电力系统安全防护
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇电力系统安全防护范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
电力系统安全防护范文第1篇
当前社会经济高速发展使得电力资源的需求量不断攀升,作为社会生产的支持和日常生活的保障,电力资源在提高人们生活水平方面发挥着极其重要的作用,而电力信息系统中包含的系统运行参数则对电力系统正常供配电起着关键性作用。互联网时代下的网络环境滋生着越来越多的不安全因素,信息安全防护技术的应用十分必要,这也逐渐成为电力系统信息安全研究的一大重点内容。本文从当前电力系统信息安全防护的现状出发,针对信息安全防护的关键技术展开了细致分析。
【关键词】
电力系统;信息安全;防护现状;关键技术
一、引言
随着电力系统中电子信息和计算机网络技术应用的逐渐广泛,电力系统的自动化程度也随之提高,这对于系统信息安全无疑提出了更加严苛的要求。作为电力系统供配电稳定及运行正常的关键信息,电力系统中的各项运行参数直接关系到电力系统的安全,倘若出现系统信息篡改或丢失的情况则势必威胁到电网安全,甚至还会影响到用户信息安全乃至整个社会的生产生活秩序。基于此,如何提高电力系统信息安全防护效果引起了行业人员的高度重视,尤其在当前智能电网建设背景下,保证信息安全更显重要,因此对电力系统信息安全防护关键技术的分析很有必要。
二、当前电力系统信息安全防护的基本现状
作为一个复杂的多领域系统化工程,电力系统信息安全防护除了包括电网调度自动化、电力负荷控制、继电保护和配电网自动化外,还涉及到电力营销及继电保护安全装置等方面内容,关系到经营、生产与管理多个方面。这样一个庞大且复杂的网络系统其运行安全与正常供配电有直接的影响,甚至关系到社会的发展稳定。电力系统信息安全防护工作的开展正是立足于防范有害信息和恶意攻击对系统运行的滋扰,提高调度自动化系统运行的可靠性,确保电力生产经济、安全进行。考虑到电力系统信息涉及到电力的生产、传输和使用等诸多环节,加之电力企业对电力系统信息安全防护研究极为重视,因此大量的人力和财力被投入到系统信息安全研究当中。但目前系统信息安全防护仍存在三大问题:第一,信息安全管理系统不够标准和规范,管理系统对信息安全的指导欠缺合理性与科学性,这势必影响到系统信息的高效安全运行。第二,安全防护意识有待加强,面对出现的新的信息安全问题,缺少对信息安全策略及技术的深入研究,仅仅依靠防病毒软件和防火墙的安装是很难达到有效的防护目的的。第三,在系统信息安全规划上缺乏统筹安排,导致信息安全隐患出现,这对电力系统安全运行是极大的威胁。正是由于上述问题的存在,严重影响到了电网运行的系统信息安全,为了提高电力生产和系统运行的稳定性,需要充分利用信息安全防护关键技术,在技术手段辅助下实现对运行系统信息的全过程、全方位保护。
三、电力系统信息安全防护的关键技术分析
3.1安全隔离技术
安全隔离技术在电力系统信息安全防护中的应用旨在防范各种各样的攻击对电力信息系统造成的威胁,安全隔离技术的技术类型较多,它们有效保障了电力系统信息的稳定性和安全性。
3.1.1物理隔离技术
系统外部网络倘若与内部网络直接连接,那么就极有可能出现黑客入侵系统的情况,进而引起系统信息丢失或被破坏。物理隔离技术的应用是基于物理学方法直接或间接对外部网络和内部网络进行分离,这就需要电力管理人员能够合理划分电力系统的安全区域,根据企业实际情况对划分层次数量进行确定,在实时监控技术的辅助下有效保障电力系统信息安全。
3.1.2协议隔离技术
