電力系統安全防護
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇電力系統安全防護范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
電力系統安全防護范文第1篇
當前社會經濟高速發展使得電力資源的需求量不斷攀升,作為社會生產的支持和日常生活的保障,電力資源在提高人們生活水平方面發揮著極其重要的作用,而電力信息系統中包含的系統運行參數則對電力系統正常供配電起著關鍵性作用。互聯網時代下的網絡環境滋生著越來越多的不安全因素,信息安全防護技術的應用十分必要,這也逐漸成為電力系統信息安全研究的一大重點內容。本文從當前電力系統信息安全防護的現狀出發,針對信息安全防護的關鍵技術展開了細致分析。
【關鍵詞】
電力系統;信息安全;防護現狀;關鍵技術
一、引言
隨著電力系統中電子信息和計算機網絡技術應用的逐漸廣泛,電力系統的自動化程度也隨之提高,這對于系統信息安全無疑提出了更加嚴苛的要求。作為電力系統供配電穩定及運行正常的關鍵信息,電力系統中的各項運行參數直接關系到電力系統的安全,倘若出現系統信息篡改或丟失的情況則勢必威脅到電網安全,甚至還會影響到用戶信息安全乃至整個社會的生產生活秩序。基于此,如何提高電力系統信息安全防護效果引起了行業人員的高度重視,尤其在當前智能電網建設背景下,保證信息安全更顯重要,因此對電力系統信息安全防護關鍵技術的分析很有必要。
二、當前電力系統信息安全防護的基本現狀
作為一個復雜的多領域系統化工程,電力系統信息安全防護除了包括電網調度自動化、電力負荷控制、繼電保護和配電網自動化外,還涉及到電力營銷及繼電保護安全裝置等方面內容,關系到經營、生產與管理多個方面。這樣一個龐大且復雜的網絡系統其運行安全與正常供配電有直接的影響,甚至關系到社會的發展穩定。電力系統信息安全防護工作的開展正是立足于防范有害信息和惡意攻擊對系統運行的滋擾,提高調度自動化系統運行的可靠性,確保電力生產經濟、安全進行。考慮到電力系統信息涉及到電力的生產、傳輸和使用等諸多環節,加之電力企業對電力系統信息安全防護研究極為重視,因此大量的人力和財力被投入到系統信息安全研究當中。但目前系統信息安全防護仍存在三大問題:第一,信息安全管理系統不夠標準和規范,管理系統對信息安全的指導欠缺合理性與科學性,這勢必影響到系統信息的高效安全運行。第二,安全防護意識有待加強,面對出現的新的信息安全問題,缺少對信息安全策略及技術的深入研究,僅僅依靠防病毒軟件和防火墻的安裝是很難達到有效的防護目的的。第三,在系統信息安全規劃上缺乏統籌安排,導致信息安全隱患出現,這對電力系統安全運行是極大的威脅。正是由于上述問題的存在,嚴重影響到了電網運行的系統信息安全,為了提高電力生產和系統運行的穩定性,需要充分利用信息安全防護關鍵技術,在技術手段輔助下實現對運行系統信息的全過程、全方位保護。
三、電力系統信息安全防護的關鍵技術分析
3.1安全隔離技術
安全隔離技術在電力系統信息安全防護中的應用旨在防范各種各樣的攻擊對電力信息系統造成的威脅,安全隔離技術的技術類型較多,它們有效保障了電力系統信息的穩定性和安全性。
3.1.1物理隔離技術
系統外部網絡倘若與內部網絡直接連接,那么就極有可能出現黑客入侵系統的情況,進而引起系統信息丟失或被破壞。物理隔離技術的應用是基于物理學方法直接或間接對外部網絡和內部網絡進行分離,這就需要電力管理人員能夠合理劃分電力系統的安全區域,根據企業實際情況對劃分層次數量進行確定,在實時監控技術的輔助下有效保障電力系統信息安全。
3.1.2協議隔離技術
