前言:想要寫出一篇引人入勝的文章?我們特意為您整理了淺談電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護體系建設(shè)范文,希望能給你帶來靈感和參考,敬請閱讀。
摘要:隨著網(wǎng)絡(luò)系統(tǒng)的不斷發(fā)展,對電能的需求不斷增加,電力系統(tǒng)也迅速發(fā)展。但從我國電力監(jiān)控及系統(tǒng)安全防護工作的實施情況來看,仍然存在一些需要重視的問題。為確保不發(fā)生電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全事件,應(yīng)積極發(fā)現(xiàn)電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全問題并解決完善,才能使電力系統(tǒng)的安全性和穩(wěn)定性得到保障,提高電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護水平。
關(guān)鍵詞:電力監(jiān)控;網(wǎng)絡(luò)安全;系統(tǒng);安全防護
引言
近些年來,隨著電力系統(tǒng)的進步和發(fā)展,電力系統(tǒng)的自動化、信息化、智能化技術(shù)得到了更為有力的技術(shù)支持。但作為不少國家重要的“網(wǎng)絡(luò)戰(zhàn)場”,電力監(jiān)控系統(tǒng)的安全問題顯得越發(fā)突出,如何確保電力系統(tǒng)能足夠安全、穩(wěn)定地運行成為現(xiàn)階段電力企業(yè)建設(shè)發(fā)展的主要研究對象。當前各地的電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全水平參差不齊,如何使各地電力監(jiān)控網(wǎng)絡(luò)安全水平達到統(tǒng)一,是一個亟待解決的難題。
1電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護現(xiàn)狀
網(wǎng)絡(luò)安全隱患從軟件向硬件延伸,系統(tǒng)網(wǎng)絡(luò)安全情況不容樂觀,這引起我國相關(guān)行業(yè)主管部門高度重視,2002年原國家經(jīng)貿(mào)委《電網(wǎng)和電廠計算機監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護規(guī)定》,2005年原國家電監(jiān)會《電力二次系統(tǒng)安全防護規(guī)定》,2014年國家發(fā)改委《電力監(jiān)控系統(tǒng)安全防護規(guī)定》,2016年工信部《工業(yè)控制系統(tǒng)信息安全防護指南》提出了11項工控網(wǎng)絡(luò)安全重要措施,2017年全國人大頒布的《中華人民共和國網(wǎng)絡(luò)安全法》,在我國相關(guān)政策法規(guī)的指導下,電力行業(yè)用了將近20年的時間,建立了比較完善的電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護體系。從2016年工信部的《工業(yè)控制系統(tǒng)信息安全防護指南》以來,強化了電力行業(yè)對生產(chǎn)控制大區(qū)的動態(tài)實時感知,并且升級了關(guān)鍵網(wǎng)絡(luò)安全實施,同時建立網(wǎng)絡(luò)安全專職機構(gòu)隊伍,從而完善電力監(jiān)控系統(tǒng)安全防護體系,并保證了電力系統(tǒng)安全穩(wěn)定的運行。計算機監(jiān)控系統(tǒng)是電力系統(tǒng)的主要組成部分,并且對電力系統(tǒng)的安全可靠運行有著重要的作用,在電力企業(yè)發(fā)展的過程中,計算機監(jiān)控系統(tǒng)會因為多種原因而出現(xiàn)運行不暢的問題,導致無法安裝安全防護軟件和不能升級相關(guān)操作系統(tǒng),這便是多數(shù)發(fā)電企業(yè)電力監(jiān)控系統(tǒng)在運行的過程中所存在的安全隱患。所以按照網(wǎng)絡(luò)安全分區(qū)的原則來講,電力監(jiān)控系統(tǒng)安全區(qū)的系統(tǒng)和其他系統(tǒng)之間是沒有聯(lián)系的,但如果出現(xiàn)病毒入侵的情況,就會導致不設(shè)防的其他系統(tǒng)處于危險的狀況。所以需要相關(guān)電力系統(tǒng)工作人員,不斷完善其網(wǎng)絡(luò)安全防護工作,使電力系統(tǒng)運行能夠有相對較高的安全性和可靠性。
2建設(shè)電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全的范圍與目標
