论文部分内容阅读
内蒙古龙源蒙东新能源有限公司 024000
摘要:电力监控系统是新能源电厂产电、发电的核心系统,随着“两化融合”的飞速发展,电力监控系统自动化水平快速进化给新能源企业带来巨大便利的同时,也带来了系统入侵、信息泄密等网络安全问题。本文将从新能源电厂现状入手,分析新能源电厂电力监控系统结构和面临的威胁,并结合“国家能源局36号文件”浅析如何做好新能源电厂电力监控系统的网络安全防护工作。
关键词:新能源电厂;电力监控系统;安全防护
随着迅猛发展的现代计算机技术、通信技术、网络技术与工业控制系统(以下简称工控系统)的融合逐步深入,在极大地提高了工业控制系统工作效率的同时,也带来了严峻的网络安全问题。针对工控系统的网络攻击不仅仅以获取经济利益为目的,还呈现出以破坏国家基础设施和能源供给的趋势。以能源、电力为代表的关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标。其中新能源电厂作为利用清洁、可再生能源发电的企业,为社会经济的发展提供清洁可靠的能源的同时,相比于火力发电电厂,电力监控系统网络拓扑结构更加复杂,与外部网络也有着更多更密切的联系,因此新能源电厂的电力监控系统网络安全防护已日渐成为信息安全领域关注的焦点。
新能源电厂电力监控系统一般包含发电机监控系统、升压站综合自动监控系统、功率控制系统(AGC/AVC)、同步相量采集系统、功率预测系统等。按照《电力监控系统安全防护规定》,原则上将发电厂基于计算机及网络技术的业务系统划分为生产控制大区和管理信息大区,并根据业务系统的重要性和对一次系统的影响程度将生产控制大区划分为控制区(安全I区)及非控制区(安全II区)。其中位于生产控制大区安全Ⅰ区的为发电机监控系统、升压站综合自动监控系统、AGC/AVC系统、同步相量采集系统等,位于生产控制大区安全Ⅱ区的为功率预测系统、电能量采集系统、保护信息子站系统等。电力监控系统安全防护将重点保护生产控制以及直接影响电力生产(机组运行)的系统。
从信息安全发展角度来看,新能源电厂在设计之初,网络安全防护多集中于以边界防护为主,缺乏系统的安全防护建设,而针对电力监控系统面临的越来越复杂的安全形势,为了保障电厂的稳定安全按运行,需要从安全的各个层面来考虑变电站的安全建设。根据电力行业各“政策”和“要求”指导文件内容结合目前已经实施的试点项目防护内容,当前新能源电厂电力监控系统安全防护应当从“入侵检测、主机加固、应用安全控制、安全审计、集中管控”这几个方面,进行合理性的加强。
1、 入侵检测
根据“国家能源局36号文件”附件4中5.1要求“生产控制大区可以统一部署一套网络入侵检测系统”,结合试点项目防护内容,应当在调度数据网I区、II区交换机处统一部署一套网络入侵检测系统,合理设置检测规则,检测发现隐藏于流经网络边界正常信息流中的入侵行为,分析潜在威胁并进行安全审计。
2、 主机加固
根据“国家能源局36号文件”附件4中5.2要求“发电厂厂级信息监控系统等关键应用系统的主服务器, 以及网络边界处的通信网关机、Web服务器等,应当使用安全加固的操作系统”,结合试点项目防护内容,应当在发电机监控系统、升压站综合自动监控系统、功率控制系统(AGC/AVC)、同步相量采集系统、功率预测系统等系统的监控主机、工程师站或服务器上,通过加固安全配置、安装经过测试的安全补丁、采用专用软件加固操作系统,强化操作系统访问控制能力以及配置安全的应用程序,保证监控主机、工程师站或服务器的安全。
3、 应用安全控制
