电力二次系统安全防护策略研究
中图分类号: TM73 文献标识码: A 文章编号: 1673-1069(2016)19-189-2
0 引言
电力二次系统安全防护工作是通过技术手段和管理措施做好监控系统及调度数据网络的安全传输,并保证电气量和监控实时数据免受攻击,实现各种电气设备可靠运行;总体目标是通过建立完善的电力二次系统安全防护体系,保证在正常的安全策略范围内系统能够安全可靠运行,即使受到攻击时也能够迅速恢复绝大部分功能,保证系统免受损坏,或者即使受到损坏也能尽快恢复来保证电网的安全运行。1 目前电力二次系统安全防护存在的问题
1.1 操作系统和网络防护措施单一
目前我国的电力系统安全防护措施主要是利用防火墙和网闸进行安全防护,这两种方式的共同点是按照系统提前设定的方式对电力系统参数进行匹配,达到控制网络信息流向和信息包的目的。但是这种防护方式,不能完全确保电力系统的网络安全性。加之,现今的网络信息防护技术的更新落后于黑客攻击的形式,在操作系统和网络防护方法相对单一的前提下,直接导致电力二次系统安全运行工作存在极大的风险。
1.2 电力系统内防水平低于外防水平
电力系统内防水平低于外防水平,也是电力系统安全防护中存在的问题之一。在电力系统的实际运行中,大多数的网络安全装置都是限制外部网络信息安全的。相对而言,企业的电力系统内部遭受攻击,而无法得到有效的解决。电力系统内防水平低于外防水平,已经逐渐影响了电力二次系统安全运行工作,并对提高电力二次系统安全运行水平造成了一定的负面影响。因此,为了确保电力二次系统安全运行工作,重视电力系统内防水平低于外防水平这一问题非常重要。
2 电力二次系统安全防护
2.1 安全防护分区的总体设计
电网调度、电厂和变电站的业务系统根据网络安全防护可分为生产控制区和管理信息区,生产控制区又分为实时控制区即安全区Ⅰ和非控制生产区即安全区Ⅱ,管理信息区可分为生产管理区即安全区Ⅲ和管理信息即安全区Ⅳ,如图1。
2.2 VLAN技术的应用
虚拟局域网是建立在LAN网基础上,对LAN工作站进行再次划分,其用途如下:
对多余的报文信息进行过滤防止扩散;根据功能划分组,对组之间信息进行过滤;提高网络传输的安全性。
2.3 MPLS-VPN技术的应用
MPLS-VPN技术就是把网络中的地址按照逻辑的不同分解成互相隔离的网络,用在解决企业之间互连或者提供新的业务,如:MPLS-VPN用在大型企业联网中,可以实现业务不同的子公司之间的系统进行隔离及互相访问,提升工作效率。
2.4 防病毒措施
电力二次系统本身具备防病毒控制措施,能及时发现网络的不安全因素和病毒的入侵并及时查杀,消除威胁系统的隐患。
2.5 电力数字证书技术
电力数字证书系统在公钥技术开发的分布式系统基础上发展起来的,专用于生产控制大区,只为电力监控系统及调度数据网上的重要用户和重要设备提供专用的网络服务,实现安全性较高的安全数据传输、身份认证以及行为审计。
电力系统的公钥技术是公钥密码技术与数据加密以及数字签名防护技术的融合应用在电力网络中。公钥加密技术和数字签名技术是公钥技术中最主要的安全技术,公钥加密技术是信息的保密性和访问控制电力系统数据网络的有效方法,而数字签名技术则在网络通信之前对信息相互认证的方法。
3 电力二次系统安全风险评估研究
3.1 安全防护的P2DR模型
安全防护工程是一个不断循环螺旋式前进的动态过程,以安全策略为核心的动态安全防护模型如图2所示。它是经过防护、检测、反应不断循环呈现螺旋上升趋势促使安全防护不断完善的。
3.2 风险评估
安全风险评估就是对电力二次系统防护所面临的危险、系统存在的薄弱环节、采取的安全策略进行综合分析来判断整个系统面临的危险因素。首先是系统自身存在的脆弱性,就是我们经常提到的系统漏洞或者后门,黑客或者病毒通过多次攻击或者尝试达到破坏系统或者窃取信息的目的,这种先天问题只能通过不断完善系统或者加装防护策略来避免。
3.3 风险评估意义及作用
通过对信息安全风险评估可以加强信息安全管理和强化网络安全策略同时能够发现信息安全存在的问题和漏洞,找到解决问题的办法。其意义如下:
风险评估的过程就是科学分析并确定风险并解决问题的过程,更是加强信息安全工作必须进行的步骤,是信息安全建设和安全管理的重要枢纽。
3.4 风险评估模式
信息安全评估可以有多种方式,根据评估方与被评估方的关系,我们以风险评估作为评估的核心和基础。
①强制性检查评估:强制性检查评估标准由国家评估委员会确立并组织相关部门根据已执行的评估法规或标准进行监督和检查,被评估单位只能由信息评估相关主管单位进行评估,具有强制性,单位自身不能进行干预,它是通过行政手段加强信息安全的重要手段。②自评估:信息系统评估单位把业务评估相关人员安排在一起对自己的信息系统开展的风险评估活动。自我评估由于是本单位自己开展的不涉及其他单位或部门,因此可以实现信息的保密性,提升参与单位成员的业务评估水平,降低风险评估的成本,增强单位的相关人员和信息安全知识的风险评估能力。然而,由于自我评估单位或上级领导部门或其他人员参与或保护思想的危害,导致风险评估结果不客观或评估结果信誉低,总之,评估单位经常开展自评估对整个信息系统安全存在较大的提升。③委托评估:委托评估是指被评估单位聘请具有风险评估能力或者资质的专业评估机构实施的评估活动。
4 结语
电力二次系统安全防护策略由于构成整个信息系统的复杂性和各个设备之间通信系统的不同、规约转换的差异而制定,不同的系统体系可以根据 “安全分区、网络专用、横向隔离、纵向认证”四项基本原则来制定不同的安全防护策略,随着计算机技术和网络的快速发展,防范各种形式的攻击侵害及制定更加安全的防护策略日益迫切。