利用協議隔離器對電力信息系統內部網絡與外部網絡完全分離采用的就是協議隔離技術,這對于內部系統安全的保證。這主要是由于電力信息內部系統可以借助接口方式與外部系統網絡相連接,而協議隔離技術的應用正是保證了內部網絡和外部網絡之間合理連接機制的存在,在出現通信需要時只有輸入專屬密碼才能產生有效的內外部連接,便于信息傳輸。而在內外部網絡沒有通信需求的情況下二者之間的連接就會自動斷開,通過這樣的方式保證系統信息運行安全。
3.1.3身份認證技術
通常而言身份認證技術的認證方式主要有四種,即口令、指紋、密鑰和智能卡。技術實施過程需要在主機或終端上登錄特定的用戶信息,在后續操作進行時借助信息認證的途徑進入到內部信息系統當中。而廣義的網絡登錄所采用的通常是證書授權的方式,所有用戶在得到中心授權后可通過簽名的途徑得到密鑰,進而獲得加密的系統信息。
3.1.4防火墻技術
電力系統信息安全防護中的防火墻技術其技術構成包括電流層網關、應用層網關和包過濾路由器等,相較于其他技術而言防火墻技術在保障電力系統信息安全方面發揮著極為重要的作用。但防火墻系統本身比較復雜,它在內部網絡和外部網絡之間建立了一個無形的屏障,而這一屏障是由各種軟硬件所組成的,進而確保電力系統信息的內外部網絡處于相對安全的溝通環境之中。
3.2加密技術
在信息傳輸的過程中電力系統經常出現信息遲滯甚至被篡改的現象,而信息加密技術的應用則能夠很大程度上解決這一難題。
3.2.1DES加密技術
DES加密技術有著使用簡便和加密速度快的優勢,DES加密技術在電力系統信息安全防護領域的應用只需較低的成本投入就可獲得相對高效的加密信息系統,現階段電力企業信息管理系統中這一技術的應用十分廣泛,同時它所發揮的作用也非常明顯。然而,DES加密技術本身也存在著一些缺陷,例如對密鑰的分發和管理較為復雜,此外要想全面利用這一加密技術需要更多的成本資金投入,這勢必會加大電力企業的管理壓力和難度。
3.2.2RSA數字簽名技術
RSA數字簽名技術相較于DES加密技術而言在密鑰分發與管理方面應用優勢顯著,并且兼具使用便捷和成本投入少的優點。由于具備公開密鑰,這就有效解決了密鑰分配與保存等問題。RSA數字簽名技術在電力系統信息安全防護中的應用穩定性較強,并且數字簽名本身也十分方便。
3.2.3兩種技術的混合使用
上述提及的DES加密技術和RSA數字簽名技術各具優勢,它們在電力系統信息安全防護中的應用也都較為先進,為了充分發揮兩種技術的作用,很多企業選擇對DES加密技術和RSA數字簽名技術混合使用,并且建立了混合技術下的系統加密新模式。新模式的出現使得密鑰的分配和管理過程更加科學與合理,同時系統運算速度也得到有效提升,電力信息系統安全性全面提高。需要注意,除了發揮技術應用的優勢之外,電力企業在系統信息安全防護方面需要做的事情還有很多,比如提高人員安全防護意識、完善安全防范培訓體系、優化信息安全管理系統等等,如此才能最大限度配合防護技術的實施,收獲最佳的安全防護效果。
四、結束語
綜上所述,持續提高的電力自動化程度使得電力系統應用計算機網絡的頻率也逐漸增加,電力系統信息安全防護關鍵技術的應用對于電力系統信息安全而言是不可缺少的技術保障。無論是安全隔離技術還是加密技術,它們的有效應用都使得網絡攻擊和系統入侵等問題大大減少,系統運行參數被竊取或被篡改的情況也得到有效控制,電力系統信息安全真正得到保證。值得注意的是,當前智能電網建設形勢下,企業對系統信息安全的關注度不能降低,應更加注重開發利用安全防護新技術,只有維護好電網運行秩序企業的效益目標才能實現,才能真正在可持續發展道路上越走越遠。
作者:楊軍 單位:甘肅省電力公司
參考文獻
[1]劉勁風,王述洋.電力系統信息安全關鍵技術的研究[J].森林工程,2007,(09).
[2]朱世順,余勇.信息安全防護技術在電力系統中的最佳實踐[J].深信服科技,2009,(06).