利用协议隔离器对电力信息系统内部网络与外部网络完全分离采用的就是协议隔离技术,这对于内部系统安全的保证。这主要是由于电力信息内部系统可以借助接口方式与外部系统网络相连接,而协议隔离技术的应用正是保证了内部网络和外部网络之间合理连接机制的存在,在出现通信需要时只有输入专属密码才能产生有效的内外部连接,便于信息传输。而在内外部网络没有通信需求的情况下二者之间的连接就会自动断开,通过这样的方式保证系统信息运行安全。
3.1.3身份认证技术
通常而言身份认证技术的认证方式主要有四种,即口令、指纹、密钥和智能卡。技术实施过程需要在主机或终端上登录特定的用户信息,在后续操作进行时借助信息认证的途径进入到内部信息系统当中。而广义的网络登录所采用的通常是证书授权的方式,所有用户在得到中心授权后可通过签名的途径得到密钥,进而获得加密的系统信息。
3.1.4防火墙技术
电力系统信息安全防护中的防火墙技术其技术构成包括电流层网关、应用层网关和包过滤路由器等,相较于其他技术而言防火墙技术在保障电力系统信息安全方面发挥着极为重要的作用。但防火墙系统本身比较复杂,它在内部网络和外部网络之间建立了一个无形的屏障,而这一屏障是由各种软硬件所组成的,进而确保电力系统信息的内外部网络处于相对安全的沟通环境之中。
3.2加密技术
在信息传输的过程中电力系统经常出现信息迟滞甚至被篡改的现象,而信息加密技术的应用则能够很大程度上解决这一难题。
3.2.1DES加密技术
DES加密技术有着使用简便和加密速度快的优势,DES加密技术在电力系统信息安全防护领域的应用只需较低的成本投入就可获得相对高效的加密信息系统,现阶段电力企业信息管理系统中这一技术的应用十分广泛,同时它所发挥的作用也非常明显。然而,DES加密技术本身也存在着一些缺陷,例如对密钥的分发和管理较为复杂,此外要想全面利用这一加密技术需要更多的成本资金投入,这势必会加大电力企业的管理压力和难度。
3.2.2RSA数字签名技术
RSA数字签名技术相较于DES加密技术而言在密钥分发与管理方面应用优势显著,并且兼具使用便捷和成本投入少的优点。由于具备公开密钥,这就有效解决了密钥分配与保存等问题。RSA数字签名技术在电力系统信息安全防护中的应用稳定性较强,并且数字签名本身也十分方便。
3.2.3两种技术的混合使用
上述提及的DES加密技术和RSA数字签名技术各具优势,它们在电力系统信息安全防护中的应用也都较为先进,为了充分发挥两种技术的作用,很多企业选择对DES加密技术和RSA数字签名技术混合使用,并且建立了混合技术下的系统加密新模式。新模式的出现使得密钥的分配和管理过程更加科学与合理,同时系统运算速度也得到有效提升,电力信息系统安全性全面提高。需要注意,除了发挥技术应用的优势之外,电力企业在系统信息安全防护方面需要做的事情还有很多,比如提高人员安全防护意识、完善安全防范培训体系、优化信息安全管理系统等等,如此才能最大限度配合防护技术的实施,收获最佳的安全防护效果。
四、结束语
综上所述,持续提高的电力自动化程度使得电力系统应用计算机网络的频率也逐渐增加,电力系统信息安全防护关键技术的应用对于电力系统信息安全而言是不可缺少的技术保障。无论是安全隔离技术还是加密技术,它们的有效应用都使得网络攻击和系统入侵等问题大大减少,系统运行参数被窃取或被篡改的情况也得到有效控制,电力系统信息安全真正得到保证。值得注意的是,当前智能电网建设形势下,企业对系统信息安全的关注度不能降低,应更加注重开发利用安全防护新技术,只有维护好电网运行秩序企业的效益目标才能实现,才能真正在可持续发展道路上越走越远。
作者:杨军 单位:甘肃省电力公司
参考文献
[1]刘劲风,王述洋.电力系统信息安全关键技术的研究[J].森林工程,2007,(09).
[2]朱世顺,余勇.信息安全防护技术在电力系统中的最佳实践[J].深信服科技,2009,(06).
