不被篡改;提高日志审计能力,审计日志至少保存12个月;加强运维人员行为管理;建立统一安全管理中心,强化集中管控能力;技术手段辅助业主完成定期自检。风险评估分析是对电力监控系统网络内各资产进行安全管理的先决条件,其目的在于识别和评估不同用户所面临的生产安全风险和网络安全风险。工控系统资产梳理,分析价值;识别已有的安全防护措施;资产脆弱性及面临的威胁分析;安全风险综合分析。
2电力监控系统网络安全防护探讨
2.1安全数据资源化及建模分析
在对内外部数据源进行统一采集、初筛和存储的基础上,通过流式数据的实时分析和历史数据的离线分析相结合的方式,将数量庞大、类型多样、独立价值低的数据(包括II型监测装置、Agent类信息、安防设备信息、网络设备信息、数据库、业务应用类信息等)进行模型化、范式化处理,形成可被逐级分析利用的数据资源。将上述资源化数据进行整合,根据电力监控系统实际安全防护需求,通过运用关联分析、多阶段组合关联分析、攻击场景关联分析等,进行静态设备模型、动态运行模型、风险分析模型、网络异常检测模型、安全审计模型、自动化应急处置等建模,形成全局式的网络安全态势分析。
2.2加解密技术
虚拟私有网络是在公共的互联网中进行数据传输,因此进行安全的数据传输同样是VPN重要的一部分。在整个数据传输过程中,需要非常重视其他人对数据的窃取和篡改,因此需要对每一层包装的数据进行加密,数据传输后再进行解密,数据加密技术就是这一部分的关键。常用的加密技术主要分为两种:一种是对称式加密算法,其通过密钥对需要加密的数据进行分组循环加密,而解密过程就是根据密钥,把加密过程倒过来;第二种是非对称的加密算法。
2.3加强外设管理
发电、供电公司在电力监控系统的日常管理活动中,应当努力强化网络安全防护方面的管控力度,面向安全区域中所涵盖的所有外部设施设备,特别是对于那些需要连接生产控制区的设施而言,一定要完全满足我国有关设施投入生产使用的相关规定和要求,并且还要求具备质监部门签署的质量认证书,全方位的满足防护工作的安全需求,严谨使用任何未经质量认证抑或是具有安全风险的外部设施。此外,在监控系统的网络之中,对于那些非安全区域所连接的子系统而言,是不可以同外部网络加以连接的,每个主机上配置的USB软盘与光盘驱动接口都要按照要求及时断开,一旦发生违章问题则需要立刻告知电力监控部门来予以调整处理。
2.4安全管理制度完善
完善生产网安全制度与标准体系,满足等级保护的基本要求、测评要求,规范网络安全管理,保障网络安全工作的顺利开展;建立企业自身的工控网络安全制度与标准,需要企业业务主管部门、安全管理部门与我司共同配合完成,在满足国家等级保护相关要求基础上,能够与企业自身生产特点相融合。一级文件:电力监控系统的工控网络安全管理方针,能够反映最高管理者对工控网络安全管理下达的工作意图等,能为所有下级文件的编写提供方向。二级文件:各类属于电力监控系统工控网络安全管理的规范性制度、标准、办法、策略文件、配置规范等。三级文件:各种体系运行所需的规范文档模板。内置丰富的攻击特征库,结合硬件加速信息包捕捉技术来探测包括PLC等控制设备的拒绝服务攻击漏洞、缓冲区溢出攻击漏洞等典型工控漏洞的攻击行为,并及时告警。采用TCP/IP数据重组、目标和应用程序识别、完整的应用层有限状态追踪、应用层协议分析、先进的事件关联分析技术以及多项反IDS逃避技术,提供业界超低的误报率和漏报率。能够为用户提供丰富的动态图形报表,以及数十种分析报表模版和向导式的用户自定义报表功能。采用旁路部署方式,不会对网络造成任何影响。安全区域边界:在生产控制大区计算机监控系统地上环网与地下环网各就地控制单元(LCU)之间部署工业防火墙,实现区域间的逻辑隔离和网络威胁防护,保证电力监控系统区域边界安全。安全通信网络:在生产控制大区网络关键节点部署工控安全监控与审计系统和网络威胁感知系统,对网络中的实时流量进行监测,及时发现网络攻击、异常操作等行为,特别是新型网络攻击行为,并告警通知安全管理员。安全计算环境:在电力监控系统中工程师站、操作员站、服务器和接口机上安装工控主机卫士软件,开启程序白名单、外设管控、安全基线及访问控制等功能,实现阻拦病毒、木马等恶意程序的运行、主机安全加固和移动介质管控等安全需求。安全管理中心:在在生产控制大区部署统一安全管理平台和安全运维管理系统,实现安全设备进行集中管控,并对日志数据、告警数据等进行集中分析,同时对不同权限账户进行身份鉴别及权限管理,保证电力监控系统管理安全;同时配置工控漏洞扫描系统,定期对电力监控系统进行漏扫扫描,及时发现电力监控系统中的网络安全漏洞。
结语
电力监控系统安全防护属于一项十分复杂的工作,对于广大电力公司而言,其综合防护水平将决定着电网是否能够安全稳定的运作。该项防护工作同时也是一项长期性的、动态的监察控制工作,合规是基础要求,所选取的防护策略是关键,同时还要保障相关策略和规章制度的确切落实。伴随着电力物联网的搭建、5G技术的日渐成熟与普及应用,应当从技术层面有效强化电力监控系统的安全防护能力,从管理层面不断加强防护管理力度,从技术和管理两个角度出发一同发力,才能够充分实现网络强国的最终目标。
参考文献
[1]朱海鹏,赵磊,秦昆,王耀斐.基于大数据分析的电力监控网络安全主动防护策略研究[J].电测与仪表,2020,57(21):133-139.
[2]丁伟.风电场电力监控系统网络安全威胁防控体系[J].电信科学,2020,36(05):138-144.
[3]江志东.电力监控系统网络安全防护探究[J].网络安全技术与应用,2020(03):99-100.
[4]张涛,赵东艳,薛峰,张波,章锐.电力系统智能终端信息安全防护技术研究框架[J].电力系统自动化,2019,43(19):1-8+67.
[5]丁伟,唐洁瑶,曹扬,戴涛,陈华军,许爱东.电网信息物理系统网络安全风险分析与防护对策[J].电力信息与通信技术,2018,16(09):33-38.