电力系统网络安全防护方案范文
时间:2023-12-29 17:50:29
导语:如何才能写好一篇电力系统网络安全防护方案,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
1 概述
2008年对于电力部门来说,保奥运,确保电网和系统安全,是各发电集团公司、国家电网公司、南方电网公司的头等大事。保护电力业务系统的安全,其核心在于保护电力数据的安全,包括数据存储、传输的安全。影响电力系统网络安全的因素很多,有些因素可能是有意的,也可能是无意的误操作;可能是人为的或是非人为的;也有可能是内部或外来攻击者对网络系统资源的非法使用。
以前由于电力系统一直以来网络结构和业务系统的相对封闭,电力系统出现的网络安全问题也基本产生于内部。但是,随着近年来与外界接口的增加,特别是与政府、金融机构等合作单位中间业务的接口、网上服务、三网融合、数据大集中应用、内部各系统问的互联互通等需求的发展,其安全问题不仅仅局限于内部事件了,来自外界的攻击已越来越多,已经成为电力系统不可忽视的威胁来源。但是,未来电力系统网上服务所采用的策略一般是由各省公司做统一对外服务出口,各级分局或电力公司和电厂将没有对外的出口;从内部业务应用的角度来看,除大量现存的C/S结构以外,还将出现越来越多的内部B/S结构应用。
所以,对于电力系统整体来说,主要问题仍有一大部分是内部安全问题。其所面临的威胁大体可分为两种:一是对网络中通讯、信息的威胁;二是对网络中设备的威胁,造成电力系统瘫痪。对于电力系统来说,主要是保护电力业务系统的安全,其核心在于保护电力数据的安全,包括数据存储,数据传输的安全。
2 电力网络信息系统安全的威胁
2.1 人为的无意失误
如果网络安全配置不当造成的安全漏洞,包括安全意识、用户口令、账号、共享信息资源等都会对网络安全带来威胁。主机存在系统漏洞,通过电力网络入侵系统主机,并有可能登录其它重要应用子系统服务器或中心数据库服务器,进而对整个电力系统造成很大的威胁。
2.2 人为的恶意攻击
这是计算机网络所面临的最大威胁,黑客的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的可用性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成直接的极大的危害,并导致机密数据的泄漏和丢失。由于windows操作系统的漏洞不断出现,针对windows操作系统漏洞的各种电脑病毒攻击也日益多了起来。尤其是2003年8月份和2006年5月出现的冲击波蠕虫病毒和恶意程序给全世界80%的计算机造成了破坏,安徽省电力公司系统内也有多个供电企业的信息系统遭到病毒的破坏,这一事件给网络安全再次敲响了警钟!
3 网络安全风险和威胁的具体表现形式
电力系统网络的安全性和可靠性已成为一个非常紧迫的问题。电力安全方案要能抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击,特别是能够抵御集团式攻击,防止由此导致的一次系统事故或大面积停电事故,二次系统的崩溃或瘫痪,以及有关信息管理系统的瘫痪。必须提出针对以上事故的各种应急预案。随着计算机技术、通信技术和网络技术的发展,电力系统网上开展的业务及应用系统越来越多,要求在业务系统之间进行的数据交换也越来越多,对电力网络的安全性、可靠性、实时性提出了新的严峻挑战。其安全风险和威胁的具体表现形式如下:
(1)UNIX和Windows主机操作系统存在安全漏洞。
(2)Oracle、Sybase、MS SQL等主要关系型数据库的自身安全漏洞。
(3)重要应用系统的安全漏洞,如:MS IIS或Netscape WEB服务应用的“缓存区溢出”等,使得攻击者轻易获取超级用户权限。核心的网络设备,如路由器、交换机、访问服务器、防火墙存在安全漏洞。
(4)利用TCP/IP等网络协议自身的弱点(DDOS分布式拒绝服务攻击),导致网络瘫痪。网络中打开大量的服务端口(如RPC、FTP、TELNET、SMTP、FINGER等),容易被攻击者利用。黑客攻击工具非常容易获得,并可以轻易实施各类黑客攻击,如:特洛伊木马、蠕虫、拒绝服务攻击、分布式拒绝服务攻击,同时可利用ActiveX、Java、JavaScript、VBS等实施攻击。造成网络的瘫痪和关键业务数据的泄漏、篡改甚至毁坏。在电力内部网络中非法安装和使用未授权软件。对网络性能和业务造成直接影响。系统及网络设备的策略(如防火墙等)配置不当。
(5)关键主机系统及数据文件被篡改或误改,导致系统和数据不可用,业务中断等。
(6)分组协议里的闭合用户群并不安全,信任关系可能被黑客利用。
(7)应用软件有潜在的设计缺陷。
(8)在内部有大批的对内网和业务系统相当熟悉的人员,据统计,70%以上的成功攻击来自于企业系统内部。与其他电力和合作单位之间的网络互通存在着极大的风险。
(9)虽然将来由省局(公司)统一的WEB网站向外信息并提供网上信息服务,但很多分局和分公司仍允许以拨号、DDN专线、ISDN等方式单独接入互联网,存在着由多个攻击入口进入电力内部网的可能。系统中所涉及的很多重要数据、参数直接影响系统安全,如系统口令、IP地址、交易格式、各类密钥、系统流程、薄弱点等,技术人员的忠诚度和稳定性,将直接关系到系统安全。
(10)各局使用的OA办公自动化系统大量使用,诸如Windows操作系统,可能存在安全的薄弱环节,并且有些分局可能提供可拷贝脚本式的拨号服务,拨入网络后,即可到达电力的内部网络的其它主机。
系统为电力客户提供方便服务的同时,数据的传输在局外网络和局内局域网络的传输中极有可能被窃取,通过Sniffer网络侦听极易获得超级用户的密码。
4 系统的网络风险基本控制策略
针对电力系统网络的安全性和可靠性,电力安全方案要能抵御通过各种形式对系统发起的恶意破坏和攻击,防止由此导致的一次系统事故或大面积停电事故、二次系统的崩溃或瘫痪,以及有关信息管理系统的瘫痪。总体来说,电力系统安全解决方案的总体策略如下:
(1)分区防护、突出重点。根据系统中业务的重要性和对一次系统的影响程度,按其性质可划分为实时控 制区、非控制生产区、调度生产管理区、管理信息区等四个安全区域,重点保护实时控制系统以及生产业务系统。所有系统都必须置于相应的安全区内,纳入统一的安全防护方案。
(2)区域隔离。采用防火墙装置使核心系统得到有效保护。
(3)网络专用。在专用通道上建立电力调度专用数据网络,实现与其他数据网络物理隔离,并通过采用MPLS-VPN形成多个相互逻辑隔离的IPSEC VPN,实现多层次的保护。
(4)设备独立。不同安全区域的系统必须使用不同的网络交换机设备。
(5)纵向防护。采用认证、加密等手段实现数据的远方安全传输。
5 电力系统的网络安全解决方案
针对电力网络安全的薄弱环节全方位统筹规划。解决方案注重防止非法入侵全网网络设备;保护电力数据中心及其设备中心的网络、服务器系统不受侵犯――数据中心与Internet间必须使用防火墙隔离,并且制定科学的安全策略;制定权限管理――这是对应用系统、操作系统、数据库系统的安全保障;考虑网络上设备安装后仍然可能存在的安全漏洞,并制定相应措施策略。
(1)在网络设备的安全管理方面,将所有网络设备上的Console口加设密码进行屏蔽,配置管理全部采用OUT-BAND带外方式,并对每个被管理的设备均设置相应的帐户和口令,只有网络管理员具有对网络设备访问配置和更改密码的权力。
(2)在网管中心通过划分不同安全区域来规范管理网络和工作网络,从逻辑上把每个部门的资源独立成一个安全区域,对安全区域的划分基于安全性策略或规则,使区域的划分更具安全性。网络管理员可根据用户需求,把某些共享资源分配到单独的安全区域中,并控制区域之间的访问。
(3)VPN和IPsec加密的使用。电力网络将通过MPLS VPN把跨骨干的广域网络变成自己的私有网络。为保障数据经VPN承载商(ISP)传输后不会对数据的完整与安全构成潜在危险,在数据进入MPLS VPN网络之前首先经过IPsec加密,在离开VPN网络后又再进行IPsec解密。
(4)通过网络设置控制网络的安全。在交换机、路由器、数据库和各种认证上,层层进行安全设置,从而确保整个网络的安全。
(5)通过专用网络防火墙控制网络边界的安全。
(6)进行黑客防范配置。通过信息检测、攻击检测、网络安全性分析和操作系统安全性分析等一系列配置,对黑客进行监控。可以部署在内网作为IDS进行监控使用,也可以部署在服务器的前端作为防攻击的IPS产品使用,以保障网络的安全性。
6 电力系统局域网内部网络安全解决方案