电力系统安全防护范文第2篇
【 关键词 】 电力系统;信息安全;智能电网;安全管理;防范措施
1 引言
由于互联网技术的发展和市场化的需要,互联、开放、标准化已成为电力工业中业务系统发展的必然趋势,电力系统的调度运行、生产经营、日常管理越来越依赖于各种计算机信息系统,在这种背景下产生了电力系统信息安全防范措施。由于电力系统的稳定运行直接关系着社会经济发展,因此加强电力系统信息安全防护措施的研究将具有十分重要的现实意义。
2 信息安全概述
信息安全主要是指信息保密性、完整性和可用性的安全防护。保密性是指信息仅仅为那些被授权使用的人获取,完整性是指信息本身和信息处理方法的正确性和完整性,可用性是指经过授权的用户在需要时能能够获取信息。
根据计算机技术的发展,信息安全主要经历了三个发展阶段:通信保密阶段、计算机安全和信息安全阶段、信息保障阶段。
(1)通信保密阶段:侧重于在远程通信中拒绝非授权用户的信息访问及确保通信的真实性,主要采用密码学技术。
(2)计算机安全和信息安全阶段:侧重于确保计算机系统中的硬件、软件及在处理、存储、传输信息中的保密性,主要采用安全操作系统的可信计算机技术。
(3)信息保障阶段:侧重于保护和防御信息及信息系统,确保其可用性、完整性、保密性、不可否认性等特性,并提出了信息安全保障体系PDRR(Protect, Detect, React, Restore)模型。
3 电力系统信息安全现状
国家电网公司多年来一直注重加强信息安全体系建设与管理工作,网络与信息系统按生产控制大区、管理信息大区和三道防线进行防护,管理信息大区划分为信息内网和信息外网,在公司互联网出口、信息内外网边界、管理与生产大区边界建立了信息安全三道防线,如图1所示。
生产控制大区按照国家电监会5号令等文件严格要求,遵循“安全分区、网络专用、横向隔离、纵向认证”的安全防护原则,实施电力二次系统总体安全防护。
管理信息大区实施“双网双机、分区分域、等级防护、多层防御”的信息安全防护总体策略,全面建设信息安全等级保护纵深防护体系。
目前,信息化技术已渗透到电力系统的各个方面,包括生产、运营、建设、物资、科研和管理等领域,并普遍使用VLAN、MPLS等技术。为了保证信息系统的安全运行,国家电网公司开发了信息运维综合监管系统(IMS)和信息外网安全检测系统(ISS)等国网统推软件平台,对电力信息系统进行综合检测。
4 电力系统信息安全所面临的问题
信息化的基础性、全局性作用日益增强,信息安全作为信息化深入推进的重要保障,已成为国家安全战略的重要组成部分。为此,国家相关部门颁布实施了《2006-2020年国家信息化发展战略》,对地方政府和国有企业的信息化实施具有重要的指导意义。
国家电网公司坚决响应中央号召,全力推进公司信息化进程,信息化体系已逐步在公司各个层次建立起来,对公司发展提供了重要的推动作用。然而,信息化是一把“双刃剑”,在推动业务管理创新的同时,也会带来较大的安全风险,给公司的整体安全形势带来新的挑战,具体表现在四个方面。
(1)智能电网:智能电网具有“网络更广、用户更泛、交互更多、技术更新”等特点,为信息安全管控的广度和深度带来全新的要求。
(2)三集五大:“三集五大”体系下的信息系统业务依存度、集成度、融合度比较高,单个系统都可能成为信息安全防护体系的短板,任何一个系统的安全漏洞都可能带来较为严重的后果。
(3)新技术应用:随着物联网、云计算、大数据及移动互联网在电力系统中的广泛应用,各类新型技术防护手段的缺失、自身的安全缺陷,使得信息安全隐患的排查与预防难度大大增加。
(4)数据中心:随着应用级灾备和集中式数据中心的建设,未来公司信息系统将逐渐向物理集中或一级部署过滤,系统自身安全性与脆弱性问题更加突出。
5 电力系统信息安全防护措施
5.1 加强信息安全管理工作
信息安全工作是“三分技术,七分管理”,应切实加强信息安全管理工作。电力企业不少部门认为信息安全仅仅是信息化部门的事情,与自己无关,而信息化部门人员主要精力也只是在信息技术层面,缺少信息管理与安全管理意识,应在公司各个部门之间开展多种形式的信息安全知识培训。
在具体操作层面上,可重点在几个层面开展工作。
(1)统一设计、自主可控:由公司总部集中优势力量统一组织技术研发,以信息安全防护核心技术为重点,以产品自主研发为主,减少外部威胁。
(2)集成集中、优化整合:全面提升公司信息安全资源集约化水平,加大统一管控力度,优化整合,并充分继承现有设备和系统,按照生命周期要求,提高信息安全资产的使用率。
5.2 重视信息安全技术手段