電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護工作由調(diào)控中心統(tǒng)一管理,設(shè)立網(wǎng)絡(luò)安全管理專職,防范黑客及惡意代碼等對電力監(jiān)控系統(tǒng)發(fā)起攻擊和侵害,特別是抵御集團式攻擊,防止電力監(jiān)控系統(tǒng)癱瘓。同時也要完成以下安全防護指標:地調(diào)安全防護專業(yè)人員配備率100%;廠站安全防護縱向加密設(shè)備覆蓋率100%;內(nèi)網(wǎng)安全監(jiān)視平臺覆蓋率100%;控制功能調(diào)度數(shù)字證書覆蓋率100%;地調(diào)管轄發(fā)電廠電力監(jiān)控系統(tǒng)安全防護方案審核完成率100%;廠站安全防護縱向加密設(shè)備密通率不小于90%。同時,使各地電力監(jiān)控網(wǎng)絡(luò)安全水平達到一致。
3電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護的關(guān)鍵技術(shù)
3.1風險評估技術(shù)
在安全防護技術(shù)中,風險評估是非常重要的一項技術(shù),是對主機的風險泄露和通過網(wǎng)絡(luò)遠程監(jiān)控其他主機風險漏洞的分析,風險評估系統(tǒng)的主要工作目標便是服務(wù)器、工作站和數(shù)據(jù)庫等,利用網(wǎng)絡(luò)安全監(jiān)測裝置掃描監(jiān)控目標可能存在的風險隱患。并對其安全性和風險程度進行分析,確定系統(tǒng)網(wǎng)絡(luò)信息是否安全,并對系統(tǒng)網(wǎng)絡(luò)信息的安全性提出具體整改建議。在進行風險評估技術(shù)時,也經(jīng)常會利用網(wǎng)絡(luò)漏洞掃描方式。在信息安全防護過程中,風險評估主要是一種輔助手段,還需要利用VPN、防火墻比如氫檢測的方式來完成信息安全防護工作。
3.2物理隔離技術(shù)
“安全分區(qū),網(wǎng)絡(luò)專用,橫向隔離,縱向認證”中的橫向隔離便是主要依賴物理隔離技術(shù),在網(wǎng)絡(luò)邊界防護中,必須采用經(jīng)國家指定部門檢測認證的橫向安全隔離裝置連接2個獨立的主機系統(tǒng),這樣能夠保證不直接連通并且傳輸和共享數(shù)據(jù)資源。目前的物理隔離技術(shù)主要使用的有實時開關(guān)、單向連接和網(wǎng)絡(luò)交換器這三種隔離裝置。其中實時開關(guān)可以實現(xiàn)在同一時間隔離內(nèi)外網(wǎng)絡(luò),并且實現(xiàn)數(shù)據(jù)聯(lián)通進行快速的處理數(shù)據(jù)。再連接一個網(wǎng)絡(luò)獲取數(shù)據(jù),然后轉(zhuǎn)動開關(guān)到另一個網(wǎng)絡(luò),將之前獲取的數(shù)據(jù)傳輸?shù)搅硪粋€網(wǎng)絡(luò),能夠快速地在兩個網(wǎng)絡(luò)之間移動數(shù)據(jù),并且實現(xiàn)實時處理的效果。同時在傳輸數(shù)據(jù)時,實時開關(guān)會終止網(wǎng)絡(luò)連接,這便不會存在漏洞風險,與此同時還能夠利用實時開關(guān)避免遭到病毒侵害。單向連接指的便是單向地從源網(wǎng)向目的網(wǎng)傳輸數(shù)據(jù),這樣便成為了一個“只讀”網(wǎng)絡(luò),同時數(shù)據(jù)不能反向向源網(wǎng)傳輸,單向連接需要利用硬件實現(xiàn),因為這樣可以避免數(shù)據(jù)傳錯。而網(wǎng)絡(luò)交換器指的便是一臺計算機中有兩個虛擬機,在一個虛擬機當中寫入數(shù)據(jù),然后再傳輸?shù)搅硪粋€虛擬機中。在傳輸數(shù)據(jù)過程中速度會相對較慢,無法實現(xiàn)實時工作。所以網(wǎng)絡(luò)轉(zhuǎn)換器通常都具備雙接口的硬件卡,雙接口都連接著相互隔離的網(wǎng)絡(luò),但在同一時間只能激活一個網(wǎng)絡(luò)。
3.3SSL技術(shù)與IPSec技術(shù)
