电力系统网络安全的重要性范文

时间:2024-01-02 17:42:12

导语:如何才能写好一篇电力系统网络安全的重要性,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

电力系统网络安全的重要性

篇1

【关键词】电力系统;信息网络安全;安全隐患

中图分类号:F406文献标识码: A 文章编号:

引言

我国虽然已经建立了相对完善的电力系统信息网络,也具备了一定程度的电力系统信息网络安全体系。电力系统信息网络安全体系不仅可以将电力系统信息网络与电力运行实时控制网络隔离开来,而且本身所具有的网络防病毒软件和网络防火墙可以保障电力系统的运行安全。但是由于自然因素以及电力企业对信息网络安全的认识不足,导致多个地区的电力系统出现故障,造成了大面积的断电,严重影响到人们的正常生活和工作,也会对电网系统的安全运行造成危害。因此,电力企业要提高对电力系统信息网络安全的重要性的认识,并了解其所存在的安全隐患以及危害方式。电力企业要采取全面的防护措施来实现对电力系统信息网络的安全构造策略。

1.电力系统信息网络安全隐患及其危害方式

电力系统信息网络存在的安全隐患主要是:病毒、网络黑客、网络内部用户的恶意和非恶意的不正当操作。而这些安全隐患的形成原因是由于电力企业对信息网络的安全意识不强,缺乏完善的信息安全管理制度和防攻击的安全措施,电力企业也没有对用户进行严格的用户认证,缺乏足够的资金投入来提高信息网络安全体系。更为重要的是电力企业没有对数据进行备份。正是因为这些原因,导致电力系统信息网络存在着病毒、网络黑客、网络内部用户的恶意和非恶意的不正当操作等安全隐患。病毒主要是由于用户使用了一些带有病毒的移动存储设备,从而导致传播了病毒到网络中。而有些用户则是利用自己的合法认证身份对信息网络中的数据进行破坏,进行不正当的操作。但是相对而言,黑客的入侵行为对信息网络安全造成的危害更加显著,所产生的损失也是巨大的,因此,黑客是电力系统信息网络安全体系最主要的防范对象。病毒对信息网络的危害,轻者会使网络速度下降,重者会导致网络崩溃,使网络信息流失。用户的不正当操作则会使电力企业的信息数据流失,需要进行断网杀毒,严重影响电力企业工作进程[1]。而黑客的危害方式有3种,①直接穿越局域网和电力应用系统对电力系统中的所有的基层实施系统进行控制,最普遍的是数字控制系统(DCS)。②黑客也可以通过网络之间的联系,通过其中某个实时系统来对另外的实施系统进行控制和破坏。③是从电力信息网络的外部进行攻击,具体来说就是通过Internet对电力系统信息网络进行破坏。

2.电力信息网络的安全构造策略

要想加强电力系统信息网络的安全性,就必须从两个方面进行安全构造,一是电力企业提高自身对网络安全的认识和防护措施,二是提高信息网络安全技术。

2.1电力企业对电力系统信息网络安全的认识和防护措施

首先,电力企业要加强对电力系统信息网络安全的认识,建立完善的信息网络安全防护体系,采取分层、分区管理,其中又可以将区域管理分成生产管理区、实时控制区、非控制生产区和管理信息区,并将区域之间的网络物理隔离设备进行隔离。其次,加强对信息人员的管理,对其进行网络安全教育,保持网络信息管理人员和安全管理人员的稳定性。最后,加强对信息网络体系的密码、技术、数据管理,提高信息网络的安全系数。

2.2提高信息网络安全技术

2.2.1采取漏洞缺陷检查技术,对电力系统信息网络安全体系中的重要网络设备进行检查,并对其进行风险评估,让所有的设备在最佳的状况下运行。

2.2.2采取针对性的安全技术

①防火墙技术:防火墙作为网络与网络安全域之间的唯一出入口,可以按照电力企业所制定的政策,对网络中出入的信息进行严格的检查、控制,对于危险信息进行防御、攻击。防火墙近年来已经被广泛应用局域网与Internet中。电力企业可以根据事先制定的安全策略和自身的安全需求,在防火墙配置中设置相应的访问规则,让其自动地对网络信息数据进行检查,对于非授权的链接给予强力的防护[2]。

②网络地址转换技术:使用网络地址转换技术可以限制访问的IP地址,让用户通过有限的IP地址对网络进行访问。电力企业也可以通过地址转换,将网络中合法的IP地址进行隐藏,提高网络的安全系数。

③防病毒系统:电力企业可以采用最新的防病毒产品对网络PC机、Internet 网关和服务器进行保护。防病毒系统都带有管理功能,可以对文件进行更新、控制企业的反病毒安全机制,并对网络系统性能进行优化,对病毒进行预防和处理,提高网络的安全性。

