论文部分内容阅读
【摘要】本文分析了电力监控系统网络安全防护的具体概念,并明确了电力监控系统對于安全的需求,针对电力监控系统安全防护水平的提高制定了相应的策略,希望能够促进我国电力行业的更好发展。
【关键词】电力监控系统;安全防护技术;
1电力监控系统安全防护概述
电力监控系统是指用于监视和控制电力生产及供应过程、基于计算机及网络技术的业务系统及智能设备,以及作为基础支撑的通信及数据网络。电力监控系统安全防护工作的重点是通过有效的技术手段和管理措施保护电力实时闭环监控系统及数据通信网络的安全,总体目标是建立健全的电网电力监控系统安全防护体系,在统一的安全策略下使重点保护的系统免受黑客、病毒、恶意代码等侵害,特别是能够抵御来自外部有组织的团体、拥有丰富资源的威胁源发起的恶意攻击,能够减轻严重自然灾害造成的资源损害,在系统遭到损害后,能够迅速恢复绝大部分功能,防止电力监控系统的安全事件引发或导致电力一次系统事故或大面积停电事故,保障电网安全稳定运行。
2 电力监控系统安全防护分析
2.1安全分区
电力监控系统划分为生产控制大区和管理信息大区。生产控制大区可以分为控制区(安全区I)和非控制区(安全区II);管理信息大区内部在不影响生产控制大区安全的前提下,可以根据各企业不同要求划分安全区;生产控制大区的纵向互联必须是相同安全区互联,避免跨安全区纵向交叉连接。对于小型变电站和发电厂,可根据具体情况简化安全区的设置,应按就高不就低的原则对简化后的安全区进行防护,同时避免形成不同安全区的纵向交叉连接。
生产控制大区的业务系统在与其终端的纵向连接中使用无线通信网、电力企业其他数据网(非电力调度数据网)或者外部公用数据网的虚拟专用网络方式等进行通信的,应设立安全接入区。
各区域安全边界应采取必要的安全防护措施,禁止任何穿越生产控制大区和管理信息大区之间边界的通用网络服务。
2.2.网络专用
电力监控系统的生产控制大区应在专用通道上使用独立的网络设备组网,采用基于SDH不同通道、不同光波长、不同纤芯等方式,在物理层面上实现与其他通信网及外部公用网络的安全隔离。
生产控制大区通信网络可以进一步划分为逻辑隔离的实时子网和非实时子网。生产控制大区数据通信的七层协议均应采用相应的安全措施,在物理层应与其他网络实行物理隔离,在链路层应合划分VLAN,在网络层应设立安全路由和虚拟专网,在传输层应设置加密隧道,在会话层应采用安全认证,在表示层应有数据加密,在应用层应采用数字证书和安全标签进行身份认证
2.3.横向隔离
在生产控制大区与管理信息大区之间必须设置通过国家有关机构安全检测认证的电力专用横向单向安全隔离装置,隔离强度应接近或达到物理隔离,只允许单向数据传输。生产控制大区内部的安全区之间应采用具有访问控制功能的设备、如防火墙或相当功能的设施,实现逻辑隔离。
生产控制大区到管理信息大区的数据传输采用正向安全隔离装置 ,仅允许单向数据传输;管理信息大区至生产控制大区的数据传输采用反向安全隔离装置 ,仅允许单向数据传输。
2.4 纵向认证
在生产控制大区与广域网的纵向连接处应设置通过国家有关机构安全检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施。
纵向加密认证装置采用了国家密码管理局自主研制开发的高性能电力专用硬件密码单元,该密码单元采用电力专用密码算法,支持身份鉴别、信息加密、数字签名和密钥生成与保护。纵向加密认证装置的密钥及密码算法仅存在于系统密码处理单元的安全存储区中,与应用系统完全隔离,不能通过任何非法手段进行访问。电力专用硬件密码单元的安全保密强度及相关软硬件实现性能定期经国内专家评审,确保其安全性。
3 电力监控系统通用安全防护技术
通用安全防护技术主要包括防火墙技术、入侵检测技术、恶意代码防范措施,安全配置加固技术及等级保护测评和风险评估技术。
3.1防火墙技术
防火墙是一种网络安全设备,部署在两个不同的安全域之间,根据定义的访问控制策略,检查并控制两个安全域之间的数据流,所有双向数据流必须经过防火墙,只有经过授权的合法数据才可以通过防火墙,其核心功能主要是访问控制。
在实际网络环境中有两种部署防火墙的方法,一是将防火墙部署在内部网与外部网的接入处,防火墙串接在内部网与外部网之间的路由器上,对外部网进入内部网的数据包进行检查和过滤,抵御来自外部网的攻击。二是将防火墙部署在内部网络中重要信息系统服务器的前端,防火墙串接在内部网核心交换机与服务器交换机之间,对内部网用户访问服务器及其应用系统进行控制,防止内部网用户对服务器及其应用系统的非授权访问。
