(江苏省电力有限公司苏州供电分公司江苏苏州215200)
摘要:电力系统的二次安全防护是在现代科学信息技术与电力运行系统相互融合发展的背景下产生的,电力二次系统在计算机网络系统中容易受到来自黑客或恶意代码,进而导致电力系统事故,为了避免电力系统受到网络的恶意攻击而设置了电力系统的二次安全防护策略,确保电力系统安全稳定的运行。在电力系统运行的过程中,对系统运行造成威胁的因素种类多样,但是其主要的威胁因素是来自于继电室、电子监控系统以及通讯机房的旁路监控,窃听以及电脑木马病毒及信息的监控泄露等等。如果以上影响电力系统运行的危险因素没有采取措施解决,则会导致电力企业电力系统运行的故障,出现断电等,影响正常生产工作的开展。为防御电力系统在与性过程中避免受到各种危险因素的威胁,并提高系统运行的稳定性和安全性,电力系统二次安全防护的工作目标是强化电力系统的防御保护能力,提高电力系统运行的安全性,防止电力系统故障的发生。
关键词:电力系统;二次安全防护;现状
1电力监控系统二次安全防护要求
1.1保障安全区间横向距离要求
电力监控系统采用不同强度的安全设备实现电力安全区间横向方面的隐患隔离和稳定运行保护。例如,在电力生产控制区与后台管理信息区间,为加强对二者间数据通信的控制和监管,一般会采用单项传输控制方式,以提高计算机病毒及黑客的攻击行为防护和应对能力。
1.2保障远程通信安全防护要求
为保障电力监控系统二次安全防护,在电力调度数据网与非控制区实时VPN的网络边界上设置相应的安全防火墙,防止病毒攻击。与此同时,在电力调度数据网与控制区的边界上设置相应的认证网关,以阻断黑客等对电力设备的远程攻击。为了提升防护能力,认证网关多采用纵向加密,即采用电力系统专用的密码与数字认证技术,通过层层身份认证及加密,保障电力系统通信数据的安全完整性。
1.3保障安全区内部安全防护要求
管理信息与电力生产控制区构成安全区内部安全防护内容,通过防火墙技术的应用,满足一些核心业务系统的安全防护。一方面,根据系统的纵向互联边界特点,布置好安全防火墙。在电力生产的控制大区方面则通过服务器安全加固及通信网关设置等,采用登陆身份认证技术实现系统的安全防护。
2电力二次安全防护工作中存在的问题
2.1分区不规范
由于国家文件中对分区的要求没有详细的描述,用户把控制区仅仅理解为对发电设备的控制,而忽略了其它具有重要社会变意义的控制设备。如泄水闸的控制系统,很多用户将其放在非控制区。泄水闸控制是防汛防洪工作中的重要设备,社会意义很大,关系到人民群众生命财产的安全,所以此系统也应该纳入控制区,防止黑客攻击或病毒感染而造成的严重后果。对安全分区应该有两个方面的理解:①是否是控制系统;②该系统瘫痪后,对企业、社会、国家会造成什么样的危害。依据这两方面的情况,再确定该系统是部署在控制区还是非控制区。
2.2边界防护不规范
主要是控制区和非控制区内各系统之间的防护不到位、不规范。有两种情况,一种情况是控制区的系统与非控制区和系统有数据传输的需求时,没有经过物理隔离,而是根据方便性原则,直接使用串口进行数据传输,传输数据没有进行物理隔离,不符合要求。这种情况的数据传输方向是从控制区传向非控制区某系统。第二种情况是非控制区的某系统直接通过交换机向生产信息管理大区传输数据,并伸展至办公内网。此时虽然控制区与生产信息管理大区的边界防护装置,但因为这种情况的出现,从而使生产控制大区与生产信息管理大区的防护边界产生了漏洞,造成了安全隐患。
2.3软件防护手段不到位
