基于电力调度自动化网络安全问题的研究
2023-06-13
来源:好走旅游网
2014年12月下 基于电力调度自动化网络安全问题的研究 梁 刚(广西电网公司防城港供电局,广西防城港538001) 【摘要】随着我国经济的不断发展,电力系统得到了突飞猛进的发展,与此同时,电力调度自动化网络安全问题已经引起了相关部门的广泛 注意。在电力调度问题上,企业应该加强系统管理力度,提高电力调度效率,加强电力调度实时监控力度,保证电力系统安全可靠的运行。 【关键词】电力调度;自动化网络;安全问题;探究综述 【中图分类 ̄]TM734 【文献标识码】B 【文章编号】1006—4222{2014)24—0033—02 1刖舌 表1所示。 表1二次系统安全区分类 名称 内容 电网调度自动化程度也随之不断提高,电网能量管理系 统应用水平不断深入.智能变电站如同雨后春笋般的不断发 展 电力调度自动化网络安全问题成为了企业发展的重中之 重【l1 从技术方面提高电力调度自动化网络安全的措施有很 I实时控制区 配电自动化系统;变电站自动化系统;调度员中心EMS系统 Ⅱ非控制生产区 负荷预测;水调自动化系统;电能量计量系统;电力市场交易 系统。 多.比如架设防火墙有效防御病毒、减少系统被攻击。按照网 络应用层的特点。进行网络隔离。笔者根据工作经验,以技术 的角度的出发,从物理安全管理、应用软件安全管理、网络备 份、防治黑客攻击、数据安全防护、建立调度安全管理中心等 Ⅲ生产管理区 雷电监测系统;EMS资料平台;气象信息接入;信息浏览Web 服务器 Ⅳ管理信息区 办公管理信息系统;客户服务。 3实现电力调度自动化网络安全的具体措施 3.1防火墙配置 防火墙是网络安全最重要的屏障。可以作为阻塞点和控 方面讲述了加强电力调度自动化网络安全的几条措施,具有 一定的现实意义和参考价值。 制点过滤不安全信息。防火墙可以强化网络安全可靠性和安 全性.通过口令、加密、身份认证、审计等方式加强网络安全。 2电力调度自动化网络构架 电力调度自动化安全系统是建立在网络系统安全之上 对于专用网络中防火墙的配置和Web服务中防火墙的配置 的.网络系统安全主要考虑网络结构和路由系统的安全。网络 略有不同,以调度装网中防火墙配置为例.典型配置规则如表2 拓扑主要考虑冗余链路的设计,地级以上调度网络都采用双 所示 网结构.数据采集通道由2—3条的备用网络链路。常见的分区 分段管理拓扑图如图l所示。 名称 表2调度专网防火墙配置规则 源 目的 服务 动作 规则1 对象1 对象2 服务1 允许 规则2 规则3 对象3 所有 对象4 所有 服务2 所有 允许 阻断 专用网最大的特点就是调度网络和以太网是相互分离 的.调度防火墙配置相对简单一些.其设置对象指的是单一主 机.协议采用TCP,IP协议.通过约定好的端口进行上下级调 度.必要的时候可以绑定IP和MAC地址.避免路由器IP地 址被盗用。 3.2物理隔离 物理安全方面存在的隐患包括两方面:自然破坏和人为 破坏.其中自然破坏主要包括台风、洪水、滑坡、雷击、静电等 自然因素的破坏。人为破坏包括偷窃通信线路设备的情况.车 辆事故和蛮力施工影响了电力系统的正常运行,导致重要厂 图1电力调度自动化网络分区分段管理拓扑图 站失去监控功能.最后埋下了安全隐患 相关部门可以通过加 强电力调度管理,确保设备安全,做到防火、防盗、防静电、防 雷击。杜绝调度人员越权行为的发生.进行权限分级,按照权 限不同,可以分为系统管理员、维护人员、操作员。遥控安全的 网络分段分层管理模式能够有效控制广播风暴,保证网 络安全.能够将分发用户和网络资源相互隔离。网络分段管理 可以分为两种:物理分段和逻辑分段。当前我国电力调度自动 化局域网以交换机为中心.路由器为边界.实能够实现交换机 维护方面要三点:保证参数设置安全、保证保护措施安全、保 证遥控步骤安全。相关部门应该加强定期检查力度。利用先进 访问控制和三层交换功能。分层分段管理调度大楼和各集控 站.通过专用光纤网连接起来,调度大楼的骨干交换机被划分 成多个VLAN,每个集控分站一个虚网,本地一个虚网,在 VLAN上配置初步访问控制策略。《电力二次系统安全防护方 案》中规将电力二次系统分为了4个安全区:I实时控制区、 的互联网技术对电力系统安全进行宣传.加大和公安部门的 合作力度,对于盗窃行为给与严惩.提高系统运行的安全性和 可靠性。对于台风、雷击等自然灾害.工作人员应该提前设置 好室外加固措施,安置隐患防治设备.采取静电防治措施。安 保证设备正常运行。 Ⅱ非控制生产区、Ⅲ生产管理区、Ⅳ管理信息区。具体情况如 装防静电设备,錾 簪 2014年l2月下 3-3交换机、路由器网络设备安全 4加强电网调度自动化网络安全管理的几条 调度网络内部缴环节和路由器也往往是被攻击的对象. 措施 所以加强设备安全管理也是十分必要的 由于交换器和路由 电网调度自动化网络安全管理最主要的是加强安全管 器内部固化了IOS系统.所以加强交换机和路由器网络安全 理,做好主机保护.排除其他方面威胁 应该从终端口令和IOS自身漏洞考虑。及时升级lOS系统,并 且使用产品服务商提供的账号下载到交换机内部。