電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)

黃碗明

摘要：電力系統(tǒng)涵蓋了從發(fā)電，傳輸?shù)睫D(zhuǎn)換到能源消費(fèi)的各個(gè)生產(chǎn)單位和個(gè)人，進(jìn)而要想要保證電力系統(tǒng)達(dá)到安全、穩(wěn)定和連續(xù)工作的最佳狀態(tài)，就必須保證各電力系統(tǒng)的設(shè)備在正常和穩(wěn)定的條件下工作，進(jìn)而能夠?qū)W(wǎng)絡(luò)安全和安全設(shè)施的運(yùn)行狀況進(jìn)行實(shí)時(shí)監(jiān)測，并對其進(jìn)行集中可視化、實(shí)時(shí)預(yù)警，以滿足電力系統(tǒng)安全評估的需要，從而增強(qiáng)安全防范、控制和管理的能力。

關(guān)鍵詞：電力監(jiān)控系統(tǒng);網(wǎng)絡(luò)安全;防護(hù)體系

前言

電力系統(tǒng)作為我國的重要基礎(chǔ)設(shè)施，在各國"網(wǎng)絡(luò)戰(zhàn)"中占有舉足輕重的地位，因而必須引起各國的高度重視。新能源電廠的引入，使得電網(wǎng)安全指標(biāo)面臨嚴(yán)峻挑戰(zhàn)。最近兩年，我國通過了網(wǎng)絡(luò)安全法，將其正式列入了法律法規(guī)的范疇。由于各大城市的發(fā)展?fàn)顩r不同，所以各大城市的電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)也是千差萬別，但也其發(fā)揮的作用也都推動了我國國民經(jīng)濟(jì)和社會發(fā)展。

一、我國電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)上存在的問題

（一）相應(yīng)的運(yùn)營商管理問題

從目前的情況來看，雖然我國的許多電力公司都有自己的管理辦法和相關(guān)的安全防范措施，但卻有一定的漏洞。一方面，在數(shù)據(jù)的安全性問題上，如果黑客攻破了某一道防線，那么就可以控制數(shù)據(jù)的流失和傳輸，從而造成電力監(jiān)控系統(tǒng)的安全保護(hù)系統(tǒng)不能正常運(yùn)作;另一方面，如果電力監(jiān)控系統(tǒng)出了問題，那么計(jì)算機(jī)就會失去對網(wǎng)絡(luò)進(jìn)行安全保護(hù)，這就給了黑客足夠的時(shí)間，讓他們有足夠的時(shí)間去攻擊網(wǎng)絡(luò)。同時(shí)，電力安全防護(hù)系統(tǒng)也存在著管理體系不健全、軟件更新滯后等問題。

（二）相關(guān)人員技術(shù)管理問題

由于我國的信息技術(shù)發(fā)展速度很快，相應(yīng)的人才缺乏，技術(shù)管理也很缺乏，如果電力系統(tǒng)保護(hù)措施如果發(fā)生故障，且由于管理人員的安全防范意識不強(qiáng)，進(jìn)而就導(dǎo)致了電力系統(tǒng)出現(xiàn)安全問題。另一方面，在進(jìn)行安全保護(hù)的過程中，由于成本過高，有的企業(yè)不能按照自己的需求選用合適的系統(tǒng)，而采用傳統(tǒng)的保護(hù)方式，這就導(dǎo)致了監(jiān)測系統(tǒng)之間的跨區(qū)域連接，并且由于技術(shù)人員的缺乏，導(dǎo)致了數(shù)據(jù)的存儲和傳輸容易出現(xiàn)安全問題，數(shù)據(jù)的存儲方式不當(dāng)不僅會造成數(shù)據(jù)的丟失，而且還會使得數(shù)據(jù)的隱秘性下降[1]。

二、電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)的關(guān)鍵技術(shù)

（一）物理隔離技術(shù)