3.2 入侵检测技术
入侵检测技术是通过计算机网络或计算系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测技术是一种动态的安全检测技术,一旦发现网络攻击现象,则发出报警信息,还可以与防火墙联动,对网络攻击进行阻断。
3.3 恶意代码防范措施
常用的恶意供码防范措施有如下几点:
终端防范措施:创建紧急引导盘和最新紧急修复盘;使用正版防恶意代码软件;计算机系统软件及时安装补丁程序。
服务器防范措施:建立有效的恶意代码防护体系;关停服务器上不用的端口与共享端口,不使用来历不明的软件及U盘;使用正版防恶意代码软件;服务器软件及时安装补丁程序。
网络防范措施:安装和设置防火墙;禁用无用网络端口。
3.4 安全配置加固技术
安全加固主要是针对网络设备、操作系统或主机系统,以及关系数据库进行加固,是在电力监控系统的网络层、主机层等层次上建立符合安全需求的安全状态。安全加固工作是通过人工的方式进行的,也可以借助特定的安全加固工具进行。电力监控系统安全加固的基本要求是开放最少的服务,设置最小的权限、增加更多的审计。
3.5 等级保护测评和风险评估技术
电力监控系统等级保护测评是依据国家和电力行业等级保护有关管理制度和技术标准,对电力监控系统等级保护状况进行检测评估的活动。风险评估是信息安全等级保护的基础,在电力监控系统安全等级保护测评的各阶段融入风险评估的相关活动。通过同步开展等级保护测评与风险评估工作,掌握电力监控系统安全状况,排查电力监控系统安全隐患和薄弱环节,明确电力监控系统安全建设整改需求,进一步提高安全保障能力。
结语
电力监控系统的安全运行直接影响了整个电力系统甚至是国民经济的稳定运行,目前我国电力监控系统网络安全管理工作仍然形势严竣,因此需要管理部门在相应的工作原则下,从网络结构、工作人员的综合素质、网络安全管理机制和安全管理措施等方面制定有针对性的措施,提高电力监控系统的网络安全,以此促进我国电力行业的长久、稳定发展。
参考文献
[1]谭俊杰.电力调度自动化监控系统安全防护探讨[J].科技展望.2016.
[2]马庆超.电力调度自动化在电网稳定运行中的应用[J].科技经济导刊.2016.
【关键词】电力监控系统;安全防护技术;
1电力监控系统安全防护概述
电力监控系统是指用于监视和控制电力生产及供应过程、基于计算机及网络技术的业务系统及智能设备,以及作为基础支撑的通信及数据网络。电力监控系统安全防护工作的重点是通过有效的技术手段和管理措施保护电力实时闭环监控系统及数据通信网络的安全,总体目标是建立健全的电网电力监控系统安全防护体系,在统一的安全策略下使重点保护的系统免受黑客、病毒、恶意代码等侵害,特别是能够抵御来自外部有组织的团体、拥有丰富资源的威胁源发起的恶意攻击,能够减轻严重自然灾害造成的资源损害,在系统遭到损害后,能够迅速恢复绝大部分功能,防止电力监控系统的安全事件引发或导致电力一次系统事故或大面积停电事故,保障电网安全稳定运行。
2 电力监控系统安全防护分析
2.1安全分区
电力监控系统划分为生产控制大区和管理信息大区。生产控制大区可以分为控制区(安全区I)和非控制区(安全区II);管理信息大区内部在不影响生产控制大区安全的前提下,可以根据各企业不同要求划分安全区;生产控制大区的纵向互联必须是相同安全区互联,避免跨安全区纵向交叉连接。对于小型变电站和发电厂,可根据具体情况简化安全区的设置,应按就高不就低的原则对简化后的安全区进行防护,同时避免形成不同安全区的纵向交叉连接。
生产控制大区的业务系统在与其终端的纵向连接中使用无线通信网、电力企业其他数据网(非电力调度数据网)或者外部公用数据网的虚拟专用网络方式等进行通信的,应设立安全接入区。
各区域安全边界应采取必要的安全防护措施,禁止任何穿越生产控制大区和管理信息大区之间边界的通用网络服务。
2.2.网络专用
电力监控系统的生产控制大区应在专用通道上使用独立的网络设备组网,采用基于SDH不同通道、不同光波长、不同纤芯等方式,在物理层面上实现与其他通信网及外部公用网络的安全隔离。
生产控制大区通信网络可以进一步划分为逻辑隔离的实时子网和非实时子网。生产控制大区数据通信的七层协议均应采用相应的安全措施,在物理层应与其他网络实行物理隔离,在链路层应合划分VLAN,在网络层应设立安全路由和虚拟专网,在传输层应设置加密隧道,在会话层应采用安全认证,在表示层应有数据加密,在应用层应采用数字证书和安全标签进行身份认证
