浅谈二次安全防护在调度数据网中的应用和管理
开篇:润墨网以专业的文秘视角,为您筛选了一篇浅谈二次安全防护在调度数据网中的应用和管理范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘要:国家电网公司近年来一直在建设、加固信息系统的安全。并且由于电力网络是关系到国计民生的重要系统,电网讯息情况往往是不法分子的窥探对象,为了保证电网的安全运行。本文将从电力调度自动化系统网络安全需求的现状出发,对调度数据网管理的网络设备及运行安全隐患情况进行分析,结合网络安全技术的发展趋势,探讨如何从制度和技术的角度对调度数据网进行安全防护加固,从而逐步形成一个行之有效的安全防护体系。
中图分类号:U664.156文献标识码:A文章编号:
前言
随着电网技术的发展,自动化和通讯技术在电网中得到了广泛的应用,不仅保证了讯息的及时、准确,也提高了工作人员的工作效率。但是通信技术的应用又带来了另一个安全隐患,由于自动化及传输业务的功能不同,各类讯息分为不同的安全等级,如果不加以区分、规范,安全级别较低、实时性要求较低的业务与安全级别较高、实时性要求高的业务在一起混用,级别较低的业务严重影响级别较高的业务,将存在较多的安全隐患;电力调度数据网本着先进性、实用性和经济性相统一的原则进行网络设计,使网络具有高性能、高可靠性、高安全性、管理方便和标准化的特点,能够灵活地根据用户需求提供不同网络业务的服务保证,为各类调度信息系统提供安全、统一的宽带综合业务服务智能网络平台。
信息系统的安全主要的五个层面
1.1 物理安全
物理安全主要包含主机硬件和物理线路的安全问题,如自然灾害、硬件故障、盗用、偷窃等,由于此类隐患而导致重要数据、口令及帐号丢失。
1.2 网络安全
网络安全是指网络层面的安全。由于联网计算机能被网上任何一台主机攻击,而网络安全措施不到位导致的安全问题。
1.3 系统安全
系统安全是指主机操作系统层面的安全。包括系统存取授权设置、帐号口令设置、安全管理设置等安全问题,如未授权存取、越权使用、泄密、用户拒绝系统管理、损害系统的完整性等。
1.4 应用安全
应用安全是指主机系统上应用软件层面的安全。如Web服务器、数据库等的安全问题。
1.5 人员管理
人员管理是指如何防止内部人员对网络和系统的攻击及误用等。
二、电力调度网络面临的风险分析
电力调度数据网是承载电力调度实时控制业务、在线生产业务的专用网络。电监会颁发的《电力二次系统安全防护规定》明确要求:“电力调度数据网应当在专用通道上使用独立的网络设备组网,在物理层面上实现与电力企业其他数据网及外部公共信息网的安全隔离。电力调度数据网划分为逻辑隔离的实时子网和非实时子网,分别连接控制区和非控制区”。因此网络安全是保障电网安全、稳定运行的生命线。
2.1 信息泄露或数据破坏
此类问题是指业务数据在有意或无意中被泄漏出去或丢失,通常包括:信息在传输中丢失或泄漏,存储介质丢失或泄漏;或者以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息;应用系统设计时设立后门或隐蔽通道等。
2.2 意识风险
安全的网络离不开人的管理,因此人的意识和管理是整个网络安全中最重要的一环,尤其是对于庞大和复杂的调度数据网更是如此。现实运行中发现一些部门的人员安全意识不够强,安全措施不到位,比如在选择口令时图简单省事,或将自己的账号随意转借他人或与他人共享信息资源等,这些行为都具有极大的安全隐患。
2.3 网络和系统软件的漏洞和多余服务
由于电力调度网涉及的网络设备技术复杂,不可避免地存在许多缺陷和漏洞,这些缺陷和漏洞恰恰是网络攻击的目标。此外某些设备存在一些用处不大而又证明很容易被人利用的薄弱服务,一些应用系统在设计时也可能存在有意无意的一些漏洞和后门。一旦攻击者利用这些漏洞或缺陷侵入网络并进而进入主机系统,将会对电力系统的整体生产和调度安全产生极大的破坏。
2.4 误操作及配置错误
主要表现在对网络结构和配置参数未作详细研究,对网络设备的功能未作深入了解,以及日常使用和监控中对设备随意操作,这些都会带来安全威胁。同时电力调度数据网是一个技术复杂先进的网络,系统设计功能的实现是一个动态的完善过程,比较容易出现配置错误,某些错误可能短时间内不易看出,需要等到某种触发条件才会表露出来。
数据网的应用和管理
加固信息系统安全,国网公司具体从设备和管理两方面来实施,在设备方面,本着“安全分区,网络专用。横向隔离,纵向加密”的思想,公司先后部署了二次安全隔离装置、纵向加密装置、防病毒服务器、IDS认证装置等安全防护设备。在保障数据安全的过程中发挥了重要的作用,其中二次安全隔离装置、数据纵向加密装置具有典型的信息系统防护的特点。
数据纵向加密装置部署在厂站和主站的交换机和路由器之间,其中主站(局端)部署两台主备加密装置,厂站(变电站或县公司)与主站端通讯时,两端加密装置通过加密证书互相确认,发送方的加密装置将数据包加密成一段随机编码传输到路由器,经过光缆传输到对端的加密装置,经过对端的加密装置将数据包解密,形成原始的报文。这样即使通讯报文被中途窃听,窃听方得到的只是一串乱码,起到数据加密传输的作用。
加密装置部署示意图
作为另一个体现二次安全防护重要特点的二次安全隔离装置,它的目的是将生产控制大区的1、2区和3区实现软件隔离,防止不同区域之间的业务互相影响,而对于某些需要跨区通讯的特殊业务,隔离装置通过虚拟地址映射,使双方机器的网卡“认为对方在同一网段”而实现互相通讯。对于未映射虚拟地址的机器,则如同物理隔离一样,无法通信。
隔离装置部署示意图
做好安全防护工作,不能仅依赖于系统设备,只有做到系统设备和人为管理双管齐下,才有可能从根本上保障信息和控制系统的安全:
1.对全网实施监管,所有与电力调度数据网连接的节点都必须在有效的管理范围内,保障安全的系统性和全局性。
2.加强人员管理,建立一支高素质的网络管理队伍,防止来自内部的攻击、越权、误用及泄密。
3.加强运行管理,建立健全运行管理及安全规章制度,建立安全联防制度,将网络及系统安全作为经常性的工作。
四、结束语
随着科学的发展,网络技术的进步,应对网络攻击的手段层次不穷,这也就注定了电力调度数据网安全防护是一个长期的、艰巨的、动态的过程。在强调安全防护技术重要性的同时,更不能忽略了管理,管理和技术的安全措施是相辅相成,缺一不可。要建立一支高素质的网络维护员队伍,只有加强运行管理,建立健全运行管理及安全规章制度、建立安全联防制度,将网络及系统安全作为经常性的工作来抓等。只有这样,技术和管理双管齐下,才能确保电力调度数据网的安全。