根据“国家能源局36号文件”附件4中5.3要求“对于发电厂内部远程访问业務系统的情况,应当进行会话控制,并采用会话认证、加密与抗抵赖等安全机制。”结合试点项目防护内容,发电机监控系统、升压站综合自动监控系统、功率控制系统(AGC/AVC)、同步相量采集系统、功率预测系统等系统通过网线与调度数据网I区、II区交换机相连,经纵向加密认证装置认证及数据加密后,将数据传送至上级调度机构。
4、 安全审计
根据“国家能源局36号文件”附件4中5.4要求“生产控制大区的监控系统应当具备安全审计功能”以及结合试点项目防护内容,在生产控制大区安全I区核心交换机处部署一套安全审计功能模块,对生产控制大区网络运行日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行集中收集、自动分析,及时发现各种违规行为以及病毒和黑客的攻击行为。
5、 集中管控
根据“国家能源局36号文件”附件1中3.13和《国家电网公司关于加快推进电力监控系统网络安全管理平台建设的通知》(国家电网调【2017】1084号)文件要求,结合试点项目防护内容,在调度数据网I区、II区交换机处分别部署网络安全监测装置,实现“生产控制大区应当逐步推广内网安全监视功能,实时监测电力监控系统的计算机、网络及安全设备运行状态,及时发现非法外联、外部入侵等安全事件并告警”。
新能源电厂的安全防护应严格遵守“国家能源局36号文件”及其他电力行业政策标准要求,积极参考已有试点项目经验,做好电厂安全防护的组织保障,做好电厂安全防护问题的问题整改,做好电厂安全防护的运行管理,做好电厂安全防护的应急响应处置,维护好电力监控系统的网络安全。
参考文献:
[1]《关于展开电力监控安全防护专项检查工作的通知》(国能安全【2016】92号)文件。
[2]《国家电网公司关于加快推进电力监控系统网络安全管理平台建设的通知》(国家电网调【2017】1084号)文件。
[3]《国家能源局关于印发电力监控系统安全防护总结方案等安全防护方案和评估规范的通知》(国家能源局【2015】36号)文件
摘要:电力监控系统是新能源电厂产电、发电的核心系统,随着“两化融合”的飞速发展,电力监控系统自动化水平快速进化给新能源企业带来巨大便利的同时,也带来了系统入侵、信息泄密等网络安全问题。本文将从新能源电厂现状入手,分析新能源电厂电力监控系统结构和面临的威胁,并结合“国家能源局36号文件”浅析如何做好新能源电厂电力监控系统的网络安全防护工作。
关键词:新能源电厂;电力监控系统;安全防护
随着迅猛发展的现代计算机技术、通信技术、网络技术与工业控制系统(以下简称工控系统)的融合逐步深入,在极大地提高了工业控制系统工作效率的同时,也带来了严峻的网络安全问题。针对工控系统的网络攻击不仅仅以获取经济利益为目的,还呈现出以破坏国家基础设施和能源供给的趋势。以能源、电力为代表的关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标。其中新能源电厂作为利用清洁、可再生能源发电的企业,为社会经济的发展提供清洁可靠的能源的同时,相比于火力发电电厂,电力监控系统网络拓扑结构更加复杂,与外部网络也有着更多更密切的联系,因此新能源电厂的电力监控系统网络安全防护已日渐成为信息安全领域关注的焦点。
新能源电厂电力监控系统一般包含发电机监控系统、升压站综合自动监控系统、功率控制系统(AGC/AVC)、同步相量采集系统、功率预测系统等。按照《电力监控系统安全防护规定》,原则上将发电厂基于计算机及网络技术的业务系统划分为生产控制大区和管理信息大区,并根据业务系统的重要性和对一次系统的影响程度将生产控制大区划分为控制区(安全I区)及非控制区(安全II区)。其中位于生产控制大区安全Ⅰ区的为发电机监控系统、升压站综合自动监控系统、AGC/AVC系统、同步相量采集系统等,位于生产控制大区安全Ⅱ区的为功率预测系统、电能量采集系统、保护信息子站系统等。电力监控系统安全防护将重点保护生产控制以及直接影响电力生产(机组运行)的系统。
