论文部分内容阅读
摘要:随着国家科技与经济的发展,我国的电网事业逐渐进入了高度融合的智能电网阶段,电网调度系统及通信网络是智能电网中的重要组成部门,其对电网的工作正常运行起到了关键作用。该系统的体系结构、基础平台和应用功能按照横向集成、纵向贯通的一体化思路设计,使系统中各项系统之间的特点有效地结合起来,使电网系统实现智能化运行、智能化维护和智能化使用,使其在各级调度工作中发挥出良好的作用,使其满足当今情况下电网调度工作的需求。
关键词:智能电网;调度控制系统;安全防护技术;发展
1、电网调度控制系统的发展历程
1.1基于边界安全的纵深保护系统
随着科学技术与社会生产力水平的发展,计算机自动化以及网络科学技术也在逐渐发展,促进了电网控制监控体系自动化程度的提升,丰富和发展了其功能,促进了调节数据网络不断完备,但是,电力监控体系所面临的信息安全问题也更加凸出。为了更好地解决新增的信息安全问题,早先我国就进行了“863”的“国家电网调节中心安全保护系统研究”计划,从而建设了一套符合我国国情的电力检测系统安全保护系统战略,推动了以多重边界为关键、多重防线促成的保护系统。
1.2电力调度数据专网专用的保护对策
调度数据网从基于X.25分组交换网向宽带IP数据网升级换代,有多个组网技术体制选择,主要包括基于异步传输模式的IP专网、基于同步数字体系物理电路的IP专网,以及IP虚拟专用网络。综合考虑各路线的技术成熟性、先进性、经济性,重点比较了不同技术体制下调度数据网及其承载的调度控制业务的信息安全风险,确定了基于SDH物理电路构建电力调度数据IP专网的技术路线。在此基础上,进一步形成了中国电力系统第1个强制执行的信息安全法规,即中华人民共和国国家经济贸易委员会第30号令《电网和电厂计算机监控系统及调度数据网安全防护规定》。该法令以“防范对电网和电厂计算机监控系统及调度数据网络的攻击侵害及由此引起的电力系统事故,保障电力系统的安全稳定运行”为目标,规定了电力调度数据网络实现物理层面上与公用信息网络的安全隔离,并只允许传输与电力调度生产直接相关的数据业务,奠定了国内电力监控系统“结构性安全”的重要技术基础。
1.3基于等级防护的业务安全保护系统
在进行网络数据传输的过程中,需要对信息承载体以及信息本身进行安全防护,通过等级加密防护的方式能够更加可靠地确保信息的安全性。从信息系统安全分级的角度可以将其划分为五种,第一种是在信息数据遭到损坏的时候,会对社会公众的财产造成一些威胁,但是如果威胁的程度较轻,能够较为轻易地进行修复,就难以对社会以及国家造成严重的影响;第二种就是指在信息数据遭受到损坏之后,虽然会在一定程度上影响人民的生命财产安全,但是虽然这些威胁较为严重,并且难以被修复,却不会对于国家和社会造成严重的后果;第三种就是在信息数据受到损坏的时候,会对社会安全造成轻微的影响,遏制社会的进一步发展;第四种就是在信息数据受到损坏的时候,会产生较为严重的后果,给社会大众造成一定的慌张心理,阻碍了社会的健康发展;第五种就是在信息数据受到损坏的时候,会严重影响国际的安全问题。特别是在这类事故发生的时候,国家会造成大范围的恐慌。通过这种保护系统能够把控制访问和自主访问联系到客体和主体,增强了识别机制,能够较为科学地进行处理和分析。
2、基于可信计算机技术的新一代电网调度控制系统主动防预体系
2.1基于可信计算机的主动防御体系
随着技术水平的不断提升,计算机网络技术得到了快速发展,其在电网调节控制体系中的作用越发关键,可信赖的计算机操作时其在传统电网保护系统上的较大进步,扭转了传统安全模式中一味堵杀的被动解决局面。该种技术在开始计算的同时就对防护体系进行保护,确保其计算结果和实际数据一致,并且在计算机在计算的时候能够不被干扰,是一种较为高效、科学的防护系统。
2.2可信計算技术原理
可信计算技术的基本原理是在硬件上建立计算资源节点和可信保护节点并进行结构。其主要思路是在PC硬件平台上引入安全芯片,根据需要构建一个信任根,从信任根开始到硬件平台、操作系统,最后到应用进程,保证一级认证一级、一级信任一级,完成信任链的构建工作,在整个计算机系统中都有这种信任关系,为可信计算机平台的建立提供了良好的保障。同
