1、关于电力二次系统安全防护的具体措施分析摘要:作为国家支柱的电力行业运行越来越需要安全防护系统保障其安全运行,电力安全防护目前遇到了很多现实问题,建立电力二次系统安全防护体系,保障电力系统的安全,防范电力系统事故的发生,越来越受到集团企业和国家相关部门的高度关注。通过对电力二次系统的现状、安全防护目标和防护策略各方面的分析,明确了安全防护工作中存在的短板,进而初步探讨制定出新的电力二次系统安全防护方案和措施。关键词: 电力二次系统 安全防护 具体措施 中图分类号: F406 文献标识码: A 文章编号:电力行业信息化技术的逐步提高,使得内部信息网具备跨地区、全行业覆盖的功能更突出。电力行业信息技
2、术的进步,是计算机网络成为加入电网调度机构后发挥的重大作用。以目前的发展趋势,电力行业对网络的依赖性越来越大,为杜绝网络共计的危险,电力二次系统被提高到重要层面,已经成为有效抵制各种形式网络攻击的基本保障。 1.二次系统安全防护现状 近年来随着电力行业二次系统安全防护项目的发展,信息化应用日趋增强,电力网络安全问题也变得更为重要。目前电力安全系统涉及到发电行业各个环节,我国现实现了国调、网调、省调和县调五级。发电厂生产控制区业务系统接入调度数据网及相应调度数据网边界的安全防护。电网规模不停扩充,自动化系统需求增大,完善电力二次系统安全成为了必须。 1.1 系统硬件平台现状 EMS 系统硬件平台
3、是十分成熟的电网管理平台,它不仅负担着电网实时监测、控制、处理、SOE 等任务,而且有电压无功优化管理、状态分析、负荷预测、调度员潮流分析等功能,还成为 DMIS 系统整合的有力支撑。火电厂的 DCS、NCS、或 ECS 监控系统通过 SIS 系统与调度 EMS 系统相连,火力发电厂的 AGC、AVC 则直接与调度 EMS 系统相连,参与有功无功的远程控制。对于厂内二次系统,除了做好备份和计算机管理方面的工作外,更重要的是运用防病毒软件作为日常安全保障的重要手段,那么专用于电力系统的病毒升级服务器配备就显得尤为重要,渐渐被提上日程。 1.2 系统软件平台现状 系统软件平台 EMS 系统是功能一
4、体化的系统,其网络结构是以总线连接两层交换机的构架,负荷很重,交换流量也过大,很易形成数据通信问题,甚至出现主程序会自主关闭现象。火电厂内部监控系统则通过标准协议(TCP/IP)全封闭系统,应杜绝外部访问。 2. 二次防护系统加固措施实践 采用自加固和专业安全加固两种形式对电力系统进行加固,能够对电力系统日常维护和专业评估后的漏洞起到修补的安全加固作用。 2.1 基于数据单向迁移的横向隔离措施 按照“安全分区、网络专用、横向隔离、纵向认证”原则,EMS 系统基于 LINUX 操作系统服务器单向迁移数据镜像发布于 Web 服务器生成页面,给信息管理大区的业务用户使用。 Linux 系统可实现对个
5、体文件、任务进行加密处理,更加可靠。可是Web 服务器在身份认证和权限管理方面无有效措施,Linux 系统中的SAMBA 服务使 Web 服务器在直接面向与 INTERNET 互联的 MIS 网络时,给HACKER 攻击和病毒入侵提供了侵入机会。有效结合软硬件的安全隔离措施应被广泛使用,才能在共享网络数据时对侵入的非法信息进行阻断。 2.2 基于认证加密技术的纵向防护措施 采用 IP 认证加密装置间的相互认证来实现安全/区内部的纵向通信过程。有如下方面:IP 认证加密装置之间支持基于数字证书的认证,支持定向认证加密;对传输的数据通过数据签名与加密进行数据机密性、完整性保护;支持透明工作方式与网
6、关工作方式;具有基于 IP、传输协议、应用端口号的综合报文过滤与访问控制功能;实现装置之间智能协调,动态调整安全策略;具有 NAT 功能。 2.3 系统的网络访问控制措施 网络各节点全面控制措施可以从五个方面来实现: (1)强化口令管理:如果设置的口令较易被破解就需要加强口令管理控制。因为 EMS 系统口令若被人盗用,会对电力二次系统和电网的安全运行形成危害,后果不堪设想。 (2)禁用不必要服务:诸如 Finger、BootpServer、ProxyArp 等出场缺省服务,在路由器上,对于 SNMP、DHCP 以及 Web 不必须的管理服务等能关闭的就关闭。 (3)禁用远程访问:远程访问控制计
7、算机必然泄露系统信息,在链接过程中难免有病毒侵入系统,所以应完全避免。 (4)控制流量有限进入网络:路由器通常会成为 DOS 攻击的目标,没有 IP 地址的包,一切外来的和仿冒内部的包都不要随意下载、打开使用。此外,用户还可以采取增加 SYNACK 队列长度、缩短 ACK 超时等措施来保护路由器免受 TCP SYN 的攻击。 2.4 数据库管理与安全审计措施 数据库管理要着重 EMS 系统管理,其数据资源受到设备物理防护,而无法避免人为因素破坏。因而用户应该采取必要措施加以防范。比如明确系统维护人员、调度操作人员、设备巡视人员职责权限,实现口令管理,同时在系统中用 LOG.TXT 记录人员访问
8、操作信息。严格口令管理制度,严禁无关人员使用工作人员口令、权限,并健全相关处罚措施。 2.5 防病毒措施 防病毒措施的关键就是防病毒软件的使用。专业病毒软件的使用和定期更新是防范的重点,而因为更新需要插入的移动设备必须要率先排除染毒可能。也就需要固定的专门的病毒升级服务器,它可设立在安全III 区,采用 LINUX 系统平台,加装防毒软件,成为独立的病毒升级机,先用本机杀毒而后经过物理隔离设备供给总线结构连接的 EMS 网络各设备,来实现系统设备病毒库的安全升级。 此外,EMS 提供的 I/O 设备是一大隐患,能封存该设备就要加以封存,防范因此造成的系统崩溃等故障。 2.6 制度管理措施 严格
9、专人负责制,成立专门的安全防护领导小组和监督工作组,负责本单位二次系统安全防护的组织管理和具体工作。做好重要应用系统软件、数据的备份,确保在数据损坏、系统崩溃情况下快速恢复数据与系统。有专人查看 IDS 入侵检测系统运行日志,及时处理网络异常。 2.7 其它加固措施 程序安全措施、安全细化评估、数据的备份和恢复、入侵检测 IDS等手段都可作为加固措施进行配置。 结束语: 计算机网络的安全是和电力生产安全连为一体的,只有运用健全的网络安全管理技术和完备的管理方法,加强日常管理监督,不断应用新技术对电力安全系统进行更新,才能成为电力行业安全防护最好的保障。参考文献: 1 李劲.论述广西电力二次系统安全防护技术原则J.广西电力,2005,(4):18. 作者简介:王宏臣:男,工程师,1993 年毕业于哈尔滨电力学校,2009 年毕业于东北电力大学,现在华电能源佳木斯热电厂从事继电保护专业。