電力系統安全防護范文第2篇
【 關鍵詞 】 電力系統;信息安全;智能電網;安全管理;防范措施
1 引言
由于互聯網技術的發展和市場化的需要,互聯、開放、標準化已成為電力工業中業務系統發展的必然趨勢,電力系統的調度運行、生產經營、日常管理越來越依賴于各種計算機信息系統,在這種背景下產生了電力系統信息安全防范措施。由于電力系統的穩定運行直接關系著社會經濟發展,因此加強電力系統信息安全防護措施的研究將具有十分重要的現實意義。
2 信息安全概述
信息安全主要是指信息保密性、完整性和可用性的安全防護。保密性是指信息僅僅為那些被授權使用的人獲取,完整性是指信息本身和信息處理方法的正確性和完整性,可用性是指經過授權的用戶在需要時能能夠獲取信息。
根據計算機技術的發展,信息安全主要經歷了三個發展階段:通信保密階段、計算機安全和信息安全階段、信息保障階段。
(1)通信保密階段:側重于在遠程通信中拒絕非授權用戶的信息訪問及確保通信的真實性,主要采用密碼學技術。
(2)計算機安全和信息安全階段:側重于確保計算機系統中的硬件、軟件及在處理、存儲、傳輸信息中的保密性,主要采用安全操作系統的可信計算機技術。
(3)信息保障階段:側重于保護和防御信息及信息系統,確保其可用性、完整性、保密性、不可否認性等特性,并提出了信息安全保障體系PDRR(Protect, Detect, React, Restore)模型。
3 電力系統信息安全現狀
國家電網公司多年來一直注重加強信息安全體系建設與管理工作,網絡與信息系統按生產控制大區、管理信息大區和三道防線進行防護,管理信息大區劃分為信息內網和信息外網,在公司互聯網出口、信息內外網邊界、管理與生產大區邊界建立了信息安全三道防線,如圖1所示。
生產控制大區按照國家電監會5號令等文件嚴格要求,遵循“安全分區、網絡專用、橫向隔離、縱向認證”的安全防護原則,實施電力二次系統總體安全防護。
管理信息大區實施“雙網雙機、分區分域、等級防護、多層防御”的信息安全防護總體策略,全面建設信息安全等級保護縱深防護體系。
目前,信息化技術已滲透到電力系統的各個方面,包括生產、運營、建設、物資、科研和管理等領域,并普遍使用VLAN、MPLS等技術。為了保證信息系統的安全運行,國家電網公司開發了信息運維綜合監管系統(IMS)和信息外網安全檢測系統(ISS)等國網統推軟件平臺,對電力信息系統進行綜合檢測。
4 電力系統信息安全所面臨的問題
信息化的基礎性、全局性作用日益增強,信息安全作為信息化深入推進的重要保障,已成為國家安全戰略的重要組成部分。為此,國家相關部門頒布實施了《2006-2020年國家信息化發展戰略》,對地方政府和國有企業的信息化實施具有重要的指導意義。
國家電網公司堅決響應中央號召,全力推進公司信息化進程,信息化體系已逐步在公司各個層次建立起來,對公司發展提供了重要的推動作用。然而,信息化是一把“雙刃劍”,在推動業務管理創新的同時,也會帶來較大的安全風險,給公司的整體安全形勢帶來新的挑戰,具體表現在四個方面。
(1)智能電網:智能電網具有“網絡更廣、用戶更泛、交互更多、技術更新”等特點,為信息安全管控的廣度和深度帶來全新的要求。
(2)三集五大:“三集五大”體系下的信息系統業務依存度、集成度、融合度比較高,單個系統都可能成為信息安全防護體系的短板,任何一個系統的安全漏洞都可能帶來較為嚴重的后果。
(3)新技術應用:隨著物聯網、云計算、大數據及移動互聯網在電力系統中的廣泛應用,各類新型技術防護手段的缺失、自身的安全缺陷,使得信息安全隱患的排查與預防難度大大增加。
(4)數據中心:隨著應用級災備和集中式數據中心的建設,未來公司信息系統將逐漸向物理集中或一級部署過濾,系統自身安全性與脆弱性問題更加突出。
5 電力系統信息安全防護措施
5.1 加強信息安全管理工作
信息安全工作是“三分技術,七分管理”,應切實加強信息安全管理工作。電力企業不少部門認為信息安全僅僅是信息化部門的事情,與自己無關,而信息化部門人員主要精力也只是在信息技術層面,缺少信息管理與安全管理意識,應在公司各個部門之間開展多種形式的信息安全知識培訓。
在具體操作層面上,可重點在幾個層面開展工作。
(1)統一設計、自主可控:由公司總部集中優勢力量統一組織技術研發,以信息安全防護核心技術為重點,以產品自主研發為主,減少外部威脅。
(2)集成集中、優化整合:全面提升公司信息安全資源集約化水平,加大統一管控力度,優化整合,并充分繼承現有設備和系統,按照生命周期要求,提高信息安全資產的使用率。
5.2 重視信息安全技術手段
