(国网福建省电力有限公司福州供电公司福建福州市350009)
摘要:电力监控系统是电力系统的重要组成部分,主要用于对发电、供电等各环节进行监视控制,包含基于计算机及网络通信技术的业务系统、智能设备以及作为基础支撑的电力通信数据网络等,如电力监视控制与数据采集系统、能量管理系统、变电站监控系统、广域相量测量系统、保护测控装置以及电力调度数据网等。随着电网自动化水平的提高及网络规模的扩大,电力监控系统的安全性也越来越重要。电力监控系统的安全防护工作应在遵循基本原则的基础上,从管理与技术两个方面双管齐下,以保障电网安全稳定运行。
关键词:电力;监控系统;安全防护
引言
在电力行业内部,电力监控系统一般称为“电力二次系统”,是指“用于监视和控制电力生产及供应过程的、基于计算机及网络技术的业务系统及智能设备,以及作为基础支撑的通信及数据网络等”。电力监控系统相当于整个电力系统的神经网络和控制中枢,对于保障电力系统的安全稳定运行和电力可靠供应具有重要意义。二十一世纪初期,我国多个电力企业相继发生了一些与电力监控系统相关的信息安全事件,例如“二滩电厂停机事件”、“时间逻辑炸弹事件”等,造成事故或形成安全隐患。这些事例说明电力监控系统所面临的信息安全风险日益增大,直接威胁到电力系统安全稳定运行和电力可靠供应。对于上述情况,电力行业高度重视,制定了《电力二次系统安全防护规定》、《电力监控系统安全防护规定》及相关配套方案,并按照国家信息安全等级保护要求制定了电力行业标准,积极推动了电力监控系统安全防护建设,取得了极大成效。
1总体要求
电力监控系统包括电力行业生产控制类信息系统、生产管理类信息系统及通信网络系统。电力监控系统安全防护遵循《电力监控系统安全防护规定》(国家发改委2014年第14号令)、《电力监控系统安全防护总体方案等安全防护方案和评估规范》(国家能源局国能安全2015年第36号)和《电力行业信息安全等级保护管理办法》(国家能源局国能安全2014年第318号)的要求,可以认为这三份文件是电力监控系统安全防护的根本大法。近期颁发的《中华人民共和国网络安全法》将网络、信息安全从规章制度上升到国家法律的高度。
电力监控系统安全防护方案,以“安全分区、网络专用、横向隔离、纵向认证”十六字方针为核心,注重外部网络边界隔离阻断,配备必要的安全防护装置,部署必要的安全防护预警系统,采用技术手段加快感知网络异常,建设电力监控系统栅格状纵深安全防护体系,防患于未然。电力监控系统等级保护,以提高电力监控系统自身安全防护能力为依托,从物理安全、网络安全、主机安全、应用安全和数据安全等几个层面,针对不同安全等级的电力监控系统提出不同保护要求,加强系统内部异常感知和恶意行为防范能力。电力监控系统安全防护,重点围绕系统边界、网络传输边界和业务主机三个层次,构建电力监控系统安全防护的三道防线。
2电力监控系统安全防护管理制度
2.1强人员管理与培训
设立专人负责电力监控系统防护工作。对相关人员做好保密教育。加强人员的上岗离岗管理。上岗时,关键岗位人员签订保密证书。离岗时,收回人员身份证书、钥匙、徽章以及其他具有访问控制权限的软硬件设备,删除系统相关账户,并要求保证继续履行保密义务。定期开展全员电力监控系统防护培训以及安全防护岗位人员技术培训,提高全员安全防护意识以及技术人员技术水平。
2.2加强设备接入管理
接入电力监控系统中的设备,尤其是接入生产控制大区的设备,应通过具有国家级检测认证资质检验单位的检测认证,满足安全性和电磁兼容性的要求,禁止选用工信部、网信部门等有关部门通报存在风险和漏洞的设备。此外,除安全接入区外,各业务系统不得与信息外网连接,相关主机上必须将软盘、光盘驱动、无线、串口、usb口关闭或拆除。生产控制大区与管理信息大区之间不得通过通用存储介质传输信息。
2.3严格执行等保测评
根据国家颁布的信息系统等级保护与测评相关要求,对不同业务系统根据其重要程度划分防护等级。通常生产控制大区业务系统的防护等级应高于管理信息大区。安全等级为2级的系统每两年至少评估一次,安全等级为3级的系统每年至少评估一次,安全等级为4级的系统每半年至少评估一次。应严格按照划分的等级部署安全防护措施,对于安全评估中发现的问题应及时整改。
3电力监控系统安全防护技术措施
3.1物理安全措施
电力监控系统硬件设备的机房应有防火、防水、防静电及防雷击等措施,机房应设有电子门禁,防护等级为4级的系统所在机房还应有双门禁,必要时安排专人值守。此外,对关键区域应实施电磁屏蔽。
3.2入侵检测技术
通过合理设置入侵检测系统(IDS)的检测规则,可及时发现网络中的异常行为,分析潜在的威胁。IDS运行主要分为三步:提供事件记录流的信息源、通过分析引擎发现入侵迹象、基于分析引擎的结果产生反应。根据技术原理,入侵检测系统IDS可分为以下两类:基于主机的入侵检测系统和基于网络的入侵检测系统)。目前,在IDS的基础上出现了入侵防御系统,能够即时阻止一些不正常或是具有伤害性的网络入侵行为。
3.3网络设备安全防护措施
网络设备安全防护措施包括关闭多余的网络服务及空闲端口,采用安全性能增强的SNMPV2及以上版本的网络管理协议,限制使用默认的网络路由,关闭网络边界的OSPF路由功能,并限制通信方式及类型。设置访问控制列表,限定受信任的网段等。使用高强度的用户口令,由字母、数字及特殊字符组合8位以上。
3.4内网安全监视应用
内网安全监视应用可对电力监控系统的主机设备、网络设备、数据库、安全设备运行状态进行实时监测,对非法入侵、违规外联等异常行为实时告警并记录、统计分析。主要功能模块包括安全数据采集、监视与告警、运行分析、安全审计、安全管理、平台互联、人机界面功能七部分。
3.5其他技术措施
可信计算技术,以密码硬件为核心,能够免疫未知恶意代码的破坏。数字证书技术,可提高系统安全强度,通过身份认证和加解密保障上下级调度、主站与厂站等数据传输的机密性。
4结语
总之,电力监控系统安全是电力生产安全的重要一环。在遵守“安全分区、网络专用、横向隔离、纵向认证”原则的基础上,还必须建立健全完善的管理制度,运用成熟的防护技术,从管理与技术两个方面双管齐下,才能真正达到保证系统安全的目的。随着电网技术不断发展,只有不断地完善安全管理制度中,不断融入先进技术措施,才能提高电力监控系统的安全防护水平,进而保障电网安全稳定、高效可靠地运行。
参考文献:
[1]张冰.浅论电力监控系统安全防护问题[J].工程技术:全文版,2016.
[2]高夏生,黄少雄,梁肖.电力监控系统安全防护要素[J].电脑知识与技术,2017.
[3]周振辉.电力监控系统安全防护风险分析及软件配置[C].2016年中国电机工程学会年会论文集,2016:1-4.
[4]郑子淮,裘雨音,陈琭草,等.电力监控系统二次安防的防护策略[J].自动化应用,2017.
作者简介:
刘畅(1988.1.8-);女;湖南宜章;硕士研究生;工程师;研究方向:调度控制、电网监控;国网福建省电力有限公司福州供电公司。