论文部分内容阅读
摘 要:随着电力系统自动化及智能电网的不断深入发展,调控数据网的不同应用对安全性、可靠性、实时性、保密性的不同特殊要求。提出了建立调控数据网的安全防护体系,在技术体制方面,应该在通道层建立调控专用数据网络;在二次安防对策方面,应该采取必要的技术手段,阐述了调控数据网安全防护现状,结合主动防御新技术设计了调控数据网安全防护的发展.以确保调控数据网的安全。有效提升调控数据网的安全防护,对提高电网的安全、稳定、可靠、经济运行具有重要的现实意义。
关键词:大数据;电力大数据;调控运行;应用
引言
随着通信技术与计算机网络的发展,网络违法犯罪在不断增加,信息安全问题已经引起了企业的高度重视。作为国家能源机构的国家电网公司,在安全防护方面更是举足轻重。
因此应按照调控数据网中各种应用的不同特点,优化电力调控数据网,建立调控系统的二次安全防护体系。
1.电力系统调控数据网的应用
电力系统调控数据网应用种类很多,根据业务类型不同、实时等级不同、安全等级差异等因素,电力系统调控数据网应用主要可分为调控数据传输和信息管理信息传输两大类,一般分为III区,调控数字区、DTS区及MIS区,此外应用还包括话音视频传输和对外服务等。不同的应用系统对安全有不同的要求。
生产控制类中的基于TCP/IP的数据业务,速率要求不高,数据流基本恒定,但业务实时性较强,其中遥控遥调更与电网安全直接相关,可靠性要求较高;与计费相关的电力市场业务,对安全性有特殊要求,不仅要求可靠,原始数据还要求保密。从应用范围来看,生产控制类业务分布在各网省调及大量发电厂和变电站,属于较特殊的一类窄带业务。
对安全性有特殊要求,不仅要求可靠,原始数据还要求保密。从应用范围来看,生产控制类业务分布在各网省调及大量发电厂和变电站,属于较特殊的一类窄带业务。
管理信息类业务突发性很强,速率要求较高,实时性不强,保密性要求较高,覆盖除生产控制类以外的所有数据业务,其网络布局集中于行政办公中心,一般要求为宽带网络。
话音视频类业务是指建立在IP平台上的电话及会议电视,对实时性要求高,安全可靠性无特殊要求,目前其质量还有待提高。对外服务类业务则是指根据市场的需要而建立的数据网络。
2.调控数据网的安全防护
近年来调控数据网的内涵有了较快的延伸,由原来单一的EMS系统扩展为EMS、DMS、厂站自动化、配调自动化和调控生产管理系统等。数据网络是支持调控数据网的重要技术平台,一般要求数据网络安全可靠,实时性要求在秒级或数秒级,市场信息发布等电力市场信息系统由于需要与公网连接,因而还要求做加密及隔离处理。
建立调控数据网的安全防护体系,首先要制定安全防护策略。应用系统的安全策略位于安全防范的最高一级,是决定系统的安全要素。从大的方面讲,安全策略决定了一个系统要达到的安全级别及可以付出的代价;从小的方面讲,安全策略的具体规则用于说明哪些行为是允许的,哪些行为是禁止的。系统是否安全,很大程度上依赖于最初设计时制定的安全策略,因为今后的安全对策,都围绕这一策略来选择和使用,如果在安全策略上出了问题,将会给今后的应用系统带来安全隐患,从而使将来的安全建设处于十分被动的局面。因此考虑调控数据网的安全,应首先根据系统对安全性、可靠性、实时性、保密性等方面的不同特殊要求,按照国家有关部门的规定,从应用系统的各个层面出发,制定完善的安全防护策略。
3.调控数据网的系统分层
一个调控数据网的安全主要分为五个层面,即物理安全、网络安全、系统安全、应用安全、授权安全。调控数据网的安全防护体系应包含上述五个层面的所有内容。
物理安全主要包含主机硬件和物理线路的安全问题,如自然灾害、硬件故障、失窃等,由于此类隐患而导致重要数据、口令及帐号丢失,称为物理安全。
网络安全是指网络层面的安全。由于联网计算机能被网上任何一台主机攻击,而网络安全对策不到位导致的安全问题。
系统安全是指主机操作系统层面的安全。包括系统存取授权设置、帐号口令设置、安全管理设置等安全问题,如未授权存取、越权使用、泄密、用户拒绝系统管理、损害系统的完整性等。
应用安全是指主机系统上应用软件层面的安全。如Web服务器、数据库等的安全问题。
授权安全是指如何防止内部人员对网络和系统的攻击及误用等。
4.网络及信息安全问题的有关政策和法规
电力生产事关国计民生,电力系统的安全和保密都很重要,电力自动化系统要求可靠、安全、实时,而电力信息系统要求完整、保密。两种业务一定要与其他业务有效安全隔离。