外部攻击影响巨大,但内部攻击危害也不能忽视,为了解决内网安全问题,在一个电力/电厂系统的局域网内部,可以使用防火墙对不同的网段进行隔离,并且使用IPS设备对关键应用进行监控和保护。同时,使用IPS设备架设在相应的安全区域,保证访问电力系统内部重要数据的可监控性、可审计性以及防止恶意流量的攻击。并且实现以下的主要目的:
(1)网络安全:防火墙可以允许合法用户的访问以及限制其正常的访问,禁止非法用户的试图访问。
(2)防火墙负载均衡:网络安全性越来越成为电力系统担心的问题了,网络安全已经成为了关键部门关注的焦点。网络安全技术将防火墙作为一种防止对网络资源进行非授权访问的常用方法。
(3)服务器负载均衡:执行一定的负载均衡算法,可以针对电厂内关键的服务器群动态分配负载。
7 广域网整体安全解决方案
对于整个广域网,为了端对端、局对局的安全性,本着不受其他系统影响,不影响其他系统的安全原则,可对防火墙以及IPS设备进行分布式部署。
通过过滤的规则设置可以使得我们方便地控制网络内部资源对外的开放程度,特别是针对国家电网公司、当地政府以及Internet仅仅开放某个IP的特殊端口,有效地限制黑客的侵入。
通过过滤、IP地址以及客户端认证等规则的应用,可以确定不同的内部用户享受不同的访问外部资源的级别,对于内部用户严格区分网段,而且可以利用独特的内置LDAP的功能对客户端进行认证。通过这种方式可以有效地限制内部用户主动将信息通过网络向外界传递。
篇2
【关键词】通信网络;电力自动化;无线通信;通信方案
作者简介:范钢铭(1990-),助理工程师,研究方向:电力信息通信
现代化的通讯技术包括了可靠性能越来越强的远程监控技术,该技术的主要功能就是监测和把控我国电力系统时刻的流程以及状态。而电力系统是我国社会经济发展的基础和关键,对我国的社会发展具有稳定器和高速器的作用,大大提升我国的经济发展水平。在网络通讯发展过程中,电力自动化的信息安全问题需要我们高度重视,因此,在对电力自动化进行把控的过程中,最为关键的是要配合信息网络的安全性,探究出关于电网信息安全的保护对策,保证整个电网系统有一个安全的自动化控制局面。
1通信网络
1.1无线的通信网络
无线技术在通讯领域的广泛使用,推动了无线通讯技术的稳步发展。该无线网主要是由无线的站点、终端以及该无线的管制端口组成。现阶段使用的无线通讯手段最有优势的地方,就是它具有远距离测控的特点,可以进行两端通讯。和有线通讯技术相比,大大节约了通讯成本。但无线通讯技术并不是完美的,也存在一些不足。比如在无线通信中会被别的电磁波干扰,无线通信就会产生异常;由于无线电通讯技术在空气中利用电波传输信息,必然存在安全隐患,会有犯罪分子通过窃听传输的内容,给无线电通信带来了隐患。针对上述问题,有关部门对此有两种解决方案:一是通过公共平台进行无线通信,该方案的好处就是不用专门投入资金进行使用;二是建设专业的无线网平台,这项方案的运行成本会很高,后续的设备维护也需要大量耗资。在整体电力运行系统中,特别是在电力自动化方面,对于无线通信技术已经开始涉及。为了满足高标准的自动化,使用最为广泛的且更符合广大群众需求的就是无线网状、传感器模式等。基于无线的传感器网络在电力自动化中的应用,要从智能化的仪表读数开始分析,该功能的出现,使得电力工作的效率更加高效,具有省时、省力、省钱的优点,为广大用户的使用提供了方便。就目前的实际情况来看,无线化的智能读表技术在投入市场时,其费用成本较高,我们希望随着该技术的发展和调整,以及大范围的使用,这种技术的运行成本会慢慢降低,从而使更多的用户进行使用。
1.2通信网的电力自动化
随着科学技术的迅猛发展,网络已经潜移默化的融入我们的生活中,人们也渐渐离不开网络这样一个平台。在整个电力系统领域中,网络通信的作用和意义极为重大。随着对技术要求的日益加剧,我们需要智能化的服务,自动化的电力通信手段正好满足了这一需求。网络的出现,为我们的生活带来了翻天铺地的变化,使我们的生活更加便捷和高效。针对电力系统,目前普遍使用的网络模式以光通讯为主,几乎覆盖了整个电力领域,是最为主流的通信信道。此外,对于EMS这种实时信息传输,电力体系是支持的。
2电力自动化信息网络通讯安全性的防护
在整个通讯领域,电力自动化的通讯安全是一个不容忽视的问题。该问题的存在,给整个通讯事业的发展带来了一定的局限性。因此,我们必须结合当前电力系统和通信业的发展现状,探究出一种合理有效的安全防护措施。这种安全防护措施要运用管理学知识,以先进的技术手段为技术基础,形成一套完善的安全防护体系。在对安全信息进行处理时,由于其存在很多不确定因素,因此我们需要的是可以进行随时变化的防护措施。针对一些复杂性的安全问题,还需要进行监控,及时应对出现的各种问题,最终对该体系进行评估和总结,根据评估结果进行调整。我们要根据具体问题进行具体分析,针对存在的不同问题给出不同的解决措施。在对通信网络进行管理时,要进行统一的规划,从各个角度对信息平台进行管理和操作,采用以点到面的管理模式,从点对点发展为点对面,到最终形成面对面的结构,从而实现电力系统自动化。在电力系统的实际运行过程中,我们务必要结合现状,立足于现实,在此基础上进行合理有序的划分,针对出现的问题,提供具体地、针对性的解决方案和措施,以此来确保整个电力系统领域的高校运转。随着我国技术水平的不断提升,为我国电力自动化的通信网络体系提供了发展机遇。我们应该抓住这个千载难逢的机遇,不断更新和完善我国电力自动化的通信体系,正确、积极地面对发展过程中出现的问题,并以一个好的心态去应对和解决,以此来避免损失。作为通信领域的高科技人才,我们要不断研制和开发新的信息技术,保证电力系统和通信领域的安全性和可靠性。
3结语
对于人们的日常生活来说,电力的存在能够满足人们工作、学习以及生活的基本需求,大大改善了人们的日常生活环境。随着电力系统与通信领域的不断发展,我们日常生活的发展趋势将是智能化、自动化的状态。因此,我们在发展电力体系中的无线通信技术时,千万不能忽视关于信息安全的问题,确保安全、严密以及高效的高科技通信。
参考文献:
[1]李涛.电力自动化的通信网络研究[J].通讯世界,2013(11).
[2]王平欢.电力自动化的通信网络研究[J].电子技术与软件工程,2015(15).
篇3
(灵川供电公司,广西 灵川 541299)
【摘 要】在21世纪的今天,我国电力实业发展到了一个新的阶段。我国电力调动随着社会的不断进步和发展也在不断地像自动化发展。自动化,顾名思义,对于劳动力的需求大大降低,这无疑会给人们带来更大的经济效益。然而在调度的过程中,对数据的可靠性要求比较高,网络安全防护系统的好坏,至关重要。这也就逐渐的暴露出许多的隐患。
关键词 电力调动;自动化;网络安全
0 引言
电力调动的自动化就是调度员借助调度自动化设备了解电网的运行状况确保电网正常运行的过程。在这个过程中对网络的依赖性极大,因此在电力调动自动化的过程中对网络的安全防护至关重要。电力调动的网络系统主要由SCADA系统、PAS功能系统接口等组成,本文着重从电力调动自动化的网络层面入手,提出有关于电力调动自动化网络系统的安全防护方面的建议。
1 电力调动自动化
1.1 电力调动自动化带来的突出贡献
我国是一个“大国”,无论在人口还是面积上。我国对电力的需求巨大并且拥有世界上最大的电网,电网的运行操作非常的复杂,一旦电网发生故障,那么周围人们的正常生活都会受到影响。在电力调动的自动化未实行之前,电网靠人力调度,经常出现故障。但是在电网调度自动化系统被应用并且更加的完善之后,电力的供应很少出现故障,这得益于计算机超快的计算速度、电网调动自动化对工作人员的解放、自动化系统超高的处理问题的能力,除此之外,电力调动自动化系统还可以对每个用户的用电量和主要的用电时间进行监控,从而自行的调节电价,这样就可以在一定的程度上对用户的电量进行影响,避免用户都在用电高峰时期用电。电力调动的自动化系统是人类电力调动史上的一项重大突破,这项技术促进了电网系统的发展,使人们的生活更加的稳定,使企业不用担心由于电量供应的故障造成损失,满足了人们生产生活的需求。
1.2 网络安全现状
目前电力调动的自动化主要依靠网络,从电力使用的监控、电力的调度到信息的采集、传输都离不开网络。但是在现在的社会中,计算机系统较易受到人为的有意破坏、黑客的攻击、病毒的入侵,如果计算机系统被破坏,那么整个的电力调动系统都将会瘫痪,这对于国家而言会产生不可估量的损失。据相关部门透露,调度自动化系统安全的威胁主要来自于与调度自动化系统相连的网络,其中横向是与其他系统相连如办公室系统,纵向则是与上下级的自动化系统相连。如果有一个系统出现漏洞,那么将会引起一系列的连锁反应,对电力调动自动化系统造成不可挽回的损害。
2 电力调动自动化网络安全存在的主要问题
2.1 网络维护不及时
网络对于电力调动的自动化的重要性不言而喻,但是某些部门,对于网络维护不重视,网络经常由于“年久失修”而出现故障。电力调动的自动化系统中的网络系统的建设并不是一劳永逸的,随着电网复杂程度的增加,网络系统往往要经过复杂的运算才能实行电力调动的自动化,这对于计算机的负荷是非常大的,因此网络系统需要及时维护。
