电力网络安全防护原则
开篇:润墨网以专业的文秘视角,为您筛选了八篇电力网络安全防护原则范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
电力网络安全防护原则范文第1篇
关键词 电力二次系统;安全防护;电网安全;信息安全
中图分类号 TM77 文献标识码 A 文章编号 1674-6708(2016)172-0283-02
目前,电力二次系统的信息安全与电网调度和控制系统等安全运行分不开,如何搭建安全可靠的电力二次安全防护系统,确保电网安全稳定运行,已成为迫在眉睫的问题。随着网络建设的快速发展,电力二次系统网络运行环境的安全性严重不足。在2003年的美加大停电中,蠕虫病毒阻碍了加拿大安大略省从停电事故中恢
复正常供电的进度[ 1 ]。
电力二次系统是电网安全稳定运行的前提,如果没有二次系统的保障,一次系统无保护运行将很容易造成系统性崩溃。因此,必须要防止病毒和黑客威胁电力二次系统数据网络,减少电力系统安全事故[ 2 ]。
1 交换机技术
交换机工作在数据链路层,管理和共享多个计算机以及网络设备,其特点是对网络进行以微分段的方式进行数据通信[3]。交换机解决了两个相邻节点之间的通信问题,实现了邻节点链路上无差错、准确无误、高效快速的传输协议数据帧[4]。
如今已有能够支持各种局域网多层的路由技术,实现了数据快速和准确转发。多层交换技术具有性价比高、易于扩展等优点,成为主要的发展趋势。交换机在数据帧交换中的核心集成电路设计、硬件体系结构设计、虚拟局域网技术等方面都会有所改进。从整体来看,交换机是向更快、更可靠、带宽更大的方向发展。
2 路由器技术
不同的网段或网络可以通过路由器连接Internet中各局域网的广域网的设备,从而构成一个更大的网络。它能够根据网络情况自动选择和设定路由,以最佳路径将数据包转发出去。
如图1所示,在TCP/IP网络中路由器是最主要的联网设备。IP路由协议中使用的度量有:跳数、带宽、负载、延迟和开销。未来路由器的设计和发展方向将趋向于高安全性、高可靠性、高性能和智能化4个方面。
3 硬件防火墙技术
硬件防火墙作为一种重要的网络安全设备,主要用于实现网络地址转换、过滤规则配置等,其技术还在不断地发展进步[ 5 ]。为了提高防火墙的性和稳定性,一些防火墙厂商通过专用的集成电路或者网络处理芯片来实现防火墙的核心功能。由于采用了专门的硬件处理平台,防火墙的处理能力得到了很大的提高,降低了因为防火墙检测而导致的网络延时。在功能上,防火墙在保留其核心功能的基础上,增加了地址转换、虚拟专用网络、Qos、入侵检测和病毒防御等完善网络安全管理的功能,从而构建了一套以防火墙为核心的完全防御系统[ 6 ]。以防火墙为核心的安全防御系统是一个智能化的操作平台,能够准备地发现并及时阻挡入侵的发生和中止病毒的扩散等。
随着电子商务的蓬勃发展,作为其支撑的宽带和应用数据中心均对防火墙性能提出了更高要求,导致对高速防火墙的大量需求。高速防火墙是指那些吞吐量和处理速度非常优异的千兆防火墙。为了实现比普通防火墙更高的要求,高速防火墙采用了专用集成电路(ASIC)技术、集群技术的分布式技术。
4 横向隔离技术
电力二次系统实现电网的实时监控、在线稳定控制预决策、继保信息管理、电量采集、在线生产交易等业务。由于关系到电力生产安全、社会生活稳定等重大问题,电力二次系统再长期的建设过程中,都要求与企业综合业务网和物流网进行隔离。但是信息管理系统与互联网连接,并与电力二次系统信息共享必然会引入外部安全威胁。而防火墙等在线防护技术采用逻辑隔离的方法,不能提供较高强度的安全。所以这种软隔离方法难以满足电力部门的高安全需求,必须采用一种能够提供高强度安全的技术,在保护电力二次统内部安全的同时,提供较好的数据交换功能。
网络隔离技术就是将网络与网络之间的连接分离,然而网络隔离后便不能实现数据信息共享的功能。网络隔离与数据交换本来就是一对矛盾,而网络隔离技术就是为了解决这一对矛盾,为网络提供一种安全交换方式而发展起来的[ 7 ]。由于网络近乎苛刻的安全性要求,网络隔离技术的设计思想与传统的网络防御技术有了较大的区别。
根据电力网络应用的特殊要求,厂商研发出了电力专用横向隔离装置。横向隔离装置使用网络安全技术和隔离交换技术,在内外网间断开OSI七层网络协议,实现了非网络数据的交换。为了解决计算机信息共享的问题,设计了基于TCP/IP模型的网络体系结构,它很好地解决了不同网络之间的兼容性问题,实现了网络间的互联互通。
5 纵向加密认证技术
纵向加密认证装置负责保障网络内数据的安全传输,其设计及使用的原理涉及密码学和网络安全。纵向加密认证装置采用“统一协调,分级管理”,通过各级装置管理系统对不同厂商的设备进行统一管理。
除纵向加密认证装置外,“纵向认证”的实现还涉及调度证书服务系统和装置管理系统。装置管理系统位于电力调度中心,是对所辖多厂商的装置进行统一管理的计算机系统[8]。
6 结论
综上所述,本文主要介绍了交换机、路由器、硬件防火墙、横向隔离装置和纵向加密认证装置等电力二次系统安全防护中五种主要安全防护和网络设备的技术原理,并阐述各设备在电力专用领域的安全技术。事实证明,电力二次安全防护在电力系统的正常运行中发挥着不可替代的作用,其不仅保障了电力系统二次信息传递的安全,为电力系统的正常运行营造了可靠安全的运行环境,还提高了电力系统二次信息传递的准确性和快速性,保证电力系统运行的安全性和可靠性,从而保证国民经济持续快速的增长。
参考文献
[1]天石.停电后蠕虫病毒使加拿大电力系统恢复受阻[EB/OL].[2011-10-18].http://.cn/o/2003-08-20/1004600489s.shtml.