公安部已经颁布了安全防护方面的一系列文件,相关规定从安全保密角度看,认为自动控制系统应与外部网络绝对物理隔离,可根据业务的需要建立专用数據网络。
5.调控数据网数据网络的安全防护策略
从电力系统采用的现有安全防护技术方面,大部分电力企业的调控数据网采用的是被动防御技术,有防火墙技术和入侵检测技术等,随着网络技术的发展,逐渐暴露出其缺陷.防火墙在保障网络安全方面,对病毒、访问限制、后门威胁和对于内部的黑客攻击等都无法起到作用。入侵检测则有很高的漏报率[4]。这些都要求有更高的技术手段来防范黑客攻击与入侵。基于传统安全技术与主动防御技术相结合,设计的安全防护模型。
电力系统中的光纤通信网络正在加紧建设,采用光纤+SDH+IP模式容易实现对不同IP应用业务之间的物理隔离,具有较高的传输效率,能满足控制、保护等电力系统的关键业务的要求,便于调控部门能对网络进行有效监控,并便于通信部门对外出租带宽。因此用光纤+SDH+IP模式建立调控数据专网是一个适当的选择,可以很好满足电力系统的下列要求:
(1)数据传输的实时性(继电保护毫秒级,自动化秒级),要求网络层次简化。
(2)传输的连续性,通信负荷基本恒定,需要恒定带宽。
(3)远方控制的可靠性(遥控、遥调、AGC等),要求有效隔离。
(4)因特网时代的安全防护体系(防黑客、防病毒、防破坏等)。
(5)网络拓扑结构必须覆盖远离城市的电厂、变电站。
6.调控专用数据网络的安全防护对策
采用调控专用网络体制使数据网络在网络层的的安全得到最大程度的保证。但也不能保证100%的安全,对调控数据专用网络还必须做到技术对策和管理制度双管齐下,才有可能从根本上保障信息和控制系统的安全。在管理制度方面,要做到:
(1)对全网实施监管,所有与电力调控数据网连接的节点都必须在有效的管理范围内,保障安全的系统性和全局性。
(2)加强人员管理,建立一支高素质的网络管理队伍,防止来自内部的攻击、越权、误用及泄密。
(3)加强运行管理,建立健全运行管理及安全规章制度,建立安全联防制度,将网络及系统安全作为经常性的工作。
7.结束语
目前,对于调控数据网及数据网络的安全防护对策,国际上正在制定相应的自动化系统网络安全标准,国内也开始进行相关课题的研究,首先应在网络技术体制方面,采用光纤+SDH+IP的数据专网模式,在全系统实现电力调控专用数据网络与其它公用信息网络、电力生产控制系统与办公自动化系统等的安全隔离,同时在调控专用数据网及各相关应用系统上采取必要的安全防护技术手段,建立严密的安全管理对策,以确保电力调控系统和电力系统的安全。
关键词:大数据;电力大数据;调控运行;应用
引言
随着通信技术与计算机网络的发展,网络违法犯罪在不断增加,信息安全问题已经引起了企业的高度重视。作为国家能源机构的国家电网公司,在安全防护方面更是举足轻重。
因此应按照调控数据网中各种应用的不同特点,优化电力调控数据网,建立调控系统的二次安全防护体系。
1.电力系统调控数据网的应用
电力系统调控数据网应用种类很多,根据业务类型不同、实时等级不同、安全等级差异等因素,电力系统调控数据网应用主要可分为调控数据传输和信息管理信息传输两大类,一般分为III区,调控数字区、DTS区及MIS区,此外应用还包括话音视频传输和对外服务等。不同的应用系统对安全有不同的要求。
生产控制类中的基于TCP/IP的数据业务,速率要求不高,数据流基本恒定,但业务实时性较强,其中遥控遥调更与电网安全直接相关,可靠性要求较高;与计费相关的电力市场业务,对安全性有特殊要求,不仅要求可靠,原始数据还要求保密。从应用范围来看,生产控制类业务分布在各网省调及大量发电厂和变电站,属于较特殊的一类窄带业务。
对安全性有特殊要求,不仅要求可靠,原始数据还要求保密。从应用范围来看,生产控制类业务分布在各网省调及大量发电厂和变电站,属于较特殊的一类窄带业务。
管理信息类业务突发性很强,速率要求较高,实时性不强,保密性要求较高,覆盖除生产控制类以外的所有数据业务,其网络布局集中于行政办公中心,一般要求为宽带网络。
话音视频类业务是指建立在IP平台上的电话及会议电视,对实时性要求高,安全可靠性无特殊要求,目前其质量还有待提高。对外服务类业务则是指根据市场的需要而建立的数据网络。
2.调控数据网的安全防护
近年来调控数据网的内涵有了较快的延伸,由原来单一的EMS系统扩展为EMS、DMS、厂站自动化、配调自动化和调控生产管理系统等。数据网络是支持调控数据网的重要技术平台,一般要求数据网络安全可靠,实时性要求在秒级或数秒级,市场信息发布等电力市场信息系统由于需要与公网连接,因而还要求做加密及隔离处理。