技術手段是解決信息安全的關鍵所在,只有采用合理且高效的技術手段,才能在很大程度上消除信息安全隱患。應采取“先進適用,創新發展”的原則,積極跟蹤和研究國內外先進成熟技術,應用到電力信息網中,比如防火墻技術、入侵檢測技術、漏洞掃描技術、隔離技術、VPN技術、安全審計策略等,并采取統一的安防軟件和網管軟件。結合電力系統特點,具體可表現在幾個方面。
(1)主動防御:從信息安全系統體系出發,以技術手段作為切入點,采用“分區分域、安全接入、動態感知、全面防護”等原則,化事件驅動型的被動防御為消息驅動型的主動防御。
(2)持續跟蹤:持續跟蹤國際信息化與信息安全工作的發展趨勢和成果,研究并應用到國家電網公司的信息安全防護下。
(3)超前部署:立足現實,把握全局,并考慮未來技術的發展,超前部署前沿技術攻關及基礎成果應用,比如大數據、云計算及虛擬化技術應用等。
5.3 信息安全隊伍建設
隊伍建設是信息安全得以有效實現的有力保障,國家電網公司應以兩院技術支持隊伍為基礎,加大培養力度,建設國家級信息安全實驗室,建立健全“技術專業、響應迅速、覆蓋全面”的信息安全技術支撐隊伍。
另外,應特別重視公司研發隊伍的指導工作,構建研發隊伍信息安全“兩個一流”和“兩個不發生”為目標,以“強基礎、重考評、嚴追則”為手段,從根本上加強研發隊伍的安全意識和安全能力,在源頭上保證研發安全質量。
6 結束語
隨著電力系統中現代信息技術的廣泛應用,電力信息安全面臨著越來越大的威脅與風險。建立健全國家電網公司信息安全防護體系,必須從管理、技術、安全隊伍建設等多方面入手,以安全區域劃分、系統等級保護、安全邊界保護、主動防御措施和應急響應策略為手段,構筑全方位、多層次的安全防護體系。其中,信息外網以“防攻擊、防泄露”為主,信息內網以“強內控,防外聯”為主,實現信息內外網的深度安全防護,確保應用系統的安全穩定運行,保障電網企業信息安全。
參考文獻
[1] 李文武,游文霞,王先培.電力系統信息安全研究綜述.電力系統保護與控制,2011,39(10):140-147.
[2] 胡炎,謝小榮,韓英鐸,辛耀中.電力信息系統安全體系設計綜述.2005,29(1):35-39.
[3] 董亮,周蕾.信息安全縱深防御體系建設規劃研究.電力信息化,2012,8(1):41-43.
[4] 韓禎祥,曹一家.電力系統的安全性及防治措施.電網技術,2004,28(9):1-6.
[5] 陳來軍,梅生偉,陳穎.智能電網信息安全及其對電力系統生存性的影響.控制理論與應用,2012,29(2):240-244.
基金項目:
山西省電力公司科技項目晉215號基金支持。
作者簡介:
馬軍偉(1982-),男,山東濟寧人,大連理工大學控制理論與控制工程專業,博士研究生,現任國網山西省電力公司信息通信分公司技術發展部電力通信規劃管理,中級職稱;主要研究方向和關注領域:電力通信規劃、信息安全。
閻立(1975-),男,山西晉中人,太原理工大學計算機系大學,本科,現任國網山西省電力公司信息通信分公司技術發展部主任,高級職稱;主要研究方向和關注領域:電力信息通信管理。
電力系統安全防護范文第3篇
關鍵詞:電力系統;計算機網絡;信息安全;防護策略
引言
近年來,隨著科技的飛速發展,互聯網技術被應用于各個領域之中,互聯網技術給人們日常生活與工作都帶來了極大的便利。信息技術在電力系統之中的應用,可以提升對電力系統的管理工作效率,降低電力系統的管理難度。隨著城市的發展,生活、生產用電量不斷增長,這也造成了電力系統規模的不斷擴大,為了確保電力系統的穩定運行,對網絡信息技術的依賴性也越來越大。但是,網絡信息技術中存在著信息安全問題,不能做好對計算機網絡信息安全方面的防護工作,就會影響電力系統的順利運行。
1計算機網絡信息安全對電力系統的影響
計算機網絡信息技術可以提升信息資源的利用效率,提高資源的共享能力,提升信息數據的傳輸效率。將計算機網絡信息技術應用在電力系統之中,就能利用網絡信息技術的優勢,提高電力系統的輸電、用電效率,有利于降低輸電過程中的電能消耗。但是,基于計算機網絡信息技術建立起的管理系統,很容易受到來自網絡的黑客攻擊或病毒侵害,如果不能給予相應的防護措施,電力系統中的相關數據就會受到嚴重損害,系統故障也會造成電力系統的運行故障。因此,電力系統利用計算機網絡信息技術提高工作效率的同時,還必須重視起計算機網絡信息安全問題,建立相應的防護系統,這樣才能避免對電力系統造成的損害。
2電力系統中計算機網絡信息安全的常見問題
2.1計算機病毒