2.3电网调度控制系统可信计算平台建立
(1)可信引导。在智能电网调度控制系统中的核心服务器上,实现可信密码模块(可信根)对操作系统的可信引导,将信任链从可信密码模块传递到操作系统,保证系统的启动安全过渡到系统运行状态。通过对系统引导数据的验证,防止恶意程序对系统引导阶段的攻击及对系统引导行为的破坏。
(2)完整性量度。电网调度控制系统中完整性量度分为静态与动态两种形式。在对可执行程序、动态库等对象的杂凑值进行测量,能查看其结构是否遭到破坏,使运行系统初始状态可信,这种就是静态完整性量度;在对只读数据段、关键跳转表等测量对象的杂凑值测量,可以检测其运行情况,使系统在运行过成中可信,这种就是动态完整性量度。
(3)自主和强制访问控制(MAC)以及操作系统和业务的强制执行控制(MEC)。MAC主要有管理功能,它可以对系统中的不同信息进行分类与整理,以使信息可以有效地被用户查看,同时加强了信息的安全,使其只能对有效的用户开放。MEC具有防护功能,它可以对系统不利的因素进行限制,降低木马程序以及其他有害程序的进入,同时规定系统接受的程序必须要按照规定程序进入系统,不能通过外部其他途径,以防其他恶性程序的进入。
3、结束语
总之,随着我国社会的发展,电网调度系统也一直在发展着,经过了基于边界安全的纵深防护体系、基于等级保护的业务安全防护体系,逐渐形成了更加有效的基于可信计算的主动防御体系,在这个发展的社会中,电网控制系统的安全问题也在不断地变化着,这就需要电网调度控制系统的防护体系与技术不断加强与改进,使其满足任何时代的需求,保证电力系统的工作正常进行,使人民的生活和社会的安定得到保障。
参考文献:
[1]宋璇坤,肖智宏.面向智能电网的安全防护体系[J].电力建设,2012.
[2]李碧君,周晓宁,刘强.基于智能电网调度技术支持系统的电网运行安全风险在线防控[J].华东电力,2014.
[3]吕颖,鲁广明,杨军峰,程芸,罗治强,谢昶,周劼英,邓勇.智能电网调度控制系统的安全校核服务及实用化关键技术[J].电力系统自动化,2015.
(作者单位:国网葫芦岛供电公司)
作者简介:佟兴渤(1982.7.20),性别:男;籍贯:辽宁兴城;民族:满;学历:本科;职称:助理工程师;职务:电力调控员;研究方向:配电网自动化及运行、电力调度控制;单位邮编 :125100;
关键词:智能电网;调度控制系统;安全防护技术;发展
1、电网调度控制系统的发展历程
1.1基于边界安全的纵深保护系统
随着科学技术与社会生产力水平的发展,计算机自动化以及网络科学技术也在逐渐发展,促进了电网控制监控体系自动化程度的提升,丰富和发展了其功能,促进了调节数据网络不断完备,但是,电力监控体系所面临的信息安全问题也更加凸出。为了更好地解决新增的信息安全问题,早先我国就进行了“863”的“国家电网调节中心安全保护系统研究”计划,从而建设了一套符合我国国情的电力检测系统安全保护系统战略,推动了以多重边界为关键、多重防线促成的保护系统。
1.2电力调度数据专网专用的保护对策
调度数据网从基于X.25分组交换网向宽带IP数据网升级换代,有多个组网技术体制选择,主要包括基于异步传输模式的IP专网、基于同步数字体系物理电路的IP专网,以及IP虚拟专用网络。综合考虑各路线的技术成熟性、先进性、经济性,重点比较了不同技术体制下调度数据网及其承载的调度控制业务的信息安全风险,确定了基于SDH物理电路构建电力调度数据IP专网的技术路线。在此基础上,进一步形成了中国电力系统第1个强制执行的信息安全法规,即中华人民共和国国家经济贸易委员会第30号令《电网和电厂计算机监控系统及调度数据网安全防护规定》。该法令以“防范对电网和电厂计算机监控系统及调度数据网络的攻击侵害及由此引起的电力系统事故,保障电力系统的安全稳定运行”为目标,规定了电力调度数据网络实现物理层面上与公用信息网络的安全隔离,并只允许传输与电力调度生产直接相关的数据业务,奠定了国内电力监控系统“结构性安全”的重要技术基础。
1.3基于等级防护的业务安全保护系统
