论文部分内容阅读
【摘 要】电力二次系统的安全是电网稳定运行的重要保证,随着社会对电力需求的日益提高,对电网运行的稳定性提出了更高的要求,这也就需要进一步加强电力二次系统的安全性。本文就电力二次系统安全防护原则及存在的问题进行分析,提出相应的改进措施。
【关键词】电力二次系统安全性;安全防护原则;安全问题;改进措施
电力二次系统是由电力监控系统、电力通信及数据网络等组成的复杂系统,其运用的主要技术手段是计算机网络通信技术。而随着我国电子信息技术的不断发展,电力二次系统的安全性也受到了更大的威胁。一旦电力二次系统受到破坏,会严重影响电力企业正常的生产运行。
一、电力二次系统安全防护的原则
(一)安全分区
安全分区是为了避免电力二次系统某区域受到攻击时影响整个系统的安全运行,对系统采取分区处理的方法。电力二次系统主要包括生产控制和信息管理两大区域,其中生产控制是二次系统的重点内容,其划分标准是根据业务的重要性和对一次系统的影响程度。
(二)网络专用
网络专用是根据电力二次系统等级和各区域分工不同,专门建立与其相应的网络专区,以避免各区域之间数据信息的互相干扰。比如在等级上,省级和地区级电力调度数据网各自建立各自的网络专区;在区域分工上,将综合业务数据与外部公共信息网络分别独立。
(三)横向隔离
横向隔离是指利用不同强度的安全设备将电力二次系统各安全区之间进行隔离。比如,使用电力专用的安全隔离装置,来对生产控制区和信息管理区进行高强度隔离;利用带有访问控制功能的设备,实现生产控制区和信息管理区内部安全区的隔离。
(四)纵向认证
纵向认证主要是提高电力二次系统访问监控和用户认证的力度,通过利用电力专用的加密认证装置或加密认证网以及其他安全设施,来对系统信息进行密码保护,进而确保系统中数据信息的传输与交流的安全可靠。
二、电力二次系统安全防护存在的问题
(一)安全防护落实不到位
电力二次系统虽然实现了大多数国家等级保护要求,但依然有些安全防护事项没有达到国家保护标准,比如在安全等级较高的系统的内部管控上,不能达到相应的管控标准,降低了系统的安全性。
(二)监控系统较弱
在电力二次系统中,监控系统能力较弱,不能有效完成对外部入侵信息和内部异常信息等的监视,致使出现旁路控制、黑客病毒和木马攻击、信息窃听、控制权限非法使用、保密信息外流以及违法授权等问题,严重干扰电力二次系统的安全运行,甚至会让变电站运行失控以及出现大规模的设备故障和电网停电。
(三)数据传递与抵御能力较差
电力二次系统中,生产控制类数据应用的传输模式是TCP/IP模式,其中一些关键数据是以明文的方式进行传输的,极容易造成数据信息的外泄,影响电力系统的安全稳定运行。电力二次系统采用的防火墙功能不能完全满足其需要,有时会造成网关处理速度较慢,且容易被入侵者绕过或通过防火墙内部漏洞而入侵到电力二次系统中,影响生产控制大区的安全性。
(四)工作人员安全意识与专业技能较差
电力企业工作人员存在安全意识薄弱,技能水平较低以及责任心不强等现象,致使电力二次系统安全管理出现问题。比如,2012年六盘水3·18电网停电就是由于工作人员责任心不够,对220KV水城变电站100kv水杉线“断路器距离压板”检查不够仔细,致使其出现三相故障时距离保护拒动,越级到水城变1、2号主变,致使2条110kv母线全部失压。
三、电力二次系统安全防护的改进措施
(一)强化监控系统的网络安全
电力监控系统包含了变电站当地监控系统、发电厂监控系统、调度发令系统、配网自动化系统、电能量系统以及错峰预警系统等,对电力二次系统的安全运行起着重要的作用。随着系统的数据被越来越多的用户使用,用户与系统之间的互联性加强,系统的网络互联使得系统功能增加,但也给监控系统带来了各种安全隐患,比如病毒、越权访问和拒绝服务攻击等。加强监控系统的网络安全,需要提高电力二次系统监控隔离装置的隔离性能,提升监控装置的严密性,加强监控系统的访问权限和加密设置,进而禁止不安全信息进入到监控系统内部,造成电力二次系统安全受到威胁。
(二)建立入侵检测系统
入侵检测系统主要通过对内部和外部攻击、误操作等检测,在网络系统受到危害之前进行指令拦截和响应入侵。其工作内容主要包含数据采集、数据分析和作出响应,在其工作时,首先会完成对电力二次系统网络信息中隐藏的入侵数据进行采集,如网络数据包、文件与客户活动行为、系统日志等数据;再将收集到的数据通过模式匹配、完整性分析和异常检测等手段进行分析,进而寻找入侵源头;最后,在发现入侵时,入侵检测系统会及时作出响应,并对发出的错误指令进行拦截。