計算機病毒是計算機網絡信息安全中的常見問題之一,當計算機系統感染病毒,計算機病毒就會破壞系統中的程序數據,一些病毒也會損壞文件數據的完整性,這就會導致電力系統中的重要信息丟失,影響控制系統的正常運行。另外,一些危害較大的計算機病毒具有自我復制能力,隨著系統軟件的每次運行,病毒程序就會加以復制,進而加大計算機病毒的查殺難度,也會提升病毒對系統的破壞性。目前,電力系統中有大量基于計算機網絡信息技術的監測、控制系統,當作為控制平臺的計算機受到病毒入侵,系統穩定性就會受到影響,嚴重者就會出現電力系統的運行故障,不僅影響著正常供電,運行故障也會給電力系統的設備造成損害。
2.2黑客入侵
隨著電力系統規模的擴大,在電力系統中使用的控制平臺也從局域網絡環境轉為互聯網環境,外網的使用就會加大受到黑客入侵的風險。黑客入侵會造成電力系統控制權的喪失,黑客入侵后,會利用電力系統中的安全漏洞,進而干擾電力系統的管控工作,同時也會造成重要信息數據的丟失。如果被黑客竊取的數據資料流入市場,也會讓電力企業出現重大經濟損失,進而擾亂電力市場,不僅危及著電力系統的運行安全,也干擾這社會秩序的穩定。
2.3系統本身的漏洞
利用計算機網絡信息技術建立的監測、控制平臺,需要定期進行版本的更新,不僅可以完善系統平臺的功能性,也是對現存系統漏洞的修補。系統平臺不能定期更新、維護,就會更容易被黑客侵入,也會提升系統報錯的發生幾率,影響系統的穩定性。如表1所示。
3電力系統工作方面中的不足
在電力系統中,工作人員操作相關軟件系統時,也存在一些問題,這也會增加網絡信息安全隱患。一些電力企業對網絡信息安全的重要性并沒有形成深刻的認識,網絡安全問題對電力系統的危害沒有引起領導層的重視,單純的做好了計算機網絡建設,并沒有加入對網絡信息安全方面的防護措施。另外,在使用中,許多工作人員缺乏計算機方面的專業知識,缺乏網絡安全意識,就加大了日常工作行為造成網絡安全問題的幾率。工作人員缺乏相應的用網安全知識,隨意進行網絡瀏覽或插接帶有病毒的硬件,這就會對網絡信息安全造成威脅,嚴重者導致整個控制系統的癱瘓。另外,我國政府在對電力系統網絡安全方面的管理制度也存在不足,缺少相關的法律法規加以約束,制定的法律法規中沒有統一明確的標準,對現有問題的涉及范圍較小,不能完全覆蓋所有網絡信息安全問題,這也就降低了法律法規的警示作用。
4電力系統網絡信息安全的具體防護策略
4.1加裝殺毒軟件
在使用計算機和進行網絡瀏覽的過程中,殺毒軟件是保護計算機網絡信息安全的重要工具。因此,在電力系統網絡信息安全管理工作中,必須確保電力系統中的監測控制系統均要安裝殺毒軟件。可以根據電力系統實際情況來選擇殺毒軟件的類型,在日常管理中,工作人員要定期進行對計算機系統的查毒、殺毒操作,確保每名工作人員都掌握殺毒操作的方法,學習安全瀏覽網絡、使用硬件的方法。要對工作人員加以培訓,提升工作人員對網絡信息安全的認識水平,對未知軟件、郵件的閱讀、安裝提示加以防范,及時的查殺、刪除,網絡上掛載的文件也要慎重下載,盡量登錄正規網站,減少未知網站的閱覽。目前市場上常用的殺毒軟件可參考表2。
4.2引用相關計算機網絡防護技術
在電力系統的控制系統平臺之中,還可以為相關軟件加入網絡信息安全技術,可以利用防火墻技術對外網與內網之間架設一道網絡安全防護,進而減少外網環境中不安全因素對系統的入侵,提升用網安全性,加強對系統高危漏洞的修復,也能有效減少黑客、病毒對系統安全的危害。在電力系統控制端架設防火墻,通過防火墻限制用戶數量,可以有效的避免黑客的入侵,進而防止電力系統控制權限被他人盜用。另外,在軟件系統中也可以加入其它網絡安全產品,例如VPN系統、文檔加密系統、電子秘鑰等安全產品,這樣可以有效減少計算機網絡信息方面的安全隱患,避免對電力系統正常運行的影響。相關網絡安全防護措施如表3所示。
電力系統安全防護范文第4篇
關鍵詞: 電力二次系統 安全防護 具體措施
中圖分類號: F406 文獻標識碼: A 文章編號:電力行業信息化技術的逐步提高,使得內部信息網具備跨地區、全行業覆蓋的功能更突出。電力行業信息技術的進步,是計算機網絡成為加入電網調度機構后發揮的重大作用。以目前的發展趨勢,電力行業對網絡的依賴性越來越大,為杜絕網絡共計的危險,電力二次系統被提高到重要層面,已經成為有效抵制各種形式網絡攻擊的基本保障。
1.二次系統安全防護現狀
近年來隨著電力行業二次系統安全防護項目的發展,信息化應用日趨增強,電力網絡安全問題也變得更為重要。目前電力安全系統涉及到發電行業各個環節,我國現實現了國調、網調、省調和縣調五級。發電廠生產控制區業務系統接入調度數據網及相應調度數據網邊界的安全防護。電網規模不停擴充,自動化系統需求增大,完善電力二次系統安全成為了必須。
1.1 系統硬件平臺現狀
