探析电力二次系统安全防护技术及应用
摘要:随着现代科技的发展,网络通信技术在电力系统中得到广泛应用,随之带来的网络安全问题也日益突出,本文就目前电力二次系统网络数据安全现状进行了分析,简述了二次安全防护技术在变电站的应用。
关键词:安全防护;系统;隔离;认证
1、安全需求
随着电网、电厂计算机技术、通信技术和网络技术的发展,电力系统结构日益复杂,电力调度和生产已完全依赖于计算机监控系统和数据网络。特别是随着厂网分开和电力市场建设,相对封闭的电力监控系统与外界的联系越来越紧密,电力控制系统遭遇人为破坏的风险大大增加。同时为了提高劳动生产率,电厂、变电站大量采用远方控制。这些都对电力控制系统和数据网络的安全性、可靠性、实时性提出了新的挑战。
2、目前电力二次系统信息安全隐患分析
2.1一些调度中心、发电厂、变电站在规划、设计、建设及运行控制系统和数据网络时,具有实时控制功能的监控系统,在没有进行有效安全防护的情况下与当地的MIS系统互连,甚至与因特网直接互连。一旦网络黑客或木马病毒通过因特网对电力调度数据网络进行攻击,会造成通讯中断,误控运行开关等一系列重大安全隐患,严重影响电网的安全稳定运行。
2.2电力监控系统和数据网络本身缺乏必要的安全防护措施。
2.3存在直接进入设备系统机房,或采用线路搭结手段,进入计算机监控系统的可能性。
2.4存在不安全拨号、私自拉线等后门。
2.5对设备制造商缺乏有效的安全管理方法。
2.6 电力二次系统的管理及运行人员缺乏必要的安全意识。
3、电力二次系统安全防护目标
电力二次系统安全防护的重点是确保电力实时闭环监控系统及调度数据网络的安全。首先是抵御黑客、病毒等通过各种形式对系统发起的恶意破坏和攻击,特别是能够抵御集团式攻击,防止由攻击导致的一次系统的事故以及二次系统的崩溃,其次是防止未授权用户访问系统或非法获取信息和侵入以及重大的非法操作。
4、电力二次系统安全防护技术在变电站的应用
4.1 建立二次安全防护系统
二次安全防护系统在变电站应用时,遵循“安全分区、网络专用、横向隔离、纵向认证”十六 字原则,对各信息大区进行分区,我们把电力二次系统划分为生产控制大区和管理信息大区,生产控制大区包含传输实时数据的安全区I和非实时数据的安全区II;管理信息大区包含了安全区III(生产管理区)和安全区IV(管理信息区)。重点保护在安全区Ⅰ中的SCADA系统和安全区Ⅱ中的电力交易系统。
生产控制大区即电力调度数据网在专用通道上使用独立的网络设备组网,在物理层面上实现与管理信息大区及外部公共信息网的安全隔离。生产控制大区内部的安全区之间采用具有访问控制功能的设备、防火墙实现逻辑隔离。在生产控制大区与广域网的纵向交接处设置了经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关,实现了纵向数据的加密与解析。
以我局某220kV变电站为例,二次安防系统生产控制大区布署结构如下图1
■
配置1台实时交换机,对安全I区有纵向数据通信的业务系统包括远动104通道、PMU相量采集、保护系统等业务与调度数据网进行访问控制和通信
配置1台非实时交换机,对安全II区有纵向数据通信的业务系统包括电能计量、故障录波等业务与调度数据网进行访问控制和通信
配置1台纵向加密认证网关,部署在安全I区实时交换机与调度数据网交换机之间,对本端和远端的实时数据通信进行身份认证和控制,实现数据加密和解析。
配置1台纵向硬件防火墙,部署在安全II区非实时交换机与调度数据网交换机之间,对本端和远端的非实时数据通信进行访问控制。
配置1台NAT横向防火墙,部署在实时交换机与非实时交换机之间,实现安全I区与安全II区的逻辑隔离。
4.2 加强对运维人员的管理
从运维人员的管理提升,降低电力二次安防系统人为因素造成的数据风险
a.提高运维人员的信息安全意识。通过事故事例分析,分析运维人员在工作可能存在的危险点,明确运维人员的安全责任。
b.提高运维人员的技能水平。由于二次安防设备平时维护机会少,运维人员技术力量薄弱。通过二次安防的原理架构分析及厂家技术人员的培训指导,提升运维人员分析判断故障的水平,提高应对突发事件的应变能力。
4.3 加强对系统设备的管理
a.加强移动存储介质的管理。对于后台监控机、五防电脑、保护信息子站等设备,禁用USB接口,防止移动存储介质感染病毒、木马,对整个数据网络产生威胁。同时,禁止将无线网络接入电力数据系统。
b.使用正版软件并及时更新。使用正版的操作系统,安装杀毒软件并及时更新,不能更新的情况下,应对操作系统进行加固,通过禁用账户、密码策略、修改注册表等方法,关闭后门,修补系统漏洞。
c.加强二次安防设备的入网检测。电力系统二次安防设备应使用通过国家指定认证机构检测认证,并在系统搭建完成后,进行总体功能测试,保证数据传输正确与安全。
5 总结
未来电力系统的趋势是走向数字化、信息化的智能电网,而做好电力系统信息安全防护工作显得尤为重要。加强电力二次系统安全防护系统建设及人员、设备管理,对整个电网的安全稳定运行有着十分重要的现实意义。
参考文献
[1] 徐力.中山电力二次系统安全防护的应用研究[D],广州:华南理工大学2011.
[2] 国家电力监管委员会.电力系统安全防护总体方案[Z].北京:国家电力监管委员会[2006]34号文.
[3] 骆文忠.电力二次系统安全防护体系运行分析[J].宁夏电力,2008.
[4] 张晓阳. 电力行业二次安全防护解决方案[J].信息安全与通信保密,2008.(8).