入侵检测系统应对的主要是黑客入侵、网络通信异常以及系统漏洞鉴定等方面,进而实现完善网络管理的功能。在对黑客入侵上,主要是通过在系统内部记录黑客入侵的特征,进而快速识别黑客常用的电子邮件攻击、缓冲区溢出攻击、浏览器攻击和拒绝服务攻击等手段,并做出防范与响应工作;在对网络异常通信上,是通过侦测网络通信中不符合网络安全策略的数据并做出告警,对不正常的通信连接做出响应,进而维持网络通信的安全;关于系统漏洞,入侵检测系统中对系统漏洞及后门的详细信息都有所备案,可以及时发现通过系统漏洞和后门进行的非法网络通信行为,做出警告。
(三)加强工作人员管理
首先,对工作人员的行为进行监督,保证其网络信息存取和访问都符合规定,其操作过程中信息符合网络安全策略;其次加强工作人员安全意识培训,通过对员工进行电力二次系统安全重要性、信息保密等内容的培训,并做出详细的奖惩机制,来提高员工的安全意识;第三,提高工作人员技能素质,加强工作人员对电力二次系统安全防护工作中对漏洞的修补和系统的定期维护,对系统进行反复检查,认真分析每一个可能留下安全隐患的因素,进而提高电力二次系统的安全防御。
(四)蜜网系统设计
蜜网是由多个蜜罐组成的网络系统,主要是用来收集信息,它不能直接提高电力二次系统的网络安全,是一种主动的防御技术。蜜网的工作机制是通过尽可能地记录入侵检测的所有非法连接数据,为追踪入侵者提供有用的线索,还可以为入侵检测增添新的信息检测规则提供帮助。
(五)加强二次设备安全管理
电力系统二次设备的安全对于电力系二次系统有着重要作用。在实际中,有许多二次设备存在不安全问题,比如高压开关室没有使用专用等位接地网,混接一次、二次接地;主控楼各屏柜中的二次接地铜排没有与电缆阶层的接地网相连接等。针对这些不安全问题,可以通过对接地铜排、接地网等按照规定进修修正,从而提高二次设备的安全性。
四、结语
电力二次系统的安全性是电网安全稳定运行的重要保证,提高其安全性能,应该从加强其对外部攻击的防御能力、对系统内部不安全信息的隔离与过滤以及内部信息的加密管理等方面入手,应用先进的电子信息技术,同时,加强内部人员的管理,来有效保证电力二次系统的安全运行。
参考文献:
[1]区素玲.浅谈江门供电局电力二次系统安全防护工程的设计[J].中华民居,2011,7:952-953.
[2]刘兆霞,景国锋,孙刚等.电力二次系统安全防护体系探讨[J].山西电力,2011,5:13-15.
[3]吴建斌,王洪英.田湾河流域梯级电站电力二次系统安全防护措施[J].水电站机电技术,2009,5:27-28.
【关键词】电力二次系统安全性;安全防护原则;安全问题;改进措施
电力二次系统是由电力监控系统、电力通信及数据网络等组成的复杂系统,其运用的主要技术手段是计算机网络通信技术。而随着我国电子信息技术的不断发展,电力二次系统的安全性也受到了更大的威胁。一旦电力二次系统受到破坏,会严重影响电力企业正常的生产运行。
一、电力二次系统安全防护的原则
(一)安全分区
安全分区是为了避免电力二次系统某区域受到攻击时影响整个系统的安全运行,对系统采取分区处理的方法。电力二次系统主要包括生产控制和信息管理两大区域,其中生产控制是二次系统的重点内容,其划分标准是根据业务的重要性和对一次系统的影响程度。
(二)网络专用
网络专用是根据电力二次系统等级和各区域分工不同,专门建立与其相应的网络专区,以避免各区域之间数据信息的互相干扰。比如在等级上,省级和地区级电力调度数据网各自建立各自的网络专区;在区域分工上,将综合业务数据与外部公共信息网络分别独立。
(三)横向隔离
横向隔离是指利用不同强度的安全设备将电力二次系统各安全区之间进行隔离。比如,使用电力专用的安全隔离装置,来对生产控制区和信息管理区进行高强度隔离;利用带有访问控制功能的设备,实现生产控制区和信息管理区内部安全区的隔离。
(四)纵向认证
纵向认证主要是提高电力二次系统访问监控和用户认证的力度,通过利用电力专用的加密认证装置或加密认证网以及其他安全设施,来对系统信息进行密码保护,进而确保系统中数据信息的传输与交流的安全可靠。
二、电力二次系统安全防护存在的问题
(一)安全防护落实不到位
电力二次系统虽然实现了大多数国家等级保护要求,但依然有些安全防护事项没有达到国家保护标准,比如在安全等级较高的系统的内部管控上,不能达到相应的管控标准,降低了系统的安全性。
(二)监控系统较弱
在电力二次系统中,监控系统能力较弱,不能有效完成对外部入侵信息和内部异常信息等的监视,致使出现旁路控制、黑客病毒和木马攻击、信息窃听、控制权限非法使用、保密信息外流以及违法授权等问题,严重干扰电力二次系统的安全运行,甚至会让变电站运行失控以及出现大规模的设备故障和电网停电。
(三)数据传递与抵御能力较差
