前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的電力系統(tǒng)安全防護(hù)主題范文,僅供參考,歡迎閱讀并收藏。
關(guān)鍵詞:二次系統(tǒng) 安全防護(hù) 電力系統(tǒng)
1 電力二次系統(tǒng)安全防護(hù)的基本原則
對電力二次系統(tǒng)進(jìn)行安全防護(hù)的過程中,通常情況下,需要遵守“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的原則?;诰W(wǎng)絡(luò)的生產(chǎn)控制系統(tǒng)進(jìn)行安全防護(hù),其重點(diǎn)是強(qiáng)化邊界防護(hù),通過對內(nèi)部安全的防護(hù)能力進(jìn)行提升,并在一定程度上對電力生產(chǎn)控制系統(tǒng),以及重要的數(shù)據(jù)的安全性進(jìn)行保護(hù)。
對電力二次系統(tǒng)進(jìn)行安全防護(hù)時(shí),一般情況下要遵守以下原則:
1.1 安全分區(qū)
安全分區(qū)在電力二次系統(tǒng)安全防護(hù)體系中是結(jié)構(gòu)基礎(chǔ)。按照內(nèi)部原則,可以將發(fā)電企業(yè)、電網(wǎng)企業(yè)、供電企業(yè)等劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)。對于生產(chǎn)控制大區(qū)來說,又可以劃分為控制區(qū)(安全區(qū)Ⅰ)和非控制區(qū)(安全區(qū)Ⅱ)。
1.2 專用網(wǎng)絡(luò)及構(gòu)造
電力調(diào)度數(shù)據(jù)網(wǎng)作為專用數(shù)據(jù)網(wǎng)絡(luò),通常情況下是為生產(chǎn)控制大區(qū)提供服務(wù)的,同時(shí)承載著電力實(shí)時(shí)控制和在線生產(chǎn)交易等業(yè)務(wù)。按照系統(tǒng)性原則,在安全防護(hù)隔離強(qiáng)度方面,安全區(qū)的外部邊界網(wǎng)絡(luò)之間需要與所連接的安全區(qū)之間保持相互匹配。
1.3 橫向隔離
在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間設(shè)置經(jīng)國家指定部門檢測認(rèn)證的電力專用橫向單向安全隔離裝置。同時(shí),在生產(chǎn)控制大區(qū)內(nèi)部的安全區(qū)之間設(shè)置具有訪問控制功能的網(wǎng)絡(luò)設(shè)備、防火墻或者相當(dāng)功能的設(shè)施。
1.4 縱向加密認(rèn)證
通常情況下采用認(rèn)證、加密、訪問控制等技術(shù)措施對數(shù)據(jù)的遠(yuǎn)方安全傳輸以及縱向邊界的安全進(jìn)行相應(yīng)的防護(hù)。
2 變電站二次系統(tǒng)安全防護(hù)
當(dāng)采用專用通道和專用協(xié)議進(jìn)行非網(wǎng)絡(luò)方式的數(shù)據(jù)傳輸時(shí),可逐步采取簡單加密等安全防護(hù)措施。廠站的遠(yuǎn)方視頻監(jiān)視系統(tǒng)應(yīng)當(dāng)相對獨(dú)立,不能影響監(jiān)控系統(tǒng)功能。
變電站二次系統(tǒng)安全防護(hù)示意圖:
3 電力調(diào)度數(shù)據(jù)網(wǎng)采用的防護(hù)措施
3.1 網(wǎng)絡(luò)路由
通常情況下,根據(jù)電力調(diào)度管理體系,同時(shí)結(jié)合相應(yīng)的數(shù)據(jù)網(wǎng)絡(luò)技術(shù)規(guī)范,通過虛擬專網(wǎng)技術(shù)進(jìn)行防護(hù)。
3.2 網(wǎng)絡(luò)邊界
為了確保業(yè)務(wù)系統(tǒng)接入的可信性,需要采用嚴(yán)格的接入控制措施。為了便于廣域網(wǎng)通信,可以將授權(quán)的節(jié)點(diǎn)接入電力調(diào)度數(shù)據(jù)網(wǎng)。
3.3 安全配置網(wǎng)絡(luò)設(shè)備
通常情況下,對網(wǎng)絡(luò)設(shè)備進(jìn)行安全配置主要包括:對網(wǎng)絡(luò)服務(wù)進(jìn)行關(guān)閉或限定、避免默認(rèn)路由的使用、對受信任的網(wǎng)絡(luò)地址范圍進(jìn)行設(shè)置、對高強(qiáng)度的密碼進(jìn)行設(shè)置、開啟訪問控制列表、封閉空閑的網(wǎng)絡(luò)端口等。
3.4 分層分區(qū)設(shè)置數(shù)據(jù)網(wǎng)絡(luò)安全
通常情況下,按照分層分區(qū)設(shè)置的原則,對電力調(diào)度數(shù)據(jù)網(wǎng)進(jìn)行設(shè)置。省級以上調(diào)度中心和網(wǎng)調(diào)以上直調(diào)廠站節(jié)點(diǎn)構(gòu)成調(diào)度數(shù)據(jù)網(wǎng)骨干網(wǎng)。
參考文獻(xiàn):
[1]王遠(yuǎn)璋.變電站綜合自動化現(xiàn)場技術(shù)與運(yùn)行維護(hù)[M].北京:中國電力出版社,2008.
[2]畢勝春.電力系統(tǒng)遠(yuǎn)動[M].北京:中國電力出版社,2007.
[3]王慕維,劉文軍.河南電力調(diào)度數(shù)據(jù)網(wǎng)雙平面改造優(yōu)化探討[J].電力系統(tǒng)通信,2012.
[4]丁書文.變電站自動化原理及應(yīng)用[M].北京:中國電力出版社,2010(7).
1電力二次系統(tǒng)安全防護(hù)工作
1.1干擾二次系統(tǒng)安全穩(wěn)定運(yùn)行的原因
干擾電力在二次系統(tǒng)運(yùn)行中的原因有很多,嚴(yán)重的影響其安全的運(yùn)行,其根本的因素有很多,但是風(fēng)險(xiǎn)發(fā)生的重點(diǎn)位置是在通訊機(jī)房,或者是監(jiān)控系統(tǒng),以及繼電保護(hù)室當(dāng)中,因此對這三個(gè)位置的安全防護(hù)是重中之重。在二次系統(tǒng)的穩(wěn)定安全的運(yùn)行過程中,二次系統(tǒng)的風(fēng)險(xiǎn),主要是來自旁邊的控制系統(tǒng)上,比如一些非法軟件的竊聽,還有一些黑客病毒,木馬病毒等的不定時(shí)攻擊,這些非法的手段破壞,不僅會泄露系統(tǒng)中重要的信息,同時(shí)對系統(tǒng)的授權(quán)也有很大的影響。以上這些問題的出現(xiàn),對二次系統(tǒng)的穩(wěn)定運(yùn)行造成很大的影響,如果系統(tǒng)中的軟件遭到了攻擊,那么變電站就不能正常工作,工作狀態(tài)就會失去控制。進(jìn)而大量的設(shè)備故障問題就會出現(xiàn),更嚴(yán)重的情況下,電廠會停止工作。
1.2系統(tǒng)安全防護(hù)的根本目的
因?yàn)楦鞣N各樣的不安全因素,所以電力二次系統(tǒng)在安全運(yùn)行中會存在嚴(yán)重的威脅,想要有效的避免這些風(fēng)險(xiǎn)的發(fā)生,或者是有效的減少這些風(fēng)險(xiǎn)對二次系統(tǒng)的威脅和干擾,加強(qiáng)電力二次系統(tǒng)的安全防護(hù)工作是非常有必要的,同時(shí)也是迫在眉睫要進(jìn)行的一項(xiàng)工作。在這其中的安全防護(hù)工作,其主要目的就是在于對系統(tǒng)防御保護(hù)能力的強(qiáng)化,進(jìn)而來提高系統(tǒng)在運(yùn)行中的安全性,以此來有效防止各種各樣故障,以及事故對系統(tǒng)的迫害和威脅,進(jìn)而避免系統(tǒng)崩潰問題的發(fā)生等。除此之外,這也就意味一定要從根本上提高二次系統(tǒng)的管理強(qiáng)度,這樣電力二次系統(tǒng)在安全運(yùn)行方面才會有保證。
2電力二次系統(tǒng)安全防護(hù)現(xiàn)狀和技術(shù)
2.1電力二次系統(tǒng)安全防護(hù)的現(xiàn)狀
在對電力中的二次系統(tǒng),進(jìn)行有效的安全防護(hù)工作中,在通常情況下,都是通過,對系統(tǒng)網(wǎng)絡(luò)的管理,對系統(tǒng)安全方面的分析,還有對系統(tǒng)進(jìn)行有效的隔離,這三個(gè)方面進(jìn)行處理,這些也都是工作中的重中之重,同時(shí)也是工作人員安全防護(hù)的手段。在目前的安全分析中,其根本達(dá)到預(yù)防各種不安全因素的目的,這樣會對系統(tǒng)在正常工作中,帶來嚴(yán)重的威脅。如果把安全分析工作做好,在這方面可以進(jìn)行有效控制,不僅方便了之后的維護(hù)和管理,同時(shí)還避免了病毒的侵襲。在進(jìn)行系統(tǒng)區(qū)域的劃分中,根據(jù)不同的工作狀態(tài),以及不同的信息數(shù)據(jù)情況進(jìn)行劃分是所遵循的原則。而網(wǎng)絡(luò)專用是劃分的一個(gè)方面,在維護(hù)的過程中,需要了解各方面工作內(nèi)容的不同,建立起來分別對應(yīng)的網(wǎng)絡(luò)區(qū)域,以此來有效的防止各個(gè)區(qū)域之間發(fā)生的干擾情況。在系統(tǒng)的隔離方面,實(shí)質(zhì)就是把安全分析過程中,把已經(jīng)劃分好的系統(tǒng)各個(gè)區(qū)域,進(jìn)行有效的隔離處理。在這種情況下,使用機(jī)械設(shè)備來進(jìn)行控制是有效的手段,這種方式進(jìn)行的隔離,可以確保二次電力系統(tǒng)的安全情況。而在系統(tǒng)的縱向認(rèn)證方面,應(yīng)該極大的提高系統(tǒng)的訪問監(jiān)控力度,還要提高客戶認(rèn)證的安全能力,與此同時(shí),對系統(tǒng)的信息進(jìn)行密碼形式的加密也很重要,從而加強(qiáng)系統(tǒng)穩(wěn)定性和可靠性。在此之外,還可以通過一些縱向認(rèn)證的方式,保證系統(tǒng)中數(shù)據(jù),以及信息的傳輸與交流,最終實(shí)現(xiàn)對電力系統(tǒng)的安全監(jiān)控。
2.2電力二次系統(tǒng)的安全防護(hù)技術(shù)
上述的四個(gè)方面是電力二次系統(tǒng)的在安全防護(hù)方面的重要體現(xiàn)。其中在各個(gè)已經(jīng)規(guī)劃好的安全區(qū)之間,都是使用唯一的連接方式作為通道,這樣可以確保系統(tǒng)的安全性和穩(wěn)定性。與此同時(shí),還可以為各個(gè)安全區(qū)域開啟嚴(yán)密的防火墻程序,嚴(yán)格控制和管理系統(tǒng)的相關(guān)信息,有效避免病毒木馬的威脅。在此期間,最好還要實(shí)行審核備案的保障模式,網(wǎng)絡(luò)協(xié)議與安全證書的設(shè)定是非常有必要的,以此來確定系統(tǒng)受到了信任,在這種情況下,才能進(jìn)行有關(guān)的操作和連接。在管理中,系統(tǒng)的主機(jī)是很重要的,因此對各個(gè)區(qū)域進(jìn)行管理就非常有必要,在管理中,包括對軟件的清除,也包括對USB的授權(quán)工作等。除此之外,在電力二次系統(tǒng)工作中,主要是對系統(tǒng)的升級工作,工作人員只有把這些內(nèi)容做好,才能確保電力二次系統(tǒng)的正常工作。
