電力監(jiān)控系統(tǒng)網(wǎng)絡安全防護技術分析

董利敏

【摘要】本文分析了電力監(jiān)控系統(tǒng)網(wǎng)絡安全防護的具體概念，并明確了電力監(jiān)控系統(tǒng)對于安全的需求，針對電力監(jiān)控系統(tǒng)安全防護水平的提高制定了相應的策略，希望能夠促進我國電力行業(yè)的更好發(fā)展。

【關鍵詞】電力監(jiān)控系統(tǒng);安全防護技術;

1電力監(jiān)控系統(tǒng)安全防護概述

電力監(jiān)控系統(tǒng)是指用于監(jiān)視和控制電力生產(chǎn)及供應過程、基于計算機及網(wǎng)絡技術的業(yè)務系統(tǒng)及智能設備，以及作為基礎支撐的通信及數(shù)據(jù)網(wǎng)絡。電力監(jiān)控系統(tǒng)安全防護工作的重點是通過有效的技術手段和管理措施保護電力實時閉環(huán)監(jiān)控系統(tǒng)及數(shù)據(jù)通信網(wǎng)絡的安全，總體目標是建立健全的電網(wǎng)電力監(jiān)控系統(tǒng)安全防護體系，在統(tǒng)一的安全策略下使重點保護的系統(tǒng)免受黑客、病毒、惡意代碼等侵害，特別是能夠抵御來自外部有組織的團體、擁有豐富資源的威脅源發(fā)起的惡意攻擊，能夠減輕嚴重自然災害造成的資源損害，在系統(tǒng)遭到損害后，能夠迅速恢復絕大部分功能，防止電力監(jiān)控系統(tǒng)的安全事件引發(fā)或?qū)е码娏σ淮蜗到y(tǒng)事故或大面積停電事故，保障電網(wǎng)安全穩(wěn)定運行。

2 電力監(jiān)控系統(tǒng)安全防護分析

2.1安全分區(qū)

電力監(jiān)控系統(tǒng)劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)。生產(chǎn)控制大區(qū)可以分為控制區(qū)（安全區(qū)I）和非控制區(qū)（安全區(qū)II）;管理信息大區(qū)內(nèi)部在不影響生產(chǎn)控制大區(qū)安全的前提下，可以根據(jù)各企業(yè)不同要求劃分安全區(qū);生產(chǎn)控制大區(qū)的縱向互聯(lián)必須是相同安全區(qū)互聯(lián)，避免跨安全區(qū)縱向交叉連接。對于小型變電站和發(fā)電廠，可根據(jù)具體情況簡化安全區(qū)的設置，應按就高不就低的原則對簡化后的安全區(qū)進行防護，同時避免形成不同安全區(qū)的縱向交叉連接。

生產(chǎn)控制大區(qū)的業(yè)務系統(tǒng)在與其終端的縱向連接中使用無線通信網(wǎng)、電力企業(yè)其他數(shù)據(jù)網(wǎng)（非電力調(diào)度數(shù)據(jù)網(wǎng)）或者外部公用數(shù)據(jù)網(wǎng)的虛擬專用網(wǎng)絡方式等進行通信的，應設立安全接入?yún)^(qū)。

各區(qū)域安全邊界應采取必要的安全防護措施，禁止任何穿越生產(chǎn)控制大區(qū)和管理信息大區(qū)之間邊界的通用網(wǎng)絡服務。

2.2.網(wǎng)絡專用

電力監(jiān)控系統(tǒng)的生產(chǎn)控制大區(qū)應在專用通道上使用獨立的網(wǎng)絡設備組網(wǎng)，采用基于SDH不同通道、不同光波長、不同纖芯等方式，在物理層面上實現(xiàn)與其他通信網(wǎng)及外部公用網(wǎng)絡的安全隔離。

生產(chǎn)控制大區(qū)通信網(wǎng)絡可以進一步劃分為邏輯隔離的實時子網(wǎng)和非實時子網(wǎng)。生產(chǎn)控制大區(qū)數(shù)據(jù)通信的七層協(xié)議均應采用相應的安全措施，在物理層應與其他網(wǎng)絡實行物理隔離，在鏈路層應合劃分VLAN，在網(wǎng)絡層應設立安全路由和虛擬專網(wǎng)，在傳輸層應設置加密隧道，在會話層應采用安全認證，在表示層應有數(shù)據(jù)加密，在應用層應采用數(shù)字證書和安全標簽進行身份認證

2.3.橫向隔離

在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間必須設置通過國家有關機構安全檢測認證的電力專用橫向單向安全隔離裝置，隔離強度應接近或達到物理隔離，只允許單向數(shù)據(jù)傳輸。生產(chǎn)控制大區(qū)內(nèi)部的安全區(qū)之間應采用具有訪問控制功能的設備、如防火墻或相當功能的設施，實現(xiàn)邏輯隔離。

生產(chǎn)控制大區(qū)到管理信息大區(qū)的數(shù)據(jù)傳輸采用正向安全隔離裝置 ，僅允許單向數(shù)據(jù)傳輸;管理信息大區(qū)至生產(chǎn)控制大區(qū)的數(shù)據(jù)傳輸采用反向安全隔離裝置 ，僅允許單向數(shù)據(jù)傳輸。

2.4 縱向認證

在生產(chǎn)控制大區(qū)與廣域網(wǎng)的縱向連接處應設置通過國家有關機構安全檢測認證的電力專用縱向加密認證裝置或者加密認證網(wǎng)關及相應設施。

