电力监控系统网络安全监测的现状与改进方法

(整期优先)网络出版时间:2021-01-26
/ 2

电力监控系统网络安全监测的现状与改进方法

陈琳,谢明国

国网安徽省电力有限公司霍邱县供电公司,安徽,六安, 237400


摘要:随着电力行业的快速发展,人们日常生活和工作对电力能源的需求量不断增加,加强供电网络管理,需要在供电网络中建立电力监控系统网络安全防护体系,依靠体系成立工作小组,基于工作小组制定安全防护方案,将制定的管理制度贯彻和落实到实际工作中,以便及时消除电力监控系统网络存在的安全隐患,并且针对发生的安全事故实施有效的措施,提高供电网络运行的安全性和稳定性。

关键词:电力监控;系统网络;安全防护体系

引言

为了防止电力监控系统遭到黑客、病毒、恶意代码等各种形式的恶意破坏和攻击,石嘴山供电公司结合电力监控系统网络安全监视体系的建设背景,从网络安全监测装置部署、专业联动机制建立、专业运维队伍建设几个方面建立了网络安全监视体系,以全面实现电力监控系统的“软硬”监管。

1电力监控系统网络安全概述

1.1电力监控系统定义

电能是一种重要的二次能源,随着电力系统自动化水平不断提高,以及数字电网的推进,如今电能生产、传输与消费等环节都依赖于电力监控系统。电力监控系统是电力工业的重要组成,是指用于监视、控制、管理电能生产及供应过程的、基于计算机与网络技术的信息系统,是电力技术、计算机技术、网络技术有机结合的产物。它主要包括能量管理系统、配电自动化系统、电力数据网、通信网管系统、电厂及变电站监控系统等。

1.2电力监控系统网络安全风险

作为关键信息基础设施,我国对电力监控系统所处的网络结构有明确的规定,将网络划分为生产控制大区和管理信息大区,根据所承载业务的性质,进一步将生产控制大区细分为控制区、非控制区,即安全I、II区,管理信息大区则细分为生产管理区和信息内外网区,即安全III区、IV区和V区。生产控制大区和管理信息大区之间用电力专用隔离装置进行物理隔离,两个大区内的小区之间使用防火墙进行逻辑隔离,电力监控系统按要求部署在安全I、II、III区。这样的划分保证系统处于一个闭合的网络环境,使系统具备一定抵御外部网络安全威胁的能力。但软硬件自身的漏洞、不合理的策略配置、恶意代码及计算机病毒的摆渡攻击、安全管理的缺失都使电力监控系统安全防护存在木桶效应,面对的网络安全风险不容乐观。

2电力监控系统网络安全防护现状

我国电力监控系统网络安全防护体系建设现状如下:第一,我国先后颁布相关规定,包括《电网和电厂计算机监控系统及调度数据网络安全防护规定》、《电力二次系统安全防护规定》、《工业控制系统信息安全防护指南》,基于上述《规定》,我国实施多项网络安全控制管理措施;第二,在2017年我国颁布《中华人民共和国网络安全法》,对电力监控系统网络安全体系建立提出明确的要求,使我国原有的电力监控系统网络安全防护体系建设方式以及体系运行模式发生较大的变化;第三,我国为加强电力行业生产管理,由工信部出台的《工业控制系统信息安全防护指南》明确指出,要求电力监控系统网络安全防护体系必须具备动态实时感知功能,借助动态实时感知功能,可以提升网络安全升级能力,根据网络环境的变化,使安全防护体系升级至最高管理;第四,我国各地区电力企业加大管理人员的培训力度,培养出更多的网络安全管理人员,从事电力监控系统网络安全防护体系的建设与管理工作,使电力监控系统处于稳定的运行状态;