加强VTY (1)应用软件安全管理:根据实际情况进行权限分级,分 为系统管理员、维护人员、操作员,其中系统管理员拥有最高 和CINSOLE管理口令强度.比如采用MD5进行加密.比如 的权限.可以设置其他人员账号密码.维护人员主要功能是对 “12345”经过MD5加密得出以表3密码。 襄3 MD5加密一览表 系统进行维护,保证系统运行的可靠性和安全性,其可以修改 字符串 12345 系统参数、绘制报表,操作人员主要功能是遥控、遥调和打印报 MD 516位小写 ea8a706c4c34a168 表等功能。必要的时候,电力调度中心可以设置指纹录入系统, MD 516位大写 EA8A706C4C34A】68 通过对对值班人员进行管理及登录认证.保证系统安全性日 MD 532位小写 827ccb0eea8a706c4c34a1689lf84e7b (2)加强网络备份:电力系统调度自动化网络安全应该遵 MD 532位大写 827CCB0EEA8A706C4C34A16891F84E7B 循SSE—CMM和1SO17799等国际标准,综合考虑可实时性、 制定方位控制列表,加强相应的密码强度,字符不应该 可管理性、可扩展性和系统均衡性问题。网络备份分为“冷备 超过8个字符长度。并且要保证VTY和CINSOLE口令各不 份”和“热备份”两种,其中冷备份主要指移动硬盘中的数据备 相同。 份,热备份主要指数据在线备份,备份数据能够保证系统崩溃 3.4纵向安全防护 的时候可以还原原有数据.保证系统运行的安全性。实际系统 纵向安全防护主要应用在调度中心的数据网络上面.安 备份过程有两种方法:①利用通信网络将关键数据定时批量 全区I实时控制区、Ⅱ非控制生产区分别提供两个逻辑隔离 传送至备用场地,实现异地备份数据;②系统采取双机运行, 的VPN1和VPN2两个网络 当安全区I实时控制区、Ⅱ非控 在本地进行数据备份.降低风险威胁。电力调度自动化历史数 制生产区接入电力调度网络的时候应该进行IP加密配置.实 据备份保留l一3年时间段内.历史数据以月为单位进行备份. 现网络双向认证、数据加密和访问控制.实现传输层和应用层 保证数据备份的安全性和可靠性。 之间的网络安全。纵向安全遥控防护要做好参数设置和相关 (3)谨慎设置web服务器参数,尽量避免使用默认数据, 保护措施,其流程为:操作员登录系统一选择操作的厂站画 有效终止非法数据读取。数据库安全防护十分重要,如果出现 面— 选择遥叠对象及操作对象.并与系统提示信息核对— 确 数据异常情况.首先要检查数据库日志,然后找出出错文档. 认无误后形成遥控预发令 安全区域Ⅲ生产管理区接入通信 对数据进行管理维护 电力调度中心可以派遣专门技术人员 数据网,首先应该配置屋里隔离装置,并且对网络边界通信网 维护电力SCADA系统.做好调度数据网络安全的防护工作.. 关进行安全加固,采用逐步加密技术加强网络安全。 5结语 3.5入侵检测系统设置 我国经济的发展带动了国家基础建设的进步,电力系统 适当在网络边界部署入侵检测/防御系统以及网络防恶 的规模不断扩大.接入电网的设备越来越多,用户和变电站之 意代码设备,防治黑客攻击.并通过离线方式更新系统和升级 间的信息交流和数据交互越来越频繁,电力调度自动化网络 恶意代码库,保证数据和服务器的安全性和可靠性 检测系统 安全问题关系到整个电力系统的运行情况.需要不同部门之 主要实现两方面功能:实时检测入侵行为、事后安全审计。按 间相互配合,全面提高运行的安全性和可靠性,为我国经济发 照技术原理.入侵检测系统包括两大类:基于网络的入侵检测 展添砖加瓦 系统(NIDS)和基于主机的入侵检测系统(HIDS)。IDS系统在 每一个区I实时控制区、Ⅱ非控制生产区都要设置一套.入侵 参考文献 检测系统的探头主要设置在I实时控制区、Ⅱ非控制生产区 [1]张素玲.浅谈电力调度自动化网络的安全[J1.学术论坛,2013(04): 的边界点和关键应用网段,可以捕获网络异常行为,分析潜在 231—232. 风险。及时进行安全审计。 [2]z先培,熊平,李文武.防火墙和入侵检测系统在电力企业信息网 3.6建立调度安全管理中心 络中的应用.电力系统自动化,2o13(05):137~138. [3]李耀庭.电力调度自动化网络的安全与实现[J1.科技创新导报,2010 实际调度管理中,电力调度系统很难及时进行升级.造成 (2):4~5. 调度系统混乱,所以建立调度安全管理中心势在必行。①要制 定调度安全管理制度。派遣专门人员定期对设备状态、恶意代 收稿日期:2014—11-6 码、补丁升级、安全审计等相关事项进行集中管理。定期实现 作者简介:梁刚(1981一),男,助理工程师,本科,主要从事电 数据备份,没有调度中心许可禁止修改系统参数。②不同部门 力调度自动化检修工作。 之间应该加强交流,及时准确上报相关信息,建立统一的“网 络口令”,禁止非批准的计算进连入互联网口。网络管理人员应 该按照规定执行相应操作.不能够越权执行.对于数据丢失和 机密泄密的情况追究当事人责任。健全完善安全规章制度,实 行责任制,将责任落实到人.建立健全的绩效考核制度和奖惩 制度,做到公平、公正、公开,定期进行专业安全测试。 锎喃 簪: