论文部分内容阅读
摘要:为确保不发生电力监控系统网络安全事件,通过成立工作小组、制订安全防护方案、完善安全防护结构,形成完整的安全防护体系,有效提高了电力监控系统网络安全防护水平。
关键词:电力监控系统;网络;安全防护;建设
电力作为重要基础设施领域,已被不少国家视为“网络战”首选攻击目标,因此电力监控系统的网络安全形势异常严峻;其次,接入电力调度数据网的新能源厂站急剧增加,其分布广泛、管理分散给网络安全工作提出了巨大挑战;另外,国家网络安全法于2017年6月1日正式实施,网络安全上升到法律层面;最后,当前各地电力监控系统网络安全防护水平参差不齐,存在不足。为此,电力监控系统网络安全防护体系建设势在必行。
1.总体要求
电力监控系统包括电力行业生产控制类信息系统、生产管理类信息系统及通信网络系统。近期颁发的《中华人民共和国网络安全法》将网络、信息安全从规章制度上升到国家法律的高度。电力监控系统安全防护方案,以“安全分区、网络专用、横向隔离、纵向认证”十六字方针为核心,注重外部网络边界隔离阻断,配备必要的安全防护装置,部署必要的安全防护预警系统,采用技术手段加快感知网络异常,建设电力监控系统栅格状纵深安全防护体系,防患于未然。电力监控系统等级保护,以提高电力监控系统自身安全防护能力为依托,从物理安全、网络安全、主机安全、应用安全和数据安全等几个层面,针对不同安全等级的电力监控系统提出不同保护要求,加强系统内部异常感知和恶意行为防范能力。电力监控系统安全防护,重点围绕系统边界、网络传输边界和业务主机三个层次,构建电力监控系统安全防护的三道防线。
2.业务归类、安全分区
根据电力监控系统的特点、各相关业务系统的重要程度和数据流程、运行状况和安全要求,电力监控系统主要分布在两个大区、三个小区及安全接入区。分布在三个安全区的业务分别为:
安全区Ⅰ:控制区(生产控制大区),简言之,核心系统和实现实时监控功能的系统部署在此区,是电力生产的核心业务,系统实时在线运行,采用调度数据网络或专用通道传输信息,是安全防护的重中之重,安全等级最高;
安全区Ⅱ:非控制区(生产控制大区),电力生产上必须的业务,但不具备远方控制功能的系统部署在此区,系统在线运行,采用调度数据网络传输信息,是安全防护不可或缺的环节,安全等级低于安全区I;
安全区Ⅲ:调度生产管理区(管理信息大区),实现电力调度生产的管理,提高管理水平和生产决策能力的系统部署在此区,不直接与电力生产环节闭环,采用综合业务网传输信息,与生产控制大区之间采用电力专用横向单向隔离装置进行隔离;安全接入区:采用非可控通信通道(外部专用网络通道或者GPRS通道等)传输数据的前置通信系统,部署在安全接入区。安全接入区与生产控制大区中的业务连接,需经过电力专用横向反向隔离装置;与外部网络连接处,需部署硬件防火墙。山区小电源通过北斗卫星通道接入、配网系统采集终端通过GPRS通道接入等,均应预先经过安全接入区。
3.建设内容
3.1制订安全防护方案
依据《电力监控系统安全防护规定》(国家发改委〔2014〕14号令)、《电力监控系统安全防护总体方案和评估规范》(国能安全〔2015〕36号)及省公司调控中心的统一部署,组织各专业制订《地县级调度中心监控系统安全防护方案》、《发电厂监控系统安全防护方案》、《变电站监控系统安全防护方案》,经安全防护工作小组审核、分管领导批准并报省调备案后实施。以调控中心部门通知形式,专门印发《关于发电企业电力监控系统安全防护工作要求的通知》,加强并网电厂安全防护工作。
3.2地县级调度中心安全防护体系建设
(1)主站调度数据网一平面二区,二平面一、二区纵向加密装置安装及调试工作。一平面二区原为防火墙,二平面一、二区原未配置安全装置,现统一安装、调试兴唐千兆型纵向加密装置。