技术手段是解决信息安全的关键所在,只有采用合理且高效的技术手段,才能在很大程度上消除信息安全隐患。应采取“先进适用,创新发展”的原则,积极跟踪和研究国内外先进成熟技术,应用到电力信息网中,比如防火墙技术、入侵检测技术、漏洞扫描技术、隔离技术、VPN技术、安全审计策略等,并采取统一的安防软件和网管软件。结合电力系统特点,具体可表现在几个方面。
(1)主动防御:从信息安全系统体系出发,以技术手段作为切入点,采用“分区分域、安全接入、动态感知、全面防护”等原则,化事件驱动型的被动防御为消息驱动型的主动防御。
(2)持续跟踪:持续跟踪国际信息化与信息安全工作的发展趋势和成果,研究并应用到国家电网公司的信息安全防护下。
(3)超前部署:立足现实,把握全局,并考虑未来技术的发展,超前部署前沿技术攻关及基础成果应用,比如大数据、云计算及虚拟化技术应用等。
5.3 信息安全队伍建设
队伍建设是信息安全得以有效实现的有力保障,国家电网公司应以两院技术支持队伍为基础,加大培养力度,建设国家级信息安全实验室,建立健全“技术专业、响应迅速、覆盖全面”的信息安全技术支撑队伍。
另外,应特别重视公司研发队伍的指导工作,构建研发队伍信息安全“两个一流”和“两个不发生”为目标,以“强基础、重考评、严追则”为手段,从根本上加强研发队伍的安全意识和安全能力,在源头上保证研发安全质量。
6 结束语
随着电力系统中现代信息技术的广泛应用,电力信息安全面临着越来越大的威胁与风险。建立健全国家电网公司信息安全防护体系,必须从管理、技术、安全队伍建设等多方面入手,以安全区域划分、系统等级保护、安全边界保护、主动防御措施和应急响应策略为手段,构筑全方位、多层次的安全防护体系。其中,信息外网以“防攻击、防泄露”为主,信息内网以“强内控,防外联”为主,实现信息内外网的深度安全防护,确保应用系统的安全稳定运行,保障电网企业信息安全。
参考文献
[1] 李文武,游文霞,王先培.电力系统信息安全研究综述.电力系统保护与控制,2011,39(10):140-147.
[2] 胡炎,谢小荣,韩英铎,辛耀中.电力信息系统安全体系设计综述.2005,29(1):35-39.
[3] 董亮,周蕾.信息安全纵深防御体系建设规划研究.电力信息化,2012,8(1):41-43.
[4] 韩祯祥,曹一家.电力系统的安全性及防治措施.电网技术,2004,28(9):1-6.
[5] 陈来军,梅生伟,陈颖.智能电网信息安全及其对电力系统生存性的影响.控制理论与应用,2012,29(2):240-244.
基金项目:
山西省电力公司科技项目晋215号基金支持。
作者简介:
马军伟(1982-),男,山东济宁人,大连理工大学控制理论与控制工程专业,博士研究生,现任国网山西省电力公司信息通信分公司技术发展部电力通信规划管理,中级职称;主要研究方向和关注领域:电力通信规划、信息安全。
阎立(1975-),男,山西晋中人,太原理工大学计算机系大学,本科,现任国网山西省电力公司信息通信分公司技术发展部主任,高级职称;主要研究方向和关注领域:电力信息通信管理。
电力系统安全防护范文第3篇
关键词:电力系统;计算机网络;信息安全;防护策略
引言
近年来,随着科技的飞速发展,互联网技术被应用于各个领域之中,互联网技术给人们日常生活与工作都带来了极大的便利。信息技术在电力系统之中的应用,可以提升对电力系统的管理工作效率,降低电力系统的管理难度。随着城市的发展,生活、生产用电量不断增长,这也造成了电力系统规模的不断扩大,为了确保电力系统的稳定运行,对网络信息技术的依赖性也越来越大。但是,网络信息技术中存在着信息安全问题,不能做好对计算机网络信息安全方面的防护工作,就会影响电力系统的顺利运行。
1计算机网络信息安全对电力系统的影响
计算机网络信息技术可以提升信息资源的利用效率,提高资源的共享能力,提升信息数据的传输效率。将计算机网络信息技术应用在电力系统之中,就能利用网络信息技术的优势,提高电力系统的输电、用电效率,有利于降低输电过程中的电能消耗。但是,基于计算机网络信息技术建立起的管理系统,很容易受到来自网络的黑客攻击或病毒侵害,如果不能给予相应的防护措施,电力系统中的相关数据就会受到严重损害,系统故障也会造成电力系统的运行故障。因此,电力系统利用计算机网络信息技术提高工作效率的同时,还必须重视起计算机网络信息安全问题,建立相应的防护系统,这样才能避免对电力系统造成的损害。
2电力系统中计算机网络信息安全的常见问题
2.1计算机病毒