[2]邹春明,郑志千,刘智勇,等.电力二次安全防护技术在工业控制系统中的应用[J].电网技术,2013,37(11):3227-3232.
[3]黎连业,王安,向东明.交换机及其应用技术[M].北京:清华大学出版社,2004.
[4]陈玉平.电力调度自动化二次系统安全防护初探[J].自动化技术与应用,2009,28(8):132-134.
[5]李劲.论述广西电力二次系统安全防护技术原则[J].广西电力,2005,28(4):18-21.
[6]黎连业,张维,向东明.防火墙及其应用技术[M].北京:清华大学出版社,2004.
电力网络安全防护原则范文第2篇
关键词:智能电网;自愈控制;电力免疫系统
中图分类号: U665.12 文献标识码: A
0 引言
计算机及互联网技术在日常生活和工作中得到了广泛的应用和发展,在关系到社稷民生的电力系统中,更是不可或缺的一部分。随着科技的日益进步,黑客及恶意代码对互联网和个人电脑的危害愈来愈深,同时也威胁着电力系统。因此,《全国电力二次系统安全防护总体方案》的出台无疑为有效地保障电力二次系统的安全提供了可靠的指导思想。
要保证现代电力系统能够安全稳定、高效可靠的运行,一个高效、可靠、复杂的计算机基础网络是不可或缺的,那么在面对黑客或恶意代码的攻击时,其安全问题就相应地被摆到了重要位置。根据“总体方案”的要求,无论是实时性要求高的调度自动化、配网自动化等二次自动化系统,还是实时性要求低的电能量计量、故障信息等系统,都要配置满足相应要求的设备,并制定详细的管理细则,用以保障系统安全地运行。
1 电力二次自动化系统安全隐患分析
1.1 电力二次系统
全国电力二次系统是指由各级电力监控和调度数据网络(SPDnet)以及各级电网管理系统(MIS)、电厂管理信息系统、电力通信系统及电力数据通信网络(SPTnet)等构成的极其复杂的巨大系统。二次系统划分为生产控制大区和管理信息大区。生产控制大区划分为安全区Ⅰ(控制区)和安全区Ⅱ(非控制区)。把监控与数据采集系统(SCADA)和应用软件系统(PAS)等可以控制电网并且对数据传输实时性要求较高的系统划分到安全区Ⅰ,把不直接控制电网或实时性要求不高的电能量计量系统(TMR)和调度员培训系统(DTS)等划分到安全区Ⅱ。管理信息大区又分为安全区Ⅲ(生产管理区)和安全区Ⅳ(办公管理区)。安全区Ⅲ主要是电力调度管理系统(OMS),安全区Ⅳ主要是电网生产管理系统(GPMS)和企业资源计划系统(ERP)等。
1.2 相关硬件设备的安全威胁
电脑机房、网络设备、通信线路、安全设备等相关设备和线路的安全管理是保证二次自动化系统能够安全稳定运行的前提。但这些设备都面临着自然灾害、人为灾害(操作失误、被盗、断电、恶意破坏等)或辐射导致的威胁,如若出现这种情况,会给用户造成极大损失。
1.3 相关网络防护和操作系统的安全威胁
通常在安全区Ⅰ和安全区Ⅱ之间加装防火墙,对其预先设定的策略进行匹配,可以控制进出网络的信息流向和信息包,这是网络的第一道防线。但由于防火墙自身的局限性,无法对数据包及上层的内容进行核查,并且对待内部主动发起的攻击一般无法阻止。防火墙本身就是一个OS,也有其硬件系统和软件,因此依然有着不足,所以其本身也可能受到攻击并出现软、硬件方面的故障。计算机的操作系统(Windows系统、Unix系统、Linux系统等)日趋稳定和高效,但是缺省安装的操作系统会产生很多漏洞,对二次系统的安全运行产生极大威胁。
1.4 应用层的安全威胁
应用层的安全通常依赖于网络平台、操作系统、数据库的安全,但是应用系统相当复杂,如没有妥善解决其安全问题,这些安全漏洞或是不合理的配置都可能导致整个网络系统的安全性下降。
1.5 内外部网络的安全威胁
系统管理员如安全配置不当造成安全漏洞,内部人员若违规操作,将自己的账号随意借与他人或与别人共享都会为网络安全带来威胁。内部人员自身的恶意攻击是整个网络面临的最大威胁。一种是主动攻击,选择性地破坏信息;一种是被动攻击,在不影响整个网络正常工作的前提下,截获、盗取或是破译信息。不管是主动攻击还是被动攻击,都会对整个计算机网络造成极大危害。
