论文部分内容阅读
【摘 要】电力监控系统,标准定义是指用于监视和控制电力生产及供应过程的、基于计算机及网络技术的业务系统及智能设备,以及作为基础支撑的通信及数据网络等。由此定义可以看出,电力监控系统涵盖发电、输电、用电全过程的各类自动控制系统。2004年起,电力监控系统的安全防护已得到电力行业的关注。2015年底,黑客通过对乌克兰电力监控系统发起网络攻击,控制电网自动化系统,并阻扰技术人员对系统的恢复,导致伊万诺-弗兰科夫斯克地区发生大面积停电。该事件是首次由黑客攻击行为而直接导致的停电事件。事件引起国内高度重视,各路专家学者通过对乌克兰停电事件的分析,查找国内电力监控系统安全防护的不足,掀起了又一波对电力监控系统安全防护措施和技术的研究高潮。
【关键词】电力监控系统;安全防护;措施
1电力电力监控系统安全防护原则
按照我国电力监控系统安全防护总体方案中的规定,电力监控系統的安全防护应该遵循以下四个方面的原则:安全分区、网络专用、横向隔离和纵向认证。
第一,安全分区指对生产控制大区以及管理信息大区进行划分,并要求生产控制区主要控制那些与电力生产有着紧密联系的决策信息系统,而管理信息区则需要负责一些与电力管理、经营以及行政事务相关的系统。通过进一步细分,生产控制大区可分为控制区和非控制区。图1为电力系统安全防护布置示意图,由图我们可以看出,在各个安全区之间的通信,应根据需要配置不同的设备进行相应的安全隔离。
第二,网络专用指的是生产大区中的所有数据网络均需要采用独立的网络设备组网,并需要在物理层面上充分实现与其它外部公共信息网的安全隔离,还要以技术手段在专网上形成多个相互逻辑隔离的子网,保障上下级各安全区的纵向互联仅在相同安全区进行,避免安全区纵向交叉。这也就是我们所说的电力调度数据网。
第三,横向隔离多是代表控制大区以及管理信息大区两者之间必须进行国家相关部门检测认证的电力专用单项安全隔离装置的设置。该隔离装置的隔离效果接近甚至达到了物理隔离的效果,使许多黑客病毒无法穿透攻击到电力系统的内部。
第四,纵向认证指的是通过认证、加密以及访问控制等技术措施来实现对数据的远方安全传输以及纵向边界的安全防护工作,对于电力调度中心、发电厂等生产控制大区需要设置纵向加密认证装置,实现双向身份认证、数据加密以及访问控制等职能。
2电力监控系统的特点及防护注意事项
电厂监控系统与调度中心监控系统相比,具有地域分散、参与人员众多、需加强物理设备安全等特点,技术措施不可能解决一切问题,需要加强管理,保证高安全区基本的物理安全。因此,电厂监控系统安全防护中管理重于技术。
发电厂的控制属于工业过程控制范畴,是典型的分散分层控制系统,系统结构复杂,所以,生产控制大区安全区内各系统的访问控制要特别加以注意。
3电力监控系统安全防护的主要策略
随着国内外信息安全形势的发展,尤其是在伊朗布什尔核电站受到“震网”蠕虫病毒攻击的事件后,使得工业控制系统存在的安全问题显现出来,同时电力企业开始重视对监控系统的安全防护,并且进行了深入的研究与反思。
3.1在安全接入区设置专用横向单向安全隔离装置
2014年,由国家发改委发布了《电力监控系统安全防护规定》(以下简称《规定》)。就技术和管理两方面的安全防护而言,对电力监控系统有更严格的要求。《规定》中强调了电力监控系统的防护原则,提出了在生产控制大区内要坚持“安全接入区”这一理念,并指出了如果生产控制大区的业务系统和它的终端纵向进行连接时,在使用无线通信网进行通信时,一定要设好安全接入区,并在安全接入区和生产控制大区其他部分的联接处还要设好横向单向安全隔离装置。
在生产控制大区中,除了安全接入区外,管理层面不可使用能够进行无线通信的设备。考虑到国家政府机关对中央企业信息安全等级保护工作的要求,《规定》中明确规定了在电力监控系统安全防护里信息安全等级保护的重要地位。
