电力监控系统网络安全防护体系建设杨琨 --中国期刊网

字体：大中小

首页> 原创作品> 正文

电力监控系统网络安全防护体系建设杨琨

发表时间：2020/9/3 来源：《基层建设》2020年第11期作者：杨琨李宁

[导读] 摘要：近些年来，随着电力系统的进步和发展，电力系统的自动化、信息化、智能化技术得到了更为有力的技术支持。

        河南豫光锌业有限公司河南济源 454650
        摘要：近些年来，随着电力系统的进步和发展，电力系统的自动化、信息化、智能化技术得到了更为有力的技术支持。但作为不少国家重要的“网络战场”，电力监控系统的安全问题显得越发突出，如何确保电力系统能足够安全、稳定地运行成为现阶段电力企业建设发展的主要研究对象。当前各地的电力监控系统网络安全水平参差不齐，如何使各地电力监控网络安全水平达到统一，是一个亟待解决的难题。本文对电力监控系统网络安全防护体系建设进行探讨。
        关键词：电力监控;网络安全;系统;安全防护
        1电力监控系统网络安全防护现状
        计算机监控系统是电力系统的主要组成部分，并且对电力系统的安全可靠运行有着重要的作用，在电力企业发展的过程中，计算机监控系统会因为多种原因而出现运行不畅的问题，导致无法安装安全防护软件和不能升级相关操作系统，这便是多数发电企业电力监控系统在运行的过程中所存在的安全隐患。所以按照网络安全分区的原则来讲，电力监控系统安全区的系统和其他系统之间是没有联系的，但如果出现病毒入侵的情况，就会导致不设防的其他系统处于危险的状况。
        2电力监控系统网络安全防护体系的建设目标
        一般来说电力监控系统网络安全防护是由各个企业的电力调控中心来进行调度，并且会设置专员来进行管理，不仅仅需要在变电站、主站自动化中建设电力监控系统网络安全防护体系，还需要在调度数据网和通信网中设置电力监控系统网络安全防护措施。体系建设的主要目标是抵制网络黑客和其他恶意代码对电力系统的侵害，电力监控系统如果被集团式攻击则会出现电力系统的监控计算机系统瘫痪、信息泄露，为了建设这一体系，专门制定了相应的安全指标，例如各个厂站都要配备地调电力监控系统网络安全防护员，并且要求全覆盖式配备工作人员；还需将电力监控系统设备进行防护式纵向加密；无死角监视电力监控系统内网；还需系统控制功能调度的证书齐备等。
        3电力监控系统网络安全防护的关键技术
        3.1风险评估技术
        在安全防护技术中，风险评估是非常重要的一项技术，是对主机的风险泄露和通过网络远程监控其他主机风险漏洞的分析，风险评估系统的主要工作目标便是服务器、工作站和数据库等，利用网络安全监测装置扫描监控目标可能存在的风险隐患。并对其安全性和风险程度进行分析，确定系统网络信息是否安全，并对系统网络信息的安全性提出具体整改建议。在进行风险评估技术时，也经常会利用网络漏洞扫描方式。在信息安全防护过程中，风险评估主要是一种辅助手段，还需要利用VPN、防火墙比如氢检测的方式来完成信息安全防护工作。
        3.2物理隔离技术
        “安全分区，网络专用，横向隔离，纵向认证”中的横向隔离便是主要依赖物理隔离技术，在网络边界防护中，必须采用经国家指定部门检测认证的横向安全隔离装置连接2个独立的主机系统，这样能够保证不直接连通并且传输和共享数据资源。目前的物理隔离技术主要使用的有实时开关、单向连接和网络交换器这三种隔离装置。其中实时开关可以实现在同一时间隔离内外网络，并且实现数据联通进行快速的处理数据。再连接一个网络获取数据，然后转动开关到另一个网络，将之前获取的数据传输到另一个网络，能够快速地在两个网络之间移动数据，并且实现实时处理的效果。同时在传输数据时，实时开关会终止网络连接，这便不会存在漏洞风险，与此同时还能够利用实时开关避免遭到病毒侵害。单向连接指的便是单向地从源网向目的网传输数据，这样便成为了一个“只读”网络，同时数据不能反向向源网传输，单向连接需要利用硬件实现，因为这样可以避免数据传错。而网络交换器指的便是一台计算机中有两个虚拟机，在一个虚拟机当中写入数据，然后再传输到另一个虚拟机中。在传输数据过程中速度会相对较慢，无法实现实时工作。所以网络转换器通常都具备双接口的硬件卡，双接口都连接着相互隔离的网络，但在同一时间只能激活一个网络。