3電力二次系統(tǒng)的安全防護(hù)方法
3.1強(qiáng)化監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全屏障能力
監(jiān)控系統(tǒng)時(shí)網(wǎng)絡(luò)安全的一個(gè)屏障,對其的強(qiáng)化管理,可以有效的保障系統(tǒng)網(wǎng)絡(luò)的安全運(yùn)行,就目前的電力二次系統(tǒng)安全防護(hù)措施而言,這種方法的特點(diǎn)不僅有效性強(qiáng),同時(shí)其速度非常快。通過多年的實(shí)踐證明,強(qiáng)化監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全屏障是非常有必要的,通過智能手段來攔截那些不必要的服務(wù),那么監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全屏障功能就會得到強(qiáng)化。而在實(shí)際的具體實(shí)施中,還要從系統(tǒng)的監(jiān)控內(nèi)容,以及隔離方面入手。這樣可以有效的提高在隔離方面的能力,與此同時(shí),還可以提高監(jiān)控裝置的嚴(yán)密性,那些不受信任的信息,還有不安全的信息都會被過濾掉,不會進(jìn)入到系統(tǒng)的內(nèi)部。這在很大的程度上,防止了系統(tǒng)受到不安全因素的攻擊,進(jìn)而確保了電力系統(tǒng)在運(yùn)行方面的安全性。
3.2對網(wǎng)絡(luò)裝置的集中控制方法
在對網(wǎng)絡(luò)裝置進(jìn)行集中的隔離控制時(shí),可以通過略過不必要的程序,或者是對雙端修改程序進(jìn)行免除等措施,都是對網(wǎng)絡(luò)隔離裝置進(jìn)行集中控制的手段。在電力的二次系統(tǒng)安全防護(hù)工作中,網(wǎng)絡(luò)裝置的集中隔離控制是非常重要的,這種措施的工作原理很簡單,把關(guān)于安全的所有工作內(nèi)容,都集中到隔離裝置中,而這樣方法想要收到良好的效果,隔離裝置的性能,以及安全篩選的強(qiáng)度都必須有很大程度的提高。在操作的過程中,把雙端程序有效的進(jìn)行簡化,可以有效的規(guī)避電力系統(tǒng)操作中,那些無用的設(shè)定工作以及實(shí)驗(yàn)內(nèi)容,從而有效的集中裝置的操作能力,工作員工對系統(tǒng)進(jìn)行進(jìn)行管理,或者是監(jiān)控的工作也非常方便。與此同時(shí),還能極大的提高系統(tǒng)的可靠性和安全性。
4結(jié)束語
關(guān)鍵詞:電力二次系統(tǒng);安全防護(hù);策略
DOI:10.16640/ki.37-1222/t.2016.06.183
1 電力二次系統(tǒng)安全防護(hù)的運(yùn)行
1.1 電力二次系統(tǒng)安全防護(hù)的運(yùn)行現(xiàn)狀
目前電力二次系統(tǒng)安全防護(hù)主要采取的四個(gè)方面措施分別為網(wǎng)絡(luò)專用、安全分析、縱向認(rèn)證和橫向隔離。網(wǎng)絡(luò)專用是根據(jù)不同的各個(gè)方面分工建立與之相對應(yīng)的網(wǎng)絡(luò)專區(qū),來達(dá)到各個(gè)區(qū)域間的網(wǎng)絡(luò)數(shù)據(jù)不相互干擾的效果。安全分析則是電力二次系統(tǒng)將系統(tǒng)用安全分析的方式驚醒分區(qū),可以把對電力二次系統(tǒng)各個(gè)區(qū)域造成威脅的各種不安全因素阻隔。系統(tǒng)安全區(qū)是根據(jù)各個(gè)不同業(yè)務(wù)的具體情況和信息數(shù)據(jù)標(biāo)準(zhǔn)規(guī)劃的。
縱向認(rèn)證系統(tǒng)會較大提高認(rèn)證用戶的警覺意識和訪問監(jiān)控力度,強(qiáng)化系統(tǒng)的可靠性和安全性,進(jìn)行信息系統(tǒng)的密碼保護(hù),同時(shí)確保系統(tǒng)里的數(shù)據(jù)實(shí)現(xiàn)安全交流和信息傳輸?shù)谋O(jiān)控。橫向隔離則是經(jīng)過規(guī)劃系統(tǒng)中的各個(gè)安全區(qū)域在安全分析的過程中進(jìn)行隔離,一般常用的隔離方式都是通過控制設(shè)備隔離各個(gè)區(qū)域。
1.2 電力二次系統(tǒng)安全防護(hù)的干擾因素
電力二次系統(tǒng)安全防護(hù)的干擾因素有很多,一般經(jīng)常發(fā)生危險(xiǎn)的地方在于通訊機(jī)房、繼電保護(hù)室和監(jiān)控系統(tǒng)。而在電力二次系統(tǒng)安全運(yùn)行中主要存在的風(fēng)險(xiǎn)來源于竊聽、旁路控制、木馬攻擊和黑客病毒、信息泄露、違法授權(quán)和非法使用等各種方面原因。一旦系統(tǒng)遭受到類似攻擊就會使電站的大量設(shè)備出現(xiàn)故障,正常的運(yùn)行失去控制,更嚴(yán)重還會使電力企業(yè)全部停電,暫停工作,從而看出這些干擾電力二次系統(tǒng)安全運(yùn)行的風(fēng)險(xiǎn)因素不容忽視。
2 電力二次系統(tǒng)安全防護(hù)的技術(shù)
2.1 電力二次系統(tǒng)安全防護(hù)的技術(shù)實(shí)現(xiàn)
電力二次系統(tǒng)安全防護(hù)的技術(shù)的具體實(shí)現(xiàn)有四個(gè)方面。第一,啟用嚴(yán)密的防火墻程序保護(hù)各個(gè)安全區(qū),嚴(yán)格的控制和管理系統(tǒng)信息。第二,采取唯一的通道連接各個(gè)已規(guī)劃完成的安全區(qū),以取保其安全性。第三,管理各個(gè)安全區(qū)的主機(jī),清理無關(guān)的USB的授權(quán)管理和各種軟件。最后,啟用備案審核模式,設(shè)定安全證書和網(wǎng)絡(luò)安全協(xié)議,一定要保證進(jìn)行相關(guān)的連接和操作的時(shí)候必須在受到系統(tǒng)信任的情況下進(jìn)行。而且記錄電力二次系統(tǒng)上所有的行為和操作,包括升級系統(tǒng)的動作,實(shí)施定期的安全評估。
2.2 電力二次系統(tǒng)安全防護(hù)的主要目標(biāo)
因?yàn)橛懈鞣N各樣的干擾因素嚴(yán)重威脅著電力二次安全防護(hù)系統(tǒng)的安全運(yùn)行,為了極力減少已經(jīng)出現(xiàn)的風(fēng)險(xiǎn)或者避免發(fā)生風(fēng)險(xiǎn)對電力二次系統(tǒng)的影響,加強(qiáng)電力二次系統(tǒng)的安全防護(hù)工作已經(jīng)迫在眉睫。強(qiáng)化電力二次系統(tǒng)安全防護(hù)工作的主要目的是在于提高運(yùn)行系統(tǒng)的安全性,提高系統(tǒng)的保護(hù)防御能力,防止各種各樣的事故和故障發(fā)生系統(tǒng)崩潰的情況。并且,要從根本上加強(qiáng)對電力二次系統(tǒng)的管理力度,才能使電力二次系統(tǒng)運(yùn)行安全。
3 電力二次系統(tǒng)安全防護(hù)的策略
3.1 電力二次系統(tǒng)安全防護(hù)的必要性
電力二次系統(tǒng)是對一次系統(tǒng)進(jìn)行控制、監(jiān)測、保護(hù)的裝置系統(tǒng)的總稱,它有龐大的規(guī)模,以支撐其軟硬件的運(yùn)行,其價(jià)值的資產(chǎn)比較高。電力企業(yè)的運(yùn)行安全依賴于電力二次系統(tǒng),如果系統(tǒng)出現(xiàn)故障,會不同程度的影響電力企業(yè)的安全運(yùn)行,情況嚴(yán)重的話有可能導(dǎo)致電力企業(yè)的大面積事故。近年來,隨著網(wǎng)絡(luò)技術(shù)的全面應(yīng)用與深入發(fā)展,代碼惡意攻擊與黑客入侵電力二次系統(tǒng)的威脅也面臨逐年增加的情況。這些惡意攻擊嚴(yán)重影響了電力二次系統(tǒng)的安全正常運(yùn)行,甚至使電力企業(yè)系統(tǒng)大面積癱瘓,危害十分巨大。當(dāng)今社會發(fā)展電力企業(yè)是根本條件之一,電給各行各業(yè)提供著動力,人類文明的進(jìn)步離不開電,安全穩(wěn)定的運(yùn)行電力企業(yè)系統(tǒng)是發(fā)展社會的重要基石。所以,支持電力工作在電力二次系統(tǒng)中穩(wěn)定、安全的運(yùn)行,得以看出建立電力二次系統(tǒng)安全防護(hù)體系的必要性。
3.2 電力二次系統(tǒng)安全防護(hù)的措施
強(qiáng)化網(wǎng)絡(luò)安全的監(jiān)控系統(tǒng)屏障。目前,電力二次系統(tǒng)的安全防護(hù)措施要保證其有效性,必須具有一定的網(wǎng)絡(luò)監(jiān)控系統(tǒng)安全屏障。如果想要強(qiáng)化網(wǎng)絡(luò)監(jiān)控系統(tǒng)安全屏障,可以智能的攔截不需要的服務(wù),則需要在電力二次系統(tǒng)的隔離裝置和監(jiān)控裝置上入手。加強(qiáng)監(jiān)控裝置的嚴(yán)密性和隔離裝置的隔離性,防止系統(tǒng)內(nèi)部進(jìn)入不受信任和不安全的信息。這樣避免了其在一定程度是受到的干擾因素的攻擊。
集中控制網(wǎng)絡(luò)隔離裝置??梢允共槐匾某绦蚝喕?,雙端修改程序的免除等措施體現(xiàn)出了集中控制網(wǎng)絡(luò)隔離裝置在電力二次系統(tǒng)安全防護(hù)工作的重要性。提高隔離裝置的性能和加強(qiáng)安全篩選強(qiáng)度,簡化雙端修改程序可以減少一些多余的設(shè)定和測試工作,在電力操作系統(tǒng)中。集中控制隔離裝置也可以使工作人員在管理和實(shí)時(shí)監(jiān)控系統(tǒng)時(shí)更加方便,并且,還可以使系統(tǒng)的可靠安全性大幅度的提高。
監(jiān)控網(wǎng)絡(luò)的訪問和存取。在系統(tǒng)中進(jìn)行訪問和存取網(wǎng)絡(luò)是工作人員都會經(jīng)過記錄和監(jiān)控。系統(tǒng)可以智能檢測出所有的過程操作中的信息,行為是否有不恰當(dāng),信息的安全是否。并且,根據(jù)預(yù)設(shè)信息系統(tǒng)會自行判斷,如果監(jiān)控裝置自動報(bào)警則說明系統(tǒng)的安全可能正存在威脅。
監(jiān)控系統(tǒng)信息防止外泄,防止監(jiān)控系統(tǒng)信息外泄,防止系統(tǒng)受到外部攻擊。工作人員要加強(qiáng)修補(bǔ)系統(tǒng)漏洞和定期維護(hù)系統(tǒng)在電力二次系統(tǒng)的安全防護(hù)工作中。要反復(fù)不斷的檢查和關(guān)注才能防止外部的攻擊,提高電力二次系統(tǒng)安全防護(hù)的防御性要仔細(xì)的分析和考慮每一個(gè)細(xì)小的安全隱患。
參考文獻(xiàn):
[1]楊麗.安全網(wǎng)關(guān)在電力二次系統(tǒng)安全防護(hù)中的應(yīng)用研究[D].華北電力大學(xué),2009.