计算机病毒是计算机网络信息安全中的常见问题之一,当计算机系统感染病毒,计算机病毒就会破坏系统中的程序数据,一些病毒也会损坏文件数据的完整性,这就会导致电力系统中的重要信息丢失,影响控制系统的正常运行。另外,一些危害较大的计算机病毒具有自我复制能力,随着系统软件的每次运行,病毒程序就会加以复制,进而加大计算机病毒的查杀难度,也会提升病毒对系统的破坏性。目前,电力系统中有大量基于计算机网络信息技术的监测、控制系统,当作为控制平台的计算机受到病毒入侵,系统稳定性就会受到影响,严重者就会出现电力系统的运行故障,不仅影响着正常供电,运行故障也会给电力系统的设备造成损害。
2.2黑客入侵
随着电力系统规模的扩大,在电力系统中使用的控制平台也从局域网络环境转为互联网环境,外网的使用就会加大受到黑客入侵的风险。黑客入侵会造成电力系统控制权的丧失,黑客入侵后,会利用电力系统中的安全漏洞,进而干扰电力系统的管控工作,同时也会造成重要信息数据的丢失。如果被黑客窃取的数据资料流入市场,也会让电力企业出现重大经济损失,进而扰乱电力市场,不仅危及着电力系统的运行安全,也干扰这社会秩序的稳定。
2.3系统本身的漏洞
利用计算机网络信息技术建立的监测、控制平台,需要定期进行版本的更新,不仅可以完善系统平台的功能性,也是对现存系统漏洞的修补。系统平台不能定期更新、维护,就会更容易被黑客侵入,也会提升系统报错的发生几率,影响系统的稳定性。如表1所示。
3电力系统工作方面中的不足
在电力系统中,工作人员操作相关软件系统时,也存在一些问题,这也会增加网络信息安全隐患。一些电力企业对网络信息安全的重要性并没有形成深刻的认识,网络安全问题对电力系统的危害没有引起领导层的重视,单纯的做好了计算机网络建设,并没有加入对网络信息安全方面的防护措施。另外,在使用中,许多工作人员缺乏计算机方面的专业知识,缺乏网络安全意识,就加大了日常工作行为造成网络安全问题的几率。工作人员缺乏相应的用网安全知识,随意进行网络浏览或插接带有病毒的硬件,这就会对网络信息安全造成威胁,严重者导致整个控制系统的瘫痪。另外,我国政府在对电力系统网络安全方面的管理制度也存在不足,缺少相关的法律法规加以约束,制定的法律法规中没有统一明确的标准,对现有问题的涉及范围较小,不能完全覆盖所有网络信息安全问题,这也就降低了法律法规的警示作用。
4电力系统网络信息安全的具体防护策略
4.1加装杀毒软件
在使用计算机和进行网络浏览的过程中,杀毒软件是保护计算机网络信息安全的重要工具。因此,在电力系统网络信息安全管理工作中,必须确保电力系统中的监测控制系统均要安装杀毒软件。可以根据电力系统实际情况来选择杀毒软件的类型,在日常管理中,工作人员要定期进行对计算机系统的查毒、杀毒操作,确保每名工作人员都掌握杀毒操作的方法,学习安全浏览网络、使用硬件的方法。要对工作人员加以培训,提升工作人员对网络信息安全的认识水平,对未知软件、邮件的阅读、安装提示加以防范,及时的查杀、删除,网络上挂载的文件也要慎重下载,尽量登录正规网站,减少未知网站的阅览。目前市场上常用的杀毒软件可参考表2。
4.2引用相关计算机网络防护技术
在电力系统的控制系统平台之中,还可以为相关软件加入网络信息安全技术,可以利用防火墙技术对外网与内网之间架设一道网络安全防护,进而减少外网环境中不安全因素对系统的入侵,提升用网安全性,加强对系统高危漏洞的修复,也能有效减少黑客、病毒对系统安全的危害。在电力系统控制端架设防火墙,通过防火墙限制用户数量,可以有效的避免黑客的入侵,进而防止电力系统控制权限被他人盗用。另外,在软件系统中也可以加入其它网络安全产品,例如VPN系统、文档加密系统、电子秘钥等安全产品,这样可以有效减少计算机网络信息方面的安全隐患,避免对电力系统正常运行的影响。相关网络安全防护措施如表3所示。
电力系统安全防护范文第4篇
关键词: 电力二次系统 安全防护 具体措施
中图分类号: F406 文献标识码: A 文章编号:电力行业信息化技术的逐步提高,使得内部信息网具备跨地区、全行业覆盖的功能更突出。电力行业信息技术的进步,是计算机网络成为加入电网调度机构后发挥的重大作用。以目前的发展趋势,电力行业对网络的依赖性越来越大,为杜绝网络共计的危险,电力二次系统被提高到重要层面,已经成为有效抵制各种形式网络攻击的基本保障。
1.二次系统安全防护现状
近年来随着电力行业二次系统安全防护项目的发展,信息化应用日趋增强,电力网络安全问题也变得更为重要。目前电力安全系统涉及到发电行业各个环节,我国现实现了国调、网调、省调和县调五级。发电厂生产控制区业务系统接入调度数据网及相应调度数据网边界的安全防护。电网规模不停扩充,自动化系统需求增大,完善电力二次系统安全成为了必须。
1.1 系统硬件平台现状