2.2 系统不够完善
除了网络维护不够及时外,系统不完善也是电力调动自动化系统要面临的问题,首先数据的采集不够准确,在整个的系统中,厂站端的信息采集关乎着整个的系统的调控度。但是经常由于采集设备的更改维护而发生数据采集的错误;其次信息的传输经常出现问题,主要是由于信息传输的设备不可靠、传送通道不稳定,这种问题是由于技术层面的问题;第三由于主站的运行系统不够稳定,新开发的软件程序未经过工程的考验,整个主站的中枢系统容易出现问题,一旦主站中枢系统出现问题,那么上行的数据采集与下行的控制命令全部受阻;上述的问题经常会出现在整个的电力自动化调度系统内,这都是整个系统不够完善的体现。
3 电力调动自动化网络安全的实现要点
3.1 网络架构要从三层分析
如果要保障电力调动自动化的网络安全,我们首先应该从网络架构入手,即采用“核心层、汇聚层和接入层”三层网络拓扑结构。首先在应对人为破坏和黑客攻击方面,我们采取了网络分段的方法,主要是将我们的电力调动自动化网络与其他不相关的网络资源进行隔离从而达到防止非法破坏的目的。对于目前电力调动自动化局域网采用以交换机为中心、路由器为边界的网络格局来讲,我们应该重点控制中心交换机的控制功能来实现对整个电力调动自动化局域网的控制。交换机、路由器作为整个局域网的中心一定是黑客们首要攻击的对象,要先从系统自身漏洞、管理的终端、传入终端等方面来保护交换机以及路由器的安全。从管理终端来讲,我们首先要保护的就是网络防火墙内部——网络主机的操作系统的的安全。首先应该对整个主机的文件进行备份,如果突然的遭受袭击导致主机文件的缺失,我们可以利用备份补齐。其次我们要经常性的进行主机的安全检查以及漏洞的修补,这样可以极大的避免人为的利用漏洞进行攻击。最后,我们要建立包括入侵检测、防毒软件、应急处理机构为一体的反应措施,一旦入侵检测系统发现异常情况,我们要进入应急状态,并且启用防毒软件,如果防毒软件无法解决该问题那么我们就要启动应急处理模式(使用备用主机、备用线路等)。从传入终端来讲,我们要保护整个中枢系统的安全,那么就要从防火墙入手,防火墙技术主要分为三大类:“包过滤”、“应用”和“状态检测”,这三大类是整个防火墙系统的基础。包过滤技术是最早使用的一种工作在OSI模型中的网络层上的技术,它的工作原理就是对TCP/IP协议的数据报文进出的通道作为监视对象,它要对通道内进出数据的具体信息进行监视并与事先设定好的过滤规则进行对比,如果某种数据的信息符合“过滤”的规则,那么这个信息就会被扔掉。但是这种防火墙技术存在缺陷,如果出现设计人员意料之外的有害信息,那么防火墙将不会对其进行过滤。这时,应用技术出现了,应用技术的防火墙彻底隔断内网与外网的直接通信,内网用户对外网的访问变成防火墙对外网的访问,然后再由防火墙转发给内网用户。所有通信都必须经应用层软件转发,访问者任何时候都不能与服务器建立直接的TCP连接,应用层的协议会话过程必须符合的安全策略要求。应用网关的优点是可以检查应用层、传输层和网络层的协议特征,对数据包的检测能力比较强。但是较难配置。状态检测技术相当于进化版的包过滤技术,状态检测技术对每个传输数据的信息都进行了完美的检测,对数据的信息进行深层次的检测并保存,如果下一次的传输数据的信息不符合记录的信息,那么该数据将会被放弃。
3.2 维护管理要及时与妥当
对于网络的维护要引起相关单位的重视,要聘请专业的维护人员24小时监视整个网络的状况,如果出现问题,要立即进行维修。在平常的时候,也要定期的对整个网络系统进行维护,否则极易出现故障引起不必要的损失。
3.3 对不可抗力要做好应对措施
当出现有不可抗力状况(台风、海啸、地震等)引起的电力调动自动化的瘫痪时,我们要做好应急措施,例如启用被动电网、紧急抢修等等,不要自乱阵脚。
4 结语
电力调动自动化网络安全防护系统的研究不仅关系到民生问题,甚至在国家的层面上也非常的重要,在很多的军事领域、国防领域都要用到电,当我国与其他国家发生冲突时很可能会遭受其他国家在网络上的攻击,其中不抛去攻击我国电力调动自动化网络系统的可能,因此我们要确实做好电力调动自动化网络安全防护系统的相关工作,为我们的经济建设、国家安全贡献力量。
参考文献
[1]高卓,罗毅,涂光瑜.变电站的计算机网络安全分析[J].电力系统自动化,2002,26(1).
篇4
电力系统在国民经济中的影响与日俱增,人们的日常生活已经与电力紧密相连,任何一处的电力系统的发生不稳定现象都将对该范围人们的生产生活产生重大的影响。伴随着信息技术的出现,电力监控系统逐步转化为分布式监控,每部分地区发生电力系统的不安全、不稳定现象,都能通过该系统进行监控,进而在最短时间内解决问题。随着电网规模的扩大、电力需求度的急速增长,各行业对电力系统的各方要求越来越高。信息技术的出现可以很好地对电网整体情形进行高效地控制,相比以往的配人值守等方式,准确性与安全性得到了很大的提高。利于信息技术可以把电力系统中分布遥远的发电厂、调度中心以及变电站等子系统紧密有序地联系起来,使电力系统的整体性更加稳定。信息化程度的深化,可以将电力中的调度业务和市场业务升级到因特网层面上,使业务处理显得更加灵活有序。然而,信息化技术的深入在充分提高电力效率、保持系统性能稳定等作出巨大贡献的同时,也对电网的系统网络安全产生了一定的影响。因此,本文以电力信息系统中的网络与信息安全防护为对象,全面分析电力信息系统安全风险及需求,提出了电力信息系统安全防护方案和改进措施。
2电力信息系统安全体系现状
电力系统是一个与社会稳定、人民生活息息相关的复杂体系,保证期安全、稳定地运行是保证国民经济正常运行的基础。做好安全防护工作的内容通常包括以下几个方面,例如信息安全管理策略的运行、信息安全体系总体框架的建立、信息安全技术方案的研究及实施、总系统下的各有关子系统的安全故障排除等方面。2003年,电力信息网络的安全运行被国家电网正式纳入电力安全生产管理范畴,电力系统信息安全同时也被国家科技部列入国家信息安全示范工程之一,可见电力系统的网络安全问题也由此被相关部门所重视。2008年是电力系统经受了重重考验的时期,例如年初的雨雪冰冻灾害、5月发生了汶川大地震、8月举办了北京奥运会和残奥会等等。即使我国加大了在电网的现代化建设中引入信息化技术,但我国对电力系统安全性的研究相对而言尚处于发展探索阶段。电力系统的信息化现状主要体现在以下几个方面:
2.1初步完成了信息化基础设施建设
信息技术在电力系统中广泛应用的背景下,我国初步完成了信息化电力系统的基础设施建设,同时,电力系统的各个子系统的管理水平得到了很大的提高,包括发电生产管理信息化水平、电网管理水平、企业管理水平等。电力信息基础设施的广泛建设,使得信息技术得到了飞速发展。以电力通信网为基础的调度数据网络系统、信息网络系统等已经初步形成,为电力的高效管理奠定了坚实的基础。信息技术的深入发展使得电力通信网已发展成为集光纤、卫星、数字微波等手段为一体的电力信息网络系统,覆盖了包括发电、输电、配电等多个环节。
2.2独立自主地坚持了创新之路
纵观国内外电力系统信息化的发展历史,可以发现我国的电力系统信息化水平已经处于高速发展阶段。通过技术引进和自主开发,配电系统自动化领域总体达到国际先进水平,一些国际领先的、独立的研究的能源管理系统和其他关键控制系统已在电力电网调度系统中得到了广泛地应用。其中,SG186等多个应用系统平台、电力信息安全专用装置在开发完成之后,已经投入到实际运行当中,产生了巨大的经济效益。由此可见,我国在电力行业信息产业道路上取得了丰硕的成果。
2.3信息安全技术取得了重大突破
由于电力系统逐步升级为自动化管理,信息在处理过程容易发生偏差,造成各种损失,因此,我国在信息安全方面加大了投入。经过多年的研究探索,电力信息安全取得了很大的进展,主要体现在以下几个方面:(1)基本完成了第一批电力企业信息系统的安全防护工作。(2)开展了以网络安全为主的电力行业信息安全的基础性工作。(3)初步建立了有关电力行业信息安全的法律法规,使信息安全逐渐变得合法化、规范化。(4)建立了电力行业网络与信息安全的管理制度,完善了信息安全责任体制。
3电力系统信息安全的有关防护方案
由于信息系统安全是一个复杂的系统工程,且电力处于国民经济产业中的重要位置,更应系统地、全面地进行分析和把握,从全局角度加以设计和实施。按照安全风险类别及安全建设原则,电力信息系统的安全防护方案大致可分为以下几个方面:数据安全、系统安全、网络安全、物理安全等四个方面。
3.1数据安全