由于生产和工作的需要,若内部网络与外部网络进行连接,如果缺少隔离措施,内部网络的安全漏洞很容易受到外部入侵者的利用,造成系统拒绝服务,或者信息被窃取或篡改的风险。
电力二次系统安全防护的目标是抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击,特别是能够抵御集团式攻击,防止由此导致一次系统事故或大面积停电事故及二次系统的崩溃或瘫痪。在电力二次自动化系统的运行过程中,可能会出现很多导致其无法正常运行的威胁,因此,在二次系统的安全防护设计过程中,必须坚持以下原则,即:安全分区、网络专用、横向隔离、纵向认证,保障电力监控系统和电力调度数据网络的安全。
2 电力二次自动化系统的安全防护策略
2.1 分区防护及安全区的隔离
根据系统中业务的重要性和对一次系统的影响程度进行分区,重点保护电力实时控制以及重要生产业务系统。所有系统都必须置于相应的安全区内,纳入统一的安全防护方案,不符合安全防护总体方案要求的系统必须整改。安全区Ⅰ与安全区Ⅱ之间采用逻辑隔离,通过双链路连接互为备份,每条链路上都需要部署一台防火墙,并要求两台防火墙之间能够同步流量和会话信息,互相作为备份。禁止跨越安全区Ⅰ与安全区Ⅱ的e-mail、web、telnet、rlogin。安全区Ⅰ、Ⅱ与安全区Ⅲ、Ⅳ之间隔离水平必须接近物理隔离,禁止跨越安全区Ⅰ、Ⅱ与安全区Ⅲ、Ⅳ的非数据应用穿透。隔离设备采用专用网络安全隔离设备,且必须满足以下条件:具有物理隔离能力的硬件结构,保证了内部网络和外部网络的物理隔离。软、硬件结合的数据流向控制,通过安全策略实现软控制,通过物理开关实现硬控制,Socket连接方向的控制,IP与MAC地址绑定。同一安全区内纵向联络使用 VP N网络进行连接。
2.2 纵向防护
采用认证、加密、访问控制等手段实现数据的远方安全传输以及向边界的安全防护。安全区Ⅰ、Ⅱ内部的纵向通信过程,主要考虑是两个系统之间的认证,建议采用IP认证加密装置之间的认证来实现,集中在以下方式:IP认证加密装置之间支持基于数字证书的认证,支持定向认证加密;对传输的数据通过数据签名与加密进行数据机密性、完整性保护;支持透明工作方式与网关工作方式;具有基于IP、传输协议、应用端口号的综合报文过滤与访问控制功能;实现装置之间智能协调,动态调整安全策略;具有NAT功能。
2.3 网络隔离
通过采用MPLS—VPN或IPsec—VPN在专网上形成相互逻辑隔离的多个VPN,达到在专用通道上建立调度专用数据网络实现与其他数据网络物理隔离的目的。用以保障各安全区的纵向互联仅在相同安全区进行,避免安全区纵向交叉。另外,若非绝对必要不可使用SNMP、DHCP以及Web管理等服务。如果使用远程访问,虽然可以方便系统的远程维护,实现厂家在线技术支持,但是通过INTERNET的访问,系统必将暴露无疑,这为攻击提供了访问端口,部分病毒很可能趁机入侵系统,导致严重后果。
2.4 提高网络操作系统的可靠性
操作系统应选用运行稳定,且具有完善的访问控制和系统设计的操作系统。最好选用应用量少的版本。不论选用何种操作系统,均应及时安装最新的补丁程序,提高操作系统的安全性和稳定性。
2.5 严格的防病毒措施
电脑病毒的演变速度超乎想象,虽然杀毒软件会定期升级病毒库,但是基于安全区Ⅰ的自动化系统,不可能直接远程升级特征库代码。传统的方法是由维护人员定期使用移动介质把下载好的病毒代码手动更新到防病毒中心。但无论是采取移动设备还是通过网络连接的方式更新病毒库,都会将系统暂时暴露在安全防护体系之外。因此,设置一立的病毒升级服务器可以解决此问题。病毒服务器可以设置于安全区Ⅲ,该服务器可以采用Linux系统为操作平台(KDE平台),并加装防病毒软件,利用KDE系统的文件管理功能处理获取的病毒特征库文件,经过本机杀毒后,再经过物理隔离设备提供给总线结构连接的EMS网络各设备,从而实现系统设备病毒库的安全升级。另外,必须将EMS提供的I/O设备与服务器断开,杜绝出现系统崩溃等故障。
2.6 其他安全防护策略
在二次系统的建设和维护过程中,应严格按照相关规定执行。从多方面加强管理,规范流程。在系统建成竣工后,应修改密码,改变防火墙策略,关闭为厂家提供的通道。在后期维护中,尽量在厂家的指导下进行维护工作,对于确实解决不了的问题,可建立远程维护通道,操作完成后应及时关闭远程维护通道。
电力企业成立专门的二次系统安全防护领导小组,负责组织管理和具体工作。制定完善的二次系统安全防护制度,加强制度的宣传,提高员工的安全防护意识,并定期举行员工培训,使二次系统安全防护的重要性深入人心。做好重要系统软件、数据的备份,确保在数据缺失、系统崩溃等恶劣情况下能够快速回复数据和系统。
管理部门应定期对二次系统安全体系进行安全性风险评估,或在发生重大变动后重新进行评价。评价工作包括检查相应的安全措施、管理制度是否建立健全;防火墙、入侵保护装置、物理隔离装置、防病毒系统的安全策略是否合理;数据备份是否完整、可靠。根据评估检查中找出的安全隐患,及时制定出有效的整改措施。
3 结论
电力二次自动化系统的安全防护与计算机网络安全密不可分,完成这样的一个系统工程,不仅要防止黑客的非法入侵,以保障系统的安全性,更要保证系统之间能够畅通地进行共享与交互。二次系统的安全防护是一个长期的、动态的过程,为确保二次系统的安全,需要多种防护技术结合,形成完整有效的二次系统安全防护体系。同时,还要建立健全并完善安全管理制度,加强员工的安全意识,将安全工作纳入到日常管理工作中,使技术和管理相辅相成,保证二次系统的安全稳定运行。
参考文献:
电力网络安全防护原则范文第3篇
1电力信息网安全防护框架
根据电力企业的特点,信息安全按其业务性质一般可分为四种:一种为电网运行实时控制系统,包括电网自动发电控制系统及支持其运行的调度自动化系统,火电厂分布控制系统(DCS,BMS,DEH,CCS),水电厂计算机监控系统,变电所及集控站综合自动化系统,电网继电保护及安全自动装置,电力市场技术支持系统。第二种为电力营销系统,电量计费系统,负荷管理系统。第三种为支持企业经营、管理、运营的管理信息系统。第四种为不直接参与电力企业过程控制、生产管理的各类经营、开发、采购、销售等多种经营公司。针对电力信息网业务的这种的层次结构,从电力信息网安全需求上进行分析,提出不同层次与安全强度的网络信息安全防护框架即分层、分区的安全防护方案。第一是分层管理。根据电力信息网共分为四级网的方式,每一级为一层,层间使用网络防火墙进行网络隔离。第二是分区管理。根据电力企业信息安全的特点,分析各相关业务系统的重要程度和数据流程、目前状况和安全要求,将电力企业信息系统分为四个安全区:实时控制区、非控制生产区、生产管理区和管理信息区。区间使用网络物理隔离设备进行网络隔离,对实时控制区等关键业务实施重点防护,并采用不同强度的安全隔离设备使各安全区中的业务系统得到有效保护。
2电力信息网安全防护技术措施
2.1网络防火墙:防火墙是企业局域网到外网的唯一出口,这里的外网包括到不同层次的电力网、其他信息网如政府网和银行网络、internet,所有的访问都将通过防火墙进行,不允许任何绕过防火墙的连接。DMZ停火区放置了企业对外提供各项服务的服务器,即能够保证提供正常的服务,又能够有效地保护服务器不受攻击。要正确设置防火墙的访问策略,遵循“缺省全部关闭,按需求开通的原则”,拒绝除明确许可外的任何服务,也即是拒绝一切未予准许的服务。与Internet连接的防火墙的访问策略中,必须禁止Rlogin,NNTP,Finger,Gopher,RSH,NFS等危险服务,也必须禁止Telnet,SNMP,TerminalServer等远程管理服务。
2.2物理隔离装置:主要用于电力信息网的不同区之间的隔离。物理隔离装置实际上是专用的防火墙,由于其不公开性,使得更难被黑客攻击。
2.3入侵检测系统:入侵检测系统是专门针对黑客攻击行为而研制的网络安全产品。国际上先进的分布式入侵检测构架,可最大限度地、全天候地实施监控,提供企业级的安全检测手段。在事后分析的时候,可以清楚地界定责任人和责任事件,为网络管理人员提供强有力的保障。入侵检测系统采用攻击防卫技术,具有高可靠性、高识别率、规则更新迅速等特点。系统具有强大的功能、方便友好的管理机制,可广泛应用于电力行业各单位。所选择的入侵检测系统能够有效地防止各种类型的攻击,中心数据库应放置在DMZ区,通过在网络中不同的位置放置比如内网、DMZ区网络引擎,可与中心数据库进行通讯,获得安全策略,存储警报信息,并针对入侵启动相应的动作。管理员可在网络中的多个位置访问网络引擎,对入侵检测系统进行监控和管理。