EMS系统硬件平台是十分成熟的电网管理平台,它不仅负担着电网实时监测、控制、处理、SOE等任务,而且有电压无功优化管理、状态分析、负荷预测、调度员潮流分析等功能,还成为DMIS系统整合的有力支撑。火电厂的DCS、NCS、或ECS监控系统通过SIS系统与调度EMS系统相连,火力发电厂的AGC、AVC则直接与调度EMS系统相连,参与有功无功的远程控制。对于厂内二次系统,除了做好备份和计算机管理方面的工作外,更重要的是运用防病毒软件作为日常安全保障的重要手段,那么专用于电力系统的病毒升级服务器配备就显得尤为重要,渐渐被提上日程。
1.2 系统软件平台现状
系统软件平台EMS系统是功能一体化的系统,其网络结构是以总线连接两层交换机的构架,负荷很重,交换流量也过大,很易形成数据通信问题,甚至出现主程序会自主关闭现象。火电厂内部监控系统则通过标准协议(TCP/IP)全封闭系统,应杜绝外部访问。
2. 二次防护系统加固措施实践
采用自加固和专业安全加固两种形式对电力系统进行加固,能够对电力系统日常维护和专业评估后的漏洞起到修补的安全加固作用。
2.1 基于数据单向迁移的横向隔离措施
按照“安全分区、网络专用、横向隔离、纵向认证”原则,EMS系统基于LINUX操作系统服务器单向迁移数据镜像于Web服务器生成页面,给信息管理大区的业务用户使用。
Linux系统可实现对个体文件、任务进行加密处理,更加可靠。可是Web服务器在身份认证和权限管理方面无有效措施,Linux系统中的SAMBA服务使Web服务器在直接面向与INTERNET互联的MIS网络时,给HACKER攻击和病毒入侵提供了侵入机会。有效结合软硬件的安全隔离措施应被广泛使用,才能在共享网络数据时对侵入的非法信息进行阻断。
2.2 基于认证加密技术的纵向防护措施
采用IP认证加密装置间的相互认证来实现安全Ⅰ/Ⅱ区内部的纵向通信过程。有如下方面:IP认证加密装置之间支持基于数字证书的认证,支持定向认证加密;对传输的数据通过数据签名与加密进行数据机密性、完整性保护;支持透明工作方式与网关工作方式;具有基于IP、传输协议、应用端口号的综合报文过滤与访问控制功能;实现装置之间智能协调,动态调整安全策略;具有NAT功能。
2.3 系统的网络访问控制措施
网络各节点全面控制措施可以从五个方面来实现:
(1)强化口令管理:如果设置的口令较易被破解就需要加强口令管理控制。因为EMS系统口令若被人盗用,会对电力二次系统和电网的安全运行形成危害,后果不堪设想。
(2)禁用不必要服务:诸如Finger、BootpServer、ProxyArp等出场缺省服务,在路由器上,对于SNMP、DHCP以及Web不必须的管理服务等能关闭的就关闭。
(3)禁用远程访问:远程访问控制计算机必然泄露系统信息,在链接过程中难免有病毒侵入系统,所以应完全避免。
(4)控制流量有限进入网络:路由器通常会成为DOS攻击的目标,没有IP地址的包,一切外来的和仿冒内部的包都不要随意下载、打开使用。此外,用户还可以采取增加SYNACK队列长度、缩短ACK超时等措施来保护路由器免受TCP SYN的攻击。
2.4 数据库管理与安全审计措施
数据库管理要着重EMS系统管理,其数据资源受到设备物理防护,而无法避免人为因素破坏。因而用户应该采取必要措施加以防范。比如明确系统维护人员、调度操作人员、设备巡视人员职责权限,实现口令管理,同时在系统中用LOG.TXT记录人员访问操作信息。严格口令管理制度,严禁无关人员使用工作人员口令、权限,并健全相关处罚措施。
2.5 防病毒措施
防病毒措施的关键就是防病毒软件的使用。专业病毒软件的使用和定期更新是防范的重点,而因为更新需要插入的移动设备必须要率先排除染毒可能。也就需要固定的专门的病毒升级服务器,它可设立在安全III区,采用LINUX系统平台,加装防毒软件,成为独立的病毒升级机,先用本机杀毒而后经过物理隔离设备供给总线结构连接的EMS网络各设备,来实现系统设备病毒库的安全升级。
此外,EMS提供的I/O设备是一大隐患,能封存该设备就要加以封存,防范因此造成的系统崩溃等故障。
2.6 制度管理措施
严格专人负责制,成立专门的安全防护领导小组和监督工作组,负责本单位二次系统安全防护的组织管理和具体工作。做好重要应用系统软件、数据的备份,确保在数据损坏、系统崩溃情况下快速恢复数据与系统。有专人查看IDS入侵检测系统运行日志,及时处理网络异常。
2.7 其它加固措施
程序安全措施、安全细化评估、数据的备份和恢复、入侵检测 IDS等手段都可作为加固措施进行配置。
结束语:
计算机网络的安全是和电力生产安全连为一体的,只有运用健全的网络安全管理技术和完备的管理方法,加强日常管理监督,不断应用新技术对电力安全系统进行更新,才能成为电力行业安全防护最好的保障。
