论文部分内容阅读
摘要:目前,因为计算机的快速发展,电厂内原用的手动监视和控制逐渐被自动化系统取代。此外,因为以太网的广泛使用,在自动化系统之间有了更加频繁的通信。同时,部分自动化系统要通过和网络进行连接来进行远程管理。这种存在众多复杂系统的网络通信难免会有着一定的安全隐患。针对这种情况,国家对二次系统的安全防护进行了规定,进而确保水电厂能够安全稳定运行,给中国经济的发展奠定了坚实基础。
关键词:电力;监控系统;安全防护
1、电力监控系统安全防护
随着国内外信息安全形势发展,特别是由伊朗布什尔核电站遭受“震网”蠕虫病毒攻击事件暴露出工业控制系统存在安全隐患,电力企业对电力监控系统的安全防护也进行了深入研究和反思。2014年由国家发改委发布了《电力监控系统安全防护规定》(以下简称《规定》),从技术和管理两个方面对电力监控系统安全防护提出了更高的要求。在技术层面,随着分布式能源、配网自动化、智能电网等新技术的快速发展和应用,针对电力监控系统使用无线公网进行数据通信日益普遍的情况,《规定》重申了电力监控系统“安全分区、网络专用、横向隔离、纵向认证”的防护原則;提出了在生产控制大区内设置“安全接入区”的理念;强调了当生产控制大区的业务系统在与其终端的纵向联接时,如果使用无线通信网、电力企业其它数据网(非电力调度数据网)或者外部公用数据网的虚拟专用网络方式(VPN)等进行通信的,应当设立安全接入区,在安全接入区与生产控制大区中其他部分的联接处必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置。生产控制大区中除安全接入区外,禁止选用具有无线通信功能的设备。在管理层面,结合国家公安部、国资委关于中央企业信息安全等级保护工作的要求,《规定》明确了信息安全等级保护在电力监控系统安全防护中的基础地位。
2、电力监控系统安全防护管理制度
2.1加强人员管理与培训
设立专人负责电力监控系统防护工作。对相关人员做好保密教育。加强人员的上岗离岗管理。上岗时,关键岗位人员签订保密证书。离岗时,收回人员身份证书、钥匙、徽章以及其他具有访问控制权限的软硬件设备,删除系统相关账户,并要求保证继续履行保密义务。定期开展全员电力监控系统防护培训以及安全防护岗位人员技术培训,提高全员安全防护意识以及技术人员技术水平。
2.2建立健全安全防护管理体系
按照“谁主管谁负责,谁运营谁负责”的原则建立安全防护管理体系,明确责任。电力调度中心负责管辖范围内的变电站、下级调度机构的专业管理与技术监督,运检部门负责所辖变电站电力监控系统的运行维护。下级安全防护方案的变更需经上级调度机构审核,发生安全事件应及时上报。
2.3加强设备接入管理
接入电力监控系统中的设备,尤其是接入生产控制大区的设备,应通过具有国家级检测认证资质检验单位的检测认证,满足安全性和电磁兼容性的要求,禁止选用工信部、网信部门等有关部门通报存在风险和漏洞的设备。此外,除安全接入区外,各业务系统不得与信息外网连接,相关主机上必须将软盘、光盘驱动、无线、串口、usb口关闭或拆除。生产控制大区与管理信息大区之间不得通过通用存储介质传输信息。运行设备存在风险和漏洞的,及时落实整改措施。
2.4严格执行等保测评
根据国家颁布的信息系统等级保护与测评相关要求,对于不同业务系统根据其重要程度划分防护等级。通常生产控制大区业务系统的防护等级应高于管理信息大区。安全等级为2级的系统每两年至少评估一次,安全等级为3级的系统每年至少评估一次,安全等级为4级的系统每半年至少评估一次。应严格按照划分的等级部署安全防护措施,对于安全评估中发现的问题应及时整改。
3、电力监控系统安全防护技术措施
3.1物理安全措施
电力监控系统硬件设备的机房应有防火、防水、防静电、防雷击等措施,机房应设有电子门禁,防护等级为4级的系统所在机房还应有双门禁,必要时安排专人值守。此外,对关键区域应实施电磁屏蔽。
3.2网络设备安全防护措施