数据安全的核心工作是做好数据的安全存储、信息鉴定、安全传输等三方面内容。信息安全存储是要保证企业业务安全运行的关键,日常生活中最安全、最有效的方法就是采用数据备份,一旦发生操作系统瘫痪、或者数据库系统的数据丢失等情形,备份的数据可以及时弥补。数据在传输过程中容易发生被非法窃取、篡改等威胁,信息鉴定技术可以保证数据完整。由于电力系统在国民经济生活中起着重要作用,因而其传输的都是重要信息,实际操作中可以结合传输加密技术实现数据的机密性。最后,信息传输安全主要指的是为了保护数据信息传输过程的安全。
3.2系统安全
系统安全方案设计中主要包括安全评估、病毒防护、操作系统安全等三方面内容:(1)安全评估是为了减轻因系统的安全漏洞而导致的黑客攻击,安全评估系统可以有效地对系统进行扫描,搜索并修补安全漏洞,增强系统对网络攻击的防护能力。(2)病毒防护必须通过防病毒系统来实现。一个完整的防毒系统应该包含从网络、服务器、应用平台到桌面的多级结构,此种体系下才能有效地防治病毒,从而保证整个体系范围内病毒防护体系的有效性和完整性。(3)由于操作系统是整个安全系统的核心控制部位,因此要应该行之有效地进行防护,尽量采用安全性较高的操作系统,关闭存在安全隐患的程序和文件,严格限制用户使用权限,及时修补系统安全漏洞。
3.3网络安全
网络安全方案设计中应该主要注意安全检测和网络结构安全两个方面:(1)作为防火墙的合理补充,安全检测须在内部核心部位配备入侵检测系统,以对抗来自系统系统内部和外部透过防火墙的各种攻击,在入侵检测系统和防火墙的共同作用下,可有效地减小系统的损害程度。(2)网络结构布局的合理布置也影响着网络的安全性。对于电力系统内部的各种联系,例如办公网络、业务网络和外单位互联网等接口之间应该设置保密程序,避免安全系数较低的其他网络对其构成威胁。
3.4物理安全
一般意义上的物理安全主要指的是环境安全、设备安全、媒介安全等三个方面:(1)应注意环境安全保护,以确保电力系统的信息设备不因环境问题而出现故障。(2)加强设备的安全保护,防止发生设备被盗、损毁现象,也要限制设备防护人员的数量,限制设备出现损毁的客观条件。(3)媒介安全方案的设计主要是加强场地基础设施建设,严格制止信息通过辐射、线路截获等方式造成泄露。
4电力系统信息化过程中的安全防护措施
4.1加强安全管理
除了电力网络系统自身的不稳定因素外,内部的人为因素也占有很大比例。因此,加强内部的安全管理可减少人为风险的产生。具体措施如下:(1)适时进行安全教育。安全知识和相关技能的教育是企业安全生产的保证,各个从业人员须了解并严格执行企业安全策略,并且防止重技术轻管理的倾向,加强对人员的管理和培训,否则无法建立一个真正安全的网络信息系统。(2)建立安全管理制度。电力行业中,管理的各方面主要包括人员管理、机房管理、设备管理、技术资料管理、操作管理、应急事件管理、开发与维护管理等。(3)完善安全技术规范。主要包括信息维护、数据保护、软件安全开发、数据备份规范等,保证后续电力信息系统的开发安全。(4)建立安全保证体系。其中明确各有关部门的工作职责,包括落实责任制,实行信息安全责任追究制度。
4.2加强防护措施
基于电力系统信息技术的防护措施应立足于风险可能发生的部位。主要包括以下几个方面:(1)加强数据防御,即保证数据在存储、使用过程中的完整性,同时也要保证系统出现意外故障时数据依然能够及时恢复。(2)完善系统自身物理防御,包括主机防御和边界防御,主要指的是对系统漏洞进行扫描、对主机加固,利用防火墙等安全设备来保护网络入口点等。(3)增强应用防御,因为应用程序中完整的应用开发安全规范可以实时控制应用程序的各种功能,在此基础上生产的产品可消除已知安全漏洞,因而风险最低。以上几项措施的核心技术体现在以下几点:(1)物理隔离。主要用于电力信息网不同区之间的隔离,由于其隐蔽性,使得该系统不易遭受攻击。(2)数据备份。电力企业的数据需经常进行备份,建立企业数据备份中心,制定详尽的应用数据备份预案,从而保证信息系统的可用性和可靠性。(3)网络防火墙。防火墙是用于将信任网络与非信任网络隔离的一种技术,它可以阻断攻击破坏行为,分权限合理享用信息资源。
5结束语
篇5
关键词:调度自动化 网络安全 二次防护
中图分类号:TP29 文献标识码:A 文章编号:1007-9416(2012)09-0181-02
1、引言
电力工业是关系国计民生的重要基础产业和公用事业,电力系统安全稳定运行和电力可靠供应直接关系到国民经济发展和人民生命财产安全,关系到国家安全和社会稳定。现代电力系统生产运行高度依赖于计算机、通信和控制技术,电力监控系统、电力通信及数据网络等电力二次系统已经成为电网运行控制不可须臾或缺的重要组成部分。
2、发电厂调度自动化系统概述
调度自动化系统是在对全系统运行信息进行采集分析的科学基础上,运用现代自动化技术和可靠的通信系统,由计算机监控作出综观全局的明智判断和控制决策。包括远动装置和调度主站系统,是用来监控整个电网运行状态的。调度自动化系统是电网调度和电网运行管理必不可少的技术手段,是电力系统重要基础设施之一,关系到电网安全稳定运行。发电厂调度自动化系统作为电力监控系统的重要组成部分,其安全问题一直受到国家有关部门的重点关注。
3、电力二次系统安全防护工作开展情况
2002年,原国家经贸委第30号令《电网和电厂计算机监控系统及调度数据网络安全防护规定》,提出了电网和电厂计算机监控系统及调度数据网络安全防护的基本原则,即“电力系统中,安全等级较高的系统不受安全等级较低系统的影响”,明确要求要实现两个隔离:电力监控系统与办公自动化系统或其他信息系统之间以网络方式互联时,必须采用经国家有关部门认证的专用、可靠的安全隔离设施;电力调度数据网应在物理层面上与公用信息网络安全隔离。电监会成立以后,在充分总结以往工作的基础上,明确提出了“安全分区、网络专用、横向隔离、纵向认证”的二次系统安全防护总体策略,使电力行业二次系统安全防护工作进入了实质建设阶段。
2005年以来,电力行业按照《电力二次系统安全防护规定》(电监会5号令)及相关配套文件要求,从规章制度、组织体系、资金保障、人员管理及分区防御、网络安全、数据防护等方面开展了一系列富有成效的工作,初步建立了覆盖全行业的二次系统安全防护体系,防护能力显著提高。随着网络安全威胁的日趋严重和升级,二次系统安全防护工作所面临的安全形势更加严峻。
4、调度自动化系统二次防护的主要策略
电力二次系统安全防护方案根据电力系统的特点及各相关业务系统的重要程序、数据流程、目前状况和安全要求,将整个电力二次系统分为四个安全区:Ⅰ实时控制区、Ⅱ非控制生产区、Ⅲ生产管理区、Ⅲ管理信息区。
4.1 理顺关系,合理整合接入业务
(1)调度自动化系统的横向业务包括:第一、与办公区域的生产管理信息系统(MIS)的接口。传统的访问方式是通过通信网关或WEB服务器实现数据的通信。若想达到横向安全防护的目标,位于安全区Ⅱ的通信网关或WEB服务器与位于安全区Ⅲ的MIS系统之间必须采用经有关部门认定核准的专用隔离装置,使MIS系统的用户终端仅可以通过专用隔离装置浏览WEB服务器上的调度自动化信息,禁止其MIS系统向调度自动化系统发出数据请求。第二、与电能量计量系统、竞价上网系统的接口。为使这些位于安全区Ⅱ的系统能够安全可靠地实现数据业务的传输,就要求调度自动化系统与这些系统之间增加硬件防火墙。
(2)调度自动化系统的纵向业务包括:第一、专线通道。通过专线通道和特定的通信协议实现厂站RTU装置与调度主站EMS系统间的通信。这类接口暂不考虑安全问题。第二、网络通信接口。通过通信网关实现厂站与调度主站间的通信。为确保处理安全区Ⅰ的各系统能够安全可靠地实现数据业务的传输,就要求调度自动化系统与这些系统之间加设纵向加密认证装置,再经电力通信数据网络(SPTnet)进行通信。第三、远程维护接口。系统维护人员或开发商可以通过拨号方式进行系统维护和故障处理。应加强口令的严格管理,在未采取安全防护措施前,不得开通通过拨号服务器接人远程局域网的服务。
4.2 分区隔离,实施安全防护和加密认证
(1)纵向加密认证:在纵向传输防护方面,发电厂调度自动化系统依据传输业务的实时性和重要性进行分类传输保护。远动装置RTU采集数据、脱硫数据、同步相量采集装置PMU采集数据、电压自动控制系统AVC采集数据作为Ⅰ实时控制区数据直接接入区内专用交换机,并通过纵向认证装置接入路由器。电量信息、保护信息子站数据等作为Ⅱ非控制生产区数据业务直接接入区内专用交换机,经防火墙连接至路由器。
各业务系统均直接通过专用交换机实现与上级调度部门的相应业务实现对口通信。为实现对不同安全区域的业务隔离,调度数据网通过纵向认证装置和防火墙实现对Ⅰ区和Ⅱ区的安全隔离,两个区域之间的业务不能通过网络彼此通信。从而减少数据传输的中间环节,缩短了传输时间,有效地兼顾了二次系统对安全防护强度和数据传输实时性的要求。