關(guān)鍵詞:電力信息系統(tǒng);安全防護(hù);問題
中圖分類號: F407.61文獻(xiàn)標(biāo)識碼:A 文章編號:
隨著網(wǎng)絡(luò)技術(shù)與計(jì)算機(jī)技術(shù)的發(fā)展和應(yīng)用,經(jīng)營管理及生產(chǎn)指揮的實(shí)踐更為迅速和高效,同時(shí)具備實(shí)時(shí)性的遠(yuǎn)程控制作用。但在實(shí)際的系統(tǒng)運(yùn)行過程中,尤其是電力企業(yè)的生產(chǎn)管理及經(jīng)濟(jì)效益的發(fā)展,因信息泄漏、數(shù)據(jù)損壞等嚴(yán)重問題的發(fā)生而受到重大影響,對企業(yè)生產(chǎn)經(jīng)營的實(shí)現(xiàn)非常不利。在這個(gè)高新技術(shù)應(yīng)用普遍的時(shí)代,網(wǎng)絡(luò)信息安全隱患問題的存在也是人們必須注重的特殊性問題。對此,通過對信息系統(tǒng)的安全防護(hù),可進(jìn)一步促使電力系統(tǒng)的穩(wěn)定及高效運(yùn)行,從而較好的促使電力企業(yè)的效益增長和發(fā)展。
一、電力信息系統(tǒng)安全問題的探究
對于電力信息系統(tǒng)而言,在建設(shè)、設(shè)計(jì)以及規(guī)劃過程中,安全問題的防護(hù)往往容易被人們忽略,從而使系統(tǒng)運(yùn)行中存在著較大的安全隱患。隨著網(wǎng)絡(luò)技術(shù)與計(jì)算機(jī)技術(shù)的不斷發(fā)展,應(yīng)用信息系統(tǒng)的業(yè)務(wù)更為廣泛,也存在著較為復(fù)雜的業(yè)務(wù)種類。尤其是電力市場機(jī)制的建立與電力體制改革的推進(jìn)過程中,用戶、調(diào)度中心、電廠之間的數(shù)據(jù)交換變得尤為頻繁。一方面,變電站、電廠在裁員增效的條件下,促使了遠(yuǎn)程控制的有效實(shí)現(xiàn),而數(shù)據(jù)網(wǎng)絡(luò)與電力控制系統(tǒng)的實(shí)時(shí)性、可靠性、安全性維護(hù)就成了系統(tǒng)運(yùn)行發(fā)展所要面臨的重大挑戰(zhàn);另一方面,黑客與病毒對計(jì)算機(jī)系統(tǒng)的侵害越來越猖獗。當(dāng)前狀況下的部分電力企業(yè)對信息的安全維護(hù)并不重視,并沒有對完備的信息安全體系進(jìn)行建立,通常只是對防火墻或防病毒軟件進(jìn)行購買和應(yīng)用,而在網(wǎng)絡(luò)信息系統(tǒng)安全的長遠(yuǎn)規(guī)劃中,缺乏經(jīng)驗(yàn)、無所作為,使監(jiān)控系統(tǒng)在實(shí)施過程中容易受到侵襲,對電網(wǎng)系統(tǒng)的安全運(yùn)行帶來了重大隱患。另外,針對調(diào)度數(shù)據(jù)網(wǎng),黑客容易通過“搭接”手段“竊聽”和“篡改”電力系統(tǒng)的控制信息,并對電力一次設(shè)備進(jìn)行破壞性操作,對電網(wǎng)的安全運(yùn)行造成了一定的影響。
二、應(yīng)用系統(tǒng)在電力信息系統(tǒng)中的關(guān)系
作為電力信息系統(tǒng),直接或間接地為電力的生產(chǎn)進(jìn)行應(yīng)用業(yè)務(wù)的服務(wù),其類型主要包括三種,即非實(shí)時(shí)系統(tǒng)、準(zhǔn)實(shí)時(shí)系統(tǒng)、實(shí)時(shí)系統(tǒng)。包括能量管理系統(tǒng)、電力市場支持系統(tǒng)、水調(diào)自動化系統(tǒng)、調(diào)度MIS系統(tǒng)等。一般來說,在電力專用通信網(wǎng)的作用下,這些業(yè)務(wù)的應(yīng)用可以通過傳輸和交換得以實(shí)現(xiàn)。其中,傳輸手段通過不斷的發(fā)展,已從之初的電力線載波發(fā)展為數(shù)字模擬微波,直至今日應(yīng)用的SDH技術(shù);在傳輸容量方面,現(xiàn)已達(dá)到2.5Gb/s的速度。目前,電網(wǎng)發(fā)展過程中,電力信息系統(tǒng)作為一項(xiàng)基礎(chǔ)設(shè)施已經(jīng)變得非常重要,隨著業(yè)務(wù)的不斷發(fā)展,人們對其應(yīng)用的需求也會越來越大。然而,系統(tǒng)安全級別的升級一直是人們最為忽略的問題,且不同安全等級的系統(tǒng)沒有進(jìn)行隔離措施的實(shí)施,而對信息系統(tǒng)的有效隔離及系統(tǒng)控制就會缺乏一定的有效性。圖1為電力信息系統(tǒng)應(yīng)用業(yè)務(wù)關(guān)系圖,可較好的對網(wǎng)絡(luò)與信息系統(tǒng)業(yè)務(wù)的關(guān)系進(jìn)行闡述。
圖1電力信息系統(tǒng)應(yīng)用業(yè)務(wù)關(guān)系
三、電力信息系統(tǒng)的安全防護(hù)
電力信息化的進(jìn)一步發(fā)展,推動了我國電力企業(yè)信息系統(tǒng)安全防護(hù)技術(shù)的實(shí)踐和應(yīng)用,在現(xiàn)代電力企業(yè)管理中已經(jīng)逐步成為最為關(guān)鍵的重要內(nèi)容。電力信息系統(tǒng)運(yùn)行過程中,對信息安全防護(hù)體系進(jìn)行制定,通過科學(xué)措施的合理實(shí)施,實(shí)現(xiàn)對電力企業(yè)信息和網(wǎng)絡(luò)安全有效維護(hù),是當(dāng)前人們最為注重的話題。其中通過下列一些措施的實(shí)施,可較好的加強(qiáng)電力信息系統(tǒng)安全防護(hù)的能力,對電力信息系統(tǒng)的穩(wěn)定運(yùn)行有著一定的作用。
(一)安全技術(shù)的設(shè)計(jì)
對于信息系統(tǒng)的安全管理而言,安全防護(hù)技術(shù)是最為重要的基礎(chǔ)內(nèi)容,在信息系統(tǒng)安全防護(hù)的要求下,必須對有效的防護(hù)技術(shù)措施進(jìn)行應(yīng)用,以加強(qiáng)對信息系統(tǒng)的應(yīng)用和管理。實(shí)踐過程中,可以借助計(jì)算機(jī)網(wǎng)絡(luò)防病毒技術(shù)、信息加密技術(shù)、數(shù)據(jù)備份與災(zāi)難恢復(fù)技術(shù)等措施的綜合運(yùn)用,對信息系統(tǒng)設(shè)計(jì)技術(shù)安全的防護(hù)進(jìn)行實(shí)現(xiàn)。
(二)安全管理的建設(shè)
電力信息系統(tǒng)安全的核心內(nèi)容即信息系統(tǒng)建設(shè)管理,其作為信息系統(tǒng)安全的基礎(chǔ),對電力信息系統(tǒng)的安全維護(hù)具有重要作用。其中,技術(shù)管理、密碼管理、安全管理、人員管理、數(shù)據(jù)管理等多個(gè)方面均屬于系統(tǒng)安全防護(hù)管理的加強(qiáng)措施。這一方面,信息系統(tǒng)建設(shè)管理的有效實(shí)踐需要通過對人員安全教育的加強(qiáng)來實(shí)現(xiàn),且要確保安全管理人員與網(wǎng)絡(luò)管理人員的穩(wěn)定,對網(wǎng)絡(luò)機(jī)密泄露的現(xiàn)象進(jìn)行避免和控制。妥善管理各類密碼,合理的進(jìn)行數(shù)據(jù)備份策略的制定,并對電力系統(tǒng)信息安全運(yùn)行的制度和標(biāo)準(zhǔn)進(jìn)行建立,較好的促使安全防護(hù)問題的解決和處理。
(三)安全監(jiān)控、應(yīng)急措施的實(shí)現(xiàn)
對統(tǒng)一的信息安全監(jiān)控中心進(jìn)行建立,可較好的確保電力系統(tǒng)信息的安全,通過對信息安全應(yīng)用技術(shù)的整合,依據(jù)監(jiān)視系統(tǒng)的信息提供,對有效的防護(hù)措施進(jìn)行迅速實(shí)施,對存在的重大隱患進(jìn)行處理,從而避免故障及異常的發(fā)生。另外,依據(jù)網(wǎng)絡(luò)信息安全的重要案例,對當(dāng)前電網(wǎng)信息系統(tǒng)運(yùn)行狀態(tài)存在的問題進(jìn)行結(jié)合,較好的實(shí)現(xiàn)對安全應(yīng)急措施的有效設(shè)計(jì),進(jìn)而對安全應(yīng)對機(jī)制進(jìn)行部署,做好相應(yīng)的防護(hù)準(zhǔn)備工作。當(dāng)安全隱患問題發(fā)生時(shí),就能夠在安全應(yīng)急措施的預(yù)防控制下,利用相應(yīng)的安全機(jī)制對發(fā)生的隱患問題進(jìn)行解決和處理,最大程度的避免重大損失的發(fā)生。
四、電力信息系統(tǒng)安全工作的注意事項(xiàng)
1.管理與技術(shù)關(guān)系的梳理。對電力信息系統(tǒng)存在的問題進(jìn)行解決和處理,僅僅依靠技術(shù)措施的實(shí)施是不可行的,還需要通過對人員管理和培訓(xùn)的加強(qiáng),促使工作人員業(yè)務(wù)素質(zhì)的提升,進(jìn)而綜合技術(shù)與管理的雙重作用,對電力信息系統(tǒng)的安全進(jìn)行防護(hù)。
2.安全與經(jīng)濟(jì)關(guān)系的合理解決。對于安全方案的制定,必須能夠適應(yīng)電力企業(yè)的長遠(yuǎn)發(fā)展及局部調(diào)整,避免不斷改造、投入現(xiàn)象的發(fā)生,最大程度的控制并促使經(jīng)濟(jì)效益的提升,同時(shí)確保信息系統(tǒng)的安全維護(hù)與發(fā)展。
3.安全管理的有效實(shí)施。促使安全管理科學(xué)有效的實(shí)施,必須實(shí)現(xiàn)信息安全管理體系的全面建立,同時(shí)可以依據(jù)國際通行的標(biāo)準(zhǔn)對安全管理體系進(jìn)行建立和完善,有效的促使信息系統(tǒng)安全防護(hù)。
4.安全防護(hù)措施的應(yīng)用。作為系統(tǒng)、全面的管理問題,其網(wǎng)絡(luò)安全的防護(hù)較為復(fù)雜和脆弱,任何一個(gè)漏洞的發(fā)生都會使全網(wǎng)的安全運(yùn)行受到威脅,對電力信息系統(tǒng)的建設(shè)和應(yīng)用造成較大損害。為此,必須對系統(tǒng)工程的觀點(diǎn)、方法對網(wǎng)絡(luò)的安全問題進(jìn)行分析,并促使有效防護(hù)措施的實(shí)施和應(yīng)用。
結(jié)束語
總而言之,要確保電力企業(yè)的正常運(yùn)行,就要對電力信息系統(tǒng)的安全防護(hù)工作進(jìn)行開展和實(shí)施,通過有效的管理措施和技術(shù)措施,對社會的供電運(yùn)行進(jìn)行防護(hù)和管理,以便更好的促使現(xiàn)代化建設(shè)的實(shí)施和發(fā)展。為此,對于電力企業(yè)的改革,必須借助先進(jìn)技術(shù)和經(jīng)驗(yàn)作用的發(fā)揮,在掌握電力企業(yè)實(shí)際情況的基礎(chǔ)上,對電力信息系統(tǒng)安全防護(hù)體系進(jìn)行建立,從設(shè)計(jì)、管理、應(yīng)用等方面對電力信息系統(tǒng)進(jìn)行安全防護(hù),更為有利的促使電力信息系統(tǒng)運(yùn)行的安全與穩(wěn)定,實(shí)現(xiàn)電力企業(yè)的有效發(fā)展和壯大。
參考文獻(xiàn):
[1]林小村.數(shù)據(jù)中心建設(shè)與運(yùn)行管理[M].北京:科學(xué)出版社,2010:393-452.
