论文部分内容阅读
摘要:在电网实际运行时电网调度是其安全运行的重要保障并且发挥着不可替代的作用,而近些年来人们用电需求逐渐增大并且对质量也要求更高,电网调度技术在这样的社会背景下也在传统技术的基础上做出了较大的优化,而确保调度自动化系统以及通信网络的安全已经逐渐成为了社会关注的焦点。本文将分析调度自动化系统以及通信网络在今天将面临的挑战,并提出增强其安全防护等级的相关管理和技术应用措施。
关键词:电网调度;自动化系统;数据网络;安全防护技术
引言:
随着信息技术的飞速发展,大数据技术越来越成熟,企业的信息化应用进程也越来越重要,从最初简单的存储功能到现在承担着从生产控制到分析决策等主要流程的自动化功能。电力行业作为国计民生的基础性行业,是国民经济发展中最重要的能源产业,经过多年信息化建设,电力行业自动化信息化程度不断提高,网络信息安全加固工作面临严峻的考验。
一、数据网络现状及存在安全风险
调度数据网的特点是高可靠性、高实时性、高安全性。调度自动化水平高速发展,网络通信技术也日新月异,数据采集的实时性和可靠性大幅度提高,但是自动化和网络维护人员力量不足,人员的网络安全意识有待提高,数据网络边界的安全设备需要进一步补充,各种管理制度需要及时修订。
电网调度数据网络存在的安全风险主要表现为三个环节的问题:
一是存在的网络及网络基础设施的安全风险。这就要求保证专用传输骨干网络的可用性、保证电力调度数据网络的专用性、保证网络上传输的用户信息的保密性和完整性。
二是存在的网络边界的安全风险。主要来自于终端的未使用的接口,USB口以及光驱;不同业务连接处缺少网络安全设备;缺少安全接入区等。
三是存在的调度局域网安全风险。调度局域网与应用安全是安全体系中最重要、最复杂的。调度数据网络中数据的计算、交换、存储和调用都是在局域网中进行的,黑客和不法分子常使用的破坏和挑战行为就是攻击局域网,进而破坏和控制关键的业务应用系统。这就要求对局域网和应用系统的保护就必须考虑到安全的诸多方面,并实施整体和全面的局域网和关键业务应用系统的保护策略。
二、调度自动化系统和通信网络安全规定
按照《关于新建变电站调度通信及二次安全防护系统建设指导意见》(陕地电生发〔2016〕6号)《关于新建变电站调度通信及二次安全防护系统建设指导意见》(陕地电生发〔2016〕6号)《关于开展电力监控系统专项安全检查问题整改工作的通知》(陕地电生发〔2016〕11号)《关于开展关键信息基础设施网络安全检查的通知》(红头通知〔2016〕343号)《转发<西北能源监管局关于做好电力工控系统安全防护专项工作的通知>》(陕地电发〔2015〕142号)文件要求,对变电站端即数据接入端的网络安全要严格要求,从逻辑和物理上对不用的端口、USB口和光驱进行封堵,对网络边界处新增网络安全装置,在主站侧增加防入侵检测等安全装置,进行系统漏洞扫描,安装防病毒软件并定期升级,对网络内的IP进行严格管控,防止恶意代码对电力监控系统进行攻击,提高网络安全的抵御能力,防止由此造成的电力设备安全事故。
三、提升网络安全防护的手段
1.加强网络设备的资产排查工作。定期对设备进行梳理,定期对网络拓扑图进行更新,做好出入库管理,加强对备品备件管理,特别是边界处安全隔离装置需要购置备品备件或者两台一起热备用运行,如若安全准入设备故障,办公局域网将无法访问生产管理区业务如OA系统等,影响日常业务系统的正常使用。
2.强化安全区之间的隔离装置。正向(反向)隔离装置需要有公安部出具检验报告和电科院出具检测报告的电力专用隔离装置,商洛公司将原来的天御6000装置更换为北京科东的正向隔离装购置,确保隔离装置的安全可靠;管理区与局域网之间使用安全准入装置进行逻辑判断。同一安全区内不同应用系统之间采用防火墙等安全装置进行安全访问限制。
3.加强网络边界处的安全保护。在变电站站端加装纵向加密装置对站内数据进行加密,在市调主站端安装千兆纵向加密设备,对上传的加密数据进行解密,确保调度数据的安全可靠传输。关闭所有不使用的接口,将不使用的端口在物理和协议层面都关闭,以及将不适用的USB接口和光盘接口都关闭,必要时使用防火墙进行IP限制,防止系统被恶意入侵。