参考文献:
电力系统安全防护范文第5篇
关键词:电二次系统安全防护;调度数据网络安全; 防止恶意破坏和攻击
Abstract: the flood home over power plant power secondary system security protection, is based on the fifth supervisor will order the power secondary system security protection rules, "and" the power secondary system safety protection plan "to the requirements of the implementation. This system in wujiang river flood company considered business requirements and crossing home power plant development, and on the basis of reasonable give consideration to the network safe protection, building an efficient, stable, safe and reliable network. Key is to ensure that the closed-loop control system and power real-time dispatching data network security, the aim is to resist the hackers, viruses, malicious code through various forms of the system such as launched malicious damage and attacks, prevent which led to a system accident or massive blackout accidents and secondary system collapse or paralysis.
Key words: the second system safety protective; Dispatching data network security; Prevent malicious damage and attack
中图分类号:U664.156文献标识码: A 文章编号:
概述:
为了防范黑客及恶意代码等对电力二次系统的攻击侵害及由此引发电力系统事故,特建立电力二次系统安全防护体系,保障电力系统的安全稳定运行,根据《中华人民共和国计算机信息系统安全保护条例》和国家电力监管委员会[2005]5号令《电力二次系统安全防护规定》等有关文件精神建设洪家渡发电厂二次安全防护系统,确保我厂机组安全、优质、稳定运行。
洪家渡发电厂二次系统安全防护在生产控制大区与管理信息大区添加防火墙、网络安全隔离装置、认证系统等,是为了防范来自外部网络的攻击,加强电厂内部网络的安全性,有效的防止不同部门及非法用户跨权限访问,通过独特的加密体系认证,避免数据在传输过程中被非法劫持及篡改,确保了用户访问网络资源的合法性、安全性。
一、电力二次系统安全防护策略
电力二次系统安全防护总体框架要求电厂二次系统的安全防护技术方案必须按照国家经贸委[2002]第30号令《电网和电厂计算机监控系统及调度数据网络安全防护的规定》和国家电力监管委员会[2005]第5号令《电力二次系统安全防护规定》进行设计。
1.安全防护的基本原则
①系统性原则(木桶原理);②简单性和可靠性原则;③实时、连续、安全相统一的原则;④需求、风险、代价相平衡的原则;⑤实用性与先进性相结合的原则;⑥方便性与安全性相统一的原则;⑦全面防护、突出重点的原则;⑧分层分区、强化边界的原则;⑨整体规划、分布实施的原则;⑩责任到人,分级管理,联合防护的原则。
2.安全策略
安全策略是安全防护体系的核心,是安全工程的中心。安全策略可以分为总体策略、面向每个安全目标的具体策略两个层次。策略定义了安全风险的解决思路、技术路线以及相配合的管理措施。安全策略是系统安全技术体系与管理体系的依据。
电力二次系统的安全防护策略为:
⑴安全分区:根据系统中各业务的重要性和对一次系统的影响程度划分为二个大区:生产控制大区I、管理信息大区Ⅱ,所有系统都必须置于相应的安全区内。