(2)部署纵向加密认证装置管理平台。在调度主站二区部署南瑞信息SMC-2000纵向加密认证管理平台,对所辖范围内纵向加密装置进行远程安全管理。
(3)无线安全接入区建设。按照方案要求,自动化主站建设无线安全接入区,专门用于分布式电源接入调度数据网,建成后有利于加强小电源安全防护工作管理,同时更好直接服务于光伏扶贫项目。
(4)网络安全管理平台建设。按照“设备自身感知、监测装置就地采集、平台统一管控”的原则,主站建设ns5000网络安全管理平台,对系统安全状况进行实时在线监测、报警,提升自动化系统安全防护水平。
(5)部署调度数字证书签发系统。自动化主站部署南瑞信息开发的数字证书签发系统,用于对人员、设备、程序证书进行签发,提高上传自动化数据的密通率。
(6)入侵检测系统部署与调试。自动化主站部署2台启明星辰NT600-HD入侵检测装置,分别位于调度数据网一平面二区、二平面二区。一平面一区、二平面一区数据通过部署镜像的方法镜像到二区,实现对数据网数据的全监视,提前发现入侵行为。
(7)制订地区调度中心主站监控系统安全防护方案,制订网络安全应急预案,落实班组安全防护人员责任。
(8)开展等级保护测评。地调自动化系统为等保三级系统,需每年进行1次等级保护测评并报公安局备案。
3.3变电站安全防护体系建设(
1)制订变电站监控系统安全防护方案和网络安全应急预案,落实班组安全防护人员责任。
(2)35kV及以上电压等级变电站纵向加密装置改造及远程管理工作。110kV变电站一、二区纵向安全装置全部改造成纵向加密装置。改造中严把策略配置关,防止大明通现象,同时主站利用纵向加密管理装置实现对变电站内加密装置的远程管理。
(3)35kV及以上电压等级变电站网络安全监测装置安装及接入主站工作。按照“設备自身感知、监测装置就地采集、平台统一管控”的原则,变电站(站控层)部署网络安全监测装置,全面监控网络空间内计算机、网络设备、安防设施等设备上的安全行为。
3.4发电厂安全防护体系建设
根据国家相关文件的规定,专门印发《关于发电企业电力监控系统安全防护工作要求的通知》,加强发电企业电力监控系统安全防护管理。
(1)项目前期评审。项目前期评审期间,按照“安全分区,网络专用,横向隔离,纵向认证”的基本原则,要求接入发电企业分区配置相应的加密认证装置、物理隔离装置、防火墙等相关安全设备。
(2)编写《XX发电厂监控系统安全防护方案》。地县调管辖的发电企业通过调度数据网方式接入地调自动化系统,必须编写安全防护方案,并经地调审核通过后方能进入下一环节。
(3)安全设备调试与验收。主、厂站对安全设备进行联合调试。调试完成后,进行现场检查验收。
(4)部署入侵检测系统。按照国家能源局〔2015〕36号文件及安徽省调的要求,具有等保二级系统的发电厂,需部署入侵检测系统。
(5)部署网络安全监测装置。按照国家能源局〔2015〕36号文件及安徽省调的要求,35kV及以上电压等级并网发电厂,要求在一、二区部署网络安全监测装置。
(6)等级保护测评和安全评估。电力监控系统的定级以国能安全〔2015〕36号文件为标准,系统应在所属各市公安局备案。要求各单位应定期请有资质的测评机构进行等保测评和安全评估,等保三级系统每年1次,等保二级系统每3年1次。
(7)其它方面。要求所有发电企业制定内部安全管理制度,明确网络安全管理措施与网络安全责任人。要求所有发电企业制定网络安全事件应急预案,并定期演练。
结束语:
随着计算机技术的飞速发展和广泛应用,电力监控系统安全防护问题牵涉到了电力生产的各个环节、各个方面,包括电网和电厂。按照“谁主管谁负责,谁运营谁负责”的原则,各发、供电单位的管理人员和技术人员,需详细了解电力监控系统安全防护的要素,才能在技术上扎实做好安全防护工作。
参考文献:
[1]周宁.重庆电网二次系统安全防护体系结构及关键技术研究[D].重庆:重庆大学,2015.
