(国网兰州供电公司电力调度控制中心自动化组)
摘要:随着电力调度自动化技术技术的应用,电力系统向自动化、智能化发展。电力调度自动化的发展不仅降低了调度员的工作压力,而且实现无人值守,降低了电力企业的人力成本。但是电力调度自动化网络运行中存在安全漏洞和隐患。本文探讨如何提高电力调度自动化网络安全。
关键词:电力调度自动化;电力系统;网络安全
随着社会经济的发展,人们对电力的要求越来越高,电力调度工作的难度也越来越大。为了更好地实现电力调度工作,采用电力调度自动化技术和网络技术,电力调度自动化系统,在运行过程中可能遭到来自网络攻击、病毒的侵入等问题,这些攻击不仅恶意篡改系统数据信息,传播病毒,导致系统异常运行。保证电力自动化网络安全问题成为首要问题。
一、电力调度自动化网络安全存在的问题
(一)电力调度自动化系统存在一定的缺陷
受到电力企业自身体系影响,我国电力调度系统都是分批建立起来的,所以各个系统存在一定的差异。当电力调度时,如果各个系统不能实现兼容和扩展,那么在调度过程中,可能出现指令发布以后,下一级的电力系统无法正常接收信息或者无法按照调度指令进行调度,就会影响整个调度工作。由于电力调度自动化系统结构整体性差,兼容性差,无法对其进行统一的安全管理。此外,电力自动化建立过程中,没有考虑到网络安全等问题,因此并没有建立相关的网络安全漏洞等管理体系,电力调度系统的安全防御指数不高,所以导致系统存在安全隐患。此外,电力调度系统在建设期间,缺乏长期规划和管理目标,因此在调度工作中,没有按照系统结构建立相关的安全同步网络建设:比如账号密码的设置、授权访问、安全验证等,所以导致系统本身存在不少安全漏洞。兰州供电公司经过通讯网络的改造,公司现已建成专用的东、西光纤环网,与电信网物理络隔离。
(二)防火墙问题
为了抵御网络上恶意程序的攻击和病毒的入侵,保证系统运行的安全,因此电力调度自动化系统一般会设立防火墙,但是在实际运行过程中,防火墙没有按照电力用户的使用情况设计,在运行过程中给用户带来了不少困扰,或者不便于用户操作,不少用户将防火墙关掉,这就给电力自动化系统造成了一定的威胁。
(三)电力调度自动化管理问题
电力调度自动化网络安全需要专业的技术人员对系统进行维护和管理,但是目前不少电力企业在网络安全管理方面还存在问题:第一,系统网络安全管理人员的意识比较薄弱,在日常的工作,没有及时了解和学习一些比较先进的管理技术和方法。第二,在操作方面还存在不少问题,由于管理人员的网络安全意识淡薄,所以在日常的操作中,没有无意中可能会泄露数据信息,造成系统数据丢失,从而引起系统数据泄露等问题。第三,在管理过程中,没有及时启用网络安全监管技术,给黑客和网络不法分子有了可趁之机。
二、电力调度自动化网络安全的实现
(一)防火墙技术、入侵检测、主机加固的应用
防火墙系统由应用程序和内核组成。其中内核的功能就是收发数据包和进行策略比较。当系统启动防火墙以后,系统的数据包是从内核传输到应用程序,应用程序根据数据信息进行处理。通常情况下,数据包在传输之前,内核会对数据进行审核,检验其是否符合用户设置策略一致,只有数据符合设置要求才能通过内核的审核,如果数据不符合设置要求,内核程序会禁止其传输。所以说数据包的传输不需要经过特殊的处理,而是通过内核的审核再进行传输,如果需要特殊处理,则需要相关的应用程序处理以后,再由内核进行传输。应用程序分为识别、代理、防御攻击、网络地址转换以及分裂DNS等程序,防火墙主要通过这两个应用程序来提高系统网络安全性。此外,防火墙技术还能过滤一些网络中不安全的服务,降低系统感染病毒的风险。所以防火墙系统在应用的时候,要选择有效的应用协议,才能提高系统网络安全环境。比如如果系统中弹出一些不安全的应用程序或者安装一些不确定的协议,防火墙可以直接禁止,避免一些网络程序攻击者通过简单的协议攻击系统内部网络。同时防火墙还可以保护系统免受路由的攻击:比如网络IP协议和ICMP重新设置路径时,防火墙系统能够直接拒绝,并通知防火墙管理人员进行处理。