當(dāng)前，有三種主要的物理隔離技術(shù)：實(shí)時(shí)交換機(jī)、單向連接和網(wǎng)絡(luò)交換器。實(shí)時(shí)交換機(jī)能夠?qū)崿F(xiàn)內(nèi)外網(wǎng)的分離，能夠?qū)崿F(xiàn)數(shù)據(jù)的連通性和高速的數(shù)據(jù)處理。它是將一個(gè)網(wǎng)絡(luò)連接起來，再把交換器傳送到另外一個(gè)網(wǎng)絡(luò)，把以前收到的數(shù)據(jù)傳輸?shù)搅硗庖粋€(gè)網(wǎng)絡(luò)中，使兩個(gè)網(wǎng)絡(luò)間的數(shù)據(jù)能迅速交換，進(jìn)而實(shí)現(xiàn)實(shí)時(shí)處理。同時(shí)，實(shí)時(shí)交換機(jī)也會切斷網(wǎng)絡(luò)的連接，這樣就不會有任何的漏洞，也可以通過實(shí)時(shí)切換來防止病毒入侵。所謂的單向連接，指的是將數(shù)據(jù)資料從源網(wǎng)上單向傳輸至目標(biāo)網(wǎng)絡(luò)，屬于"只讀"模式，無法反向傳輸數(shù)據(jù)資料至源網(wǎng)，只能通過硬件來完成，避免數(shù)據(jù)資料傳輸?shù)牟铄e(cuò)。所謂的網(wǎng)絡(luò)交換器就是一臺電腦上有兩臺虛擬機(jī)，同時(shí)向其他虛擬機(jī)輸入資料。在數(shù)據(jù)傳送方面，由于它的處理速度比較緩慢，不能進(jìn)行實(shí)時(shí)處理。所以，通常情況下，一個(gè)網(wǎng)絡(luò)交換器有兩塊接口的硬件，這兩塊硬件板都是獨(dú)立的，但是只能在同一時(shí)間內(nèi)啟動一個(gè)網(wǎng)絡(luò)。

（二）SSL技術(shù)與IPsec技術(shù)

SSL協(xié)議以傳輸層為基礎(chǔ)進(jìn)行傳輸，在應(yīng)用層的作用下對數(shù)據(jù)的傳送進(jìn)行安全的保障。SSL電力系統(tǒng)的安全性信道由SSL和SSL客戶機(jī)組成，SSL客戶機(jī)在用戶端的身份驗(yàn)證中起重要作用，SSL客戶機(jī)則是在wEB上完成用戶的身份驗(yàn)證。SSL技術(shù)能夠?qū)崿F(xiàn)對數(shù)據(jù)的保密和安全，采用MAC技術(shù)對信息的完整性進(jìn)行安全防護(hù)，最后采用數(shù)字認(rèn)證技術(shù)對發(fā)送方和接收方進(jìn)行身份認(rèn)證。IPsec是指使用AH和EsP來實(shí)現(xiàn)安全，IPSec能夠提供多種安全業(yè)務(wù)，它使用身份認(rèn)證系統(tǒng)來執(zhí)行存取控制，在進(jìn)行通訊之前先由IKE和SA進(jìn)行磋商，再使用公開密鑰簽署機(jī)構(gòu)進(jìn)行身份認(rèn)證，IPSec可以利用資訊驗(yàn)證機(jī)制，在發(fā)送數(shù)據(jù)前先對數(shù)據(jù)來源進(jìn)行驗(yàn)證，再利用資訊驗(yàn)證方法來計(jì)算Mac，利用HMAC輸入信息與密碼，最后輸出Mac。IPSec在收到IP分組之后，也能用同樣的方法進(jìn)行數(shù)據(jù)處理，當(dāng)接收到相同的數(shù)據(jù)時(shí)，表示該數(shù)據(jù)已經(jīng)被檢驗(yàn)通過。

三、電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)內(nèi)容

（一）成立工作小組

在組成網(wǎng)絡(luò)安全防護(hù)體系工作小組時(shí)，調(diào)控中心負(fù)責(zé)人擔(dān)任組長，由各個(gè)電網(wǎng)公司自動化管理人員、縣調(diào)自動化管理人員、通信管理人員等充當(dāng)組員的角色，采取安全專責(zé)措施進(jìn)行工作，強(qiáng)調(diào)每個(gè)人都要承擔(dān)起自己的工作職責(zé)，尤其是在網(wǎng)絡(luò)的安全方面，這就要求該公司的工作人員要擔(dān)負(fù)起整個(gè)區(qū)域的電力監(jiān)測系統(tǒng)的工作任務(wù)，保證工作的質(zhì)量和效率。

（二）制訂安全防護(hù)方案

首先，在工程預(yù)審階段，各發(fā)電站應(yīng)按照安全區(qū)域、網(wǎng)絡(luò)專用、水平隔離、縱向驗(yàn)證等對安全設(shè)備進(jìn)行配置。其次，專門安排主廠站的安保設(shè)施，并對其進(jìn)行實(shí)地檢驗(yàn)和驗(yàn)收。最后，部署入侵檢測系統(tǒng)。對于具備同等安全性的二級系統(tǒng)，應(yīng)積極引進(jìn)IDS，全面監(jiān)測數(shù)據(jù)網(wǎng)絡(luò)的數(shù)據(jù)，并及早發(fā)現(xiàn)其入侵。在其它方面，電力企業(yè)要建立內(nèi)部的安全管理體系，向相關(guān)人員講解網(wǎng)絡(luò)安全管理的方法和原則，并要制定相應(yīng)的應(yīng)急計(jì)劃，定期進(jìn)行演練[2]。