縱向加密認證裝置采用了國家密碼管理局自主研制開發(fā)的高性能電力專用硬件密碼單元，該密碼單元采用電力專用密碼算法，支持身份鑒別、信息加密、數(shù)字簽名和密鑰生成與保護?？v向加密認證裝置的密鑰及密碼算法僅存在于系統(tǒng)密碼處理單元的安全存儲區(qū)中，與應用系統(tǒng)完全隔離，不能通過任何非法手段進行訪問。電力專用硬件密碼單元的安全保密強度及相關軟硬件實現(xiàn)性能定期經(jīng)國內(nèi)專家評審，確保其安全性。

3 電力監(jiān)控系統(tǒng)通用安全防護技術

通用安全防護技術主要包括防火墻技術、入侵檢測技術、惡意代碼防范措施，安全配置加固技術及等級保護測評和風險評估技術。

3.1防火墻技術

防火墻是一種網(wǎng)絡安全設備，部署在兩個不同的安全域之間，根據(jù)定義的訪問控制策略，檢查并控制兩個安全域之間的數(shù)據(jù)流，所有雙向數(shù)據(jù)流必須經(jīng)過防火墻，只有經(jīng)過授權的合法數(shù)據(jù)才可以通過防火墻，其核心功能主要是訪問控制。

在實際網(wǎng)絡環(huán)境中有兩種部署防火墻的方法，一是將防火墻部署在內(nèi)部網(wǎng)與外部網(wǎng)的接入處，防火墻串接在內(nèi)部網(wǎng)與外部網(wǎng)之間的路由器上，對外部網(wǎng)進入內(nèi)部網(wǎng)的數(shù)據(jù)包進行檢查和過濾，抵御來自外部網(wǎng)的攻擊。二是將防火墻部署在內(nèi)部網(wǎng)絡中重要信息系統(tǒng)服務器的前端，防火墻串接在內(nèi)部網(wǎng)核心交換機與服務器交換機之間，對內(nèi)部網(wǎng)用戶訪問服務器及其應用系統(tǒng)進行控制，防止內(nèi)部網(wǎng)用戶對服務器及其應用系統(tǒng)的非授權訪問。

3.2 入侵檢測技術

入侵檢測技術是通過計算機網(wǎng)絡或計算系統(tǒng)中的若干關鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測技術是一種動態(tài)的安全檢測技術，一旦發(fā)現(xiàn)網(wǎng)絡攻擊現(xiàn)象，則發(fā)出報警信息，還可以與防火墻聯(lián)動，對網(wǎng)絡攻擊進行阻斷。

3.3 惡意代碼防范措施

常用的惡意供碼防范措施有如下幾點：

終端防范措施：創(chuàng)建緊急引導盤和最新緊急修復盤;使用正版防惡意代碼軟件;計算機系統(tǒng)軟件及時安裝補丁程序。

服務器防范措施：建立有效的惡意代碼防護體系;關停服務器上不用的端口與共享端口，不使用來歷不明的軟件及U盤;使用正版防惡意代碼軟件;服務器軟件及時安裝補丁程序。

網(wǎng)絡防范措施：安裝和設置防火墻;禁用無用網(wǎng)絡端口。

3.4 安全配置加固技術

安全加固主要是針對網(wǎng)絡設備、操作系統(tǒng)或主機系統(tǒng)，以及關系數(shù)據(jù)庫進行加固，是在電力監(jiān)控系統(tǒng)的網(wǎng)絡層、主機層等層次上建立符合安全需求的安全狀態(tài)。安全加固工作是通過人工的方式進行的，也可以借助特定的安全加固工具進行。電力監(jiān)控系統(tǒng)安全加固的基本要求是開放最少的服務，設置最小的權限、增加更多的審計。

3.5 等級保護測評和風險評估技術

電力監(jiān)控系統(tǒng)等級保護測評是依據(jù)國家和電力行業(yè)等級保護有關管理制度和技術標準，對電力監(jiān)控系統(tǒng)等級保護狀況進行檢測評估的活動。風險評估是信息安全等級保護的基礎，在電力監(jiān)控系統(tǒng)安全等級保護測評的各階段融入風險評估的相關活動。通過同步開展等級保護測評與風險評估工作，掌握電力監(jiān)控系統(tǒng)安全狀況，排查電力監(jiān)控系統(tǒng)安全隱患和薄弱環(huán)節(jié)，明確電力監(jiān)控系統(tǒng)安全建設整改需求，進一步提高安全保障能力。

結(jié)語

電力監(jiān)控系統(tǒng)的安全運行直接影響了整個電力系統(tǒng)甚至是國民經(jīng)濟的穩(wěn)定運行，目前我國電力監(jiān)控系統(tǒng)網(wǎng)絡安全管理工作仍然形勢嚴竣，因此需要管理部門在相應的工作原則下，從網(wǎng)絡結(jié)構、工作人員的綜合素質(zhì)、網(wǎng)絡安全管理機制和安全管理措施等方面制定有針對性的措施，提高電力監(jiān)控系統(tǒng)的網(wǎng)絡安全，以此促進我國電力行業(yè)的長久、穩(wěn)定發(fā)展。

參考文獻

[1]譚俊杰.電力調(diào)度自動化監(jiān)控系統(tǒng)安全防護探討[J].科技展望.2016.

[2]馬慶超.電力調(diào)度自動化在電網(wǎng)穩(wěn)定運行中的應用[J].科技經(jīng)濟導刊.2016.