EMS系統硬件平臺是十分成熟的電網管理平臺,它不僅負擔著電網實時監測、控制、處理、SOE等任務,而且有電壓無功優化管理、狀態分析、負荷預測、調度員潮流分析等功能,還成為DMIS系統整合的有力支撐。火電廠的DCS、NCS、或ECS監控系統通過SIS系統與調度EMS系統相連,火力發電廠的AGC、AVC則直接與調度EMS系統相連,參與有功無功的遠程控制。對于廠內二次系統,除了做好備份和計算機管理方面的工作外,更重要的是運用防病毒軟件作為日常安全保障的重要手段,那么專用于電力系統的病毒升級服務器配備就顯得尤為重要,漸漸被提上日程。
1.2 系統軟件平臺現狀
系統軟件平臺EMS系統是功能一體化的系統,其網絡結構是以總線連接兩層交換機的構架,負荷很重,交換流量也過大,很易形成數據通信問題,甚至出現主程序會自主關閉現象。火電廠內部監控系統則通過標準協議(TCP/IP)全封閉系統,應杜絕外部訪問。
2. 二次防護系統加固措施實踐
采用自加固和專業安全加固兩種形式對電力系統進行加固,能夠對電力系統日常維護和專業評估后的漏洞起到修補的安全加固作用。
2.1 基于數據單向遷移的橫向隔離措施
按照“安全分區、網絡專用、橫向隔離、縱向認證”原則,EMS系統基于LINUX操作系統服務器單向遷移數據鏡像于Web服務器生成頁面,給信息管理大區的業務用戶使用。
Linux系統可實現對個體文件、任務進行加密處理,更加可靠。可是Web服務器在身份認證和權限管理方面無有效措施,Linux系統中的SAMBA服務使Web服務器在直接面向與INTERNET互聯的MIS網絡時,給HACKER攻擊和病毒入侵提供了侵入機會。有效結合軟硬件的安全隔離措施應被廣泛使用,才能在共享網絡數據時對侵入的非法信息進行阻斷。
2.2 基于認證加密技術的縱向防護措施
采用IP認證加密裝置間的相互認證來實現安全Ⅰ/Ⅱ區內部的縱向通信過程。有如下方面:IP認證加密裝置之間支持基于數字證書的認證,支持定向認證加密;對傳輸的數據通過數據簽名與加密進行數據機密性、完整性保護;支持透明工作方式與網關工作方式;具有基于IP、傳輸協議、應用端口號的綜合報文過濾與訪問控制功能;實現裝置之間智能協調,動態調整安全策略;具有NAT功能。
2.3 系統的網絡訪問控制措施
網絡各節點全面控制措施可以從五個方面來實現:
(1)強化口令管理:如果設置的口令較易被破解就需要加強口令管理控制。因為EMS系統口令若被人盜用,會對電力二次系統和電網的安全運行形成危害,后果不堪設想。
(2)禁用不必要服務:諸如Finger、BootpServer、ProxyArp等出場缺省服務,在路由器上,對于SNMP、DHCP以及Web不必須的管理服務等能關閉的就關閉。
(3)禁用遠程訪問:遠程訪問控制計算機必然泄露系統信息,在鏈接過程中難免有病毒侵入系統,所以應完全避免。
(4)控制流量有限進入網絡:路由器通常會成為DOS攻擊的目標,沒有IP地址的包,一切外來的和仿冒內部的包都不要隨意下載、打開使用。此外,用戶還可以采取增加SYNACK隊列長度、縮短ACK超時等措施來保護路由器免受TCP SYN的攻擊。
2.4 數據庫管理與安全審計措施
數據庫管理要著重EMS系統管理,其數據資源受到設備物理防護,而無法避免人為因素破壞。因而用戶應該采取必要措施加以防范。比如明確系統維護人員、調度操作人員、設備巡視人員職責權限,實現口令管理,同時在系統中用LOG.TXT記錄人員訪問操作信息。嚴格口令管理制度,嚴禁無關人員使用工作人員口令、權限,并健全相關處罰措施。
2.5 防病毒措施
防病毒措施的關鍵就是防病毒軟件的使用。專業病毒軟件的使用和定期更新是防范的重點,而因為更新需要插入的移動設備必須要率先排除染毒可能。也就需要固定的專門的病毒升級服務器,它可設立在安全III區,采用LINUX系統平臺,加裝防毒軟件,成為獨立的病毒升級機,先用本機殺毒而后經過物理隔離設備供給總線結構連接的EMS網絡各設備,來實現系統設備病毒庫的安全升級。
此外,EMS提供的I/O設備是一大隱患,能封存該設備就要加以封存,防范因此造成的系統崩潰等故障。
2.6 制度管理措施
嚴格專人負責制,成立專門的安全防護領導小組和監督工作組,負責本單位二次系統安全防護的組織管理和具體工作。做好重要應用系統軟件、數據的備份,確保在數據損壞、系統崩潰情況下快速恢復數據與系統。有專人查看IDS入侵檢測系統運行日志,及時處理網絡異常。
2.7 其它加固措施
程序安全措施、安全細化評估、數據的備份和恢復、入侵檢測 IDS等手段都可作為加固措施進行配置。
結束語:
計算機網絡的安全是和電力生產安全連為一體的,只有運用健全的網絡安全管理技術和完備的管理方法,加強日常管理監督,不斷應用新技術對電力安全系統進行更新,才能成為電力行業安全防護最好的保障。
