基于电力二次自动化系统安全防护措施探讨论文
电力二次自动化系统安全防护已经成为人们关注的问题,根据国家电网公司颁发的《全国电力二次系统安全防护总体方案》,调度自动化、配电自动化等实时性要求比较高的系统,都需要配置合适的、满足要求的防护、隔离及检测设备,并制定详细的管理措施,以保证系统安全可靠的运行。
一、电力二次自动化系统的现状
电网公司二次自动化系统包括:电网调度自动化系统、变电站自动化系统和电力信息系统三个方面:
1.电网调度自动化系统用于数据采集和监控(SCADA)、存储电网实时数据信息、发电控制与发电计划、网络分析等。在整个调度自动化系统中,各个子系统是相互联系、密不可分的,任何一个子系统出现问题,原始数据将无法采集,就无法向服务器传送有用的转发信息,管理人员也无从了解电网的实时数据和原始信息。
2.变电站自动化系统主要包括变电站综合自动化系统、自动化分站系统、自动化当地监控系统。目前变电站自动化系统已经广泛应用于各级变电站,微机保护、网络监控装置自动化程度高,运行状态稳定,在实际运行中,大大提高了电网的自动化水平和运行的可靠性。现在相当的变电站已实现无人值班或少人值班,其在减人增效等方面发挥了积极的、至关重要的作用。
3.电力信息系统(MIS)分了很多的子系统,包括调度管理和办公管理信息系统等和电力生产密切相关的计算机网络系统,各部门运行各自对应的子系统来进行日常的生产工作,反映日常生产管理的各个方面。由于数据库的开放,病毒可以通过内部局域网传播到网内的任何一台计算机上,并进行破坏,从而让一个子系统或多个子系统甚至整个MIS系统陷于瘫痪。
4.电力二次自动化系统存在的主要安全问题:
(1)管理区和生产区存在双向的数据交互;(2)缺乏加密、认证机制,没有入侵检测等预警机制;(3)没有漏洞扫描和审计手段,接入存在安全隐患;(4)Ⅰ、Ⅱ区病毒代码手动更新难以及时,厂站端各种站、工控机防病毒管理困难;五、地、县调系统结构复杂,数据交换缺乏规则。
二、电力二次自动化系统安全防护主要目标
若干实证表明,当前最大的安全隐患不是来自控制系统本身,而是来自与之相连的外部网络。目前对网络的主要信息威胁主要来之于网络骇客攻击和计算机蠕虫病毒。因此,电力二次系统安全防护工作的重点是抵御骇客、
病毒等通过各种形式对系统发起的恶意破坏和攻击,使其能够抵御集团式攻击,重点保护电力实时闭环监控系统和调度数据网络的安全,防止由此引起的电力系统故障。其安全防护目标是:第一,防止通过外部边界发起的攻击和侵入,尤其是防止由攻击导致的一次系统的故障以及二次系统的'崩溃;第二,防止未经授权用户访问系统或非法获取信息的侵入以及重大的非法操作;第三,做到网络专用,增加各分区边界横向安全物理隔离设备,纵向逻辑隔离设备以及数据的加密;第四,规范内部人员的工作行为、工作职责,提高公司调度中心的整体安全管理水平。
三、电力二次自动化系统安全防护措施
1.明确电力二次自动化系统安全防护的基本目标。建立电力二次系统安全防护体系,保障电力系统的安全稳定运行,同时抵御骇客、病毒、恶意代码等通过各种形式对电力二次自动化系统发起的恶意破坏和攻击,特别是能够抵御集团式攻击,以防止由此导致一次系统事故或大面积停电事故及二次系统的崩溃或瘫痪。
2.制定电力二次自动化系统安全防护的基本原则。根据《电网与电厂计算机监控系统及调度数据网络安全防护规定》,电力二次自动化系统的安全防护应具有以下原则:在电力二次自动化系统中,安全等级较高的系统不受安全等级较低系统的影响。电力监控系统的安全等级高于电力管理信息系统及办公自动化系统,各电力监控系统必须具备可靠性高的自身安全防护设施,不得与安全等级低的系统直接相联。
3.拟定电力二次自动化系统安全防护的安全分区。发电企业、电网企业、供电企业内部基于计算机和网络技术的业务系统,原则上可划分为生产控制大区和管理信息大区。生产控制大区可以分为控制区(安全区I)和非控制区(安全区Ⅱ);管理信息大区内部在不影响生产控制大区安全的前提下,可以根据各企业不同安全要求划分生产管理区(安全区III)和管理信息区(安全区IV)。不同的安全区确定不同的安全防护要求,从而决定不同的安全等级和防护水平,阻断非法访问、操作和病毒侵害。
安全区I,即实时控制区,主要由配电自动化系统、变电站自动化系统、调度员中心EMS系统和广域相量测量系统等系统构成,是安全保护的重点与核心,凡是实时监控系统或具有实时监控功能的系统其监控功能部分均应属于安全I区。其为电力生产的重要环节、安全防护的重点与核心,能够直接实现对二次系统运行的实时监控,具有纵向使用电力调度数据网络或专用通道的典型特征。
安全区II,即非实时控制区,主要由负荷控制系统、水调自动化系统、电能量计量系统等部分组成,不具备控制功能的生产业务系统,或者系统中不进行控制的部分均属于安全Ⅱ区。其所实现的功能为电力生产的必要环节,可在线运行,但不具备控制功能。安全区III,即生产管理区,主要由EMS资料平台、气象信息接入、生产管理系统、报表系统(日报、旬报、月报、年报)和信息翻览WEB服务器等部分组成。本安全区内的生产系统采取安全防护措施后可以提供WEB服务。该区的外部通信边界为电力数据通信网(SPTnet)。安全区IV,即管理信息区,主要由管理信息系统、办公管理信息系统和客户服务系统组成,该区的外部通信边界为SPTnet及IN-TERNER,所有办公PC应部署正版软件和网络防病毒措施,及时进行更新。
4.二次系统安全防护的策略。要根据管理信息大区安全要求,在管理信息大区应当统一部署防火墙、IDS入侵检测系统和恶意代码防护系统等通用安全防护设施。要按照生产控制大区与管理信息大区之间的安全要求,在生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置,同时隔离强度应接近或达到物理隔离。要根据生产控制大区内部的安全区之间的安全防护要求,在控制区与非控制区之间应采用国产硬件防火墙,具有访问控制功能的设备或相当功能的设施进行逻辑隔离,以禁止安全风险高的通用网络服务穿越该边界。要依照在生产控制大区与广域网的纵向交接处安全防护要求,在生产控制大区与广域网的纵向交接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施,实现双向身份认证、数据加密和访问控制。
四、结语
随着经济社会发展对电力依赖度的不断提高,电力二次自动化系统安全的要求越来越高,加强电力二次自动化系统的安全防护,对确保电力安全运营、用户用电安全具有十分重要的现实意义。
参考文献:
[1]李志杰,牛玉臣,阎明波.调度自动化二次系统安全防护体系[J].电工技术,2006,(12).
[2]张晓阳.电力行业二次安全防护解决方案[J].信息安全与通信保密,2008,(8).
【基于电力二次自动化系统安全防护措施探讨论文】相关文章:
关于电磁污染及其防护措施的探讨08-03
公路边坡的植物防护措施探讨10-20
铁路电力挖潜扩能措施探讨07-03
基于更新调查的土地二次调查方法探讨07-03
火灾的预防及防护措施01-10
雷电的危害及防护措施08-27
电力系统自动化论文01-14
桥面破损病害成因及防护措施07-21
水下隧道的防护技术措施07-21