期刊文章分类查询,尽在期刊图书馆

        3.3SSL技术与IPSec技术
        SSL协议主要利用传输层进行传输，在应用层影响下保护网络传输信息。它具有透明性、应用性和可移植性，SSL电力系统安全通道主要包括SSL服务器和SSL客户端，SSL客户端主要在浏览器上负责认证服务器端的实际深入，而SSL服务器是在WEB服务器上负责实现客户端的身份验证。SSL可以使数据进行加密传输，并对数据保密性进行更好地保护，利用MAC来保护信息的完整度，然后再通过数字证书来验证发送者与接受者的身份。IPSec是利用AH协议与ESP协议实现安全性，IPSec可以提供各种安全服务，利用身份认证制实施访问控制，在通信前通过IKE协商SA，然后利用公钥签名机制进行身份验证，IP-Sec可以在数据包发放前利用信息鉴别机制实施数据源认证，然后应用信息鉴别法计算MAC，采用HMAC输入部分信息与密钥，输出MAC，在接收到IP数据包后在用相同的方式计算数据，在获取的数据完全相同后，便表示数据通过验证。
        4电力监控网络安全的建设内容
        4.1成立工作小组
        成立以调控中心主任为工作小组组长的组织机构，工作小组成员包含:主站自化、运检部自动化、调度自动化、通信管理员、并网电厂负责人，负责统筹与管理，下面又有着实际操作者，与工作管理人员在网络安全监控管理本地管理工作开展中，在实际管理的过程中，不同角色之间所承担的管理责任有所不同。如管理员能够对安全监测装置进行时区管理、进程管理、用户操作管理等;操作者则需要强大的知识量来负责各个部门不同的网络安全工作。
        4.2网络安全监测装置的功能实施
        在网络安全监测装置功能实施之前，需要能够实现对该装置的安装，首先需要注意安装布线，完成网络安全监测装置的设备上架及网络布线，在接线的工作完成之后，对接入的设备进行及时的软硬件的更新和升级，并且根据实际的运行，使用相关的运行数据进行适当的修改和调整。按照国家能源局〔2015〕36号文件及部分省电力公司调度的要求，35kV及以上电压等级并网发电厂，要求在一、二区部署网络安全监测装置。
        4.3制订安全防护方案
        根据《关于发电企业电力监控系统安全防护工作要求的通知》，加强发电企业的电力监控系统的安全防护管理。第一，项目在前期的评审期间，根据“安全分区，网络专用，横向隔离，纵向认证”的基本原则，要求发电企业分区配置接入相应的加密认证装置、物理隔离装置、防火墙等相关安全设备。第二，主厂站专门对安全设备进行联合调试，调试完成后进行现场检查验收，严格要求完全通过验证流程。第三，部署入侵检测系统。具有等保二级系统的发电厂，需要主动部署入侵检测系统，实现对数据网数据的全监视，提前发现入侵行为。并在其他方面要求发电企业制定内部安全管理制度，明确网络安全管理措施与网络安全负责人，要求发电企业制定网络安全事件应急预案，并且需要进行定期的演练。
        结束语
        保障电力监控系统安全是共同的责任，所以需要通过管理和技术体系建设来完成相关指标要求，全面提升地区电力监控系统网络安全防护能力，使系统防护水平及人员的技能、安全防护意识得到很大的提升，从而为后续安防工作打下基础，从而共筑电力监控系统网络安全防线。
        参考文献
        [1]钟丽波，周洋，马煜，等．基于泛在电力物联网的电力监控系统安全防护研究［J］．东北电力技术，2019，40(11):28－30．
        [2]高小芊，罗超.电力监控系统网络安全监测装置功能及实施[J].通讯世界，2019，26（4）：176-177.
        [3]杨琼珍.电力监控系统网络安全问题探讨[J].百科论坛电子杂志，2018，（7）：409-410.