2.4网络隐患扫描系统:网络隐患扫描系统能够扫描网络范围内的所有支持TCP/IP协议的设备,扫描的对象包括扫描多种操作系统,扫描网络设备包括:服务器、工作站、防火墙、路由器、路由交换机等。在进行扫描时,可以从网络中不同的位置对网络设备进行扫描。扫描结束后生成详细的安全评估报告,采用报表和图形的形式对扫描结果进行分析,可以方便直观地对用户进行安全性能评估和检查。
2.5网络防病毒:为保护整个电力信息网络免受病毒侵害,保证网络系统中信息的可用性,应构建从主机到服务器的完善的防病毒体系。网络防毒系统可以采用C/S模式,在网络防毒服务器中安装杀毒软件服务器端程序,以服务器作为网络的核心,通过派发的形式对整个网络部署查、杀毒,服务器通过Internet利用LiveUpdate(在线升级)功能,从免疫中心实时获取最新的病毒码信息,及时更新病毒代码库。服务器和网络工作站都安装客户端软件,利用从服务器端获取的病毒码信息对本地工作站进行病毒扫描,并对发现的病毒采取相应措施进行清除。客户端根据需要可用三种方式进行病毒扫描:实时扫描、预置扫描和人工扫描。由于病毒扫描可能带来服务器性能上的降低,因此可采用预置扫描方式,将扫描时间设定在服务器访问率最低的夜间。网络工作站可根据各自需要,选择合适的方式进行病毒扫描。客户端采用登录网络自动安装方式,确保每一台上网的计算机都安装并启动病毒防火墙。同时要注意,选择的网络防病毒软件应能够适应各种系统平台,各种数据库平台,各种应用软件。例如能对电力信息网办公自动化系统使用的LotusDomino/NOTE平台进行查、杀毒。
2.6数据加密及传输安全:对与文件安全,通过文件加密、信息摘要和访问控制等安全措施,来实现文件存储和传输的保密和完整性要求,并实现对文件访问的控制。对通信安全,采用数据加密、信息摘要和数字签名等安全措施对通信过程中的信息进行保护,实现数据在通信中的保密、完整和不可抵赖性安全要求。对远程接入安全,通过VPN技术,提高时的信息(如电子公文,MAIL等等)在传输过程中的保密性和安全性。
2.7数据备份:对于企业来说,最珍贵的不是计算机、服务器、交换机和路由器等硬件设备,而是存储在存储介质中的数据信息。因此对于一个信息管理系统来说,数据备份和容错方案是必不可少的。因此必须建立集中和分散相结合的数据备份设施以及切合实际的数据备份策略。
2.8可靠安全审计:通过记录审计信息来为信息安全问题的分析和处理提供线索。除了使用软的密码外,还可以使用象USBKEY等硬件的密码认证,更可以采用二者相结合的方式。
2.9数据库安全:通过数据存储加密、完整性检验和访问控制来保证数据库数据的机密和完整性,并实现数据库数据的访问安全。
3电力信息网安全防护管理措施
技术是安全的主体,管理是安全的灵魂。只有将有效的安全管理实践自始至终贯彻落实于信息安全当中,网络安全的长期性和稳定性才能有所保证。
3.1人员管理,要加强信息人员的安全教育,保持信息人员特别是网络管理人员和安全管理人员的相对稳定,防止网路机密泄露,特别是注意人员调离时的网络机密的泄露。对网络设备、服务器、存储设备的操作要履行签字许可制度和操作监护制度,杜绝误修改和非法修改。
3.2密码管理,对各类密码要妥善管理,杜绝默认密码,出厂密码,无密码,不要使用容易猜测的密码。密码要及时更新,特别是有人员调离时密码一定要更新。
3.3技术管理,主要是指各种网络设备,网络安全设备的安全策略,如防火墙、物理隔离设备、入侵检测设备、路由器的安全策略要切合实际。
3.4数据管理,数据的备份策略要合理,备份要及时,备份介质保管要安全,要注意备份介质的异地保存。
3.5加强信息设备的物理安全,注意服务器、计算机、交换机、路由器、存储介质等设备的防火、防盗、防水、防潮、防尘、防静电等。
电力网络安全防护原则范文第4篇
伴随国民经济的快速发展,科学技术的不断进步,我国的电力自动化通信技术随之呈现出逐步增长的发展趋势。其中电力自动化通信技术水平的不断提高,在电力系统中占据着至关重要的地位,这是因为电力作为社会主义市场经济的基础性产业,在一定程度上影响着经济的发展与社会的稳定。因而必须要确保电力自动化通信技术的平稳安全运行。