4.制定完善的备份与恢复策略。商洛公司半年对调度自动化数据库、系统数据和通信配置文件备份一次,对所有的备份数据需要进行异地存放,以保证备份资料的安全、可靠性,保证在规模灾难的情况下,保持系统业务的数据不会受到损害。
5.建立健全各种管理制度。健全并定时修订各项管理制度(如机房管理、自动化系统管理、保密制度等),保证二次系统安全可靠运行。与厂家签订保密协议,定期更换服务器的用户名和密码等相关管理措施确保二次系统安全。加强维护人员的培训,提高日常维护人员安全和技术水平,每台设备责任到人,提高设备健康水平。
6、防病毒措施。为了预防病毒产生的危害可以从减少其入侵途径的方式进行解决,在调度自动化系统的服务器等重要数据的存储机器中禁止应用U盘、硬盘等外接设备进行数据交互,从最大程度上降低病毒对自动化系统正常运行和数据网络造成的危害。病毒的防护应该覆盖所有安全区I、II、III的主机与工作站,安装杀毒软件也是一种主要的防治病毒侵害的方式,使用时需要保证实时监测功能以及日常杀毒等功能保持开启,在需要升级时及时更新。为了防止由于人为因素等对系统数据造成恶意破坏还应该定期对其进行备份,保证在数据损坏时尽量降低对其的危害[4]。
四、结束语
电网调度自动化系统中的数据网络是其保证系统正常运行以及信息安全的重要基础,为了确保数据信息不会受到黑客等外界环境的干扰而产生不必要的威胁就必须采取合适的解决措施。通过上述对其系统和网络信息的防护现状以及应用技术分析可以看出,针对此类问题可以通过安全分层技术、防火墙技术、预防病毒以及专用网络防护等手段加强自动化系统和网络的安全。
参考文献:
[1]李慧莲,王宝花,李广雨.调度自动化系统及数据网络的安全防护分析探讨[J].工程技术:文摘版,2016(11):00101-00101.
[2]李振,张俊涛,刘磊.简论电力调度自动化系统二次安全防护的策略[J].科研,2016(10):00224-00224.
[3]姜新凡,周帆,刘力,等.调度自动化主站系统搬迁流程设计及应用[J].大众用电,2016(12).
[4]袁冰.调度自动化系统通信网络在线分析及故障诊断定位系统的研究[D].华北电力大学,2016.
作者简介:
杜欣(1987-)女,本科,助理工程師,研究方向为电力通信及自动化。
关键词:电网调度;自动化系统;数据网络;安全防护技术
引言:
随着信息技术的飞速发展,大数据技术越来越成熟,企业的信息化应用进程也越来越重要,从最初简单的存储功能到现在承担着从生产控制到分析决策等主要流程的自动化功能。电力行业作为国计民生的基础性行业,是国民经济发展中最重要的能源产业,经过多年信息化建设,电力行业自动化信息化程度不断提高,网络信息安全加固工作面临严峻的考验。
一、数据网络现状及存在安全风险
调度数据网的特点是高可靠性、高实时性、高安全性。调度自动化水平高速发展,网络通信技术也日新月异,数据采集的实时性和可靠性大幅度提高,但是自动化和网络维护人员力量不足,人员的网络安全意识有待提高,数据网络边界的安全设备需要进一步补充,各种管理制度需要及时修订。
电网调度数据网络存在的安全风险主要表现为三个环节的问题:
一是存在的网络及网络基础设施的安全风险。这就要求保证专用传输骨干网络的可用性、保证电力调度数据网络的专用性、保证网络上传输的用户信息的保密性和完整性。
二是存在的网络边界的安全风险。主要来自于终端的未使用的接口,USB口以及光驱;不同业务连接处缺少网络安全设备;缺少安全接入区等。
三是存在的调度局域网安全风险。调度局域网与应用安全是安全体系中最重要、最复杂的。调度数据网络中数据的计算、交换、存储和调用都是在局域网中进行的,黑客和不法分子常使用的破坏和挑战行为就是攻击局域网,进而破坏和控制关键的业务应用系统。这就要求对局域网和应用系统的保护就必须考虑到安全的诸多方面,并实施整体和全面的局域网和关键业务应用系统的保护策略。
二、调度自动化系统和通信网络安全规定