3.2加强电力系统安全防护的业务传输、纵向认证
一是对纵向加密设置的认证。这个装置安置在广域网络与局域网络的连接处,一般在局域网络与广域网络的交换机之间。该装置通常要成对使用,一方用来加密,另一方用来解密。但是,也存在特殊情况,即单使用其中一方,通常这一用法不具备加密操作。纵向加密操作与防火墙的结合,可以使装置在进行访问设置时,实现对身份的认证和相关数据内容的加密。这样能够确保数据传输更加安全,保护数据的完整性。不仅如此,它还可以进行安全过滤。电力系统中有专用设置,它可以借助于调度设备证书的身份进行认证,以此确保远程通信设备的合法性。采用国家密码局专为电力系统颁发的加密算法和因子,对远程通信的报文进行加密处理,以此确保不同类型的信息内容不会被远程传输过程中被截取与篡改。二是构建纵向防线。纵向防线就是纵向进行加密认证,有效保护上下层级的业务系统在纵向进行传输数据时的安全性。通常是在局域网和广域网的纵向连接处以及地调主站和县调远程终端的连接处来部署电力专用纵向加密认证装置,实现双向身份认证、数据加密和访问控制。
3.3电力系统纵深防御的技术需求
在生产控制区域的业务系统操作中,不仅需要保障系统的安全度,也要发挥加密设置的相关功能。为此,相关工作人员需要首先具备调度数字系统的专业证书,然后进行关键步骤的运行。它可以将远程业务进行加密,然后以身份认证等形式加强保护。其中,针对带有遥控功能的配网而言,需要将加密设置与身份认证相结合,以此加固系统,使现代科技成为安全保障。当然,电力系统中的日常维护需要巩固不足支持与虚弱之处,然后使专业技术成为整个系统加固的保障所在。
结束语
如今,计算机技术飞速发展且受到了大力欢迎。电力监控系统的安全防护问题受到了重视,因为计算机技术存在于电力生产的很多环节。根据责任落实制度,要确保主管单位与运营单位的职责,使各级工作人员明确掌握防护工作的开展要点,从而使先进技术成为安全防护工作的保障所在。
参考文献:
[1]周振辉.电力监控系统安全防护风险分析及软件配置[C].2016年中国电机工程学会年会论文集,2017:1-4.
[2]刘帝勇,刘双.三门核电站电力监控系统安全防护方案研究[C].第四届全国信息安全等级保护技术大会论文集,2017:1-5,11.
(作者单位:国网太原供电公司)
【关键词】电力监控系统;安全防护;措施
1电力电力监控系统安全防护原则
按照我国电力监控系统安全防护总体方案中的规定,电力监控系統的安全防护应该遵循以下四个方面的原则:安全分区、网络专用、横向隔离和纵向认证。
第一,安全分区指对生产控制大区以及管理信息大区进行划分,并要求生产控制区主要控制那些与电力生产有着紧密联系的决策信息系统,而管理信息区则需要负责一些与电力管理、经营以及行政事务相关的系统。通过进一步细分,生产控制大区可分为控制区和非控制区。图1为电力系统安全防护布置示意图,由图我们可以看出,在各个安全区之间的通信,应根据需要配置不同的设备进行相应的安全隔离。
第二,网络专用指的是生产大区中的所有数据网络均需要采用独立的网络设备组网,并需要在物理层面上充分实现与其它外部公共信息网的安全隔离,还要以技术手段在专网上形成多个相互逻辑隔离的子网,保障上下级各安全区的纵向互联仅在相同安全区进行,避免安全区纵向交叉。这也就是我们所说的电力调度数据网。
第三,横向隔离多是代表控制大区以及管理信息大区两者之间必须进行国家相关部门检测认证的电力专用单项安全隔离装置的设置。该隔离装置的隔离效果接近甚至达到了物理隔离的效果,使许多黑客病毒无法穿透攻击到电力系统的内部。
第四,纵向认证指的是通过认证、加密以及访问控制等技术措施来实现对数据的远方安全传输以及纵向边界的安全防护工作,对于电力调度中心、发电厂等生产控制大区需要设置纵向加密认证装置,实现双向身份认证、数据加密以及访问控制等职能。
2电力监控系统的特点及防护注意事项
电厂监控系统与调度中心监控系统相比,具有地域分散、参与人员众多、需加强物理设备安全等特点,技术措施不可能解决一切问题,需要加强管理,保证高安全区基本的物理安全。因此,电厂监控系统安全防护中管理重于技术。
发电厂的控制属于工业过程控制范畴,是典型的分散分层控制系统,系统结构复杂,所以,生产控制大区安全区内各系统的访问控制要特别加以注意。
3电力监控系统安全防护的主要策略
随着国内外信息安全形势的发展,尤其是在伊朗布什尔核电站受到“震网”蠕虫病毒攻击的事件后,使得工业控制系统存在的安全问题显现出来,同时电力企业开始重视对监控系统的安全防护,并且进行了深入的研究与反思。
3.1在安全接入区设置专用横向单向安全隔离装置
2014年,由国家发改委发布了《电力监控系统安全防护规定》(以下简称《规定》)。就技术和管理两方面的安全防护而言,对电力监控系统有更严格的要求。《规定》中强调了电力监控系统的防护原则,提出了在生产控制大区内要坚持“安全接入区”这一理念,并指出了如果生产控制大区的业务系统和它的终端纵向进行连接时,在使用无线通信网进行通信时,一定要设好安全接入区,并在安全接入区和生产控制大区其他部分的联接处还要设好横向单向安全隔离装置。
在生产控制大区中,除了安全接入区外,管理层面不可使用能够进行无线通信的设备。考虑到国家政府机关对中央企业信息安全等级保护工作的要求,《规定》中明确规定了在电力监控系统安全防护里信息安全等级保护的重要地位。
3.2加强电力系统安全防护的业务传输、纵向认证
一是对纵向加密设置的认证。这个装置安置在广域网络与局域网络的连接处,一般在局域网络与广域网络的交换机之间。该装置通常要成对使用,一方用来加密,另一方用来解密。但是,也存在特殊情况,即单使用其中一方,通常这一用法不具备加密操作。纵向加密操作与防火墙的结合,可以使装置在进行访问设置时,实现对身份的认证和相关数据内容的加密。这样能够确保数据传输更加安全,保护数据的完整性。不仅如此,它还可以进行安全过滤。电力系统中有专用设置,它可以借助于调度设备证书的身份进行认证,以此确保远程通信设备的合法性。采用国家密码局专为电力系统颁发的加密算法和因子,对远程通信的报文进行加密处理,以此确保不同类型的信息内容不会被远程传输过程中被截取与篡改。二是构建纵向防线。纵向防线就是纵向进行加密认证,有效保护上下层级的业务系统在纵向进行传输数据时的安全性。通常是在局域网和广域网的纵向连接处以及地调主站和县调远程终端的连接处来部署电力专用纵向加密认证装置,实现双向身份认证、数据加密和访问控制。
3.3电力系统纵深防御的技术需求
在生产控制区域的业务系统操作中,不仅需要保障系统的安全度,也要发挥加密设置的相关功能。为此,相关工作人员需要首先具备调度数字系统的专业证书,然后进行关键步骤的运行。它可以将远程业务进行加密,然后以身份认证等形式加强保护。其中,针对带有遥控功能的配网而言,需要将加密设置与身份认证相结合,以此加固系统,使现代科技成为安全保障。当然,电力系统中的日常维护需要巩固不足支持与虚弱之处,然后使专业技术成为整个系统加固的保障所在。
结束语
如今,计算机技术飞速发展且受到了大力欢迎。电力监控系统的安全防护问题受到了重视,因为计算机技术存在于电力生产的很多环节。根据责任落实制度,要确保主管单位与运营单位的职责,使各级工作人员明确掌握防护工作的开展要点,从而使先进技术成为安全防护工作的保障所在。
参考文献:
[1]周振辉.电力监控系统安全防护风险分析及软件配置[C].2016年中国电机工程学会年会论文集,2017:1-4.
[2]刘帝勇,刘双.三门核电站电力监控系统安全防护方案研究[C].第四届全国信息安全等级保护技术大会论文集,2017:1-5,11.
(作者单位:国网太原供电公司)