关键词:
电力自动化;通信技术;信息安全
最近几年来我国的电力经济建设朝着智能化、自动化以及信息化的方向发展。通讯技术作为电力自动化中核心组成要素,直接影响到了供电企业的安全性与稳定性。因而需要加强对电力自动化通讯技术的管理,以便更好的实现其经济效益与社会效益的可持续发展。
1电力自动化通信技术的简单概述
电力自动化通信系统是指信息技术与网络技术在逐步发展的过程中,最后被广泛于电力系统中的一个产物,它具备复杂性、系统性以及自动性等多个显著的特点。而且还需要在电力系统中将管理和安全防护展开紧密的整合,以便更好的为电力系统的自动、安全、高效运行奠定优良的基础。
2影响自动化通信信息安全的要素
2.1人为因素
人为因素又可以被分为意外与恶意两种状况,其中意外因素是指非人为主观意识上故意造成的安全问题,比如设计与操作上的失误等。而恶意因素则是指蓄意、恶意造成的网络安全问题,这对于全部信息系统而言都是一个巨大的破坏。
2.2自然因素
这一方面大多数是指以不可抗力作为前提发生的安全问题,比如系统遭受雷击发生火灾,这些因素都是不以人的意志作为转移的,这对于信息系统而言都会造成不可避免的巨大损失。当然为了有效的提升通信技术的安全水平,通常情况下都是通过对信息展开加密,以此来降低安全事故的发生,然而因为信息加密与密钥管理方面都存在着较多的漏洞,而且在信息传播的过程中,其信息极容易被破坏,从而进一步影响到电力系统的正常运转。
2.3硬件存有较多的安全隐患
在整个通信系统中,其自身硬件存在安全隐患也是造成安全问题的一个重要因素。其中通信系统站作为电力自动化控制的枢纽,相关数据都在这里进行汇集、处理,其突出的重要性也就要求其在运行过程中不得经常发生故障或受到恶意攻击,否则将会影响整个系统的正常运行,甚至造成系统瘫痪。
3电力自动化系统信息安全研究的现状
随着电力自动化系统的不断发展,无线通讯传输协议也在不断地改进,信息安全技术在电力行业中也得到了广泛的应用。国际电工委员会提出了公共信息模型的概念,在电力系统中使用公共信息模型,可以实现不同系统之间的信息交换和交互操作。同时,公用集成总线的规范也被国际电工委员会提出来,并被广泛的运用和推广。随着计算机虚拟化技术的逐渐成熟,人们渐渐考虑将将虚拟化技术应用于电力调度的中心机房,即在一个物理服务器上,利用分区即时实现多个虚拟机的运行,将不同的操作系统和应用程序压缩以后,增加物理服务器的硬件空间,实现在各个虚拟机之间的快速传输,最大化地利用物理服务器中的各项资源。实现服务器的虚拟化,可以减少虚拟机和硬件平台之间的依赖性,从而提高系统信息资源的安全性和可靠性。
4电力自动化通信技术的系统管理措施
4.1建立全面系统的网络管理系统
目前,电力网络管理系统的相关设备和技术主要依赖生产和设计厂家,比较片面,可能会对信息安全造成威胁。所以建立全面、系统的网络管理系统是十分重要的,它主要包括网元数据采集层、业务管理层、网元管理层等多个内容,具有全自动拓扑发现技术、多维度监控、故障智能预测与分析、支持多操作平台、支持分布式管理等特点,不仅能够进行全面实时的数据采集和传输,还可以在线进行故障预测和分析,对整个网络展开多角度、多方面的管理,从而减轻工作人员的工作负担,降低成本,提高经济效益。最重要的是,通过全面系统的管理,可以保证信息安全,进而保证整个电力系统的安全运行。总而言之,对于电力自动化通信技术的信息安全除了使用相关技术进行加密处理外,不断完善电力系统管理系统也是至关重要的。
4.2加强身份验证安全管理