⑵网络专用:建立专用电力调度数据网络,与电力企业数据网络实现物理隔离,在调度数据网上形成相互逻辑隔离的实时子网和非实时子网,避免安全区纵向交叉连接。
⑶横向隔离:采用不同强度的安全设备隔离各安全区,尤其是在生产控制大区与管理信息大区之间实行有效安全隔离,隔离强度应接近或达到物理隔离。
⑷纵向认证:采用认证、加密、访问控制等技术实现生产控制数据的远程安全传输以及纵向边界的安全防护。
3.电力二次系统的安全区划分
根据电力二次系统的特点,各相关业务系统的重要程度和数据流程、目前状况和安全要求,将电力二次系统分为二个安全区:生产控制大区I、管理信息大区Ⅱ,不同的安全区确定了不同的安全防护要求,从而决定了不同的安全等级和防护水平。其中安全区Ⅰ的安全等级最高,安全区Ⅱ次之。
在各安全区之间,均需选择适当的经国家有关部门认证的隔离装置。生产控制大区与管理信息大区之间必须采用经国调中心认可的电力专用安全隔离装置。
在安全区中内部局域网与外部边界通信网络之间应采用功能上相当于通信网关或强于通信网关的内外网的隔离装置。
4.业务系统或功能模块置于安全区的规则
根据该系统的实时性、使用者、功能、场所、在各业务系统的相互关系、广域网通信的方式以及受到攻击之后所产生的影响,将其分置于两个安全区之中。
实时控制系统或未来可能有实时控制功能的系统需置于安全区Ⅰ。如:机组监控系统,实时性很强。用于在线控制,所以置于安全区I。
电力二次系统中不允许把本属于高安全区的业务系统迁移到低安全区。允许把属于低安全区的业务系统的终端设备放置于高安全区,由属于高安全区的人员使用。
某些业务系统的次要功能与根据主要功能所选定的安全区不一致时,可根据业务系统的数据流程将不同的功能模块(或子系统)分置于各安全区中,各功能模块(或子系统)经过安全区之间的通信来构成整个业务系统。
自我封闭的业务系统为孤立业务系统,其划分规则不作要求,但需遵守所在安全区的安全防护规定。
5.安全区之间的横向隔离要求
在各安全区之间均需选择适当安全强度的隔离装置,尤其在生产控制大区和管理信息大区之间要选择使用达到或接近物理强度的专用隔离装置。具体隔离装置的选择不仅需要考虑网络安全的要求,还需要考虑带宽及实时性的要求。隔离装置必须是国产设备并经过国家或电力系统有关部门认证。
洪家渡发电厂二次系统安全防护总体结构拓朴图
三、我厂电力二次系统安全防护实施方案
二次安防网络安全设备放置于监控机房专用机柜,电源使用监控系统UPS电源。
1.设备柜上分布情况
2.设备配置命名
设备命名规则按照简单,直观,整体性,逻辑性,并充分预留的原则,采用字母与数字结合的方法,洪家渡电厂二次系统安全防护工程的设备命名如下:
3.端口描述
为便于识别和维护,定义VLAN和VLAN端口、物理端口描述的规则如下:
交换机之间互联用VLAN、VLAN接口的描述规则为:description to-设备名称
例如:本设备连接到纵向加密A,VLAN接口的描述为:description TO-ZhongXiangJiaMi_A
交换机连接服务器或者用户的VLAN及VLAN接口的描述为:Description服务器名或用户组名
例如:本VLAN连接远动系统EMS,描述为:DescriptionEMS
4.路由协议部署
路由协议用于学习和维护路由,为网络通讯提供最佳路径,路由协议选择原则如下:①开放性和标准化:必须使用国际标准的路由协议,保证网络的开放性,支持不同厂商设备的路由互连。②可扩展性:使用的路由协议必须具备良好的扩展能力,能够支持网络规模的持续增长。③支持数据分流:路由协议应该支持灵活的路由策略,通过调整路由策略,可以实现数据分流。④安全性及稳定性:必须确保数据在传输过程中必须中,不被非法者劫持或篡改。
基于以上四点选择原则,洪家渡发电厂电网调度二次安全防护改造工程宜采用BGP+OSPF+MPLS-VPN的路由结构体系,结合BGP和OSPF各自的优势,非常容易实现数据分流,通过MPLS-VPN构建出一条虚拟隧道,使得业务间建立安全的通信链路。
⑴省调度网
省调度网使用BGP路由协议。
乌江水电开发有限公司调度网的路由器与洪家渡发电厂电网调度二次安全防护的路由器之间建立eBGP邻居关系,相互交换路由,eBGP路由边界在乌江水电开发有限公司调度网和洪家渡发电厂电网调度网路由器上。
⑵局域网
乌江水电开发有限公司调度网、洪家渡发电厂电网调度网与省调度网路由器相连,使用OSPF协议。局域网的CISCO 2800为局域网与省调度网的路由边界点,负责OSPF与BGP的路由再。将BGP的路由导入OSPF,使局域网学到外部路由,同时也将OSPF 的路由以network的方式导入BGP,使省调度网学到局域网的路由。