[2]国家能源局国能安全[2015]36号.电力监控系统安全防护总体方案[Z],2015
关键词:电力监控系统;网络;安全防护;建设
电力作为重要基础设施领域,已被不少国家视为“网络战”首选攻击目标,因此电力监控系统的网络安全形势异常严峻;其次,接入电力调度数据网的新能源厂站急剧增加,其分布广泛、管理分散给网络安全工作提出了巨大挑战;另外,国家网络安全法于2017年6月1日正式实施,网络安全上升到法律层面;最后,当前各地电力监控系统网络安全防护水平参差不齐,存在不足。为此,电力监控系统网络安全防护体系建设势在必行。
1.总体要求
电力监控系统包括电力行业生产控制类信息系统、生产管理类信息系统及通信网络系统。近期颁发的《中华人民共和国网络安全法》将网络、信息安全从规章制度上升到国家法律的高度。电力监控系统安全防护方案,以“安全分区、网络专用、横向隔离、纵向认证”十六字方针为核心,注重外部网络边界隔离阻断,配备必要的安全防护装置,部署必要的安全防护预警系统,采用技术手段加快感知网络异常,建设电力监控系统栅格状纵深安全防护体系,防患于未然。电力监控系统等级保护,以提高电力监控系统自身安全防护能力为依托,从物理安全、网络安全、主机安全、应用安全和数据安全等几个层面,针对不同安全等级的电力监控系统提出不同保护要求,加强系统内部异常感知和恶意行为防范能力。电力监控系统安全防护,重点围绕系统边界、网络传输边界和业务主机三个层次,构建电力监控系统安全防护的三道防线。
2.业务归类、安全分区
根据电力监控系统的特点、各相关业务系统的重要程度和数据流程、运行状况和安全要求,电力监控系统主要分布在两个大区、三个小区及安全接入区。分布在三个安全区的业务分别为:
安全区Ⅰ:控制区(生产控制大区),简言之,核心系统和实现实时监控功能的系统部署在此区,是电力生产的核心业务,系统实时在线运行,采用调度数据网络或专用通道传输信息,是安全防护的重中之重,安全等级最高;
安全区Ⅱ:非控制区(生产控制大区),电力生产上必须的业务,但不具备远方控制功能的系统部署在此区,系统在线运行,采用调度数据网络传输信息,是安全防护不可或缺的环节,安全等级低于安全区I;
安全区Ⅲ:调度生产管理区(管理信息大区),实现电力调度生产的管理,提高管理水平和生产决策能力的系统部署在此区,不直接与电力生产环节闭环,采用综合业务网传输信息,与生产控制大区之间采用电力专用横向单向隔离装置进行隔离;安全接入区:采用非可控通信通道(外部专用网络通道或者GPRS通道等)传输数据的前置通信系统,部署在安全接入区。安全接入区与生产控制大区中的业务连接,需经过电力专用横向反向隔离装置;与外部网络连接处,需部署硬件防火墙。山区小电源通过北斗卫星通道接入、配网系统采集终端通过GPRS通道接入等,均应预先经过安全接入区。
3.建设内容
3.1制订安全防护方案
依据《电力监控系统安全防护规定》(国家发改委〔2014〕14号令)、《电力监控系统安全防护总体方案和评估规范》(国能安全〔2015〕36号)及省公司调控中心的统一部署,组织各专业制订《地县级调度中心监控系统安全防护方案》、《发电厂监控系统安全防护方案》、《变电站监控系统安全防护方案》,经安全防护工作小组审核、分管领导批准并报省调备案后实施。以调控中心部门通知形式,专门印发《关于发电企业电力监控系统安全防护工作要求的通知》,加强并网电厂安全防护工作。
3.2地县级调度中心安全防护体系建设
(1)主站调度数据网一平面二区,二平面一、二区纵向加密装置安装及调试工作。一平面二区原为防火墙,二平面一、二区原未配置安全装置,现统一安装、调试兴唐千兆型纵向加密装置。
(2)部署纵向加密认证装置管理平台。在调度主站二区部署南瑞信息SMC-2000纵向加密认证管理平台,对所辖范围内纵向加密装置进行远程安全管理。