[2]耿新民,胡春光.電力企業(yè)信息系統(tǒng)安全的隱患與對策[J].2005,10.
[3]王先培,許靚,李峰,等.一種3層結(jié)構(gòu)帶自保護(hù)的電力信息網(wǎng)絡(luò)容入侵系統(tǒng)[J].電力系統(tǒng)自動化,2005,29(10).
[4]朱世順.電力信息系統(tǒng)數(shù)據(jù)庫安全現(xiàn)狀與防護(hù)措施[J].電力信息化,2008,6(9).
關(guān)鍵詞:電力二次自動化系統(tǒng);安全防護(hù)
一、電力二次自動化系統(tǒng)的現(xiàn)狀
電力二次系統(tǒng)包括電力監(jiān)控系統(tǒng)、電力通信及數(shù)據(jù)網(wǎng)絡(luò)三方面。電力監(jiān)控系統(tǒng),是指用于監(jiān)視和控制電網(wǎng)及電廠生產(chǎn)運(yùn)行過程的、基于計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)的業(yè)務(wù)處理系統(tǒng)及智能設(shè)備,包括電力數(shù)據(jù)采集與監(jiān)控系統(tǒng)、能量管理系統(tǒng)、變電站自動化系統(tǒng)、換流站計(jì)算機(jī)監(jiān)控系統(tǒng)、發(fā)電廠計(jì)算機(jī)監(jiān)控系統(tǒng)、配電自動化系統(tǒng)、微機(jī)繼電保護(hù)和安全自動裝置、廣域相量測量系統(tǒng)、負(fù)荷控制系統(tǒng)、水調(diào)自動化系統(tǒng)和水電梯級調(diào)度自動化系統(tǒng)、電能量計(jì)量計(jì)費(fèi)系統(tǒng)、實(shí)時(shí)電力市場的輔助控制系統(tǒng)等。電力通信是指為了保證電力系統(tǒng)的安全穩(wěn)定運(yùn)行而應(yīng)運(yùn)而生的、基于計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)智能設(shè)備。數(shù)據(jù)網(wǎng)絡(luò),是指各級電力調(diào)度專用廣域數(shù)據(jù)網(wǎng)絡(luò)、電力生產(chǎn)專用撥號網(wǎng)絡(luò)等。
電力二次系統(tǒng)中主要存在以下幾方面的安全問題:①管理區(qū)和生產(chǎn)區(qū)存在雙向的數(shù)據(jù)交互;②缺乏加密、認(rèn)證機(jī)制,沒有入侵檢測等預(yù)警機(jī)制;③沒有漏洞掃描和審計(jì)手段,接人存在安全隱患;④病毒代碼手動更新難以及時(shí),廠站端各種站、工控機(jī)防病毒管理困難;⑤地、縣調(diào)系統(tǒng)結(jié)構(gòu)復(fù)雜,數(shù)據(jù)交換缺乏規(guī)則。
二、電力二次自動化系統(tǒng)的安全防護(hù)
1. 明確電力二次自動化系統(tǒng)安全防護(hù)的基本目標(biāo)。
建立電力二次系統(tǒng)安全防護(hù)體系,保障電力系統(tǒng)的安全穩(wěn)定運(yùn)行,同時(shí)抵御黑客、病毒、惡意代碼等通過各種形式對電力二次自動化系統(tǒng)發(fā)起的惡意破壞和攻擊,特別是能夠抵御集團(tuán)式攻擊,以防止由此導(dǎo)致一次系統(tǒng)事故或大面積停電事故及二次系統(tǒng)的崩潰或癱瘓。
2. 制定電力二次自動化系統(tǒng)安全防護(hù)的基本原則。
根據(jù)《電網(wǎng)與電廠計(jì)算機(jī)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護(hù)規(guī)定》,電力二次自動化系統(tǒng)的安全防護(hù)應(yīng)具有以下原則:在電力二次自動化系統(tǒng)中,安全等級較高的系統(tǒng)不受安全等級較低系統(tǒng)的影響。電力監(jiān)控系統(tǒng)的安全等級高于電力管理信息系統(tǒng)及辦公自動化系統(tǒng),各電力監(jiān)控系統(tǒng)必須具備可靠性高的自身安全防護(hù)設(shè)施,不得與安全等級低的系統(tǒng)直接相聯(lián)。
3.擬定電力二次自動化系統(tǒng)安全防護(hù)的安全分區(qū)。
發(fā)電企業(yè)、電網(wǎng)企業(yè)、供電企業(yè)內(nèi)部基于計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的業(yè)務(wù)系統(tǒng),原則上可劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)。生產(chǎn)控制大區(qū)可以分為控制區(qū)(安全區(qū)I)和非控制區(qū)(安全區(qū)Ⅱ);管理信息大區(qū)內(nèi)部在不影響生產(chǎn)控制大區(qū)安全的前提下,可以根據(jù)各企業(yè)不同安全要求劃分生產(chǎn)管理區(qū)(安全區(qū)III)和管理信息區(qū)(安全區(qū)IV)。不同的安全區(qū)確定不同的安全防護(hù)要求,從而決定不同的安全等級和防護(hù)水平,阻斷非法訪問、操作和病毒侵害。
安全區(qū)I,即實(shí)時(shí)控制區(qū),主要由配電自動化系統(tǒng)、變電站自動化系統(tǒng)、調(diào)度員中心EMS系統(tǒng)和廣域相量測量系統(tǒng)等系統(tǒng)構(gòu)成,是安全保護(hù)的重點(diǎn)與核心,凡是實(shí)時(shí)監(jiān)控系統(tǒng)或具有實(shí)時(shí)監(jiān)控功能的系統(tǒng)其監(jiān)控功能部分均應(yīng)屬于安全I(xiàn)區(qū)。其為電力生產(chǎn)的重要環(huán)節(jié)、安全防護(hù)的重點(diǎn)與核心,能夠直接實(shí)現(xiàn)對二次系統(tǒng)運(yùn)行的實(shí)時(shí)監(jiān)控,具有縱向使用電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)或?qū)S猛ǖ赖牡湫吞卣鳌?/p>
安全區(qū)II,即非實(shí)時(shí)控制區(qū),主要由負(fù)荷控制系統(tǒng)、水調(diào)自動化系統(tǒng)、電能量計(jì)量系統(tǒng)等部分組成,不具備控制功能的生產(chǎn)業(yè)務(wù)系統(tǒng),或者系統(tǒng)中不進(jìn)行控制的部分均屬于安全Ⅱ區(qū)。其所實(shí)現(xiàn)的功能為電力生產(chǎn)的必要環(huán)節(jié),可在線運(yùn)行,但不具備控制功能。
安全區(qū)III,即生產(chǎn)管理區(qū),主要由EMS資料平臺、氣象信息接入、生產(chǎn)管理系統(tǒng)、報(bào)表系統(tǒng)(日報(bào)、旬報(bào)、月報(bào)、年報(bào))和信息翻覽WEB服務(wù)器等部分組成。本安全區(qū)內(nèi)的生產(chǎn)系統(tǒng)采取安全防護(hù)措施后可以提供WEB服務(wù)。該區(qū)的外部通信邊界為電力數(shù)據(jù)通信網(wǎng)(SPTnet)。
安全區(qū)IV,即管理信息區(qū),主要由管理信息系統(tǒng)、辦公管理信息系統(tǒng)和客戶服務(wù)系統(tǒng)組成,該區(qū)的外部通信邊界為SPTnet及INTERNER,所有辦公PC應(yīng)部署正版軟件和網(wǎng)絡(luò)防病毒措施,及時(shí)進(jìn)行更新。
4.二次系統(tǒng)安全防護(hù)的策略
要根據(jù)管理信息大區(qū)安全要求,在管理信息大區(qū)應(yīng)當(dāng)統(tǒng)一部署防火墻、IDS入侵檢測系統(tǒng)和惡意代碼防護(hù)系統(tǒng)等通用安全防護(hù)設(shè)施。要按照生產(chǎn)控制大區(qū)與管理信息大區(qū)之間的安全要求,在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間必須設(shè)置經(jīng)國家指定部門檢測認(rèn)證的電力專用橫向單向安全隔離裝置,同時(shí)隔離強(qiáng)度應(yīng)接近或達(dá)到物理隔離。要根據(jù)生產(chǎn)控制大區(qū)內(nèi)部的安全區(qū)之間的安全防護(hù)要求,在控制區(qū)與非控制區(qū)之間應(yīng)采用國產(chǎn)硬件防火墻,具有訪問控制功能的設(shè)備或相當(dāng)功能的設(shè)施進(jìn)行邏輯隔離,以禁止安全風(fēng)險(xiǎn)高的通用網(wǎng)絡(luò)服務(wù)穿越該邊界。要依照在生產(chǎn)控制大區(qū)與廣域網(wǎng)的縱向交接處安全防護(hù)要求,在生產(chǎn)控制大區(qū)與廣域網(wǎng)的縱向交接處應(yīng)當(dāng)設(shè)置經(jīng)過國家指定部門檢測認(rèn)證的電力專用縱向加密認(rèn)證裝置或者加密認(rèn)證網(wǎng)關(guān)及相應(yīng)設(shè)施,實(shí)現(xiàn)雙向身份認(rèn)證、數(shù)據(jù)加密和訪問控制。
要根據(jù)處于外部網(wǎng)絡(luò)邊界的通信網(wǎng)關(guān)安全防護(hù)要求,對處于外部網(wǎng)絡(luò)邊界的通信網(wǎng)關(guān),應(yīng)進(jìn)行操作系統(tǒng)的安全加固,并根據(jù)具體業(yè)務(wù)的重要程度及信息的敏感程度,對生產(chǎn)控制大區(qū)的外部通信網(wǎng)關(guān)應(yīng)具備加密、認(rèn)證和過濾的功能。還應(yīng)依照對電力監(jiān)控系統(tǒng)的備份及恢復(fù)的安全防護(hù)要求,定期對電力監(jiān)控系統(tǒng)關(guān)鍵業(yè)務(wù)的數(shù)據(jù)與系統(tǒng)進(jìn)行備份,建立歷史歸檔數(shù)據(jù)的異地存放制度,確保在數(shù)據(jù)損壞或系統(tǒng)崩潰的情況下快速恢復(fù)數(shù)據(jù)與系統(tǒng),保證系統(tǒng)的可用性。并對關(guān)鍵主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備或關(guān)鍵部件進(jìn)行相應(yīng)的冗余配置,安全I(xiàn)區(qū)的業(yè)務(wù)應(yīng)采用熱備份方式,其它安全區(qū)的業(yè)系統(tǒng)可根據(jù)需要選用熱備份、溫備份、冷備份等備份方式,以避免單點(diǎn)故障影響系統(tǒng)的可靠性。
結(jié)語:
計(jì)算機(jī)網(wǎng)絡(luò)安全是電力生產(chǎn)安全密不可分的一部分。除了依據(jù)國家規(guī)定建立可靠的網(wǎng)絡(luò)安全技術(shù)構(gòu)成的安全防護(hù)體系外,還必須建立健全完善的網(wǎng)絡(luò)安全管理制度,形成技術(shù)和管理雙管齊下,才能真正達(dá)到保證網(wǎng)絡(luò)安全的目的。電力二次防護(hù)系統(tǒng)是自動化系統(tǒng)的支撐平臺,二次防護(hù)安全是電力系統(tǒng)安全的保障。同時(shí),電力自動化系統(tǒng)的安全防護(hù)是一個(gè)動態(tài)的工作過程,而不是一種狀態(tài)或者目標(biāo)。隨著風(fēng)險(xiǎn)、人員,技術(shù)不斷地變化發(fā)展,以及應(yīng)用環(huán)境的發(fā)展,安全目標(biāo)與策略也發(fā)生著變化,電力二次系統(tǒng)的安全管理需要不斷跟蹤并應(yīng)用新技術(shù),定期進(jìn)行風(fēng)險(xiǎn)評估、加強(qiáng)管理,才能保障電力行業(yè)安全穩(wěn)定、高效可靠地運(yùn)行。