（三）地縣級調(diào)度中心安全防護(hù)體系建設(shè)

地縣調(diào)度中心的安全防護(hù)體系建設(shè)主要包括以下步驟：一是建設(shè)一個(gè)主要站的調(diào)度體系，其體系分為平面一區(qū)、平面二區(qū)，其中平面一區(qū)設(shè)有一道防火墻，二區(qū)配置加密裝置;二是建立一個(gè)垂直的密碼平臺，通過一個(gè)二層的平面密碼設(shè)備，將保護(hù)命令發(fā)送給電網(wǎng)，使電網(wǎng)處于一個(gè)密碼操作的狀態(tài);三是建設(shè)一個(gè)無線安全的存取地。在主要站點(diǎn)中設(shè)置一個(gè)無線安全性訪問區(qū)域，同時(shí)還需要一個(gè)主要站點(diǎn)的自動控制。將分布式電源與接入部相連，實(shí)現(xiàn)對電網(wǎng)的控制，利用該數(shù)據(jù)網(wǎng)為光伏扶貧工程建設(shè)打下了良好的基礎(chǔ)，為今后的電網(wǎng)建設(shè)打下良好的基礎(chǔ);四是構(gòu)建了一個(gè)網(wǎng)絡(luò)的安全管理系統(tǒng)。平臺構(gòu)建的原則是：平臺自身感知原則、檢測設(shè)備實(shí)時(shí)采集原則、平臺平臺的一致性控制原則。在此基礎(chǔ)之上，構(gòu)建一個(gè)網(wǎng)絡(luò)化的安全管理平臺，實(shí)現(xiàn)實(shí)時(shí)升級、報(bào)警、監(jiān)視等功能;五是對IDS的配置和調(diào)試。在電廠的自動控制系統(tǒng)中，通常配備兩套測試設(shè)備，目前普遍采用的是NT600-HD，它們被布置在一層和二層的水平區(qū)域;六是建立網(wǎng)絡(luò)安全緊急計(jì)劃，當(dāng)電網(wǎng)監(jiān)測設(shè)備發(fā)生故障時(shí)，立即采取相應(yīng)的緊急措施，保障人身和財(cái)產(chǎn)的損失;七是構(gòu)建安全生產(chǎn)管理系統(tǒng)，包括一級、二級、三級系統(tǒng)，且電力企業(yè)在每個(gè)級別的測評內(nèi)容必須向公安機(jī)關(guān)備案。

（四）發(fā)電廠安全防護(hù)體系建設(shè)

發(fā)電廠的安全防護(hù)體系建立主要包括以下步驟：一是前期的工程審查。在安全防護(hù)體系建立的前期，安全評估要遵循以下幾個(gè)原則：安全分區(qū)原則、網(wǎng)絡(luò)專用原則、橫向隔離原則、縱向驗(yàn)證原則;二是開發(fā)監(jiān)測體系的安全保護(hù)計(jì)劃，按照保護(hù)計(jì)劃將自動控制技術(shù)引入到系統(tǒng)中;三是對發(fā)電廠的安全防護(hù)體系進(jìn)行測試，主要測試對象是電站中的主電站和電站的設(shè)施，經(jīng)過測試，達(dá)到了系統(tǒng)的協(xié)調(diào)能力，只有在測試完畢之后，方可進(jìn)行下一階段的工作;四是測試系統(tǒng)的防侵入性能;五是對在該網(wǎng)絡(luò)中設(shè)置的安全監(jiān)控設(shè)備進(jìn)行探測[3]。下圖為電力系統(tǒng)安全防護(hù)建設(shè)。

四、結(jié)語

總之，在構(gòu)建電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系的工作中，必須確定電網(wǎng)公司的建設(shè)目的，加強(qiáng)對電網(wǎng)的保護(hù)。在工作中，不但要建立一個(gè)工作團(tuán)隊(duì)，還要制訂一個(gè)安全保護(hù)計(jì)劃，根據(jù)計(jì)劃的要求，配備自動裝備和信息技術(shù)，并對員工的工作能力進(jìn)行強(qiáng)化，這樣才能保證電網(wǎng)的安全和穩(wěn)定運(yùn)轉(zhuǎn)。

參考文獻(xiàn)

[1]馬越.電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)[J].商品與質(zhì)量，2020（48）：175.

[2]姜再能，郭翔，郭豐.電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)研究[J].數(shù)字通信世界，2020（2）：265.

[3]孫靜.電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)[J].數(shù)字通信世界，2020（10）：160-161.