2.3.横向隔离
在生产控制大区与管理信息大区之间必须设置通过国家有关机构安全检测认证的电力专用横向单向安全隔离装置,隔离强度应接近或达到物理隔离,只允许单向数据传输。生产控制大区内部的安全区之间应采用具有访问控制功能的设备、如防火墙或相当功能的设施,实现逻辑隔离。
生产控制大区到管理信息大区的数据传输采用正向安全隔离装置 ,仅允许单向数据传输;管理信息大区至生产控制大区的数据传输采用反向安全隔离装置 ,仅允许单向数据传输。
2.4 纵向认证
在生产控制大区与广域网的纵向连接处应设置通过国家有关机构安全检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施。
纵向加密认证装置采用了国家密码管理局自主研制开发的高性能电力专用硬件密码单元,该密码单元采用电力专用密码算法,支持身份鉴别、信息加密、数字签名和密钥生成与保护。纵向加密认证装置的密钥及密码算法仅存在于系统密码处理单元的安全存储区中,与应用系统完全隔离,不能通过任何非法手段进行访问。电力专用硬件密码单元的安全保密强度及相关软硬件实现性能定期经国内专家评审,确保其安全性。
3 电力监控系统通用安全防护技术
通用安全防护技术主要包括防火墙技术、入侵检测技术、恶意代码防范措施,安全配置加固技术及等级保护测评和风险评估技术。
3.1防火墙技术
防火墙是一种网络安全设备,部署在两个不同的安全域之间,根据定义的访问控制策略,检查并控制两个安全域之间的数据流,所有双向数据流必须经过防火墙,只有经过授权的合法数据才可以通过防火墙,其核心功能主要是访问控制。
在实际网络环境中有两种部署防火墙的方法,一是将防火墙部署在内部网与外部网的接入处,防火墙串接在内部网与外部网之间的路由器上,对外部网进入内部网的数据包进行检查和过滤,抵御来自外部网的攻击。二是将防火墙部署在内部网络中重要信息系统服务器的前端,防火墙串接在内部网核心交换机与服务器交换机之间,对内部网用户访问服务器及其应用系统进行控制,防止内部网用户对服务器及其应用系统的非授权访问。
3.2 入侵检测技术
入侵检测技术是通过计算机网络或计算系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测技术是一种动态的安全检测技术,一旦发现网络攻击现象,则发出报警信息,还可以与防火墙联动,对网络攻击进行阻断。
3.3 恶意代码防范措施
常用的恶意供码防范措施有如下几点:
终端防范措施:创建紧急引导盘和最新紧急修复盘;使用正版防恶意代码软件;计算机系统软件及时安装补丁程序。
服务器防范措施:建立有效的恶意代码防护体系;关停服务器上不用的端口与共享端口,不使用来历不明的软件及U盘;使用正版防恶意代码软件;服务器软件及时安装补丁程序。
网络防范措施:安装和设置防火墙;禁用无用网络端口。
3.4 安全配置加固技术
安全加固主要是针对网络设备、操作系统或主机系统,以及关系数据库进行加固,是在电力监控系统的网络层、主机层等层次上建立符合安全需求的安全状态。安全加固工作是通过人工的方式进行的,也可以借助特定的安全加固工具进行。电力监控系统安全加固的基本要求是开放最少的服务,设置最小的权限、增加更多的审计。
3.5 等级保护测评和风险评估技术
电力监控系统等级保护测评是依据国家和电力行业等级保护有关管理制度和技术标准,对电力监控系统等级保护状况进行检测评估的活动。风险评估是信息安全等级保护的基础,在电力监控系统安全等级保护测评的各阶段融入风险评估的相关活动。通过同步开展等级保护测评与风险评估工作,掌握电力监控系统安全状况,排查电力监控系统安全隐患和薄弱环节,明确电力监控系统安全建设整改需求,进一步提高安全保障能力。
结语
电力监控系统的安全运行直接影响了整个电力系统甚至是国民经济的稳定运行,目前我国电力监控系统网络安全管理工作仍然形势严竣,因此需要管理部门在相应的工作原则下,从网络结构、工作人员的综合素质、网络安全管理机制和安全管理措施等方面制定有针对性的措施,提高电力监控系统的网络安全,以此促进我国电力行业的长久、稳定发展。
参考文献
[1]谭俊杰.电力调度自动化监控系统安全防护探讨[J].科技展望.2016.
[2]马庆超.电力调度自动化在电网稳定运行中的应用[J].科技经济导刊.2016.