參考文獻(xiàn):
[1]李勁.論述廣西電力二次系統(tǒng)安全防護(hù)技術(shù)研究[J].廣西電力,2005(4)
[2]李志杰,牛玉臣,閻明波.調(diào)度自動化二次系統(tǒng)安全防護(hù)體系[J].電工技術(shù),2006(12)
[3]張曉陽.電力行業(yè)二次安全防護(hù)解決方案[J].信息安全與通信保密,2008(8)
關(guān)鍵詞:信息系統(tǒng);安全防護(hù);安全域;邊界安全
中圖分類號:TP393.08
隨著電網(wǎng)企業(yè)信息化建設(shè)的逐步推進(jìn),大批信息系統(tǒng)相繼投入運(yùn)行,信息系統(tǒng)幾乎貫穿于電網(wǎng)企業(yè)的各項(xiàng)工作環(huán)節(jié),信息化建設(shè)對于提高國家電網(wǎng)公司經(jīng)營生產(chǎn)管理水平、支撐集團(tuán)化運(yùn)作、集約化發(fā)展發(fā)揮了重要作用。但同時(shí),若信息系統(tǒng)存在信息安全方面的問題,就會影響電力系統(tǒng)的安全、穩(wěn)定運(yùn)行,進(jìn)而影響電網(wǎng)的可靠供電。因此,信息系統(tǒng)安全成為電網(wǎng)企業(yè)信息化工作的重中之重。
1 電網(wǎng)企業(yè)信息安全防護(hù)總體思路
電網(wǎng)企業(yè)信息系統(tǒng)安全防護(hù)要貫徹國家有關(guān)信息安全防護(hù)政策,全面落實(shí)國家電網(wǎng)公司信息安全相關(guān)的各項(xiàng)政策和制度,平衡信息安全風(fēng)險(xiǎn)和防護(hù)成本之間的關(guān)系,優(yōu)化資源配置,在有限的成本下,使風(fēng)險(xiǎn)最小化,最大程度地保障信息系統(tǒng)的安全穩(wěn)定運(yùn)行,同時(shí)根據(jù)信息安全等級保護(hù)制度的相關(guān)要求,著重加強(qiáng)與公司重大利益相關(guān)的重要系統(tǒng)的安全防護(hù)。電網(wǎng)企業(yè)信息安全防護(hù)應(yīng)遵循“分區(qū)分域、安全接入、動態(tài)感知、精益管理、全面防護(hù)”的安全策略,完善防護(hù)機(jī)制,健全信息安全管理措施和安全技術(shù)手段,完善信息安全基礎(chǔ)支撐平臺,提升信息安全綜合治理水平,滿足公司智能電網(wǎng)建設(shè)和“三集五大”對信息安全的需求。
2 電網(wǎng)企業(yè)信息安全防護(hù)措施
2.1 安全域劃分
2.1.1 安全域的定義
安全域是由一組具有相同安全保障需求、并相互信任的系統(tǒng)組成的邏輯區(qū)域,同一安全域的系統(tǒng)共享相同的安全保障策略。安全域是一組具有安全防護(hù)共性的系統(tǒng)的邏輯集合,一個(gè)安全域可以包括一個(gè)或多個(gè)物理或邏輯網(wǎng)段。分域防護(hù)的目標(biāo)不僅是為了實(shí)現(xiàn)邊界防護(hù),而且是一組在網(wǎng)絡(luò)、主機(jī)、應(yīng)用等多個(gè)層次上深層防護(hù)措施的體現(xiàn)。
2.1.2 安全域的劃分
安全域的劃分應(yīng)依據(jù)總體防護(hù)方案中定義的“二級系統(tǒng)統(tǒng)一成域,三級系統(tǒng)獨(dú)立成域”的方法進(jìn)行,結(jié)合某省電力公司的應(yīng)用系統(tǒng)使用情況,將整個(gè)信息系統(tǒng)共計(jì)分為8個(gè)安全域。
2.1.3 安全域的實(shí)現(xiàn)
安全域?qū)崿F(xiàn)方式以劃分邏輯區(qū)域?yàn)橹?,旨在?shí)現(xiàn)各安全區(qū)域的邏輯劃分,明確邊界以對各安全域分別防護(hù),并且進(jìn)行域間邊界控制,安全域的實(shí)體展現(xiàn)為一個(gè)或多個(gè)物理網(wǎng)段或邏輯網(wǎng)段的集合。
2.2 信息系統(tǒng)邊界安全
邊界安全防護(hù)是檢測出入邊界的數(shù)據(jù)信息,并對其進(jìn)行有效控制的防護(hù)措施。根據(jù)邊界類型的不同,需采取不同的防護(hù)措施。
信息系統(tǒng)邊界主要分為信息外網(wǎng)邊界和信息內(nèi)網(wǎng)邊界兩大類,其中信息外網(wǎng)邊界主要包括縱向邊界和橫向域間邊界;信息內(nèi)網(wǎng)邊界主要包括縱向邊界、橫向域間邊界和第三方邊界。
2.2.1 信息外網(wǎng)域及邊界安全
根據(jù)電網(wǎng)企業(yè)安全域的劃分,外網(wǎng)包含外網(wǎng)桌面終端系統(tǒng)域、外網(wǎng)應(yīng)用系統(tǒng)域和二級系統(tǒng)域共3個(gè)區(qū)域,對其防護(hù)主要從邊界網(wǎng)絡(luò)訪問控制方面考慮。
(1)實(shí)施邊界網(wǎng)絡(luò)訪問控制:在外網(wǎng)邊界部署防火墻,對進(jìn)出內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)流制定訪問控制策略;在外網(wǎng)系統(tǒng)域的邊界處部署防火墻,對進(jìn)出內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)流制定訪問控制策略;(2)外網(wǎng)桌面終端病毒防護(hù):通過部署殺毒軟件,實(shí)現(xiàn)對外網(wǎng)桌面終端的防病毒管理;(3)入侵防護(hù)系統(tǒng):在互聯(lián)網(wǎng)出口處,部署入侵防護(hù)系統(tǒng)(Intrusion Prevention System,IPS),同時(shí)在IPS上開啟針對蠕蟲病毒、網(wǎng)絡(luò)病毒的入侵防護(hù)功能,主動發(fā)現(xiàn)主要的攻擊行為和惡意信息的傳輸;(4)外網(wǎng)網(wǎng)絡(luò)、數(shù)據(jù)庫審計(jì):在網(wǎng)絡(luò)核心處部署網(wǎng)絡(luò)審計(jì)、數(shù)據(jù)庫審計(jì)系統(tǒng),通過網(wǎng)絡(luò)審計(jì)系統(tǒng)可以對信息外網(wǎng)進(jìn)行監(jiān)控,分析主機(jī)負(fù)載,發(fā)現(xiàn)網(wǎng)絡(luò)瓶頸,并繪制出直觀的流量曲線圖、柱狀圖,有效發(fā)現(xiàn)網(wǎng)上出現(xiàn)的異常流量。
通過數(shù)據(jù)庫審計(jì)可以主動收集各類對數(shù)據(jù)庫的訪問,進(jìn)行記錄和分析的措施,彌補(bǔ)數(shù)據(jù)庫日志審計(jì)對實(shí)際活動記錄的不足,有效保護(hù)重要的數(shù)據(jù)庫系統(tǒng),審計(jì)的結(jié)果有助于系統(tǒng)管理人員分析各類服務(wù)器被訪問的情況,并通過訪問還原技術(shù),清楚地看到對數(shù)據(jù)庫系統(tǒng)進(jìn)行訪問的過程情況。
2.2.2 信息內(nèi)網(wǎng)域及邊界安全
信息內(nèi)網(wǎng)邊界安全防護(hù)主要從邊界網(wǎng)絡(luò)訪問控制、入侵檢測、終端安全防護(hù)、鏈路冗余等方面考慮。
(1)邊界網(wǎng)絡(luò)訪問控制:建立各應(yīng)用系統(tǒng)匯聚層,不同應(yīng)用系統(tǒng)之間采用VLAN技術(shù)邏輯隔離,禁止直接互訪,并在匯聚交換機(jī)與核心交換機(jī)之間部署防火墻,檢測經(jīng)過的所有數(shù)據(jù),對進(jìn)出內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)流制定訪問控制策略。在信息內(nèi)網(wǎng)縱向向上邊界處部署防火墻,對進(jìn)出內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)流制定訪問控制策略。在信息內(nèi)網(wǎng)第三方邊界處部署防火墻,對進(jìn)出第三方邊界的數(shù)據(jù)流制定訪問控制策略。在信通網(wǎng)絡(luò)接入邊界部署防火墻,對進(jìn)出信通網(wǎng)絡(luò)的數(shù)據(jù)流制定訪問控制策略;(2)實(shí)施入侵檢測:采用入侵檢測系統(tǒng)(Intrusion DetectionSystems,IDS)對于流經(jīng)內(nèi)網(wǎng)邊界和重要信息系統(tǒng)的信息流進(jìn)行入侵檢測,通過入侵檢測系統(tǒng)發(fā)現(xiàn)主要的攻擊行為和各種惡意信息的傳輸。因此,在安全域的建設(shè)中,在核心交換機(jī)上旁路和三級系統(tǒng)匯聚層部署入侵檢測系統(tǒng),同時(shí)對主、備核心交換機(jī)進(jìn)行檢測;(3)外網(wǎng)網(wǎng)絡(luò)、數(shù)據(jù)庫審計(jì):部署網(wǎng)絡(luò)審計(jì)、數(shù)據(jù)庫審計(jì)系統(tǒng),通過網(wǎng)絡(luò)審計(jì)系統(tǒng)可以對信息外網(wǎng)進(jìn)行監(jiān)控,分析主機(jī)負(fù)載,發(fā)現(xiàn)網(wǎng)絡(luò)瓶頸,并繪制出直觀的流量曲線圖、柱狀圖,有效發(fā)現(xiàn)網(wǎng)上出現(xiàn)的異常流量。通過數(shù)據(jù)庫審計(jì)可以主動收集各類對數(shù)據(jù)庫的訪問,進(jìn)行記錄和分析的措施,彌補(bǔ)數(shù)據(jù)庫日志審計(jì)對實(shí)際活動記錄的不足,有效保護(hù)重要的數(shù)據(jù)庫系統(tǒng),審計(jì)的結(jié)果有助于系統(tǒng)管理人員分析各類服務(wù)器被訪問的情況,并通過訪問還原技術(shù),清楚地看到對數(shù)據(jù)庫系統(tǒng)進(jìn)行訪問的過程情況。
2.3 主機(jī)系統(tǒng)安全
(1)主機(jī)安全加固:采取調(diào)整主機(jī)的系統(tǒng)、網(wǎng)絡(luò)、服務(wù)等配置的措施來提升主機(jī)的安全性,主要加固措施包括補(bǔ)丁加載、賬戶及口令的設(shè)置、登錄控制、關(guān)閉無用的服務(wù)、文件和目錄權(quán)限控制等;(2)進(jìn)行補(bǔ)丁管理:各種操作系統(tǒng)均存在安全漏洞,應(yīng)定時(shí)安裝、加載操作系統(tǒng)補(bǔ)丁,避免安全漏洞造成的主機(jī)風(fēng)險(xiǎn)。但針對不同的應(yīng)用系統(tǒng),安裝操作系統(tǒng)補(bǔ)丁可能會對其造成不同程度的影響,因此,應(yīng)在測試環(huán)境中先行測試安裝操作系統(tǒng)補(bǔ)丁是否會對應(yīng)用系統(tǒng)造成不良影響,確保安全無誤后,方可應(yīng)用于正式環(huán)境中;(3)加強(qiáng)防病毒管理:實(shí)時(shí)監(jiān)控防病毒軟件的運(yùn)行情況,對未安裝防病毒軟件或未及時(shí)升級更新病毒庫的主機(jī),確認(rèn)其位置和未安裝或未及時(shí)更新的原因,及時(shí)解決問題,并采取措施確保不再發(fā)生。
3 結(jié)束語
信息安全防護(hù)是國家電網(wǎng)公司“十二五”期間信息化保障體系的重要組成部分,也是未來信息發(fā)展的趨勢。本文對信息系統(tǒng)電網(wǎng)企業(yè)信息系統(tǒng)安全防護(hù)思路及措施開展了研究與探討,提出了安全域劃分、信息系統(tǒng)邊界安全、主機(jī)系統(tǒng)安全的防護(hù)方案和實(shí)現(xiàn)方法,能夠有效提高電網(wǎng)企業(yè)信息系統(tǒng)的可靠性和安全性,具備較好的可行性和應(yīng)用價(jià)值。
參考文獻(xiàn):
[1]王謙.電力企業(yè)信息系統(tǒng)安全等級保護(hù)的研究[J].硅谷,2011(23).