影响电力通信网络管理系统的主要因素有通信系统规模、通信网络结构和技术经济指标等。而在电力系统实际工作中,只需针对不同问题采取相应的措施即可,假如想要更好的将监控和通信系统结合起来,就需要建立一个网元管理系统,以便对整个通信系统进行实时监控。当然在保证国家经济安全正常发展和人们生活水平提高上有着至关重要的作用。而电力通信作为电力系统的重要组成部分,其信息安全在很大程度上直接影响到电力系统的安全正常运行。因此,要重视电力通信技术—密码技术对信息安全防护的作用,同时要不断完善网络管理系统,对信息安全进行全面的实时的监管,保证信息安全,保证电力系统安全,促进社会经济健康可持续发展。在提高信息安全的工作中,通过加强身份验证管理也是保障网络安全的有效手段,通过与日常的工作流程进行结合,能够有效地避免重要资料发生非法访问。身份验证可分为身份识别和身份认证两个环节,其中身份识别指的是用户向系统出示自己身份证明的过程,而身份认证指的是系统对用户身份证明进行查核的过程,即对用户是否具备有其所要求权限。想要在身份验证方面加强安全管理,就必须在系统的安全登录、身份验证、访问控制、访问统计和审计等方面加以重视。
4.3加强安防技术的建设
在网络安全防范体系中,防火墙是第一道屏障,通过合理的选择和使用防火墙能够有效地提高通信网络抗恶意攻击的能力和系统的安全性。利用防火墙,能够在内部可信任网络和外部不可信任网络之间提供一个安全链接的单点。通过对防火墙可以实现功能的分析,逻辑上可以将防火墙简单地看作是一个分离器,同时又具备限制器和分析器的功能。当前阶段,运用极为广泛的防火墙技术还具有更加显著的优势,比如安全性、可伸展性以及可拓展性等,它们代表了防火墙技术的发展潮流。假如电力单位想要进一步提升信息安全水平,降低系统被恶意入侵与攻击的危害,就必须要加强对防火墙的建设,并及时展开维护与更新,为使得它可以全面的发挥出应有的效力。
4.4不断完善安全防范机制
在电力自动化通信系统中,由于涉及到的单位部门众多,如果没有一个健全的安全防范机制,将会造成信息安全问题频发。在安全防范机制的建立过程中要以严谨的逻辑性为原则,且要结合电力企业的自身实际情况对重点防范区域进行细致的划分,在实际的应用过程中,根据划分的区域设置不同的访问权限,实现对重要安全数据、资料信息的重点保护。这是因为网络设备是实现信息传输的硬件基础,假如想要更好的提升信息安全水平,就必须要对信息网络设备展开管理。而且在其具体的管理机制中,应该从信息网络的规划设计、设备采购、安装调试、运行维护以及技术更新等环节进行系统的管理,最终通过较为有效的激励奖罚体制来提升相关工作人员的责任意识与主观能动性。
5总结
综上所述,电力作为国民经济的支柱性产业,在确保国家经济的安全平稳运行上有着至关重要的作用。其中,电力通信作为电力系统的重要组成部分,它的信息安全会直接影响到电力系统的正常运转。这就需要逐步健全网络管理系统,并同时对信息安全展开综合全面的监管,为确保信息的安全与平稳,从而进一步推动社会经济的健康发展。
参考文献
电力网络安全防护原则范文第5篇
关键词:电力调度数据网;结构特征;电力信息传输;电力生产;数据工作 文献标识码:A
中图分类号:TM734 文章编号:1009-2374(2015)05-0150-02 DOI:10.13535/ki.11-4406/n.2015.0407
1 电力调度数据网的主要原则
电力调度数据网建设,需要坚持安全性、可靠性以及实时性的原则。
为了保证电力调度数据网的安全,需要将系统中不同业务之间实施安全隔离,将非控制生产业务与控制生产业务进行隔离,一些关键业务更需要加强隔离防护。对电力调度数据网进行安全分区,加强对数据网的安全管理与防护。
电力调度数据网负责电网运行中继电保护、自动化信息、安全装置、调度指令等重要数据的传输工作,是电力网络运行的关键,所以必须保证电力调度数据网具有高可靠性。
电力调度数据网的传输周期以秒计算,这样才能满足电力监控的实时性。为了保证电力调度数据网满足实时性要求,需要进行适当的优先级设置以及较短的延时,确保数据传输的灵敏性。
2 电力调度数据网结构特性
电力调度数据网利用虚拟专用网络,实现各个调度网中心以及发电站、变电站与调度中心之间的互联,并设置专用的通道,在通道中设置IP路由交换设备,实现同步数字体系以及准数字体系系列层面上公用电力运行信息的传输业务。从实际应用情况上来看,电力调度数据网的建立能够满足电力调度、生产、保护等重要信息的传输工作。通过电网运行中各个数据信息的传输,能够实现电力系统中各个运行部分的协调,确保电网运行的稳定性与可靠性。
3 电力调度数据网建设方案
对于电力调度数据网建设方案,包括路由设计、网络节点设计、IP规划等等,下面就从这三个方面对电力调度数据网建设方案进行分析。