在进行网络数据传输的过程中,需要对信息承载体以及信息本身进行安全防护,通过等级加密防护的方式能够更加可靠地确保信息的安全性。从信息系统安全分级的角度可以将其划分为五种,第一种是在信息数据遭到损坏的时候,会对社会公众的财产造成一些威胁,但是如果威胁的程度较轻,能够较为轻易地进行修复,就难以对社会以及国家造成严重的影响;第二种就是指在信息数据遭受到损坏之后,虽然会在一定程度上影响人民的生命财产安全,但是虽然这些威胁较为严重,并且难以被修复,却不会对于国家和社会造成严重的后果;第三种就是在信息数据受到损坏的时候,会对社会安全造成轻微的影响,遏制社会的进一步发展;第四种就是在信息数据受到损坏的时候,会产生较为严重的后果,给社会大众造成一定的慌张心理,阻碍了社会的健康发展;第五种就是在信息数据受到损坏的时候,会严重影响国际的安全问题。特别是在这类事故发生的时候,国家会造成大范围的恐慌。通过这种保护系统能够把控制访问和自主访问联系到客体和主体,增强了识别机制,能够较为科学地进行处理和分析。
2、基于可信计算机技术的新一代电网调度控制系统主动防预体系
2.1基于可信计算机的主动防御体系
随着技术水平的不断提升,计算机网络技术得到了快速发展,其在电网调节控制体系中的作用越发关键,可信赖的计算机操作时其在传统电网保护系统上的较大进步,扭转了传统安全模式中一味堵杀的被动解决局面。该种技术在开始计算的同时就对防护体系进行保护,确保其计算结果和实际数据一致,并且在计算机在计算的时候能够不被干扰,是一种较为高效、科学的防护系统。
2.2可信計算技术原理
可信计算技术的基本原理是在硬件上建立计算资源节点和可信保护节点并进行结构。其主要思路是在PC硬件平台上引入安全芯片,根据需要构建一个信任根,从信任根开始到硬件平台、操作系统,最后到应用进程,保证一级认证一级、一级信任一级,完成信任链的构建工作,在整个计算机系统中都有这种信任关系,为可信计算机平台的建立提供了良好的保障。同
2.3电网调度控制系统可信计算平台建立
(1)可信引导。在智能电网调度控制系统中的核心服务器上,实现可信密码模块(可信根)对操作系统的可信引导,将信任链从可信密码模块传递到操作系统,保证系统的启动安全过渡到系统运行状态。通过对系统引导数据的验证,防止恶意程序对系统引导阶段的攻击及对系统引导行为的破坏。
(2)完整性量度。电网调度控制系统中完整性量度分为静态与动态两种形式。在对可执行程序、动态库等对象的杂凑值进行测量,能查看其结构是否遭到破坏,使运行系统初始状态可信,这种就是静态完整性量度;在对只读数据段、关键跳转表等测量对象的杂凑值测量,可以检测其运行情况,使系统在运行过成中可信,这种就是动态完整性量度。
(3)自主和强制访问控制(MAC)以及操作系统和业务的强制执行控制(MEC)。MAC主要有管理功能,它可以对系统中的不同信息进行分类与整理,以使信息可以有效地被用户查看,同时加强了信息的安全,使其只能对有效的用户开放。MEC具有防护功能,它可以对系统不利的因素进行限制,降低木马程序以及其他有害程序的进入,同时规定系统接受的程序必须要按照规定程序进入系统,不能通过外部其他途径,以防其他恶性程序的进入。
3、结束语
总之,随着我国社会的发展,电网调度系统也一直在发展着,经过了基于边界安全的纵深防护体系、基于等级保护的业务安全防护体系,逐渐形成了更加有效的基于可信计算的主动防御体系,在这个发展的社会中,电网控制系统的安全问题也在不断地变化着,这就需要电网调度控制系统的防护体系与技术不断加强与改进,使其满足任何时代的需求,保证电力系统的工作正常进行,使人民的生活和社会的安定得到保障。
参考文献:
[1]宋璇坤,肖智宏.面向智能电网的安全防护体系[J].电力建设,2012.
[2]李碧君,周晓宁,刘强.基于智能电网调度技术支持系统的电网运行安全风险在线防控[J].华东电力,2014.
[3]吕颖,鲁广明,杨军峰,程芸,罗治强,谢昶,周劼英,邓勇.智能电网调度控制系统的安全校核服务及实用化关键技术[J].电力系统自动化,2015.
(作者单位:国网葫芦岛供电公司)
作者简介:佟兴渤(1982.7.20),性别:男;籍贯:辽宁兴城;民族:满;学历:本科;职称:助理工程师;职务:电力调控员;研究方向:配电网自动化及运行、电力调度控制;单位邮编 :125100;