电力二次系统中,生产控制类数据应用的传输模式是TCP/IP模式,其中一些关键数据是以明文的方式进行传输的,极容易造成数据信息的外泄,影响电力系统的安全稳定运行。电力二次系统采用的防火墙功能不能完全满足其需要,有时会造成网关处理速度较慢,且容易被入侵者绕过或通过防火墙内部漏洞而入侵到电力二次系统中,影响生产控制大区的安全性。
(四)工作人员安全意识与专业技能较差
电力企业工作人员存在安全意识薄弱,技能水平较低以及责任心不强等现象,致使电力二次系统安全管理出现问题。比如,2012年六盘水3·18电网停电就是由于工作人员责任心不够,对220KV水城变电站100kv水杉线“断路器距离压板”检查不够仔细,致使其出现三相故障时距离保护拒动,越级到水城变1、2号主变,致使2条110kv母线全部失压。
三、电力二次系统安全防护的改进措施
(一)强化监控系统的网络安全
电力监控系统包含了变电站当地监控系统、发电厂监控系统、调度发令系统、配网自动化系统、电能量系统以及错峰预警系统等,对电力二次系统的安全运行起着重要的作用。随着系统的数据被越来越多的用户使用,用户与系统之间的互联性加强,系统的网络互联使得系统功能增加,但也给监控系统带来了各种安全隐患,比如病毒、越权访问和拒绝服务攻击等。加强监控系统的网络安全,需要提高电力二次系统监控隔离装置的隔离性能,提升监控装置的严密性,加强监控系统的访问权限和加密设置,进而禁止不安全信息进入到监控系统内部,造成电力二次系统安全受到威胁。
(二)建立入侵检测系统
入侵检测系统主要通过对内部和外部攻击、误操作等检测,在网络系统受到危害之前进行指令拦截和响应入侵。其工作内容主要包含数据采集、数据分析和作出响应,在其工作时,首先会完成对电力二次系统网络信息中隐藏的入侵数据进行采集,如网络数据包、文件与客户活动行为、系统日志等数据;再将收集到的数据通过模式匹配、完整性分析和异常检测等手段进行分析,进而寻找入侵源头;最后,在发现入侵时,入侵检测系统会及时作出响应,并对发出的错误指令进行拦截。
入侵检测系统应对的主要是黑客入侵、网络通信异常以及系统漏洞鉴定等方面,进而实现完善网络管理的功能。在对黑客入侵上,主要是通过在系统内部记录黑客入侵的特征,进而快速识别黑客常用的电子邮件攻击、缓冲区溢出攻击、浏览器攻击和拒绝服务攻击等手段,并做出防范与响应工作;在对网络异常通信上,是通过侦测网络通信中不符合网络安全策略的数据并做出告警,对不正常的通信连接做出响应,进而维持网络通信的安全;关于系统漏洞,入侵检测系统中对系统漏洞及后门的详细信息都有所备案,可以及时发现通过系统漏洞和后门进行的非法网络通信行为,做出警告。
(三)加强工作人员管理
首先,对工作人员的行为进行监督,保证其网络信息存取和访问都符合规定,其操作过程中信息符合网络安全策略;其次加强工作人员安全意识培训,通过对员工进行电力二次系统安全重要性、信息保密等内容的培训,并做出详细的奖惩机制,来提高员工的安全意识;第三,提高工作人员技能素质,加强工作人员对电力二次系统安全防护工作中对漏洞的修补和系统的定期维护,对系统进行反复检查,认真分析每一个可能留下安全隐患的因素,进而提高电力二次系统的安全防御。
(四)蜜网系统设计
蜜网是由多个蜜罐组成的网络系统,主要是用来收集信息,它不能直接提高电力二次系统的网络安全,是一种主动的防御技术。蜜网的工作机制是通过尽可能地记录入侵检测的所有非法连接数据,为追踪入侵者提供有用的线索,还可以为入侵检测增添新的信息检测规则提供帮助。
(五)加强二次设备安全管理
电力系统二次设备的安全对于电力系二次系统有着重要作用。在实际中,有许多二次设备存在不安全问题,比如高压开关室没有使用专用等位接地网,混接一次、二次接地;主控楼各屏柜中的二次接地铜排没有与电缆阶层的接地网相连接等。针对这些不安全问题,可以通过对接地铜排、接地网等按照规定进修修正,从而提高二次设备的安全性。
四、结语
电力二次系统的安全性是电网安全稳定运行的重要保证,提高其安全性能,应该从加强其对外部攻击的防御能力、对系统内部不安全信息的隔离与过滤以及内部信息的加密管理等方面入手,应用先进的电子信息技术,同时,加强内部人员的管理,来有效保证电力二次系统的安全运行。
参考文献:
[1]区素玲.浅谈江门供电局电力二次系统安全防护工程的设计[J].中华民居,2011,7:952-953.
[2]刘兆霞,景国锋,孙刚等.电力二次系统安全防护体系探讨[J].山西电力,2011,5:13-15.
[3]吴建斌,王洪英.田湾河流域梯级电站电力二次系统安全防护措施[J].水电站机电技术,2009,5:27-28.