从信息安全发展角度来看,新能源电厂在设计之初,网络安全防护多集中于以边界防护为主,缺乏系统的安全防护建设,而针对电力监控系统面临的越来越复杂的安全形势,为了保障电厂的稳定安全按运行,需要从安全的各个层面来考虑变电站的安全建设。根据电力行业各“政策”和“要求”指导文件内容结合目前已经实施的试点项目防护内容,当前新能源电厂电力监控系统安全防护应当从“入侵检测、主机加固、应用安全控制、安全审计、集中管控”这几个方面,进行合理性的加强。
1、 入侵检测
根据“国家能源局36号文件”附件4中5.1要求“生产控制大区可以统一部署一套网络入侵检测系统”,结合试点项目防护内容,应当在调度数据网I区、II区交换机处统一部署一套网络入侵检测系统,合理设置检测规则,检测发现隐藏于流经网络边界正常信息流中的入侵行为,分析潜在威胁并进行安全审计。
2、 主机加固
根据“国家能源局36号文件”附件4中5.2要求“发电厂厂级信息监控系统等关键应用系统的主服务器, 以及网络边界处的通信网关机、Web服务器等,应当使用安全加固的操作系统”,结合试点项目防护内容,应当在发电机监控系统、升压站综合自动监控系统、功率控制系统(AGC/AVC)、同步相量采集系统、功率预测系统等系统的监控主机、工程师站或服务器上,通过加固安全配置、安装经过测试的安全补丁、采用专用软件加固操作系统,强化操作系统访问控制能力以及配置安全的应用程序,保证监控主机、工程师站或服务器的安全。
3、 应用安全控制
根据“国家能源局36号文件”附件4中5.3要求“对于发电厂内部远程访问业務系统的情况,应当进行会话控制,并采用会话认证、加密与抗抵赖等安全机制。”结合试点项目防护内容,发电机监控系统、升压站综合自动监控系统、功率控制系统(AGC/AVC)、同步相量采集系统、功率预测系统等系统通过网线与调度数据网I区、II区交换机相连,经纵向加密认证装置认证及数据加密后,将数据传送至上级调度机构。
4、 安全审计
根据“国家能源局36号文件”附件4中5.4要求“生产控制大区的监控系统应当具备安全审计功能”以及结合试点项目防护内容,在生产控制大区安全I区核心交换机处部署一套安全审计功能模块,对生产控制大区网络运行日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行集中收集、自动分析,及时发现各种违规行为以及病毒和黑客的攻击行为。
5、 集中管控
根据“国家能源局36号文件”附件1中3.13和《国家电网公司关于加快推进电力监控系统网络安全管理平台建设的通知》(国家电网调【2017】1084号)文件要求,结合试点项目防护内容,在调度数据网I区、II区交换机处分别部署网络安全监测装置,实现“生产控制大区应当逐步推广内网安全监视功能,实时监测电力监控系统的计算机、网络及安全设备运行状态,及时发现非法外联、外部入侵等安全事件并告警”。
新能源电厂的安全防护应严格遵守“国家能源局36号文件”及其他电力行业政策标准要求,积极参考已有试点项目经验,做好电厂安全防护的组织保障,做好电厂安全防护问题的问题整改,做好电厂安全防护的运行管理,做好电厂安全防护的应急响应处置,维护好电力监控系统的网络安全。
参考文献:
[1]《关于展开电力监控安全防护专项检查工作的通知》(国能安全【2016】92号)文件。
[2]《国家电网公司关于加快推进电力监控系统网络安全管理平台建设的通知》(国家电网调【2017】1084号)文件。
[3]《国家能源局关于印发电力监控系统安全防护总结方案等安全防护方案和评估规范的通知》(国家能源局【2015】36号)文件