按照《关于新建变电站调度通信及二次安全防护系统建设指导意见》(陕地电生发〔2016〕6号)《关于新建变电站调度通信及二次安全防护系统建设指导意见》(陕地电生发〔2016〕6号)《关于开展电力监控系统专项安全检查问题整改工作的通知》(陕地电生发〔2016〕11号)《关于开展关键信息基础设施网络安全检查的通知》(红头通知〔2016〕343号)《转发<西北能源监管局关于做好电力工控系统安全防护专项工作的通知>》(陕地电发〔2015〕142号)文件要求,对变电站端即数据接入端的网络安全要严格要求,从逻辑和物理上对不用的端口、USB口和光驱进行封堵,对网络边界处新增网络安全装置,在主站侧增加防入侵检测等安全装置,进行系统漏洞扫描,安装防病毒软件并定期升级,对网络内的IP进行严格管控,防止恶意代码对电力监控系统进行攻击,提高网络安全的抵御能力,防止由此造成的电力设备安全事故。
三、提升网络安全防护的手段
1.加强网络设备的资产排查工作。定期对设备进行梳理,定期对网络拓扑图进行更新,做好出入库管理,加强对备品备件管理,特别是边界处安全隔离装置需要购置备品备件或者两台一起热备用运行,如若安全准入设备故障,办公局域网将无法访问生产管理区业务如OA系统等,影响日常业务系统的正常使用。
2.强化安全区之间的隔离装置。正向(反向)隔离装置需要有公安部出具检验报告和电科院出具检测报告的电力专用隔离装置,商洛公司将原来的天御6000装置更换为北京科东的正向隔离装购置,确保隔离装置的安全可靠;管理区与局域网之间使用安全准入装置进行逻辑判断。同一安全区内不同应用系统之间采用防火墙等安全装置进行安全访问限制。
3.加强网络边界处的安全保护。在变电站站端加装纵向加密装置对站内数据进行加密,在市调主站端安装千兆纵向加密设备,对上传的加密数据进行解密,确保调度数据的安全可靠传输。关闭所有不使用的接口,将不使用的端口在物理和协议层面都关闭,以及将不适用的USB接口和光盘接口都关闭,必要时使用防火墙进行IP限制,防止系统被恶意入侵。
4.制定完善的备份与恢复策略。商洛公司半年对调度自动化数据库、系统数据和通信配置文件备份一次,对所有的备份数据需要进行异地存放,以保证备份资料的安全、可靠性,保证在规模灾难的情况下,保持系统业务的数据不会受到损害。
5.建立健全各种管理制度。健全并定时修订各项管理制度(如机房管理、自动化系统管理、保密制度等),保证二次系统安全可靠运行。与厂家签订保密协议,定期更换服务器的用户名和密码等相关管理措施确保二次系统安全。加强维护人员的培训,提高日常维护人员安全和技术水平,每台设备责任到人,提高设备健康水平。
6、防病毒措施。为了预防病毒产生的危害可以从减少其入侵途径的方式进行解决,在调度自动化系统的服务器等重要数据的存储机器中禁止应用U盘、硬盘等外接设备进行数据交互,从最大程度上降低病毒对自动化系统正常运行和数据网络造成的危害。病毒的防护应该覆盖所有安全区I、II、III的主机与工作站,安装杀毒软件也是一种主要的防治病毒侵害的方式,使用时需要保证实时监测功能以及日常杀毒等功能保持开启,在需要升级时及时更新。为了防止由于人为因素等对系统数据造成恶意破坏还应该定期对其进行备份,保证在数据损坏时尽量降低对其的危害[4]。
四、结束语
电网调度自动化系统中的数据网络是其保证系统正常运行以及信息安全的重要基础,为了确保数据信息不会受到黑客等外界环境的干扰而产生不必要的威胁就必须采取合适的解决措施。通过上述对其系统和网络信息的防护现状以及应用技术分析可以看出,针对此类问题可以通过安全分层技术、防火墙技术、预防病毒以及专用网络防护等手段加强自动化系统和网络的安全。
参考文献:
[1]李慧莲,王宝花,李广雨.调度自动化系统及数据网络的安全防护分析探讨[J].工程技术:文摘版,2016(11):00101-00101.
[2]李振,张俊涛,刘磊.简论电力调度自动化系统二次安全防护的策略[J].科研,2016(10):00224-00224.
[3]姜新凡,周帆,刘力,等.调度自动化主站系统搬迁流程设计及应用[J].大众用电,2016(12).
[4]袁冰.调度自动化系统通信网络在线分析及故障诊断定位系统的研究[D].华北电力大学,2016.
作者简介:
杜欣(1987-)女,本科,助理工程師,研究方向为电力通信及自动化。