网络设备安全防护措施包括关闭多余的网络服务及空闲端口,采用安全性能增强的SNMPV2及以上版本的网络管理协议,限制使用默认的网络路由,关闭网络边界的OSPF路由功能,并限制通信方式及类型。设置访问控制列表,限定受信任的网段等。使用高强度的用户口令,由字母、数字、特殊字符组合8位以上。
3.3入侵检测技术
通过合理设置入侵检测系统(IDS)的检测规则,可及时发现网络中的异常行为,分析潜在的威胁。IDS运行主要分为三步:提供事件记录流的信息源、通过分析引擎发现入侵迹象、基于分析引擎的结果产生反应。根据技术原理,入侵检测系统IDS可分为以下两类:基于主机的入侵检测系统(HIDS)和基于网络的入侵检测系统(NIDS)。目前,在IDS的基础上出现了入侵防御系统(IPS),能够及止阻止一些不正常或是具有伤害性的网络入侵行为。
3.4内网安全监视应用
内网安全监视应用可对电力监控系统的主机设备(服务器、工作站)、网络设备、数据库、安全设备(纵向设备、隔离设备、防火墙设备、入侵检测系统、防病毒系统)运行状态进行实时监测,对非法入侵、违规外联等异常行为实时告警并记录、统计分析。主要功能模块包括安全数据采集、监视与告警、运行分析、安全审计、安全管理、平台互联、人机界面功能七部分。
3.5其他技术措施
可信计算技术,以密码硬件为核心,可以免疫未知恶意代码的破坏。数字证书技术,可提高系统安全强度,通过身份认证和加解密保障上下级调度、主站与厂站等数据传输的机密性。
4、结束语
总之,随着计算机技术的飞速发展和广泛应用,电力监控系统安全防护问题牵涉到了电力生产的各个环节、各个方面,包括电网和电厂。按照“谁主管谁负责,谁运营谁负责”的原则,各发、供电单位的管理人员和技术人员,需详细了解电力监控系统安全防护的要素,才能在技术上扎实做好安全防护工作。
参考文献:
[1]张冰.浅论电力监控系统安全防护问题[J].工程技术:全文版,2016.
[2]高夏生,黄少雄,梁肖.电力监控系统安全防护要素[J].电脑知识与技术,2017.
[3]周振辉.电力监控系统安全防护风险分析及软件配置[C].2016年中国电机工程学会年会论文集,2016:1-4.
[4]郑子淮,裘雨音,陈琭草,等.电力监控系统二次安防的防护策略[J].自动化应用,2017.
(作者单位:国网江苏省电力有限公司无锡供电分公司)
关键词:电力;监控系统;安全防护
1、电力监控系统安全防护
随着国内外信息安全形势发展,特别是由伊朗布什尔核电站遭受“震网”蠕虫病毒攻击事件暴露出工业控制系统存在安全隐患,电力企业对电力监控系统的安全防护也进行了深入研究和反思。2014年由国家发改委发布了《电力监控系统安全防护规定》(以下简称《规定》),从技术和管理两个方面对电力监控系统安全防护提出了更高的要求。在技术层面,随着分布式能源、配网自动化、智能电网等新技术的快速发展和应用,针对电力监控系统使用无线公网进行数据通信日益普遍的情况,《规定》重申了电力监控系统“安全分区、网络专用、横向隔离、纵向认证”的防护原則;提出了在生产控制大区内设置“安全接入区”的理念;强调了当生产控制大区的业务系统在与其终端的纵向联接时,如果使用无线通信网、电力企业其它数据网(非电力调度数据网)或者外部公用数据网的虚拟专用网络方式(VPN)等进行通信的,应当设立安全接入区,在安全接入区与生产控制大区中其他部分的联接处必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置。生产控制大区中除安全接入区外,禁止选用具有无线通信功能的设备。在管理层面,结合国家公安部、国资委关于中央企业信息安全等级保护工作的要求,《规定》明确了信息安全等级保护在电力监控系统安全防护中的基础地位。
2、电力监控系统安全防护管理制度
2.1加强人员管理与培训
设立专人负责电力监控系统防护工作。对相关人员做好保密教育。加强人员的上岗离岗管理。上岗时,关键岗位人员签订保密证书。离岗时,收回人员身份证书、钥匙、徽章以及其他具有访问控制权限的软硬件设备,删除系统相关账户,并要求保证继续履行保密义务。定期开展全员电力监控系统防护培训以及安全防护岗位人员技术培训,提高全员安全防护意识以及技术人员技术水平。