(3)无线安全接入区建设。按照方案要求,自动化主站建设无线安全接入区,专门用于分布式电源接入调度数据网,建成后有利于加强小电源安全防护工作管理,同时更好直接服务于光伏扶贫项目。
(4)网络安全管理平台建设。按照“设备自身感知、监测装置就地采集、平台统一管控”的原则,主站建设ns5000网络安全管理平台,对系统安全状况进行实时在线监测、报警,提升自动化系统安全防护水平。
(5)部署调度数字证书签发系统。自动化主站部署南瑞信息开发的数字证书签发系统,用于对人员、设备、程序证书进行签发,提高上传自动化数据的密通率。
(6)入侵检测系统部署与调试。自动化主站部署2台启明星辰NT600-HD入侵检测装置,分别位于调度数据网一平面二区、二平面二区。一平面一区、二平面一区数据通过部署镜像的方法镜像到二区,实现对数据网数据的全监视,提前发现入侵行为。
(7)制订地区调度中心主站监控系统安全防护方案,制订网络安全应急预案,落实班组安全防护人员责任。
(8)开展等级保护测评。地调自动化系统为等保三级系统,需每年进行1次等级保护测评并报公安局备案。
3.3变电站安全防护体系建设(
1)制订变电站监控系统安全防护方案和网络安全应急预案,落实班组安全防护人员责任。
(2)35kV及以上电压等级变电站纵向加密装置改造及远程管理工作。110kV变电站一、二区纵向安全装置全部改造成纵向加密装置。改造中严把策略配置关,防止大明通现象,同时主站利用纵向加密管理装置实现对变电站内加密装置的远程管理。
(3)35kV及以上电压等级变电站网络安全监测装置安装及接入主站工作。按照“設备自身感知、监测装置就地采集、平台统一管控”的原则,变电站(站控层)部署网络安全监测装置,全面监控网络空间内计算机、网络设备、安防设施等设备上的安全行为。
3.4发电厂安全防护体系建设
根据国家相关文件的规定,专门印发《关于发电企业电力监控系统安全防护工作要求的通知》,加强发电企业电力监控系统安全防护管理。
(1)项目前期评审。项目前期评审期间,按照“安全分区,网络专用,横向隔离,纵向认证”的基本原则,要求接入发电企业分区配置相应的加密认证装置、物理隔离装置、防火墙等相关安全设备。
(2)编写《XX发电厂监控系统安全防护方案》。地县调管辖的发电企业通过调度数据网方式接入地调自动化系统,必须编写安全防护方案,并经地调审核通过后方能进入下一环节。
(3)安全设备调试与验收。主、厂站对安全设备进行联合调试。调试完成后,进行现场检查验收。
(4)部署入侵检测系统。按照国家能源局〔2015〕36号文件及安徽省调的要求,具有等保二级系统的发电厂,需部署入侵检测系统。
(5)部署网络安全监测装置。按照国家能源局〔2015〕36号文件及安徽省调的要求,35kV及以上电压等级并网发电厂,要求在一、二区部署网络安全监测装置。
(6)等级保护测评和安全评估。电力监控系统的定级以国能安全〔2015〕36号文件为标准,系统应在所属各市公安局备案。要求各单位应定期请有资质的测评机构进行等保测评和安全评估,等保三级系统每年1次,等保二级系统每3年1次。
(7)其它方面。要求所有发电企业制定内部安全管理制度,明确网络安全管理措施与网络安全责任人。要求所有发电企业制定网络安全事件应急预案,并定期演练。
结束语:
随着计算机技术的飞速发展和广泛应用,电力监控系统安全防护问题牵涉到了电力生产的各个环节、各个方面,包括电网和电厂。按照“谁主管谁负责,谁运营谁负责”的原则,各发、供电单位的管理人员和技术人员,需详细了解电力监控系统安全防护的要素,才能在技术上扎实做好安全防护工作。
参考文献:
[1]周宁.重庆电网二次系统安全防护体系结构及关键技术研究[D].重庆:重庆大学,2015.
[2]国家能源局国能安全[2015]36号.电力监控系统安全防护总体方案[Z],2015