參考文獻:
電力系統安全防護范文第5篇
關鍵詞:電二次系統安全防護;調度數據網絡安全; 防止惡意破壞和攻擊
Abstract: the flood home over power plant power secondary system security protection, is based on the fifth supervisor will order the power secondary system security protection rules, "and" the power secondary system safety protection plan "to the requirements of the implementation. This system in wujiang river flood company considered business requirements and crossing home power plant development, and on the basis of reasonable give consideration to the network safe protection, building an efficient, stable, safe and reliable network. Key is to ensure that the closed-loop control system and power real-time dispatching data network security, the aim is to resist the hackers, viruses, malicious code through various forms of the system such as launched malicious damage and attacks, prevent which led to a system accident or massive blackout accidents and secondary system collapse or paralysis.
Key words: the second system safety protective; Dispatching data network security; Prevent malicious damage and attack
中圖分類號:U664.156文獻標識碼: A 文章編號:
概述:
為了防范黑客及惡意代碼等對電力二次系統的攻擊侵害及由此引發電力系統事故,特建立電力二次系統安全防護體系,保障電力系統的安全穩定運行,根據《中華人民共和國計算機信息系統安全保護條例》和國家電力監管委員會[2005]5號令《電力二次系統安全防護規定》等有關文件精神建設洪家渡發電廠二次安全防護系統,確保我廠機組安全、優質、穩定運行。
洪家渡發電廠二次系統安全防護在生產控制大區與管理信息大區添加防火墻、網絡安全隔離裝置、認證系統等,是為了防范來自外部網絡的攻擊,加強電廠內部網絡的安全性,有效的防止不同部門及非法用戶跨權限訪問,通過獨特的加密體系認證,避免數據在傳輸過程中被非法劫持及篡改,確保了用戶訪問網絡資源的合法性、安全性。
一、電力二次系統安全防護策略
電力二次系統安全防護總體框架要求電廠二次系統的安全防護技術方案必須按照國家經貿委[2002]第30號令《電網和電廠計算機監控系統及調度數據網絡安全防護的規定》和國家電力監管委員會[2005]第5號令《電力二次系統安全防護規定》進行設計。
1.安全防護的基本原則
①系統性原則(木桶原理);②簡單性和可靠性原則;③實時、連續、安全相統一的原則;④需求、風險、代價相平衡的原則;⑤實用性與先進性相結合的原則;⑥方便性與安全性相統一的原則;⑦全面防護、突出重點的原則;⑧分層分區、強化邊界的原則;⑨整體規劃、分布實施的原則;⑩責任到人,分級管理,聯合防護的原則。
2.安全策略
安全策略是安全防護體系的核心,是安全工程的中心。安全策略可以分為總體策略、面向每個安全目標的具體策略兩個層次。策略定義了安全風險的解決思路、技術路線以及相配合的管理措施。安全策略是系統安全技術體系與管理體系的依據。
電力二次系統的安全防護策略為:
⑴安全分區:根據系統中各業務的重要性和對一次系統的影響程度劃分為二個大區:生產控制大區I、管理信息大區Ⅱ,所有系統都必須置于相應的安全區內。