1.1信息系統(tǒng)漏洞帶來的威脅
電力系統(tǒng)應(yīng)用會涉及到大量的軟件系統(tǒng),無論是生產(chǎn)控制大區(qū)的監(jiān)控系統(tǒng)還是管理信息大區(qū)的管理信息系統(tǒng)。而每類軟件自身也會帶有一定的特點(diǎn),在長期的使用之下,便會暴露出一定的漏洞,也就是我們所說的BUG,如繼續(xù)應(yīng)用這類軟件的話,會對系統(tǒng)內(nèi)的數(shù)據(jù)及信息安全造成一定的影響,甚至引發(fā)系統(tǒng)漏洞對系統(tǒng)防御軟件的安全性的影響,為病毒、木馬創(chuàng)造入侵環(huán)境,對系統(tǒng)信息安全造成巨大的威脅。
1.2惡意網(wǎng)頁帶來的威脅
當(dāng)今網(wǎng)絡(luò)的發(fā)達(dá)性,各個(gè)企業(yè)都有著自己的網(wǎng)頁,電力企業(yè)也是如此,擁有著自己的網(wǎng)頁,而且是與Internet直接建立連接的,其中電力系統(tǒng)計(jì)算機(jī)的使用者也會在工作中不斷地訪問其他的網(wǎng)頁,試圖尋找相關(guān)有用的信息,這也是不可避免的事實(shí)。然而,在點(diǎn)擊瀏覽網(wǎng)頁的過程中,不是所有的網(wǎng)頁都是安全的,有很多網(wǎng)頁的擁有者以及開發(fā)者為了達(dá)到某種目的會對網(wǎng)頁中加入一些惡意程序,通過使用者無意的點(diǎn)擊來獲取計(jì)算機(jī)使用的相應(yīng)權(quán)限,并對計(jì)算機(jī)的信息進(jìn)行解讀、篡改等,其中比較普遍的是網(wǎng)頁中帶有木馬,如果點(diǎn)擊這類網(wǎng)站將會把網(wǎng)站中的木馬種入到計(jì)算機(jī)中,繼而通過該計(jì)算機(jī)對電力系統(tǒng)局域網(wǎng)內(nèi)其他計(jì)算機(jī)或服務(wù)器進(jìn)行攻擊或獲取相關(guān)的信息,對電力系統(tǒng)的信息安全造成極大的威脅。
2電力系統(tǒng)信息安全的防護(hù)措施
2.1建立防火墻,完善殺毒軟件
防火墻是一種網(wǎng)絡(luò)安全系統(tǒng),對信息網(wǎng)絡(luò)安全起到一定的防護(hù)作用。它將內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)有效隔離,通過對網(wǎng)絡(luò)數(shù)據(jù)流量的監(jiān)控,能夠有效地阻止外部網(wǎng)絡(luò)非法威脅因素對計(jì)算機(jī)網(wǎng)絡(luò)的入侵,從而在企業(yè)內(nèi)外網(wǎng)之間形成一道保護(hù)屏障。對于電力系統(tǒng)來說,在使用的過程中應(yīng)建立其防火墻和殺毒軟件,一方面防御網(wǎng)絡(luò)木馬攻擊,另一方面對侵入到計(jì)算機(jī)內(nèi)部的病毒進(jìn)行有效查殺。當(dāng)然,在使用防火墻和殺毒軟件的過程中,要定期對軟件進(jìn)行升級,因?yàn)榫W(wǎng)絡(luò)病毒也可能發(fā)生變異破解殺毒軟件以及防火墻程序,如果不對其進(jìn)行升級的話,那么這些防御措施也將成為一種擺設(shè),根本起不到任何對網(wǎng)絡(luò)信息安全保護(hù)的作用。另外,為了避免電力系統(tǒng)重要信息的丟失,要定期的對系統(tǒng)內(nèi)重要信息進(jìn)行備份,避免意外情況的發(fā)生造成重要信息的丟失,同時(shí)要加強(qiáng)對電力系統(tǒng)信息安全管理人員的培訓(xùn),要提高管理人員對相應(yīng)技術(shù)操作的熟練程度,并養(yǎng)成遇事不亂的心態(tài),這樣才能進(jìn)一步提高網(wǎng)絡(luò)信息安全的保障措施。
2.2部署入侵檢測、行為管理及漏洞掃描系統(tǒng)
防火墻及殺毒軟件能在一定程度上有效阻止網(wǎng)絡(luò)攻擊,保護(hù)信息安全。但我們不能僅限于此簡單防護(hù),應(yīng)當(dāng)在主要服務(wù)器及主要網(wǎng)絡(luò)邊界部署入侵檢測系統(tǒng),通過日常的檢測數(shù)據(jù)分析,提前鎖定那些具有威脅性的入侵對象,把風(fēng)險(xiǎn)防范關(guān)口前移。同時(shí)部署上網(wǎng)行為管理系統(tǒng),制定嚴(yán)格的策略過濾掉某些不良互聯(lián)網(wǎng)頁,禁止用戶訪問那些高危的網(wǎng)站,通過上網(wǎng)行為的審計(jì)及時(shí)發(fā)現(xiàn)訪問了未知的惡意網(wǎng)站的計(jì)算機(jī),并告知用戶做好安全防護(hù)。此外,還應(yīng)部署漏洞掃描系統(tǒng),定期對局域網(wǎng)內(nèi)部計(jì)算機(jī)、服務(wù)器及網(wǎng)絡(luò)設(shè)備進(jìn)行漏洞掃描,及早發(fā)現(xiàn)主機(jī)存在的安全漏洞隱患。對于掃描出來的安全漏洞,根據(jù)其漏洞危險(xiǎn)等級制定對應(yīng)的修復(fù)、整改措施。
2.3加強(qiáng)信息安全的管理
信息安全不僅要體現(xiàn)在信息網(wǎng)絡(luò)軟件以及硬件的自身防御功能上,而且要體現(xiàn)在對系統(tǒng)使用的管理上。雖然在計(jì)算機(jī)上企業(yè)已經(jīng)建立了防火墻以及殺毒軟件,部署了入侵檢測、上網(wǎng)行為管理及漏洞掃描系統(tǒng),但是,工作人員的不正當(dāng)操作也有可能使計(jì)算機(jī)信息系統(tǒng)遭受病毒攻擊、木馬入侵等。因此,要加強(qiáng)對電力系統(tǒng)信息安全的管理。首先,對工作人員的操作規(guī)范進(jìn)行管理,堅(jiān)決杜絕瀏覽一些非正當(dāng)網(wǎng)站,如果要獲取相關(guān)信息的話,可以通過正規(guī)網(wǎng)站獲取,并且在瀏覽網(wǎng)站過程中,要開啟計(jì)算機(jī)本身自帶防火墻的網(wǎng)站過濾、防御、警告功能,一旦瀏覽的網(wǎng)站有可疑程序,防火墻也將彈出提示,這時(shí)任何信息都比不上系統(tǒng)信息的安全性重要,必須要終止該網(wǎng)頁的瀏覽,再另尋其他途徑來獲取相關(guān)的信息。其次,要加強(qiáng)計(jì)算機(jī)的授權(quán)管理、身份認(rèn)證、跟蹤審計(jì)等,要嚴(yán)禁無權(quán)限的工作人員亂用計(jì)算機(jī)的現(xiàn)象,在使用計(jì)算機(jī)辦公之前,必須要進(jìn)行身份認(rèn)證,并在計(jì)算機(jī)內(nèi)安裝相應(yīng)的監(jiān)控程序,嚴(yán)格控制計(jì)算機(jī)操作技術(shù)人員出現(xiàn)非正常操作。另外,還要做好重要信息系統(tǒng)實(shí)行安全等級保護(hù)工作。通過劃分不同的安全等級,編制不同的安全保護(hù)措施對運(yùn)用中的信息系統(tǒng)進(jìn)行保護(hù)。加強(qiáng)對信息安全的管理,才能進(jìn)一步保障電力系統(tǒng)信息的安全性。
2.4加強(qiáng)信息的保密工作
隨著信息時(shí)代的來臨,很多企業(yè)的重要信息都屬于一種高級商業(yè)機(jī)密,一旦泄漏將會產(chǎn)生不可預(yù)估的嚴(yán)重后果。如果是被不法分子獲取的話,將對電網(wǎng)企業(yè)甚至社會造成極大的打擊及負(fù)面影響。因此,要加強(qiáng)對信息的保密工作。首先,嚴(yán)禁計(jì)算機(jī)通過各種方式接入國際互聯(lián)網(wǎng),應(yīng)與企業(yè)內(nèi)部公網(wǎng)實(shí)現(xiàn)物理隔離,這樣可以避免該計(jì)算機(jī)內(nèi)信息的泄漏。同時(shí),在儲存信息的過程中,要采用經(jīng)過認(rèn)證的實(shí)物介質(zhì)來儲存,并且要保證實(shí)物儲存介質(zhì)的性,嚴(yán)禁在計(jì)算機(jī)和非計(jì)算機(jī)之間進(jìn)行交叉使用,更不能在連接互聯(lián)網(wǎng)或其他網(wǎng)絡(luò)的計(jì)算機(jī)上使用。其次,加強(qiáng)對信息管理人員以及與信息有關(guān)人員的保密工作,要簽署相關(guān)的保密協(xié)議,嚴(yán)格控制這些人員與其他人員進(jìn)行保密信息的交流,同時(shí)要對各人員設(shè)置相應(yīng)的訪問權(quán)限,對非人員要限制其訪問權(quán)限。與此同時(shí),還需要相關(guān)工作人員做好信息文檔的存檔、定密、解密、登記、銷毀等工作,一旦發(fā)現(xiàn)存在信息泄漏的隱患,要及時(shí)采取相應(yīng)的措施,全面提高電力企業(yè)系統(tǒng)信息的安全性
。
3結(jié)束語
一、電力二次系統(tǒng)安全防護(hù)的主要風(fēng)險(xiǎn)
電力二次系統(tǒng)主要由控制中心、通信網(wǎng)絡(luò)和現(xiàn)場設(shè)備組成,其主要安全風(fēng)險(xiǎn)如下:
1、大量的終端和現(xiàn)場設(shè)備如PLC(可編程邏輯控制器)、RTU(遠(yuǎn)程測控終端)和IED(智能電子設(shè)備)可能存在邏輯炸彈或其他漏洞,部分設(shè)備采用國外的操作系統(tǒng)、控制組件,未實(shí)現(xiàn)自主可控,可能有安全漏洞,設(shè)備存在被惡意控制、中斷服務(wù)、數(shù)據(jù)被篡改等風(fēng)險(xiǎn)。
2、通信網(wǎng)及規(guī)約上可能存在漏洞,攻擊者可利用漏洞對電力二次系統(tǒng)發(fā)送非法控制命令。通信網(wǎng)及規(guī)約的安全性是整個(gè)系統(tǒng)支全的主要環(huán)節(jié),通信網(wǎng)及規(guī)約的漏洞是非法入侵者主要攻擊的目標(biāo)。控制中心同站控系統(tǒng)之間主要采用IEC 60870-5-101/104規(guī)約進(jìn)行通信,但104規(guī)約存在的主要安全問題為不具備加密、認(rèn)證功能,且端口為固定的2404端口,存在被竊聽、分析、替換的風(fēng)險(xiǎn);一些不具備光纖通信條件的廠站采用GPRS\ CDMA等無線通信方式,有的將101規(guī)約直接用在GPRS環(huán)境,通過APN虛擬專網(wǎng)采集測量數(shù)據(jù)、下發(fā)控制命令,沒有身份認(rèn)證和加密措施,安全強(qiáng)度不夠,存在安全風(fēng)險(xiǎn)。