3电力监控系统网络安全防护体系建设内容

3.1变电站侧部署网络安全监测装置

网络安全监测装置是指部署在变电站站控层或并网电厂的电力监控系统,用于采集变电站站控层或发电厂涉网区域的服务器、工作站、网络设备和安全防护设备的安全事件,并转发至调度端网络安全管理平台的数据网关机。现阶段,变电站网络拓扑大体可以分为安全I、II区通过防火墙互联,安全I、II区无防火墙连接及无安全II区三大类。第一类仅需部署1台设备于安全II区,第二类则需在安全I区和安全II区各部署1台设备,第三类则需在安全I区布置1台设备。目前应用较为广泛的是第一类,即部署1台II型网络安全监测装置于II区,接入双路不间断电源、GPS对时信号,并将装置自身告警信息接入测控装置并通过远动装置上送调度端。

3.2变电站网络安全监测设备的信息接入

变电站网络安全监测装置需采集三类设备信息,分别为主机设备、网络设备和安全防护设备:(1)主机设备采集。主机设备采集原则上包含了变电站内所有类型的主机,如变电站后台监控系统主机、保护信息子站工作站、故障录波器主机等,考虑到业务的可靠运行,一般采用相应厂商开发的探针程序(agent),采集操作系统自身感知的安全信息,再通过TCP/IP协议,发送至网络安全监测装置,并由网络安全监测装置作为服务端,监听来自主机设备的连接请求。(2)网络设备采集。网络设备采集主要指站控层及间隔层交换机的信息采集,网络安全监测装置通过SNMP协议采集交换机的安全信息,交换机产生告警事件后,通过SNMPTRAP协议向网络安全监测装置发送事件信息,如网口的UP和DOWN、内存使用情况及告警信息等。

3.3制定安全防护方案

制定安全防护方案,是电力监控系统网络安全防护体系运行的指导依据。在制定安全防护方案过程中,电力企业应按照以下要求进行,包括《电力监控系统安全防护规定》、《电力监控系统安全防护总体方案和评估规范》,并且各地区结合实际情况,还应出台有助于网络安全防护体系建设以及运行的规章制度,包括《发电厂监控系统安全防护方案》、《变电站监控系统安全防护方案》等。上述《规定》和《规范》,可以优化和完善安全防护方案,使电力企业管理人员,按照方案内容开展工作,提升电厂网络安全防护体系安全水平。

3.4地县级调度中心安全防护体系建设

地县级调度中心安全防护体系建设分为以下几个步骤:第一,建立主站调度数据体系,要求数据体系是由两个部分组成,一是平面一区,二是平面二区,其中在平面一区设置防火墙,在平面二区配置加密装置;第二,在体系中成立纵向加密平台,由平面二区加密装置,向电力监控系统网络传输安全防护指令,将电力网络保持在加密运行状态;第三,建立无线安全接入区。无线安全接入区一般建立主站中,并且要求主站具有自动化功能。在接入区连接分布式电源,用于控制数据网络,通过数据网络为建立光伏扶贫项目奠定基础,为后续电力项目发展提供便利的条件;第四,建设网络安全管理平台。建设平台过程中,应坚实以下原则,一是设备自身感知原则、二是检测装置实时采集原则、三是平台统一管控原则。基于上述原则建设网络安全管理平台,可以使电力监控系统具备实时升级功能、报警功能以及监测功能;

结语

电力监控系统网络安全加固是一个动态的、循序渐进的过程,涉及关键信息基础设施,需要兼顾稳定与安全的平衡,需稳步推进。当前针对电力领域的网络安全威胁与日俱增,攻击手段层出不穷,电网数字化转型正在迅速推进,智能电网正逐步成型,系统的网络安全加固工作刻不容缓,需要将技术与管理相结合,根据电力监控系统的特点,选择适合的加固技术,重视软硬件的国产化,不断进行实践与探索,做好计划、分析、实施、评估工作,实现对网络安全加固全过程的动态管控。

参考文献:

[1]陈正.电力监控系统网络安全防护体系建设[J].电工技术,2019(03).

[2]饶巨为.电力监控系统二次安全防护探讨[J].通信电源技术,2019,36(6).

[3]李俊.网络安全加固工作的分析与探讨[J].网络安全技术与应用,2020(4).