2.2建立健全安全防护管理体系
按照“谁主管谁负责,谁运营谁负责”的原则建立安全防护管理体系,明确责任。电力调度中心负责管辖范围内的变电站、下级调度机构的专业管理与技术监督,运检部门负责所辖变电站电力监控系统的运行维护。下级安全防护方案的变更需经上级调度机构审核,发生安全事件应及时上报。
2.3加强设备接入管理
接入电力监控系统中的设备,尤其是接入生产控制大区的设备,应通过具有国家级检测认证资质检验单位的检测认证,满足安全性和电磁兼容性的要求,禁止选用工信部、网信部门等有关部门通报存在风险和漏洞的设备。此外,除安全接入区外,各业务系统不得与信息外网连接,相关主机上必须将软盘、光盘驱动、无线、串口、usb口关闭或拆除。生产控制大区与管理信息大区之间不得通过通用存储介质传输信息。运行设备存在风险和漏洞的,及时落实整改措施。
2.4严格执行等保测评
根据国家颁布的信息系统等级保护与测评相关要求,对于不同业务系统根据其重要程度划分防护等级。通常生产控制大区业务系统的防护等级应高于管理信息大区。安全等级为2级的系统每两年至少评估一次,安全等级为3级的系统每年至少评估一次,安全等级为4级的系统每半年至少评估一次。应严格按照划分的等级部署安全防护措施,对于安全评估中发现的问题应及时整改。
3、电力监控系统安全防护技术措施
3.1物理安全措施
电力监控系统硬件设备的机房应有防火、防水、防静电、防雷击等措施,机房应设有电子门禁,防护等级为4级的系统所在机房还应有双门禁,必要时安排专人值守。此外,对关键区域应实施电磁屏蔽。
3.2网络设备安全防护措施
网络设备安全防护措施包括关闭多余的网络服务及空闲端口,采用安全性能增强的SNMPV2及以上版本的网络管理协议,限制使用默认的网络路由,关闭网络边界的OSPF路由功能,并限制通信方式及类型。设置访问控制列表,限定受信任的网段等。使用高强度的用户口令,由字母、数字、特殊字符组合8位以上。
3.3入侵检测技术
通过合理设置入侵检测系统(IDS)的检测规则,可及时发现网络中的异常行为,分析潜在的威胁。IDS运行主要分为三步:提供事件记录流的信息源、通过分析引擎发现入侵迹象、基于分析引擎的结果产生反应。根据技术原理,入侵检测系统IDS可分为以下两类:基于主机的入侵检测系统(HIDS)和基于网络的入侵检测系统(NIDS)。目前,在IDS的基础上出现了入侵防御系统(IPS),能够及止阻止一些不正常或是具有伤害性的网络入侵行为。
3.4内网安全监视应用
内网安全监视应用可对电力监控系统的主机设备(服务器、工作站)、网络设备、数据库、安全设备(纵向设备、隔离设备、防火墙设备、入侵检测系统、防病毒系统)运行状态进行实时监测,对非法入侵、违规外联等异常行为实时告警并记录、统计分析。主要功能模块包括安全数据采集、监视与告警、运行分析、安全审计、安全管理、平台互联、人机界面功能七部分。
3.5其他技术措施
可信计算技术,以密码硬件为核心,可以免疫未知恶意代码的破坏。数字证书技术,可提高系统安全强度,通过身份认证和加解密保障上下级调度、主站与厂站等数据传输的机密性。
4、结束语
总之,随着计算机技术的飞速发展和广泛应用,电力监控系统安全防护问题牵涉到了电力生产的各个环节、各个方面,包括电网和电厂。按照“谁主管谁负责,谁运营谁负责”的原则,各发、供电单位的管理人员和技术人员,需详细了解电力监控系统安全防护的要素,才能在技术上扎实做好安全防护工作。
参考文献:
[1]张冰.浅论电力监控系统安全防护问题[J].工程技术:全文版,2016.
[2]高夏生,黄少雄,梁肖.电力监控系统安全防护要素[J].电脑知识与技术,2017.
[3]周振辉.电力监控系统安全防护风险分析及软件配置[C].2016年中国电机工程学会年会论文集,2016:1-4.
[4]郑子淮,裘雨音,陈琭草,等.电力监控系统二次安防的防护策略[J].自动化应用,2017.
(作者单位:国网江苏省电力有限公司无锡供电分公司)