3、TCP/IP網(wǎng)絡(luò)通訊技術(shù)廣泛應(yīng)用,電力二次系統(tǒng)面臨病毒、蠕蟲、木馬威脅。電力二次系統(tǒng)中各類智能組件技術(shù)、TCP/IP網(wǎng)絡(luò)通訊技術(shù)廣泛應(yīng)用,將面臨傳統(tǒng)信息網(wǎng)絡(luò)面臨的病毒、黑客、木馬等信息安全問題。國外的電力控制系統(tǒng)不斷暴露安全漏洞,對我國電力控制領(lǐng)域的安全穩(wěn)定運(yùn)行造成了很大的影響。
4、其他主要風(fēng)險(xiǎn)如下:中心控制系統(tǒng)和站控系統(tǒng)之間業(yè)務(wù)通信時(shí),缺乏相應(yīng)的安全機(jī)制保證業(yè)務(wù)信息的完整性、保密性;中心控制系統(tǒng)、通訊系統(tǒng)和站控系統(tǒng)的網(wǎng)絡(luò)設(shè)備、主機(jī)操作系統(tǒng)和數(shù)據(jù)庫等的安全配置需要增強(qiáng);缺乏對系統(tǒng)帳號和口令進(jìn)行集中管理和審計(jì)的有效手段;缺乏記錄和發(fā)現(xiàn)內(nèi)部非授權(quán)訪問的工具和手段,對重要業(yè)務(wù)系統(tǒng)維護(hù)人員缺少監(jiān)控手段,無法有效記錄維護(hù)人員的操作記錄;對于軟件補(bǔ)丁的安裝缺乏有效的強(qiáng)制措施;人員的信息安全意識教育、基本技能教育還需要進(jìn)一步普及和落實(shí)。
二、安全防護(hù)技術(shù)
電力二次系統(tǒng)安全解決方案在技術(shù)上系統(tǒng)性地考慮了控制中心和各站控系統(tǒng)之間的網(wǎng)絡(luò)縱向互聯(lián)、橫向互聯(lián)和數(shù)據(jù)通信等安全性問題,通過劃分安全區(qū)、專用網(wǎng)絡(luò)、專用隔離和加密認(rèn)證等項(xiàng)技術(shù)從多個(gè)層次構(gòu)筑縱深防線,抵御網(wǎng)絡(luò)黑客和惡意代碼攻擊。
1、物理環(huán)境安全防護(hù)。物理環(huán)境分為室內(nèi)物理壞境和室外物理環(huán)境,包括控制中心以及站控系統(tǒng)機(jī)房物理環(huán)境、PLC等終端設(shè)備部署環(huán)境等。根據(jù)設(shè)備部署安裝位置的不同,選擇相應(yīng)的防護(hù)措施。室內(nèi)機(jī)房物理環(huán)境安全需滿足對應(yīng)信息系統(tǒng)等級的等級保護(hù)物理安全要求,室外設(shè)備物理安全需滿足國家對于防盜、電氣、環(huán)境、噪音、電磁、機(jī)械結(jié)構(gòu)、銘牌、防腐蝕、防火、防雷、電源等要求。
2、邊界安全防護(hù)。電力二次系統(tǒng)邊界包括橫向邊界、縱向邊界,其中橫向邊界包括電力二次系統(tǒng)不同功能模塊之間,與其他系統(tǒng)之間的邊界,縱向邊界包括控制中心與站控系統(tǒng)之間的邊界。對于橫向邊界通過采用不同強(qiáng)度的安全設(shè)備實(shí)施橫向隔離保護(hù),如專用隔離裝置、硬件防火墻或具有ACL訪問控制功能的交換機(jī)或路由器等設(shè)備;控制中心與站控系統(tǒng)之間的縱向邊界采用認(rèn)證、加密、訪問控制等技術(shù)措施實(shí)現(xiàn)安全防護(hù),如部署縱向加密認(rèn)證網(wǎng)關(guān),提供認(rèn)證與加密服務(wù),實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)臋C(jī)密性、完整性保護(hù)。
3、網(wǎng)絡(luò)安全防護(hù)。電力二次系統(tǒng)的專用通道應(yīng)采用獨(dú)立網(wǎng)絡(luò)設(shè)備組網(wǎng),在物理層面上實(shí)現(xiàn)與對外服務(wù)區(qū)網(wǎng)絡(luò)以及互聯(lián)網(wǎng)的安全隔離;采用虛擬專網(wǎng)VPN技術(shù)將專用數(shù)據(jù)網(wǎng)分割為邏輯上相對獨(dú)立的實(shí)時(shí)子網(wǎng)和非實(shí)時(shí)子網(wǎng),采用QoS技術(shù)保證實(shí)時(shí)子網(wǎng)中關(guān)鍵業(yè)務(wù)的帶寬和服務(wù)質(zhì)量;同時(shí)核心路由和交換設(shè)備應(yīng)采用基于高強(qiáng)度口令密碼的分級登陸驗(yàn)證功能、避免使用默認(rèn)路由、關(guān)閉網(wǎng)絡(luò)邊界關(guān)閉OSPF路由功能、關(guān)閉路由器的源路由功能、采用增強(qiáng)的SNMPv2及以上版本的網(wǎng)管協(xié)議、開啟訪問控制列表、記錄設(shè)備日志、封閉空閑的網(wǎng)絡(luò)端口等安全配置。
4、主機(jī)系統(tǒng)安全防護(hù)。電力二次系統(tǒng)應(yīng)對主機(jī)操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、通用應(yīng)用服務(wù)等進(jìn)行安全配置,以解決由于系統(tǒng)漏洞或不安全配置所引入的安全隱患。如按照國家信息安全等級保護(hù)的要求進(jìn)行主機(jī)系統(tǒng)的安全防護(hù),并采用及時(shí)更新經(jīng)過測試的系統(tǒng)最新安全補(bǔ)丁、及時(shí)刪除無用和長久不用的賬號、采用12位以上數(shù)字字符混合口令、關(guān)閉非必須的服務(wù)、設(shè)置關(guān)鍵配置文件的訪問權(quán)限、開啟系統(tǒng)的日志審計(jì)功能、定期檢查審核日志記錄等措施。
5、應(yīng)用和數(shù)據(jù)安全防護(hù)。(1)應(yīng)用系統(tǒng)安全防護(hù),在電力二次系統(tǒng)開發(fā)階段,要加強(qiáng)代碼安全管控,系統(tǒng)開發(fā)要遵循相關(guān)安全要求,明確信息安全控制點(diǎn),嚴(yán)格落實(shí)信息安全防護(hù)設(shè)計(jì)方案,根據(jù)國家信息安全等級保護(hù)要求,確定的相應(yīng)的安全等級,部署身份鑒別及訪問控制、數(shù)據(jù)加密等應(yīng)用層安全防護(hù)措施。(2)用戶接口安全防護(hù),用戶遠(yuǎn)程連接應(yīng)用系統(tǒng)需進(jìn)行身份認(rèn)證,需根據(jù)電力二次系統(tǒng)等級制定相應(yīng)的數(shù)據(jù)加密、訪問控制、身份鑒別、數(shù)據(jù)完整性等安全措施,并采用密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性。(3)系統(tǒng)數(shù)據(jù)接口安全防護(hù),電力二次系統(tǒng)間的數(shù)據(jù)共享交換采用兩種模式,系統(tǒng)間直接數(shù)據(jù)接換或通過應(yīng)用集成平臺進(jìn)行數(shù)據(jù)交換,處于這兩種數(shù)據(jù)交換模式的系統(tǒng)均應(yīng)制定數(shù)據(jù)接口的安全防護(hù)措施,對數(shù)據(jù)接口的安全防護(hù)分為域內(nèi)數(shù)據(jù)接口安全防護(hù)和域間數(shù)據(jù)接口安全防護(hù);域內(nèi)數(shù)據(jù)接口是指數(shù)據(jù)交換發(fā)生在同一個(gè)安全域的內(nèi)部,由于同一個(gè)安全域的不同應(yīng)用系統(tǒng)之間需要通過網(wǎng)絡(luò)共享數(shù)據(jù),而設(shè)置的數(shù)據(jù)接口;域間數(shù)據(jù)接口是指發(fā)生在不同的安全域間,由于跨安全域的不同應(yīng)用系統(tǒng)間需要交換數(shù)據(jù)而設(shè)置的數(shù)據(jù)接口;對于域內(nèi)系統(tǒng)間數(shù)據(jù)接口和安全域間的系統(tǒng)數(shù)據(jù)接口,根據(jù)確定的等級,部署身份鑒別、數(shù)據(jù)加密、通信完整性等安全措施;在接口數(shù)據(jù)連接建立之前進(jìn)行接口認(rèn)證,對于跨安全域進(jìn)行傳輸?shù)臉I(yè)務(wù)數(shù)據(jù)應(yīng)當(dāng)采用加密措施;對于三級系統(tǒng)應(yīng)具有在請求的情況下為數(shù)據(jù)原發(fā)者或接收者提供數(shù)據(jù)原發(fā)或接收證據(jù)的功能,可采用事件記錄結(jié)合數(shù)字證書或其他技術(shù)實(shí)現(xiàn)。
6、遠(yuǎn)程撥號安全防護(hù)。撥號訪問能繞過安全防護(hù)措施而直接訪問電力二次系統(tǒng),存在很大的安全隱患,應(yīng)進(jìn)行專門防護(hù)。對于遠(yuǎn)程通過撥號訪問電力二次系統(tǒng)這種方式,應(yīng)采用安全撥號裝置,實(shí)施網(wǎng)絡(luò)層保護(hù),并結(jié)合數(shù)字證書技術(shù)對遠(yuǎn)程撥號用戶進(jìn)行客戶端檢查、登陸認(rèn)證、訪問控制和操作審計(jì)。
三、安全管理體系
規(guī)范化管理是電力二次系統(tǒng)安全的保障。以“三分技術(shù),七分管理”為原則,建立信息安全組織保證體系,落實(shí)責(zé)任制,明確各有關(guān)部門的工作職責(zé),實(shí)行安全責(zé)任追究制度;建立健全各種安全管理制度,保證電力二次系統(tǒng)的安全運(yùn)行;建立安全培訓(xùn)機(jī)制,對所有人員進(jìn)行信息安全基本知識、相關(guān)法律法規(guī)、實(shí)際使用安全產(chǎn)品的工作原理、安裝、使用、維護(hù)和故障處理等的培訓(xùn),以強(qiáng)化安全意識,提高技術(shù)水平和管理水平。
四、安全服務(wù)體系
建立完善的安全服務(wù)體系,進(jìn)行電力二次系統(tǒng)上線前的安全測評、上線后的安全風(fēng)險(xiǎn)評估、安全整改加固以及監(jiān)控應(yīng)急響應(yīng),用于保護(hù)、分析對系統(tǒng)資源的非法訪問和網(wǎng)絡(luò)攻擊,并配備必要的應(yīng)急設(shè)施和資源,統(tǒng)一調(diào)度,形成對重大安全事件(遭到黑客、病毒攻擊和其他人為破壞等)快速響應(yīng)的能力。
