(贵州电网有限责任公司凯里供电局 贵州省贵州市 556000)
摘要:电力作为重要基础设施领域,已被不少国家视为“网络战”首选攻击目标,因此电力监控系统的网络安全形势异常严峻;其次,接入电力调度数据网的新能源厂站急剧增加,其分布广泛、管理分散给网络安全工作提出了巨大挑战;另外,国家网络安全法于2017年6月1日正式实施,网络安全上升到法律层面;最后,当前各地电力监控系统网络安全防护水平参差不齐,存在不足。为此,电力监控系统网络安全防护体系建设势在必行。
关键词:电力监控系统;网络安全;防护体系;建设研究
近年来,全球范围内网络安全事件层出不穷,如乌克兰大面积停电事件、勒索病毒全球爆发事件等,表明了电力作为全球能源基础设施,已经面临严峻的网络安全攻击风险,电力监控系统的网络安全要求已经被提升到一个更高的层次。现阶段,电力监控系统网络安全防护管理,主要是通过采集主站网络边界上的通用安全防护设备及电力专用安全防护设备的日志信息,来实现对跨边界的网络安全事件的监测,但是对于系统内部的安全事件缺乏监管手段,系统内部每台设备的外部网络访问、外部设备接入、用户登录、人员操作等基本事件没有纳入统一管控,存在木马植入、病毒侵入、利用漏洞攻击、弱口令、访问权限获取、信息侦听、数据篡改和拒绝服务等攻击隐患。随着网络准入控制系统、运维操作审计系统、日志审计系统、IDS等网络安全系统的部署,电力监控系统网络安全系统范畴不断扩大,需要分析的数据包括网络信息、主机信息、数据库信息、用户信息等,亟需适合全局化、系统化的网络安全态势感知模式,及时发现各类广义的网络安全风险,实现电力监控系统网络安全的闭环管理,全面提高全局电力监控系统网络安全防护的整体水平。
1.电力监控系统网络的安全防护原则
我国电力监控系统安全防护总体方案中规定:电力监控系统的安全防护总体原则应当是“安全分区、网络专用、横向隔离、纵向认证”这四个方面。
“安全分区”指对生产控制大区以及管理信息大区进行划分,并要求生产控制区主要控制那些与电力生产有着紧密联系的决策信息系统,而管理信息区则需要主要负责一些与电力管理、经营以及行政事务相关的系统。进一步细分,生产控制大区可分为控制区和非控制区。
“网络专用”指的是该电力企业其生产大区中的所有数据网络均需要采用独立的网络设备组网,并需要在物理层面上充分实现与其它外部公共信息网的安全隔离,也就是电力的调度数据网。
“横向隔离”多是代表控制大区以及管理信息大区两者之间必须进行国家相关部门检测认证的电力专用单项安全隔离装置的设置。该隔离装置的隔离效果接近甚至达到了物理隔离的效果。使许多黑客病毒无法穿透攻击到电力系统的内部。
“纵向认证”指的是通过认证、加密以及访问控制等技术措施来实现对数据的远方安全传输以及纵向边界的安全防护工作,对于电力调度中心、发电厂等生产控制大区需要设置纵向加密认证装置,实现双向身份认证、数据加密以及访问控制等职能。
2.电力监控系统网络安全防护体系建设
以“安全分区、网络专用、横向隔离、纵向认证”为原则,做好“保护、检测、响应、恢复、审计”的闭环机制,建立健全的电力监控系统安全防护体系。
电力监控系统安全防护总体结构模型如图1所示:
电力监控系统根据业务的重要性进行分区,分为生产控制和管理信息两个大区,其中生产控制大区又根据对电力一次系统的影响程度进行分区,分为安全区I和安全区II。安全I区是电力监控系统重点防护区域,在组网上面采用物理层的系统内网和外部公共网的完全隔离,在生产控制大区和管理信息大区之间加设电力专用的横向隔离装置,禁止低安全区访问高安全区。在技术上采用电力专用纵向加密认证网关或加密认证装置,为上下级调度机构或主站与子站端的应用系统之间数据网络通信提供双向身份认证、数据加密和访问控制服务。对安全II区纵向防护墙进行改造根据国能安全[2015]36号《国家能源局关于印发电力监控系统安全防护总体方案》的要求,全力改造电力监控系统安全防护,将系统安全II区纵向防火墙更换为加密认证设备,这样保障了电力系统的信息安全,避免信息泄密。
3.对电力监控系统安全防护工作的建议
3.1增强电力系统网络安全意识
增强电力系统整体对网络安全的意识,是提高电力系统网络安全的首要前提。首先电力公司内部各部门、管理者和工作人员都要增强网络安全意识,加强对电力系统网络安全的认知,具备一定基础的电生物钟力系统网络安全知识。其次,要提升电力系统网络安全相关专业工作人员的专业技能和综合素质。加强对相关工作人员的安全意识培训和专业素质的培训,提高电力系统网络安全工作人员的安全管理能力。最后,要提升对电力系统网络体系中重要数据和密码等保密性信息的管理水平。做到电力系统网络安全意识的增强,对提升电力系统网络安全具有重大作用。
.png)
图1
3.2提升电力系统网络安全的维护技术
电力系统应该提升自身对网络安全的维护技术,通过以下几种技术的增强切实提高电力系统网络安全性。第一是防火墙技术。防火墙是网络和网络安全领域的连接口,防火墙对病毒和不良信息的查询、检验和抵御具有重要意义,可以保障电力系统网络安全性,。因此,电力系统在网络安全的日常运行和维护中,应提高防火墙技术,设置防火墙访问限制,抵御非法入侵。第二是漏洞检验技术。通过漏洞检验技术对电力系统网络设备进行定期检验,依据实际检验情况对电力系统安全设备及时修复,及时避免相应风险。第三是数据加密技术。限制电力系统网络传输和储存的数据的访问权限,对原始数据进行加密,防治非法用户入侵对保密性数据的查看、恶意破坏和恶意泄露,保障电力系统的网络安全,保证电力系统的稳定运行。
结语
电力监控系统作为电力安全生产系统的一个重要组成部分,其除了建立相应的安全防护体系之外,还需要构建一个完善的网络安全管理制度,而只有达到管理与技术两个方面的共同优化效果,才能确保发电企业的电力监控系统能够得到安全稳定、高效可靠的运行效果,从而有效保障电力系统运行的安全性、可靠性、稳定性。
参考文献
[1]郑捷.网络和通信技术在电力监控系统中的应用[J].技术与市场,2015,(7):98.
[2]曾航.电力系统计算机信息网络安全技术与防范探讨[J].商品与质量:科教与法,2014(7):116~117.
[3]兰艳贞.电力系统信息网络安全防护措施分析[J].无线互联科技,2018(11).