防火墙可以限制外部对系统资源的非授权访问,也可以限制内部对外部的非授权访问,同时还限制内部系统之间,特别是安全级别低的系统对安全级别高的系统的非授权访问。防火墙可以部署在控制区与非控制区之间,实现两个区域的逻辑隔离、保文过滤、访问控制等功能。
在生产控制大区统一部署一套网络入侵检测系统。应当合理设置检测规则,及时捕获网络异常行为,分析潜在威胁,进行安全审计。不宜使用实时阻断功能,禁止使用入侵检测与防火墙联动。
即便使用了防火墙技术,我们也应该对网络内的主机进行加固。加固措施有打补丁、限制服务的开放、安装防病毒程序。在进行主机加固时,主机的安全防护首先要确定安全策略,然后采取适当的方式增强其安全性。通过合理的设置系统配置、服务、权限,可以有效的减少安全薄弱环节。
(二)物理隔离技术
物理隔离技术其实简单来说就是电力系统内部网络不通过有线或者无线等方式连接到公共网络,从而隔离内部和外部网络,目前涉及到我们国家信息安全的部门和企业都采用物理隔离技术,从而保证内部网络的安全。物理隔离技术可以将系统内部网络和公共网络进行有效地隔离,从而保证国家企业单位的信息安全。同时,通过物理隔离技术,电力自动化调度人员在网络安全管理过程中也有了明确的网络安全边界,从而实现对内部网络的控制,所以通过物理隔离技术,将网络隔离是一种比较可以保护电力系统调度网络安全的方法。
兰州供电公司调度自动化系统目前使用的EMS系统是南瑞公司的D-5000系统。同时还运行有南瑞公司的配电自动化OPEN-3000系统,电量系统等。
我们将各个系统分为生产控制大区(安全I区、安全II区)、管理信息大区(安全III区、安全IV区)。其中,生产控制大区(I、II区)与管理信息大区(III、IV区)之间必须实现物理隔离,采用经国家制定部门检测认证的电力专用横向单向安全隔离装置作为边界防护措施。专用横向单向安全隔离装置按照数据通信方向分为正向型和反向型。
安全I、II区的应用系统必须开发专门的接口程序才能实现通过正向物理隔离装置向安全III区的Web发布服务器传送实时/历史数据以及文件。
安全III区往安全II区甚至安全I区的单向数据传输必须采用反向隔离装置。反向隔离装置采用数字签名、数据过滤技术。反向隔离装置采取签名认证和数据过滤措施,仅允许纯文本数据通过,并严格防范病毒、木马等恶意代码进入生产控制大区。
(三)电力系统专用拨号安全服务器
拨号安全服务器是国家根据电力调度二次系统安全防护的需求专门设计的。这种专用拨号服务器是由安全操作系统、工业级服务器、硬件USBkey双因数强认证、VPN、防火墙等技术组成,通过拨号设置,系统对用户进行有效地确认,同时将传输的数据信息进行加密处理并设置安全策略对接入的用户访问资源和范围进行限制,保证系统的安全性。
(四)安全管理与网络维护
必须加强网络安全管理。主要体现在以下方面:建立健全电力系统自动化网络管理制度,明确管理人员的工作职责,并设立一定的奖惩措施;网络安全管理人员要不断学习,提高自身业务能力和水平,在操作网络信息管理系统的时候严格按要求进行,从而满足日益发展的网络安全管理需求。最后,做好信息备份工作,系统在运行过程中,难免会出现一些人为或者客观因素,导致数据的丢失,所以必须做好系统数据备份工作,一旦出现意外,能够及时弥补,避免造成重大的损失。
结束语:
电力调度自动化系统的安全运行至关重要,电力企业必须重视电力调度自动化网络安全问题,自动化管理人员提高网络安全意识、提高自身业务能力、完善网络安全防护软件和技术,确保电力调度自动化网络的安全运行。
参考文献:
[1]李晓龙.电力调度自动化网络安全与实现[J].机械管理开发,2016,31(1)