工作票申请系统、报价系统作为发电厂的Ⅱ区业务接入相应的电力信息专网。以发电厂工作票申请系统为例,由于电力网调度生产信息网为电力内网,终端用户接入网内时需要进行安全加固和安全隔离。也就是要做到内外网物理隔离,专机专用,同时增加网络防火墙解决安全隔离的作用。每个用户终端需要安装上级电力调度部门签发的电力调度系统设备数字证书,以保证电厂能及时、安全的获取调度生产管理信息。
(2)横向单向隔离:横向传输防护方面,发电厂调度自动化系统主要是微机监测及发电负荷调度系统与安全区Ⅲ的厂信息系统之间的安全防护。一般加设横向单向安全隔离装置实现安全防护和隔离目的。生产区域的实时信息经过该物理隔离装置单向传输给WEB服务器,且不接受来自外网的WEB服务器上任何信息和操作。办公区域的工作站也只能通过外网的WEB服务器浏览生产区域的实时信息,从而有效保护内网的服务器和相关子系统设备,实现生产控制大区与管理信息大区之间的高强度的物理隔离,更好地保障电力生产监控系统的安全稳定运行。
4.3 软件的安全防护功能
(1)分组用户管理权限:计算机在网络中的应用,存在两种身份:一种是作为本地计算机,用户可以对本地的计算机资源进行管理和使用;另一种是作为网络中的一份子。高级的操作系统,都支持多用户模式,可以给使用同一台计算机的不同人员分配不同的帐户,并在本地分配不同的权限。对于调度自动化系统所有后台服务器,应全部实行分级用户权限进行管理。
(2)设定高强度口令密码:生活在信息时代的今天,在电力企业的网络环境里,密码显得尤为重要。调度自动化系统所有后台维护及操作平台,均设有高强度口令密码。只有拥有口令密码的专业技术人员方能有权登录,并进行相关安全操作。网络管理人员应具有强烈的安全防护意识,设置以字母、数字、符号相互组合,且长度大于8位的口令密码,并定期更换,可以有效地防止被黑客破解与攻击,保护电力企业内部的调度自动化系统安全稳定,尤为重要。
(3)规范执行制度:调度自动化专业应有明确制度规定,定期进行系统数据异地存储及备份。日常操作时,必须使用专用的移动存储设备,任何人员均不得使用来历不明的移动存储设备。
5、结语
计算机网络安全是电力生产安全密不可分的一部分。除了依据国家规定建立可靠的网络安全技术构成的安全防护体系外,还必须建立健全完善的网络安全管理制度,形成技术和管理双管齐下的态势,以确保网络安全这一最终目的的逐步实现。同时,调度自动化安全防护是一个长期的、动态的工作过程。在随着人员、技术、外界风险不断变化发展,以及调度自动化系统应用与开发环境的不断变化发展,安全目标与防护措施也随之不断发展和变化。调度自动化系统的安全管理需要及时跟进并应用新技术,定期进行风险评估、加强管理,才能保障电力行业调度安全稳定、可靠地长周期运行。
参考文献
篇6
【关键词】潘口水电站;安全防护;防护技术专用设备
潘口电站安装2台单机容量为250MW的混流式水轮发电机机组。以发电为主,兼有防洪、旅游,养殖等综合效益。电站于2013年12月完工,主要承担电网调峰、调频和事故负荷备用等。
一、方案总则
潘口电站电力二次系统安全防护,目的是规范和统一电网和电厂计算机监控系统及调度数据网络安全防护的规划、实施和监管,以防范对电网和电厂计算机监控系统及调度数据的攻击侵害及由此引起的电力系统故事,保障电力系统的安全、稳定、经济运行。
潘口电站电力二次系统是由业务系统、调度数据网络(SPDnet)和电力数据通信网络(SPInet)构成。方案确定潘口电站电力二次系统的安全区的划分原则,各安全区之间在横向及纵向上的防护原则,严格执行“安全分区、网络专用、横向隔离、纵向认证”的规定,并指导相关单位实施。
二、安全防护总体策略
1.安全分区
根据系统中业务的重要性和对一次系统的影响程度进行分区,所有系统都必须置于相应的安全区内。对实时控制系统等关键业务采用认证、加密技术,重点保护生产控制以及直接生产电力的系统。
2.网络专用
建立调度专用数据网络,实现与其他数据网络物理隔离,并以技术手段在专网上形成多个相互逻辑隔离的子网,以保障上下级各安全区的纵向互联仅在相同安全区进行,避免安全区纵向交叉。电力调度数据网络与电力数据通信网实现安全隔离,并通过采用MPLS-VPN在(SPDnet)和(SPInet)分别形成多个相互逻辑隔离的VPN,实现多层次的保护。
3.横向隔离
将实时监控系统与办公自动化系统等实行有效安全隔离,隔离强度应接近或达到物理隔离,使不同强度的安全隔离设备在各安全区中的业务系统得到有效保护。
4.纵向认证、防护
采用认证、加密、访问控制等手段实现资料的远方安全传输以及纵向边界的安全防护。安全区Ⅰ、Ⅱ的纵向边界部署IP认证加密装置;安全区Ⅲ、Ⅳ的纵向边界部署硬件防火墙。
三、安全区的划分
根据潘口水利枢纽电力二次系统的特点和安全要求,整个二次系统分为4个安全工作区:第1区为实时控制区,第2区为非控制业务区,第3区为生产管理区,第4区为管理信息区。
1.安全区I是实时控制区,是安全保护的核心。凡是具有实时监控功能的系统或其中的监控功能部分均应属于安全区Ⅰ。如调度的SCADA(AGC/AVC)系统、功角实时监测系统(PMU)以及电站监控系统等,其面向的使用者为调度员和运行操作人员,数据实时性为秒级,外部的通信均经由SPDnet的实时VPN。
2.安全区Ⅱ是非控制业务区。不是直接进行控制但和生产控制有很大关系,短时间中断就会影响电力生产的系统均属于安全区Ⅱ。安全区Ⅱ的典型系统包括电能量计费系统、故障信息管理系统等。其面向的使用者为运行方式、运行计划工作人员及发电侧电力市场交易员等。数据的实时性是分级、小时级、日、月甚至年。该区的外部通信为边界为SPDnet的非实时VPN。
3.安全区Ⅲ是生产管理区。该区为进行生产管理的系统,典型的系统为电厂生产管理信息等。该区中公共数据库内的数据可供运行管理工作人员进行Web浏览。该区的外部通信边界为电力数据通信网SPInet。
4.安全区Ⅳ是办公管理系统。包括办公自动化系统或办公管理信息系统。该区的外部通信边界为SPInet或因特网。
四、二次防护技术专用设备
1.专用安全隔离装置:分为正向型和反向型。从安全区Ⅰ、Ⅱ往安全区Ⅲ必须采用正向安全隔离装置单向传输信息;由安全区Ⅲ往安全区Ⅱ甚至安全区Ⅰ的单向数据传输必须经反向安全隔离装置。反向安全隔离装置采取签名认证和资料过滤措施,仅允许纯文本资料通过,并严格进行病毒、木马等恶意代码的查杀。
2.横向安全隔离装置(反向):用于从安全区Ⅲ到安全区Ⅰ/Ⅱ单向传递资料,是安全区Ⅲ到安全区Ⅰ/Ⅱ的唯一资料传递途径。横向安全隔离装置(反向)集中接收安全区Ⅲ发向安全区Ⅰ/Ⅱ的资料,进行签名验证、内容过滤、有效性检查等处理后,转发给安全区Ⅰ/Ⅱ内部的接收程序。
3.纵向加密认证装置:用于安全区Ⅰ/Ⅱ的广域网边界防护。加密认证网关,加密认证网关除具有加密认证装置的全部功能外,还应具有应用层内容的识别功能。其作用一是为本地安全区Ⅰ/Ⅱ提供一个网络屏障,具有类似包过滤防火墙的功能;作用二是为网关机之间的广域网通信提供认证与加密功能,实现数据传输的机密性、完整性保护。
五、网络专用
1.调度数据网
调度数据网必须建立在IP+SDH的基础上,严格MPLS VPN的划分。通过MPLS VPN划分将调度数据网分成VPN1和VPN2。因此,在纵向上安全区Ⅰ的数据传输和交换通过VPN1来完成,安全区Ⅱ的数据传输和交换通过VPN2来完成。
2.安全区Ⅲ网络(调度生产管理OMS网络)
安全区Ⅲ网络主要是在纵向上各级调度部门传输调度生产管理信息,属于管理信息大区,它与安全区Ⅳ网络之间主要通过防火墙隔离。
3.安全区之间的横向隔离及纵向保护
在各安全区之间均选择适当安全强度的隔离装置。具有隔离装置的选择不仅需要考虑网络安全的要求,还需要考虑带宽及实时性的要求。安全区之间隔离装置必须有是国产并经过国家或电力系统有关部门认证。
安全区Ⅰ与Ⅱ之间的隔离要求采用硬件防火墙,可使安全区之间逻辑隔离。禁止跨越安全区Ⅰ/Ⅱ与安全区Ⅲ/Ⅳ的非数据应用穿透。由安全区Ⅲ/Ⅳ向Ⅰ/Ⅱ单向数据传输必须经安全数据过滤网关串接物理隔离装置。
同一安全区间纵向防护与隔离。同一安全区间纵向联络使用VPN网络进行连接。安全区Ⅰ/Ⅱ分别使用SPDnet的实时VPN1与非实时VPN2。安全区Ⅲ/Ⅳ分别使用SPInet的VPN。
六、防病毒措施
防止病毒关系到整个系统的安全,防病毒软件要求覆盖所有服务器及客户端,对关键服务器实时查毒,对于客户端定期查毒,制定查毒策略,并备有查杀记录。病毒防护是调度系统与网络必需的安全措施。病毒的防护应该覆盖安全区Ⅰ、Ⅱ、Ⅲ的主机与工作站,特别在安全区Ⅰ、Ⅱ要建立独立的防病毒中心,病毒特征码要求必须以离线的方式及时更新。安全区Ⅲ的防病毒中心原则上可以和安全区Ⅳ的防病毒中心共用。
七、结语
篇7
【关键词】计算机网络电力系统应用应用现状安全防护
中图分类号:F470.6 文献标识码:A 文章编号:
【引言】随着计算机网络技术在电力系统中的应用范围的扩大,电力信息化的不断深入,计算机系统在电力系统中已从简单的数据计算为主发展库处理、实时控制和信息管理等应用的领域,并在电能电量计费系统、电力营销系统、电力ISP业务、经营财务系统、人力资源系统中得到广泛的应用。在电力系统内,它已经成为各项工作必不可少的基础条件,各单位各部门之间现存的计算机网络硬件设备与操作系统千差万别应用水平也差不齐,因此,在计算机网络覆盖全球,计算机技术迅猛发展到今天,讨论和研究电力心态计算机的应用以及安全性则显得尤为重要。
一. 技术是安全的主体,管理是安全的灵魂
安全是一个相对的概念,计算机及信息网络系统和计算机应用实时控制系统的作用主要是使企业高效运作,优化运行,可根据实际需要,确定合理的信息安全措施。要妥善处理好安全与运行质量性能的关系,规范、标准、合理的安全措施可提高系统的运行效果,电力系统信息安全是一个系统的、全局的管理问题,我们应该用系统工程的观点、法,分析信息的安全及具体措施:
1.1要加强信息人员的安全教育,保持信息人员特别是网络管理人员和安全管理人员的相对稳定,防止网路机密泄露,特别是注意人员调离时的网络机密的泄露。
1.2对各类密码要妥善管理,杜绝默认密码,出厂密码,无密码,不要使用容易猜测的密码。密码要及时更新,特别是有人员调离时密码一定要更新。
1.3技术管理,主要是指各种网络设备,网络安全设备的安全策略,如防火墙、物理隔离设备、入侵检测设备、路由器的安全策略要切合实际。
1.4数据的备份策略要合理,备份要及时,备份介质保管要安全,要注意备份介质的异地保存。
1.5加强信息设备的物理安全,注意服务器、计算机、交换机、路由器、存储介质等设备的防火、防盗、防水、防潮、防尘、防静电等。
1.6注意信息介质的安全管理,备份的介质要防止丢失和被盗。报废的介质要及时清除和销毁,特别要注意送出修理的设备上存储的信息的安全。
二.计算机网络在电力系统中的应用及现状
2.1 计算机网络在电力系统应用的意义
电力系统的领导能通过计算机网络在企业本部的办公室中了解分散在全国各地项目部的财务报表、工程进度、工程质量、工程中存在的问题;在企业本部的会议室中拿出从计算机网络中得到的分散在全国各地项目部的资料,与其他领导进行研究,商量出解决问题的办法。
电力建没的性质决定了电力企业要使用计算机网络,它能将分散的建设工地连接成一个整体,能将分散的人员连接成一个整体并能将时宅缩小。利用汁算机网络,企业可发挥企业中每一个员工的积极性,是企业与每个员上联系的平台。领导的决策要依赖企业员工直接提供的素材,计算机网络能将企业员T提供的大量素材直接送到领导那里以供决策。计算机网络的应用为电力建设企业提供了现代化的管理手段,电力建设企业经济效益的取得离不开计算机网络在电力施工企业中的广泛应用。
2.2计算机网络在电力系统应用的现状
通过计算机网络可以使电力系统的工作效率提高了。管理范围扩大了,工作人员的办事能力增强了.但计算机系统网络安全问题也随之变得更加严重了。例如:通过电子邮件感染病毒.电力系统管理网络互联接口的防火墙只配置了包过滤规则.提供的安全保证很低。容易受到基于IP欺骗的攻击,泄露企业机密.有些局域网没有进行虚拟网络VIAN划分和管理,造成网络阻塞,使工作效率减低;绝大多数操作系统是非正版软件,或网j二下载免费软件,不能够做到及时补丁系统,造成系统漏洞,给攻击者留下木马后门;绝大多数工作站没有关闭不必要的通讯端,使得计算机易受远程攻击病毒可以长驱直入等。
三.计算机网络在电力系统安全防护措施
只有将有效的安全管理实践自始至终贯彻落实于信息安全当中,网络安全的长期性和稳定性才能有所保证,技术防护分析以下几点是:
3.1网络防火墙:防火墙是企业局域网到外网的唯一出口,所有的访问都将通过防火墙进行,不允许任何饶过防火墙的连接。D M Z区放置了企业对外提供各项服务的服务器,既能够保证提供正常的服务,又能够有效地保护服务器不受攻击。设置防火墙的访问策略,遵循“缺省全部关闭,按需求开通的原则”,拒绝除明确许可证外的任何服务。
3.2物理隔离装置:主要用于电力信息网的不同区之间的隔离,物理隔离装置实际上是专用的防火墙,由于其不公开性,使得更难被黑客攻击。
入侵检测系统:部署先进的分布式入侵检测构架,最大限度地、全天候地实施监控,提供企业级的安全检测手段。在事后分析的时候,可以清楚地界定责任人和责任时间,为网络管理人员提供强有力的保障。入侵检测系统采用攻击防卫技术,具有高可靠性、高识别率、规则更新迅速等特点。
3.3网络隐患扫描系统:网络隐患扫描系统能够扫描网络范围内的所有支持TCP/IP协议的设备,扫描的对象包括扫描多种操作系统,扫描网络设备包括:服务器、工作站、防火墙、路由器、路由交换机等。在进行扫描时,可以从网络中不同的位置对网络设备进行扫描。
扫描结束后生成详细的安全评估报告,采用报表和图形的形式对扫描结果进行分析,可以方便直观地对用户进行安全性能评估和检查。
3.4网络防病毒:为保护电力信息网络受病毒侵害,保证网络系统中信息的可用性,应构建从主机到服务器的完善的防病毒体系。以服务器作为网络的核心,对整个网络部署查、杀毒,服务器通过Internet从免疫中心实时获取最新的病毒码信息,及时更新病毒代码库。同时,选择的网络防病毒软件应能够适应各种系统平台、各种数据库平台、各种应用软件。
3.5数据加密及传输安全:通过文件加密、信息摘要和访问控制等安全措施,来实现文件存储和传输的保密和完整性要求,实现对文件访问的控制。对通信安全,采用数据加密,信息摘要和数字签名等安全措施对通信过程中的信息进行保护,实现数据在通信中的保密、完整和不可抵赖性安全要求。对远程接入安全,通过VPN技术,提高实时的信息传播中的保密性和安全性。
3.6数据备份:对于企业来说,最珍贵的是存储在存储介质中的数据信息。数据备份和容错方案是必不可少的,必须建立集中和分散相结合的数据备份设施及切合实际的数据备份策略。
3.7数据库安全:通过数据存储加密、完整性检验和访问控制来保证数据库数据的机密和完整性,并实现数据库数据的访问安全。
。
【结束语】
电力企业网络安全是一个很严肃的话题,它是电力企业各种部门之间工作的纽带算机网络在电力系统中安全应用是全局的管理问题,网络上的任何一个漏洞,都会导致全网的安全问题,应该用系统工程的观点、方法,分析网络的安全及具体措施使用,计算机系统在供电电力上的应用将和企业的效益有着越来越密切的关系, 将成为电力企业的生命线, 这些都需要整个电力供电企业的员工共同的努力,推动电力供电系统的计算机应用进一步发展、逐步的完善,计算机网络安全只有这样才能真正做到整个电力系统的安全保障。
参考文献:
【1】马绪.关于在陕西电力系统中应用的探讨[J].华中电力,2006(04).
【2】徐严军,浅谈电力行业网络安全解决方案[J].价值工程,2010,29(27):165.
篇8
关键词 二次系统;网络;安全防护;预案
中图分类号TP39 文献标识码A 文章编号 1674-6708(2010)33-0228-02
Region Scheduling Data Network Security Assessment and Emergency System
CAO Jianfeng
AbstractSecondary power system in accordance with the national security of the relevant requirements of the Fuzhou region of the second grid system to assess network security, in view of the Fuzhou region of the second grid system issues of network security defense research, practice, and to identify areas of Fuzhou, the second grid weak point of the safety of the system, and scientific solutions. For the safety assessment report to study the formulation of security policy, the implementation of pilot programs and practice, and then test it again to build and improve the regional power network security defense system to system, and summed up the defense system the formation of the standard model.