SSL協(xié)議主要利用傳輸層進行傳輸,在應(yīng)用層影響下保護網(wǎng)絡(luò)傳輸信息。它具有透明性、應(yīng)用性和可移植性,SSL電力系統(tǒng)安全通道主要包括SSL服務(wù)器和SSL客戶端,SSL客戶端主要在瀏覽器上負責認證服務(wù)器端的實際深入,而SSL服務(wù)器是在WEB服務(wù)器上負責實現(xiàn)客戶端的身份驗證。SSL可以使數(shù)據(jù)進行加密傳輸,并對數(shù)據(jù)保密性進行更好地保護,利用MAC來保護信息的完整度,然后再通過數(shù)字證書來驗證發(fā)送者與接受者的身份。IPSec是利用AH協(xié)議與ESP協(xié)議實現(xiàn)安全性,IPSec可以提供各種安全服務(wù),利用身份認證制實施訪問控制,在通信前通過IKE協(xié)商SA,然后利用公鑰簽名機制進行身份驗證,IP-Sec可以在數(shù)據(jù)包發(fā)放前利用信息鑒別機制實施數(shù)據(jù)源認證,然后應(yīng)用信息鑒別法計算MAC,采用HMAC輸入部分信息與密鑰,輸出MAC,在接收到IP數(shù)據(jù)包后在用相同的方式計算數(shù)據(jù),在獲取的數(shù)據(jù)完全相同后,便表示數(shù)據(jù)通過驗證。
4電力監(jiān)控網(wǎng)絡(luò)安全的建設(shè)內(nèi)容
4.1成立工作小組
成立以調(diào)控中心主任為工作小組組長的組織機構(gòu),工作小組成員包含:主站自化、運檢部自動化、調(diào)度自動化、通信管理員、并網(wǎng)電廠負責人,負責統(tǒng)籌與管理,下面又有著實際操作者,與工作管理人員在網(wǎng)絡(luò)安全監(jiān)控管理本地管理工作開展中,在實際管理的過程中,不同角色之間所承擔的管理責任有所不同。如管理員能夠?qū)Π踩O(jiān)測裝置進行時區(qū)管理、進程管理、用戶操作管理等;操作者則需要強大的知識量來負責各個部門不同的網(wǎng)絡(luò)安全工作。上下配合,才能做好電力監(jiān)控網(wǎng)絡(luò)安全建設(shè)。
4.2網(wǎng)絡(luò)安全監(jiān)測裝置的功能實施
在網(wǎng)絡(luò)安全監(jiān)測裝置功能實施之前,需要能夠?qū)崿F(xiàn)對該裝置的安裝,首先需要注意安裝布線,完成網(wǎng)絡(luò)安全監(jiān)測裝置的設(shè)備上架及網(wǎng)絡(luò)布線,在接線的工作完成之后,對接入的設(shè)備進行及時的軟硬件的更新和升級,并且根據(jù)實際的運行,使用相關(guān)的運行數(shù)據(jù)進行適當?shù)男薷暮驼{(diào)整。按照國家能源局〔2015〕36號文件及部分省電力公司調(diào)度的要求,35kV及以上電壓等級并網(wǎng)發(fā)電廠,要求在一、二區(qū)部署網(wǎng)絡(luò)安全監(jiān)測裝置。
4.3制訂安全防護方案
根據(jù)《關(guān)于發(fā)電企業(yè)電力監(jiān)控系統(tǒng)安全防護工作要求的通知》,加強發(fā)電企業(yè)的電力監(jiān)控系統(tǒng)的安全防護管理。第一,項目在前期的評審期間,根據(jù)“安全分區(qū),網(wǎng)絡(luò)專用,橫向隔離,縱向認證”的基本原則,要求發(fā)電企業(yè)分區(qū)配置接入相應(yīng)的加密認證裝置、物理隔離裝置、防火墻等相關(guān)安全設(shè)備。第二,主廠站專門對安全設(shè)備進行聯(lián)合調(diào)試,調(diào)試完成后進行現(xiàn)場檢查驗收,嚴格要求完全通過驗證流程。第三,部署入侵檢測系統(tǒng)。具有等保二級系統(tǒng)的發(fā)電廠,需要主動部署入侵檢測系統(tǒng),實現(xiàn)對數(shù)據(jù)網(wǎng)數(shù)據(jù)的全監(jiān)視,提前發(fā)現(xiàn)入侵行為。并在其他方面要求發(fā)電企業(yè)制定內(nèi)部安全管理制度,明確網(wǎng)絡(luò)安全管理措施與網(wǎng)絡(luò)安全負責人,要求發(fā)電企業(yè)制定網(wǎng)絡(luò)安全事件應(yīng)急預案,并且需要進行定期的演練。
5結(jié)語
保障電力監(jiān)控系統(tǒng)安全是共同的責任,所以需要通過管理和技術(shù)體系建設(shè)來完成相關(guān)指標要求,全面提升地區(qū)電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護能力,使系統(tǒng)防護水平及人員的技能、安全防護意識得到很大的提升,從而為后續(xù)安防工作打下基礎(chǔ),從而共筑電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防線。
參考文獻:
[1]鐘麗波,周洋,馬煜,等.基于泛在電力物聯(lián)網(wǎng)的電力監(jiān)控系統(tǒng)安全防護研究[J].東北電力技術(shù),2019,40(11):28-30.
[2]王劍.電力監(jiān)控系統(tǒng)在供配運行過程中的應(yīng)用[J].煉油與化工,2018(6).49
作者:胡倩云 單位:廣州市增城區(qū)水務(wù)局