3.1 路由设计
根据电力调度数据网路由协议的分析可以看出,其首选的路由协议选择OSPF,由于这个协议能够支持两层网络结构,包括子域以及主干域,这样就能够分散路由,降低网络数据的占用。在选择OSPF路由协议时,需要考虑到电力调度数据网主干域连通性,确保主干域在其中某条链路断开也不会分离。子域的边界路由可以用该子域的省调节点或者较为重要的地调节点进行设置,在每一个网络子域边界路由设计可以利用分布式网络结构,既能够满足调度冗余性以及可靠性的要求,还能够确保调度网络具有一定的弹性。
OSPF系统分为八个区域,包括区域0到8。其中各地调上省调路由器的接口需要加入0号区域中,与区域中的低调路由器进行互联;而1到7区域中分别接入的是各个地调路由接口以及地调下属的变电站接口。
3.2 网络节点设计
电力调度数据网结构中,整个地区电力调度数据都汇聚在核心层站点上;而各个县级的电力调度数据信息汇聚在骨干层站点,所以对这两个网络层次具有更高的可靠性要求,一般都是采用路由器+交换机的方式。在电力调度数据网络远景规划中需要使用两台路由器,两台路由器都与以太网进行连接,一台负责数据转换与传输工作,另一成相关数据信息的备份。
3.3 IP规划方案
电力调度数据网地址编码需要符合唯一性的原则。为了保证网络地址的唯一性,方便调度网络寻址的方便,确保网络拓扑结构地址管理体制与网络地址编码相一致,可以利用30位的掩码进行分配,每一条网络链路设置一个子网网段,骨干层、核心层节点间一共需要9条链路,所以需要设置9个子网网段。在接层节点上联汇节点间共有90所变电站,其中110kVA变电站共82个,全部按照单链路上联链路计算,所以需要82个子网网段,另外8个330kVA变电站按照双链路计算,所以需要16个子网网段。设置电力企业电力调度数据网,需要根据企业的实际情况,目前常见的数据网包括网状结构以及星型结构两种。其中星型结构电力调度数据网由骨干层、10个地调节点、若干个变电站、发电站构成;与星型结构调度网络相比,网状结构与其基本相同,但连接形式具有很大的区别。
3.4 网络安全防护
由于电力调度数据网安全可靠性要求很高,所以必须保证调度数据网建设的安全性能。数字化监察管理系统能够有效地保证调度数据网的安全,提升数据传输的可靠性。这就需要在建设初期对电力监察系统的安全运行进行整体的评估与设计,强化对电力运行相关系统的安全评测,建立完善的信息安全加固系统,保证系统安全稳定的运行。其次,要建立完善的电力监察系统网络信息安全管理制度,并明确安全责任。最后,要加强对电力监察系统信息网络系统的安全检查工作,不断提升电力运行系统信息安全系数,完善安全运行机制。可以在网络出口设置专用的防火墙以及防病毒系统,这样能够有效地防止电脑黑客以及病毒的入侵。在相关的网络设备以及服务器中,可以采取有效的安全措施,如安装补丁程序、启动安全日志、关闭不用端口等等。
另外,在电力调度数据网建设完成后,可以将电力业务在该平台上传输,并且要做好相关的网络管理与维护工作。在传输系统中,除了一些必要的操作程序、杀毒软件等的安装外,在服务器中严禁安装其他的软件。对网络服务器进行定期的巡视,做好必要的网络配置与维护日志的记录工作。如果在数据网络运行中出现故障,需要根据故障的现象,结合网络诊断技术,找出故障发生的原因,从根源上排除故障,使数据网络恢复正常。进行网络故障诊断,不仅需要及时地恢复发生故障的网络,不断改善调度数据网络的性能,还需要掌握数据网络的运行状态,确保数据网络的通信质量。
4 结语
随着我国社会经济的快速发展,各行各业对电力需求量逐渐的增多,给电力企业用电管理以及安全提出了更高的要求。电网调度工作是保证电网运行安全以及经济运行的关键,所以必须加强对调度安全管理以及风险控制,才能创建一个安全稳定的用电环境,为社会的和谐发展做出贡献。电力调度数据网的建设,能够实现电网运行中各个设备、变电站、调度中心等相关数据信息的传输工作,对可靠性、安全性、实时性具有较高的要求。
参考文献
[1] 陆成.电力调度数据网的组网技术分析[J].电力科技,2012,23(4).
[2] 朱文斌.电力调度数据网传输系统研究[J].科技研发,2013,15(1).