總之,隨著我國基礎(chǔ)產(chǎn)業(yè)“兩化融合”進(jìn)程的不斷加快,電力二次系統(tǒng)的安全防護(hù)已納入國家戰(zhàn)略,電力企業(yè)要建立電力二次系統(tǒng)信息安全防護(hù)體系,確保電力二次系統(tǒng)安全、穩(wěn)定和優(yōu)質(zhì)的運(yùn)行,更好地為國家發(fā)展和人民生活服務(wù)。
關(guān)鍵詞 電力系統(tǒng);網(wǎng)絡(luò);特點(diǎn);安全風(fēng)險(xiǎn);對策
中圖分類號:TP393 文獻(xiàn)標(biāo)識碼:A 文章編號:1671-7597(2014)21-0190-01
1 電力網(wǎng)絡(luò)信息系統(tǒng)的特點(diǎn)
作為一個(gè)涵蓋范圍極為廣泛的行業(yè),電力行業(yè)中的電力系統(tǒng)主要組成部分為發(fā)電-輸電-變電-配電-用電等。發(fā)電任務(wù)的完成主要由電廠進(jìn)行,輸電-變電-配電任務(wù)主要由電網(wǎng)完成,為保證整個(gè)系統(tǒng)運(yùn)行的穩(wěn)定性,必須將網(wǎng)絡(luò)動力系統(tǒng)作為電力系統(tǒng)運(yùn)行的重要保障。電力網(wǎng)絡(luò)信息系統(tǒng)特點(diǎn)主要包括三點(diǎn):復(fù)雜性、穩(wěn)定性及綠色高效。
首先,其復(fù)雜性主要表現(xiàn)在其電力組成部分及工作分配較為發(fā)雜,具體到電力行業(yè)各個(gè)數(shù)據(jù)機(jī)房等,進(jìn)而導(dǎo)致網(wǎng)絡(luò)信息系統(tǒng)應(yīng)用較為復(fù)雜多樣。對電力行業(yè)數(shù)據(jù)機(jī)房規(guī)模大小起決定性作用的因素主要有電力行業(yè)調(diào)度、通信系統(tǒng)、計(jì)算機(jī)信息系統(tǒng)等方面。企業(yè)最核心的數(shù)據(jù)中心就是總部數(shù)據(jù)中心,以此往下還有各分公司的數(shù)據(jù)中心、基層部門信息中心,這些信息數(shù)據(jù)的處理都離不開網(wǎng)絡(luò)計(jì)算機(jī)技術(shù),由此可見互聯(lián)網(wǎng)在電力信息系統(tǒng)管理及運(yùn)行具有至關(guān)重要的作用。
其次,其穩(wěn)定性主要表現(xiàn)在業(yè)務(wù)方面。作為一個(gè)特殊行業(yè),電力行業(yè)中電力系統(tǒng)的運(yùn)行是否正常直接關(guān)系著人們的生活及經(jīng)濟(jì)的發(fā)展。隨著信息化時(shí)代的到來,電力行業(yè)也逐步向自動化、智能化方向發(fā)展,因此網(wǎng)絡(luò)信息系統(tǒng)對電力系統(tǒng)的運(yùn)行具有至關(guān)重要的作用,也更依賴于網(wǎng)絡(luò)信息系統(tǒng)的穩(wěn)定性及可靠性。
最后,作為能源產(chǎn)業(yè),在能源日漸緊缺的今天,只有選用更加綠色高效的網(wǎng)絡(luò)方案,將智能電網(wǎng)建設(shè)作為今后電力行業(yè)發(fā)展的方向,才能推動我國電力行業(yè)的快速發(fā)展。
2 開放互聯(lián)網(wǎng)電力信息系統(tǒng)安全風(fēng)險(xiǎn)的表現(xiàn)
1)電力企業(yè)大部分信息數(shù)據(jù)都和互聯(lián)網(wǎng)存在某種聯(lián)系,如通過對互聯(lián)網(wǎng)資源的直接訪問,將有利于企業(yè)職員工作效率的提升。與此同時(shí),在互聯(lián)網(wǎng)上任何人都可以分享、查閱企業(yè)網(wǎng)絡(luò)資源,這對企業(yè)形象宣傳、企業(yè)影響力及知名度的擴(kuò)大將十分有利。但在帶來便利的同時(shí),也帶來了一定的安全風(fēng)險(xiǎn)。如出于某種動機(jī),一些用戶利用互聯(lián)網(wǎng)入侵電力企業(yè)網(wǎng)絡(luò)連接的計(jì)算機(jī)系統(tǒng)或設(shè)備并進(jìn)行各種攻擊,進(jìn)而對網(wǎng)絡(luò)信息的傳輸造成極大的影響,甚至對計(jì)算機(jī)軟件系統(tǒng)及數(shù)據(jù)造成破壞,進(jìn)行企業(yè)商業(yè)機(jī)密的竊取,導(dǎo)致企業(yè)產(chǎn)生極大的損失,甚至給國家的安定團(tuán)結(jié)造成極大影響。
2)在開放互聯(lián)網(wǎng)電力信息系統(tǒng)安全風(fēng)險(xiǎn)中,最常見的安全因素局勢計(jì)算機(jī)病毒的威脅。作為計(jì)算機(jī)系統(tǒng)最大的安全隱患,由于電力企業(yè)信息量大,覆蓋面積廣,如產(chǎn)生計(jì)算機(jī)病毒事件,將產(chǎn)生阻塞網(wǎng)絡(luò)通信、破壞系統(tǒng)數(shù)據(jù)及文件系統(tǒng)的嚴(yán)重后果。系統(tǒng)將不能進(jìn)行相關(guān)服務(wù)的及時(shí)提供,也可能導(dǎo)致破壞后無法恢復(fù)的情況出現(xiàn)。尤其是系統(tǒng)中部分重要數(shù)據(jù)如因病毒感染出現(xiàn)損壞或丟失等問題,將損失將無法估計(jì)。
3)系統(tǒng)安全風(fēng)險(xiǎn)也是開放互聯(lián)網(wǎng)電力信息系統(tǒng)安全風(fēng)險(xiǎn)的重要表現(xiàn)形式。主要包括數(shù)據(jù)庫系統(tǒng)及多種應(yīng)用系統(tǒng)。無論其中哪個(gè)系統(tǒng)出現(xiàn)問題,都會導(dǎo)致管理員權(quán)限被入侵者獲取的
危害。
3 防范開放互聯(lián)網(wǎng)電力信息系統(tǒng)安全風(fēng)險(xiǎn)的對策
1)合理應(yīng)用漏洞掃描系統(tǒng)。作為網(wǎng)絡(luò)漏洞偵測及安全評估的一種工具,漏洞掃描可以遵循所定義的措施進(jìn)行網(wǎng)絡(luò)系端口的掃描,對這些端口提供的網(wǎng)絡(luò)服務(wù)漏洞進(jìn)行偵測,同時(shí)將這些漏洞評估報(bào)告向系統(tǒng)管理員進(jìn)行較為詳細(xì)地提供,進(jìn)而幫助管理員彌補(bǔ)漏洞,對網(wǎng)絡(luò)系統(tǒng)整體性進(jìn)行有效提升。漏洞掃描系統(tǒng)支持Windows、Linux等網(wǎng)絡(luò)設(shè)備,并分析這些系統(tǒng)的安全性能,對黑客可能應(yīng)用的漏洞進(jìn)行查找,同時(shí)將有效的修補(bǔ)方案向管理員進(jìn)行及時(shí)提供,進(jìn)而對網(wǎng)絡(luò)安全水平進(jìn)行有效提升。
2)防火墻的合理應(yīng)用。在非法數(shù)據(jù)報(bào)阻斷中可以應(yīng)用防火墻,并對網(wǎng)絡(luò)非法攻擊進(jìn)行屏蔽,對黑客入侵進(jìn)行有效阻斷。通常情況下,設(shè)置防火墻會出現(xiàn)信息傳輸延時(shí)的情況,基于此,如系統(tǒng)具有實(shí)時(shí)性的要求,必須選用專用的防火墻組件,進(jìn)而將通用防火墻軟件延時(shí)帶來的影響降到最低。
3)防病毒系統(tǒng)。在電力企業(yè)各個(gè)生產(chǎn)、經(jīng)營及管理崗位中都含有計(jì)算機(jī)信息網(wǎng)絡(luò)系統(tǒng)。用戶在互聯(lián)網(wǎng)上進(jìn)行多種數(shù)據(jù)交換時(shí),可能隨時(shí)遭受到病毒的攻擊。利用電子郵件進(jìn)行業(yè)務(wù)聯(lián)系,很容易受到病毒感染,進(jìn)而在企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)中不斷蔓延。因此,電力系統(tǒng)防病毒技術(shù)必須具有這些特點(diǎn),如實(shí)時(shí)監(jiān)控、支持多平臺及多種服務(wù),只有這樣才能迅速防治及控制新型病毒。面對網(wǎng)絡(luò)系統(tǒng)的兩個(gè)方面:外網(wǎng)與內(nèi)網(wǎng),科學(xué)選用分布式進(jìn)行處理,對全網(wǎng)統(tǒng)一網(wǎng)絡(luò)病毒防護(hù)進(jìn)行有效實(shí)現(xiàn)。防病毒技術(shù)運(yùn)行主要在系統(tǒng)后進(jìn)行,它取得控制權(quán)要早于病毒,在實(shí)時(shí)對系統(tǒng)進(jìn)行監(jiān)控的過程中,如發(fā)現(xiàn)潛在問題,可以及時(shí)對非法程序進(jìn)行有效阻止。建立多層網(wǎng)絡(luò)病毒防治系統(tǒng)可以對病毒感染問題進(jìn)行有效預(yù)防。第一層要建立網(wǎng)關(guān)防毒;第二層主要建立服務(wù)器防毒;第三層主要建立客戶端計(jì)算機(jī)防毒。對病毒管理體系的完善,可以為網(wǎng)絡(luò)電力系統(tǒng)病毒防范體系完整性的提升提供一個(gè)可靠依據(jù)。
4)加強(qiáng)安全管理制度建設(shè)。為完善電力系統(tǒng)網(wǎng)絡(luò)安全體系,必須加強(qiáng)網(wǎng)絡(luò)安全管理制度建設(shè)、強(qiáng)化企業(yè)員工電力安全意識。在日常工作中,必須對信息吸引運(yùn)行管理不斷加強(qiáng),并進(jìn)行相關(guān)計(jì)劃的制定,避免各種網(wǎng)絡(luò)損失的產(chǎn)生。如數(shù)據(jù)備份的定期制定、檢修設(shè)備及秘鑰管理的不斷加強(qiáng)等。為增強(qiáng)工作人員信息安全意識,可以利用技術(shù)講座及培訓(xùn)等措施進(jìn)行。
4 結(jié)束語
綜上所述,隨著電力企業(yè)發(fā)展速度的不斷提升,電力系統(tǒng)信息化也隨之不斷發(fā)展。作為一個(gè)動態(tài)管理過程,信息網(wǎng)絡(luò)安全風(fēng)險(xiǎn)防范中,必須對信息網(wǎng)絡(luò)安全情況進(jìn)行定期評估,進(jìn)行安全方案地改進(jìn)并進(jìn)行安全策略的適當(dāng)調(diào)整。只有這樣才能建立一個(gè)安全到位、權(quán)限分明及服務(wù)完善的電力網(wǎng)絡(luò)信息體系。
參考文獻(xiàn)
[1]王先培,熊平,李文武.防火墻和入侵檢測系統(tǒng)在電力企業(yè)信息網(wǎng)絡(luò)中的應(yīng)用[J].電力系統(tǒng)自動化,2002(05).