KeyWordSecondary system;networking;security
0 引言
电力监控系统及调度数据网作为电力系统的重要基础设施,不仅与电力系统生产、经营和服务相关,而且与电网调度、与控制系统的安全运行紧密关联,是电力系统安全的重要组成部分。电力生产直接关系到国计民生,其安全问题一直是国家有关部门关注的重点之一。
随着通信技术和网络技术的发展,接入电力调度数据网的电力控制系统越来越多。电力系统一次设备的改善,其可控性已满足闭环的要求。随着变电集控所模式的建立、变电站减人增效,大量采用远方控制,这对电力控制系统和数据网络的安全性、可靠性、实时性提出了新的严峻挑战。而另一方面,Internet技术和因特网已得到广泛使用,使得病毒和黑客也日益猖獗。目前有一些调度中心、发电厂、变电站在规划、设计、建设控制系统和数据网络时,对网络安全问题重视不够,构成了对电网安全运行的严重隐患。除此之外,还存在黑客在调度数据网中采用“搭接”的手段对传输的电力控制信息进行“窃听”和“篡改”,进而对电力一次设备进行非法破坏性操作的威胁。因此电力监控系统和数据网络系统的安全性和可靠性已成为一个非常紧迫的问题。
1福州地区电网二次系统网络安全评估概述
1.1 概况
福州地调二次系统安全评估包括:二次系统资产评估、网络与业务构架评估、节点间通信关系分析、二次系统威胁评估、现有防护措施评估、主机安全性评估、网络系统评估、安全管理评估、业务系统安全评估、二次系统风险计算和分析、安全建议等评估内容,评估之后针对系统的薄弱点进行安全加固,并制定《福州局电力调度自动化系统应急预案体系》,提高调度自动化系统运行的可靠性,安全性,有效预防和正确、快速处置电力调度自动化系统瘫痪事件,不断提高福州电网预防和控制调度自动化事件的能力,最大限度地减少其影响和损失,保障电网的安全运行。安全评估的实施基本流程如图1所示。
1.2 网络安全评估的过程
1.2.1资产调查
资产调查作为信息收集的一个关键步骤,是开始安全评估工作的第一步,也是安全加固工作的基础,其主要目的是准确全面的获得被评估系统的信息资产清单。
因此,在进行评估项目实施时,我们很重视资产调查的过程和方法,以期收集到准确、全面的信息资产清单。对于每一个资产来说,都需要比较准确的收集各项属性,因此我们计划整个资产调查过程如下,以确保我们的资产调查目标的实现。
1.2.2采用了正向测试与逆向渗透相结合的漏洞深度检测方法
在本项目中,安全扫描主要是通过评估工具以本地扫描的方式对评估范围内的系统和网络进行安全扫描,从内网和外网两个角度来查找网络结构、网络设备、服务器主机、数据和用户账号/口令等安全对象目标存在的安全风险、漏洞和威胁。应用正向测试与逆向渗透相结合的漏洞深度检测方法,对电力二次系统主机信息安全进行分析。
1.2.3采用了远程漏洞扫描与本地主机自动化脚本检测相结合的脆弱性获取方法
渗透测试主要依据安全专家已经掌握的安全漏洞,模拟黑客的攻击方法对系统和网络进行非破坏性质的攻击性测试。所有的测试将在授权和监督下进行。渗透测试和工具扫描可以很好的互相补充。工具扫描具有很好的效率和速度,但是存在一定的误报率,不能发现高层次、复杂的安全问题;渗透测试需要投入的人力资源较大、对测试者的专业技能要求很高(渗透测试报告的价值直接依赖于测试者的专业机能),但是非常准确,可以发现逻辑性更强、更深层次的弱点。
1.2.险计算和分析
信息安全风险评估的风险计算部分主要以业务系统作为风险计算和分析的对象,以福州电业局本部为例,本次对福州电业局SCADA系统、电能量采集系统、OMS系统和DMIS网站共4个业务系统进行了评估和测试,各个业务系统的信息资产价值、威胁发生可能性和脆弱性严重程度的进行赋值,并通过风险计算,得出风险计算结果,确定各个系统的危险程度,找到业务系统的安全薄弱点。
1.2.5安全建议
根据计算出来的安全结果,通过管理和技术等两方面来加强网络设备和安全设备的安全性,对访问重要设备的用户应遵循一定规章制度,对网络配置的更改、权限的分配要及时进行记录备份归档。
对重要业务系统和服务器进行定期的漏洞病毒扫描,对扫描结果进行分析记录并归档。对新系统上线前应进行扫描和加固,对扫描的日志及时进行安全审计并归档。
对网络运行日志、操作系统运行日志、数据库运行日志、业务系统运行日志进行定期的安全审计并提交安全审计记录和报告,对报告中的非法行为应及时报告并处理。
对于网络设备和安全设备的配置日志应另存储在日志服务器中,而非存储在本地路由器或是交换机上,并定期的进行备份归档。对于日志的种类应当包括所有用户对网络设备和安全设备的查看、更改等。
本文为全文原貌 未安装PDF浏览器用户请先下载安装 原版全文
2地区电网自动化系统整体应急预案体系建设
2.1应急预案体系的出现
现阶段地区调度自动化各系统联系紧密,单个系统的故障将连锁影响多个其他系统运行,电力调度数据网建设向县调及110kV变电站延伸,接入系统种类日趋复杂,二次安全防护木桶效应日趋明显。由于系统风险主要来自于病毒及相关联系统的故障,故障类型复杂并存在触发或并况,应急预案的思路逐步摆脱了自动化单个系统预案的思路,慢慢向以自动化二次整体应急预案体系进行转变。该思路面对系统出现严重故障时,整体地考虑恢复手段及措施,隔离故障区域,屏蔽受影响系统的部分功能,将日常人工或自动备份的硬件及软件快速导入故障设备,恢复系统。在日常备份及演练过程中,综合考虑各系统间的互补能力和约束条件,并切合地调实际,高效率低成本地实现该预案体系。该体系重视系统整体恢复的效率和日常投入成本的二维标准,兼收并蓄各种技术手段和管理手段的优势。
2.2 应急预案体系的特点
该预案体系适应自动化系统日益联系紧密的特点,摆脱之前针对某一系统制定预案的思路,采用“整体考虑,互为备用,分散管理,集中恢复”总体思路,避免出现系统孤岛,综合考虑,兼顾各个系统及全面事故预想,具有兼容性强,各子系统预案操作性强,入门要求低,恢复手段有效快速,投资成本低,日常维护工作量少,实用化推广价值高的特点。
预案体系总体框架图各子预案关联关系图
2.3 预案体系各个子预案之间的关系
2.3.1共存关系
各预案体系间存在互相引用,互为补充关系。简化了对预案编写的复杂程度,将复杂的系统问题转化成为多个专项问题来解决。
集控系统资源成为EMS预案中的备用设备,将整体自动化系统一体化考虑,互为备用,充分利用资源,降低预案成本。
2.3.2互斥关系
预案体系中的电源子预案和其他预案间存在互斥关系,当涉及到整体电源异常时,就要考虑牺牲小系统,保全大系统的整体
3 结论
本项目对地区电网二次系统网络安全防御体系开展了专题研究与实践,研究结果有效提高了地区电网二次系统网络的安全防御能力,对网省调度中心乃地市电业局的二次系统安全建设都起到了重要的指导意义。项目根据研究结果构建了调度自动化应急预案体系以及与之相配套开发的快速备份恢复系统,投资少,效益高,为电网的安全可靠运行提供坚强的技术支撑。该项目的开展促进了调度中心对现有二次系统安全现状和存在的各种安全风险有了深入的了解 ,确保调度中心对二次系统中存在的各种安全风险采取相应的网络安全手段和部署选用必要的安全产品 ,对今后全省乃至全国地区电网二次系统网络安全建设具有重要的指导意义。
参考文献
[1]张王俊,唐跃中,顾立新.上海电网调度二次系统安全防护策略分析.电网技术,2004(18).
[2]王治华.安全运营中心及其在调度中心二次系统中的应用.电力系统自动化,2007(22).
[3]陈文斌.电力二次系统网络与信息安全技术研究.电工技术,2008(11).
[4]民,辛耀中,向力,卢长燕,邹国辉,彭清卿.调度自动化系统及数据网络的安全防护.电力系统自动化,2001(21).
[5]葛海慧,卢潇,周振宇.网络安全管理平台中的数据融合技术 .电力系统自动化,2004(24).
[6]胡炎,辛耀中.韩英铎 二次系统安全体系结构化设计方法.电工技术,2003(21).
[7]程碧祥,电力调度自动化系统中物理隔离技术的研究与应用.电工技术,2008(1).
篇9
关键词:电力调度;调度安全;安全运行;安全监控
引言
随着社会科技的高速发展,根据我国电网的发展和高压电网的建设,加上电力自动化水平的不断提高,我国将建造一个规模最大、电压等级最高、结构最为复杂的特大型电网。近年来,各种电压设施的排查、看管采用互联网代替,实现了少人或者无人值班的状况,调度自动化系统目前正处于电力生产的安全考核项目中,对其安全可靠性提出了更高的要求。在电力系统运行中,让电网安全运行、经济运行和稳定运行是每个调度员应具备的能力。在电网运行中,电网安全和稳定运行是尤其重要的,如果电力调度员发生判断、调度等失误所引起误操作的话,若不及时处理,不仅会影响其稳定性还很有可能会造成重大事故,这将会对整个行业及社会带来重大的影响。
1 电力调度安全运行监控管理的意义
电力系统内部结构较为繁琐,当系统处于运行状态时,极易受不同因素的制约,易引发安全事故,严重影响了电力调度运行过程。一方面,企业在生产操作阶段,所用电量非常大,电力负荷上下起伏明显,严重增加了运行管理难度,使安全事故发生率升高。另一方面,设备风险。基于新环境下,电力技术发展水平较快,大量先进设备和技术被应用于电力系统内部,这些设备较大程度体现了电力系统的智能化、现代化特征,但由于受到运行环境及条件的制约,加之电力调度运行操作与管理人员对这些设备的操作和运行路线熟练程度上还需强化。另外,若设备未能按时进行检测与检修,都将增加设备安全问题,最终给电力系统运行埋下安全隐患。自动化机械设备在不同领域应用频繁,特别是电力行业,此种新型工作技巧不但要求电力调度人员具备丰富的专业知识,同时还要拥有高强度技能水平,从而提高操纵标准性。电力调度运行模式的蜕变在很大程度上证实了电力调度工作在当前社会发展中的深远意义和价值。
2 电力调度安全运行监控管理存在的问题
2.1 安全防护体系不完善