上述两个方面是分区与边界隔离的情况,属于硬件防护的范畴。但是随着互联网技术的发展,仅仅做分区和隔离是不能满足当今电力系统二次安全防护的要求的,必须软硬件同时防范。实际情况是软件手段防护不以位,主要体现在客户访问记录、攻防行为侦测、黑白名单、端口检查、内部病毒查杀、防病毒软件的升级、堡垒机的部署等。软件防护的不到位应该是电力系统二次安全防护的共性短板,需要大力加强。
2.4数据安全和异地备份问题
目前大多数发电企业都没有异地备份控制大区数据,有一部分企业是采用移动硬盘拷贝数据、刻录光盘的方法保存数据的。这种方法成本低,但工作量大,数据再复使用时不方便。最好是能做到异地备份的同步数据存储。
3加强电力系统安全防护的相关策略
3.1建立健全电力系统二次防护的网络系统
当前承担安全防护工作的只是单一的防火墙,但是防火墙在应用中存在诸多漏洞,因此要假装入侵检测系统或者入侵防护系统,通过网络数据的收取与分析,在不对网络运行造成任何影响的前提下,能够对进出系统的数据作出是否含有威胁性质的分析,在发现危险因素下及时向管理员报警,在安全检测系统、入侵防护系统和防火墙的相辅相成中,共同为电力系统安全运行发挥保障检测作用。
3.2建立病毒防护体系
在电力系统二次安全防护系统中进行防毒体系的完善,能够对病毒进行自动的搜索检测,通过统一化、管理化、智能化的手段进行病毒的搜索与防护工作。在病毒防护系统的工作运行中,需要相关技术操作人员定时进行病毒代码的升级工作,进行病毒防护系统的更新。
3.3加强电力企业内部对网络安全管理的工作
在加强完善电力企业的电力系统安全二次防护体系,需要在根本上加强电力企业领导层对安全防护工作的重视,更需要电力企业树立统一的安全防护理念,将全防护工作落实到电力企业系统操作运营的各个部门和工作人员,加强电力系统安全二次防护意识的宣传工作,加强对操作员工的专门培训,以积极正确的态度对待安全防护工作。
3.4集中控制网络隔离装置
通过免除双端修改程序及简化一些不必要的程序能有效提升电力监控系统的二次安全防护,这集中表现在采取网络隔离装置。即,把所有的安全任务落实于相应的隔离装置上,从而提升隔离装置性能及系统运行时对安全筛选的强度。例如,简化双端程序,避免电力监控系统在操作过程中的多余测试及设定工作,有利于广大电力监控工作人员对系统的实时集中监控和管理,提升电力监控系统二次安全防护监控的效果,节省物力、人力和财力,提升电力系统信息的安全性和可靠性。
3.5完善监控系统应急预案
电力监控系统二次安全防护方案设计即使再完善,也难以保障100%的绝对安全,也需要不断根据技术的发展需要提前做好监控系统应急预案的设计。做好电力监控系统应急预案的设计,应重点做好电力监控系统工作内容的更替,提升电力监控系统故障性的分析能力和水平,及时查找到启动电力监控系统应急预案的原因,以保障系统的正常运行。定期组织监控人员对应急知识的学习及对应急预案的演练,提升实际解决问题的能力和水平。
结束语:
电力是现代工业的基础,随着互联网的发展和管理手段的提升,电力系统二次安全防护工作已经提升到国家战略层面。它直接关系到国家安全和人民生活。我们必须提高网络安全防范意识,充分利用现代化技术手段,从人员、制度、技术三个方面全面落实我国电力二次安全防护的基本要求,确保我国电力系统不被外来有意、无意的风险干扰,避免造成恶性的电力系统网络安全事故。
参考文献:
[1]杨贤.冯加辉.李朝晖.等.智能电站控制-维护-管理系统集成中的安全隔离技术[J].电网技术,2012(07).
[2]梁智强.范颖.电力二次系统安全防护的DDoS攻击原理及防御技术[J].计算机安全,2010(09).