⑵網絡專用:建立專用電力調度數據網絡,與電力企業數據網絡實現物理隔離,在調度數據網上形成相互邏輯隔離的實時子網和非實時子網,避免安全區縱向交叉連接。
⑶橫向隔離:采用不同強度的安全設備隔離各安全區,尤其是在生產控制大區與管理信息大區之間實行有效安全隔離,隔離強度應接近或達到物理隔離。
⑷縱向認證:采用認證、加密、訪問控制等技術實現生產控制數據的遠程安全傳輸以及縱向邊界的安全防護。
3.電力二次系統的安全區劃分
根據電力二次系統的特點,各相關業務系統的重要程度和數據流程、目前狀況和安全要求,將電力二次系統分為二個安全區:生產控制大區I、管理信息大區Ⅱ,不同的安全區確定了不同的安全防護要求,從而決定了不同的安全等級和防護水平。其中安全區Ⅰ的安全等級最高,安全區Ⅱ次之。
在各安全區之間,均需選擇適當的經國家有關部門認證的隔離裝置。生產控制大區與管理信息大區之間必須采用經國調中心認可的電力專用安全隔離裝置。
在安全區中內部局域網與外部邊界通信網絡之間應采用功能上相當于通信網關或強于通信網關的內外網的隔離裝置。
4.業務系統或功能模塊置于安全區的規則
根據該系統的實時性、使用者、功能、場所、在各業務系統的相互關系、廣域網通信的方式以及受到攻擊之后所產生的影響,將其分置于兩個安全區之中。
實時控制系統或未來可能有實時控制功能的系統需置于安全區Ⅰ。如:機組監控系統,實時性很強。用于在線控制,所以置于安全區I。
電力二次系統中不允許把本屬于高安全區的業務系統遷移到低安全區。允許把屬于低安全區的業務系統的終端設備放置于高安全區,由屬于高安全區的人員使用。
某些業務系統的次要功能與根據主要功能所選定的安全區不一致時,可根據業務系統的數據流程將不同的功能模塊(或子系統)分置于各安全區中,各功能模塊(或子系統)經過安全區之間的通信來構成整個業務系統。
自我封閉的業務系統為孤立業務系統,其劃分規則不作要求,但需遵守所在安全區的安全防護規定。
5.安全區之間的橫向隔離要求
在各安全區之間均需選擇適當安全強度的隔離裝置,尤其在生產控制大區和管理信息大區之間要選擇使用達到或接近物理強度的專用隔離裝置。具體隔離裝置的選擇不僅需要考慮網絡安全的要求,還需要考慮帶寬及實時性的要求。隔離裝置必須是國產設備并經過國家或電力系統有關部門認證。
洪家渡發電廠二次系統安全防護總體結構拓樸圖
三、我廠電力二次系統安全防護實施方案
二次安防網絡安全設備放置于監控機房專用機柜,電源使用監控系統UPS電源。
1.設備柜上分布情況
2.設備配置命名
設備命名規則按照簡單,直觀,整體性,邏輯性,并充分預留的原則,采用字母與數字結合的方法,洪家渡電廠二次系統安全防護工程的設備命名如下:
3.端口描述
為便于識別和維護,定義VLAN和VLAN端口、物理端口描述的規則如下:
交換機之間互聯用VLAN、VLAN接口的描述規則為:description to-設備名稱
例如:本設備連接到縱向加密A,VLAN接口的描述為:description TO-ZhongXiangJiaMi_A
交換機連接服務器或者用戶的VLAN及VLAN接口的描述為:Description服務器名或用戶組名
例如:本VLAN連接遠動系統EMS,描述為:DescriptionEMS
4.路由協議部署
路由協議用于學習和維護路由,為網絡通訊提供最佳路徑,路由協議選擇原則如下:①開放性和標準化:必須使用國際標準的路由協議,保證網絡的開放性,支持不同廠商設備的路由互連。②可擴展性:使用的路由協議必須具備良好的擴展能力,能夠支持網絡規模的持續增長。③支持數據分流:路由協議應該支持靈活的路由策略,通過調整路由策略,可以實現數據分流。④安全性及穩定性:必須確保數據在傳輸過程中必須中,不被非法者劫持或篡改。
基于以上四點選擇原則,洪家渡發電廠電網調度二次安全防護改造工程宜采用BGP+OSPF+MPLS-VPN的路由結構體系,結合BGP和OSPF各自的優勢,非常容易實現數據分流,通過MPLS-VPN構建出一條虛擬隧道,使得業務間建立安全的通信鏈路。
⑴省調度網
省調度網使用BGP路由協議。
烏江水電開發有限公司調度網的路由器與洪家渡發電廠電網調度二次安全防護的路由器之間建立eBGP鄰居關系,相互交換路由,eBGP路由邊界在烏江水電開發有限公司調度網和洪家渡發電廠電網調度網路由器上。
⑵局域網
烏江水電開發有限公司調度網、洪家渡發電廠電網調度網與省調度網路由器相連,使用OSPF協議。局域網的CISCO 2800為局域網與省調度網的路由邊界點,負責OSPF與BGP的路由再。將BGP的路由導入OSPF,使局域網學到外部路由,同時也將OSPF 的路由以network的方式導入BGP,使省調度網學到局域網的路由。