在电力调度系统运行中会受到安全威胁,主要来自物理层面威胁和计算机故障两个方面。物理层面上的威胁通常是来自主机硬件和线路连接,如果硬件遭到损坏则会使部分重要数据丢失,给系统带来较大的安全隐患。计算机长期处于联网状态,可能会受到网上任意一台计算机的攻击,倘若网络安全防护不到位,将会受到病毒、黑客的侵蚀,导致计算机发生故障,发生安全问题。系统安全还会影响到主机操作方面的安全,如若出现没有经过授权就能够使用账号和口令、损害系统完整性和用户拒绝系统管理等行为,必定会给电力调度系统造成严重安全问题。
2.2 电力基础设施安全性不足
在目前电力系统电力调度自动化的运行过程中,存在普遍的电力基础设施安全性不足的问题,电力基础设施是支撑整个电力信息网络安全运行的基础,所处的工作环境较恶劣,常常会在自然条件下受到暴风、雷电等因素的影响发生性能上的改变,除此之外,电力基础设施也会受到外部人为因素的影响。电力信息网络安全在电力基础设施被破坏时会出现网络故障,造成电力信息传输数据的丢失、准确性不足等问题。
2.3 对网络安全进行管理时,管理举措不到位
这里所描述的网络安全性主要是指管理级别的安全,一些电力公司的安全管理措施不足并且管理力度不到位,在使用和管理内网以及互联网得时候缺少强度不足的网络分区以及隔离,加上不完善的网络安全管理措施,增大了其安全性问题出现的可能性,具体体现在以下情形,当外人使用非法手段攻击调度下的自动化时,如果没有有效的防御办法,则就非常容易造成使整个电力调度自动化网络系统的运行瘫痪。
3 电力调度安全运行监控管理策略
3.1 构建安全防护体系
第一,从操作管理开始着手,对管理人员进行分类与分级,同时,设置登录与操作权限。可以根据系统使用权限来确定不同用户的使用范围,这需要在设计系统时,对用户制定使用和管理准则,对不是系统维护的人员屏蔽部分功能,使核心数据获得相应保护,防止因为一些错误操作导致不必要安全事故的发生。第二,重视确保主系统的功能和故障诊断。自动调度系统,其功能是通过不同网络服务器来完成,在对系统进行建设、调试、运行时务必要重视对不同服务器指标的监控,将此当成依据对系统进行实地实时监控。另外,要科学设计系统的故障诊断功能,使其可以及时播报错误。第三,注意计算机的防护。调度系统功能的使用主要是凭借计算机,任何计算机都会因为外在的攻击和病毒对系统造成影响,因此必须要做好计算机硬件的防护工作,增强防火墙和检测功能。还要定期对系统进行检查,便于及时发现问题及时解决,避免发生严重的安全事故。
3.2 基础设施安全管理
根据电力企业的运行和发展特点,应对电力基础设施加强安全管控,结合不同的基础设施分布情况,做好不同供电公司和发电厂数据的备份工作,以此为根据制定切实可行的应急方案。根据电力企业的生产运行情况和电力系统的运行情况,按照不同的安全等级划分基础设施,在此基础上改进和完善安全控制措施。从基础设施和网络层面2 个方面为着手点,加强电力信息的安全管理。全方位监控各个基础设施,充分应用现代化计算机网络信息技术手段,当出现故障时第一时间发现和诊断出故障发生的原因,应用应急方案优先处理故障,对基础设施进行优化,提高信息的安全性。
3.3 对运行的管理和安全制度规章进行完整的健全
对运营管理和安全性的规章制度进行完善是网络系统安全的保证。电力公司除了构建一整套完善的安全规则和法规外,还需要对网络安全进行专业性的测试,并一定时间内评估网络安全性全是否牢靠。电力公司应该建立电力SCADA系统并调用数据网络安全防护专职安全技术员工,并实施安全责任制。拥有完美的安全性管理保护措施可以极大降低网络安全事件的可能性。
3.4 完善优化监控运行系统
通过前文对不同运行状态下监控系统工作内容的分析可知,电力调度监控系统要根据实际情况展开合适的监督控制工作。正常工作状态下,要在工作的同时,降低电网负荷,避免出现资源浪费;经济工作状态下,需要加强报警措施,以提高系统的稳定可靠性;故障运行状态下,则要帮助工作人员全面了解事故发生原因,进而及时有效的解决其中发生的问题。比如,在正常状态下,遵循超前原则优化电网监控系统,重点检测无功率,避免电力资源出现不必要的浪费。而在经济状态改下,设置不同等级的报警体系,按照事件紧急情况设置不同的报警体系,提高电力调度监控运行的针对性和细致性,让监控人员可以有针对性的采取措施。事故发生后,监控运行系统要充分发挥出自身的辅助作用,记录故障信息,开启报警系统实现调度监控一体化,从而缩短故障处理时间,提高处理效率,尽可能降低电力企业遭受的损失。
结语
综上所述,新时期电力事业发展下要想保证电力调度的安全性、稳定性,则必须需要做到及时地防范工作,平日多培养电力调度员的安全信念、警惕性、应对突发状况的心理素质,培养他们有分辨潜在问题和判断的能力,强化电力调度生产监控,并做好网络安全防护,以完善优化监控运行系统,以提高电力调度的整体水平。
参考文献
[1]崔清华.电力调度运行中的安全措施分析[J].集成电路应用,2020,37(04):86-87.
篇10
【关键词】安全隔离技术;电力信息网络;网络安全防护;技术应用
随着电力行业信息化建设的不断深入,电力信息网络得到快速发展与完善,而网络在为电力生产、经营等提供优质服务的同时,也面临着不同程度的安全问题,而由这些安全问题引发的风险,正成为限制电力基础设施建设的主要因素。因此,探讨有效的网络安全防护技术,提高网络综合安全防护水平至关重要。
1电力信息网络的安全现状及防护要求
1.1安全现状
(1)网络结构日益复杂,几乎承载电力系统全部信息业务,各业务均设置在网络当中,易形成安全漏洞。(2)互联网数据基本都要通过信息网络,如果信息网络遭到攻击,则调度网与各个数据将直接面临巨大的威胁,缺少综合防护体系。(3)业务人员所用PC终端直接设置在网络中,部分业务人员技能水平有待提升,或安全意识不足而产生错误、不规范操作,进而威胁网络安全[1]。(4)重要数据没有得到有效的机密性保护。因数据实现集成化,不同业务系统的大部分数据都存储在几个固定数据库当中,又由于这些数据库缺乏有效安全保障,并且不同企业所采用的安全措施有着明显的强度差异,因此会造成很大的安全漏洞。
1.2防护要求
虽然现阶段电力信息网络应用了众多防护措施,但在数据库等方面依然存在安全隐患。网络安全满足木桶效应,薄弱环节的安全保障强度决定了网络整体防护水平,若安全防护技术与管理措施未能形成健全的体系,留有薄弱环节,将大幅降低网络的整体防护水平。因此,必须构建动态化电力信息网络安全防护体系,以此拉近每个环节的安全保障强度,真正提高网络整体防护水平,避免信息泄露和丢失等现象的发生。
2安全隔离技术
2.1通用网闸
通用网闸类安全隔离技术是指利用两个处理系统和安全等级有明显差别的信息网络进行连接,系统数据交换通过设立专用协议完成。在数据库安全防护方面,该技术主要以内网数据库与外网数据库相同步的方法为主。目前,通用网闸类安全隔离技术在数据库安全防护中应用的经典做法是在客户端和服务器之间进行部署,分析http协议,对数据库施加安全隔离,并实现细粒度控制。
2.2数据库审计
数据库审计指的对DBA(DatabaseAdministrator,数据库管理员)操作进行记录,揭示数据库实际安全状态,主要在将协议解析作为基础的总体技术路线中应用,可实现数据库日志全记录,并依照用户意愿采取旁路模式对记录、行为等进行分析。
2.3数据库隔离
相比国外发达国家,我国针对数据库安全的产品研发起步较晚,发展相对滞后,技术层面主要依赖国外先进技术,缺乏自主产品。此外,数据库隔离类技术与产品的规范、标准尚未统一,想要进一步壮大该技术,还需大力发展其安全测评方案。目前,数据库隔离类技术与产品的科研中心主要放在数据库应用中间件。
3电力信息网络中安全隔离技术的应用设计与实现
3.1设计网络安全隔离器
因隔离器设置于网络的内外边界,所以隔离器要具备类似普通防火墙的防护作用来实行主机访问控制与保护。在电力信息网络中,其业务系统主机有基本固定的端口与IP地址,可将其作为基本元素实现访问控制。隔离器并非一个普通防火墙那样简单,除主机的访问控制以外,还要确保数据库安全,因此还要实现数据库控制与保护。统计表明,SQLInjection是现阶段数据库遭到的主要攻击方式,为使数据库避免遭到这一攻击,可在应用层还原SQL(StructuredQueryLanguage,结构化查询语言),并对其实施深入的解析与过滤。根据上述内容,电力信息网络的安全隔离器应从多个角度入手实现综合性与立体化的安全防护,提高网络每个层次的安全性,构建图1所示的防护与数据处理程序。
3.2实现网络安全隔离
如前所述,安全隔离器是一个将网络通信协议作为主要分析对象的安全防护设备,它的实现本质上是以通信流为基础的分层与解析,其实现步骤为:(1)对目的端口、IP地址、协议域等实施组合,形成数据包的过滤规则,对数据包与信息流向进行控制,防止内网遭到攻击,限制外网对内网的访问。(2)在报文发送至应用层以后,应对其实施协议化处理,对地址解析协议等报文进行分析与过滤,以此构建协议处理功能模块。(3)功能模块需涉及传输控制协议数据流重组,并在该模块内可对协议进行可靠解析。(4)在对协议栈实施了有效还原之后,从中提取并分析数据库的协议报文,以协议关键字段为依据对TNS工具控制进行识别,最终获取SQL语句。(5)利用结构化查询语言过滤模块对所得SQL语句进行分析,在格式化处理的前提下,采用搜索算法与规则库等过滤SQL语句,最后根据反馈结果明确是否需要进行传递[2]。以安全隔离技术为核心设计的网络安全隔离装置,通过国家网络安全部门分析、验证,其不仅具备防火墙等普通网络安全防护工具的全部功能,而且还能提供面向数据库应用层的安全防护与访问控制等功能,实际安全防护强度远远超出了其它防护工具,具有良好的应用与推广价值,可为电力信息网络提供可靠的安全保障。
4结束语
综上所述,目前电力信息网络安全现状不容乐观,存在较多安全漏洞,对网络安全提出了很高的要求。作为直接面对新型网络攻击手段的安全隔离技术在电力信息网络有着良好的应用前景,通过对安全隔离器的优化设计与实现,能起到大幅提升网络安全防护水平的作用,真正实现从整体角度保障网络信息安全的目标。
参考文献
[1]刘晓翠,王晨臣,闫娟,张晓宇.安全隔离技术在电力信息网络安全防护中的应用[J].通讯世界,2016(24):190~191.