建立调控数据网的安全防护体系,首先要制定安全防护策略。应用系统的安全策略位于安全防范的最高一级,是决定系统的安全要素。从大的方面讲,安全策略决定了一个系统要达到的安全级别及可以付出的代价;从小的方面讲,安全策略的具体规则用于说明哪些行为是允许的,哪些行为是禁止的。系统是否安全,很大程度上依赖于最初设计时制定的安全策略,因为今后的安全对策,都围绕这一策略来选择和使用,如果在安全策略上出了问题,将会给今后的应用系统带来安全隐患,从而使将来的安全建设处于十分被动的局面。因此考虑调控数据网的安全,应首先根据系统对安全性、可靠性、实时性、保密性等方面的不同特殊要求,按照国家有关部门的规定,从应用系统的各个层面出发,制定完善的安全防护策略。
3.调控数据网的系统分层
一个调控数据网的安全主要分为五个层面,即物理安全、网络安全、系统安全、应用安全、授权安全。调控数据网的安全防护体系应包含上述五个层面的所有内容。
物理安全主要包含主机硬件和物理线路的安全问题,如自然灾害、硬件故障、失窃等,由于此类隐患而导致重要数据、口令及帐号丢失,称为物理安全。
网络安全是指网络层面的安全。由于联网计算机能被网上任何一台主机攻击,而网络安全对策不到位导致的安全问题。
系统安全是指主机操作系统层面的安全。包括系统存取授权设置、帐号口令设置、安全管理设置等安全问题,如未授权存取、越权使用、泄密、用户拒绝系统管理、损害系统的完整性等。
应用安全是指主机系统上应用软件层面的安全。如Web服务器、数据库等的安全问题。
授权安全是指如何防止内部人员对网络和系统的攻击及误用等。
4.网络及信息安全问题的有关政策和法规
电力生产事关国计民生,电力系统的安全和保密都很重要,电力自动化系统要求可靠、安全、实时,而电力信息系统要求完整、保密。两种业务一定要与其他业务有效安全隔离。
公安部已经颁布了安全防护方面的一系列文件,相关规定从安全保密角度看,认为自动控制系统应与外部网络绝对物理隔离,可根据业务的需要建立专用数據网络。
5.调控数据网数据网络的安全防护策略
从电力系统采用的现有安全防护技术方面,大部分电力企业的调控数据网采用的是被动防御技术,有防火墙技术和入侵检测技术等,随着网络技术的发展,逐渐暴露出其缺陷.防火墙在保障网络安全方面,对病毒、访问限制、后门威胁和对于内部的黑客攻击等都无法起到作用。入侵检测则有很高的漏报率[4]。这些都要求有更高的技术手段来防范黑客攻击与入侵。基于传统安全技术与主动防御技术相结合,设计的安全防护模型。
电力系统中的光纤通信网络正在加紧建设,采用光纤+SDH+IP模式容易实现对不同IP应用业务之间的物理隔离,具有较高的传输效率,能满足控制、保护等电力系统的关键业务的要求,便于调控部门能对网络进行有效监控,并便于通信部门对外出租带宽。因此用光纤+SDH+IP模式建立调控数据专网是一个适当的选择,可以很好满足电力系统的下列要求:
(1)数据传输的实时性(继电保护毫秒级,自动化秒级),要求网络层次简化。
(2)传输的连续性,通信负荷基本恒定,需要恒定带宽。
(3)远方控制的可靠性(遥控、遥调、AGC等),要求有效隔离。
(4)因特网时代的安全防护体系(防黑客、防病毒、防破坏等)。
(5)网络拓扑结构必须覆盖远离城市的电厂、变电站。
6.调控专用数据网络的安全防护对策
采用调控专用网络体制使数据网络在网络层的的安全得到最大程度的保证。但也不能保证100%的安全,对调控数据专用网络还必须做到技术对策和管理制度双管齐下,才有可能从根本上保障信息和控制系统的安全。在管理制度方面,要做到:
(1)对全网实施监管,所有与电力调控数据网连接的节点都必须在有效的管理范围内,保障安全的系统性和全局性。
(2)加强人员管理,建立一支高素质的网络管理队伍,防止来自内部的攻击、越权、误用及泄密。
(3)加强运行管理,建立健全运行管理及安全规章制度,建立安全联防制度,将网络及系统安全作为经常性的工作。
7.结束语
目前,对于调控数据网及数据网络的安全防护对策,国际上正在制定相应的自动化系统网络安全标准,国内也开始进行相关课题的研究,首先应在网络技术体制方面,采用光纤+SDH+IP的数据专网模式,在全系统实现电力调控专用数据网络与其它公用信息网络、电力生产控制系统与办公自动化系统等的安全隔离,同时在调控专用数据网及各相关应用系统上采取必要的安全防护技术手段,建立严密的安全管理对策,以确保电力调控系统和电力系统的安全。