2.2.3采取科学的软件配置

①数据加密技术:“加密”是指一种可以对网络传输数据的访问权进行限制的技术,还可以对原始数据进行加密使之成为密文的技术。“加密”功能是防止恶意客户对机密数据文件进行查看、破坏,防止数据泄露。

②指纹认证技术:加强对用户身份的认证,是提高信息网络安全性的重要措施。电力企业可以在安装硬件防火墙的基础上,采取更先进的身份认定技术如指纹认证技术。将合法用户的指纹输入到网络中的指纹数据库中,对访问用户进行身份认证,提高电力系统信息网络的安全性[3]。

③虚拟网技术:虚拟网(VPN)就是指建立在网络上的专用网络技术电力企业可以通过防火墙和VPN系统建立安全隧道,实现用户与信息服务之间的点对点的安全交流,而且该安全隧道是需要经过高度加密和认证的,可以保证数据的安全性。

3结语

电力系统信息网络安全关系到整个电力系统的顺利运行,因此,电力企业要加强对信息网络的安全管理,并采取先进的网络技术提高电力系统信息网络安全防护能力,形成电力系统信息网络安全的构造策略,以此来保障电力系统信息网络安全应用。

【参考文献】

[1]杨建东,马永.浅析电力系统信息网络安全[J]. 电脑知识与技术,2011,5

(5):1074-1076.

[2]陈 悦.浅谈电力系统信息网络安全防护及措施[J].广东科技,2012,5(9):32.

[3]游威荣.电力系统信息网络安全的重要性及其管理[J].科技信息,2010,14

篇2

关键词:计算机;网络信息;电力系统

经济的快速发展,使人们在生活和生产中的用电需求量不断增加。这在一定程度上也促进了用行业的发展,使用电规模不断扩大,电力系统也在发展过程中的得到了进一步完善,同时用电体制也发生了一定程度的改变。现代电力系统在运行过程中,更加的依赖计算机网络技术,从实际情况来看,合理的应用计算机网络技术,可以使工作效率得到提升。但是,需要注意,在应用网络信息过程中,要处理号计算机网络信息安全问题,确保电力系统运行安全性与顺利性。

1计算机网络信息安全对电力系统的意义

现阶段,计算机网络信息技术已经被广泛应用在我国电力系统中,通过计算机网络信息技术进行相应的保护和监控,尤其是现代市场经济环境下,客户通过不同的途径,与电力交易中心完成相应的交易,因此电力系统计算机网络比较容易成为黑客和病毒攻击对象,从而将会对电力系统造成破坏,影响电力系统运行的安全性与合理性。电力企业高度重视计算机网络信息安全,电力企业在运营与发展过程中,要不断加强对网络信息安全的重视,避免病毒或黑客对电力系统造成侵害,通常通过相关加密方式和认证技术对网络安全进行保护。但是,从实际情况,很多黑客可以依照相关内容对电力系统造成破坏[1]。例如,通过相关数据传输流量、速度、长度、数据依据数据的具体类型等。黑客也可以通过结合计算机网络流量分析以及密码分析等方式解码传输的数据,这样将会对传输的数据造成较为严重的威胁,甚至会破坏电力系统操控的设备[2]。由此可见,如果没有电力系统计算机网络信息安全保护措施,有可能会对系统造成严重破坏,影响供电系统的正常运行,因此要加强相应的研究与分析。

2电力系统中网络信息安全问题

2.1计算机病毒侵害

计算机网络信息安全会受到多项因素的影响,计算机病毒是其中最常见的一种。计算机病毒会对计算机造成破坏,同时也会损坏数据信息,计算机病毒可以像生物一样进行自我复制,并且本身还具有潜伏性、传播性等特点,难以彻底去除。这将会对的计算机在运行过程中各项功能造成不了严重的不良影响,甚至会引起计算机瘫痪[3]。当计算机造成到计算机感染病毒的侵害时,网络信息的传输将会受到阻碍,此时计算机中的文件和数据都会受大破坏,将会对电力系统的稳定性造成较为严重的影响,同时会对数据资源和电力系统设备遭受破坏,最终将会造成较大损失。

2.2黑客入侵

电力市场开发后,用户可以自由的与交易中心进行交易。但是,由于电力系统计算网络信息安全技术不发达,因此在具体交易过程中,缺少有效的保护和脚控措施,容易遭受黑客攻击,黑客会发现电力系统中存在的漏洞,并且会利用该漏洞,入侵计算机,不仅会扰乱计算机数据传输,而且会破坏电力系统中的关键设备,而且还会通过解码和加密方式获取关键信息,最终达到在电力市场中获取高额利益的目的[4]。黑客的入侵,一方面会对电力系统的安全运行造成不良影响,另一方面会导致企业承受巨大的经济损失,情况严重时,会对工业和居民的正常用电造成影响,扰乱社会秩序。

2.3电力系统本身存在安全漏洞

随着计算机网络技术的逐渐成熟,其在电力系统中的应用变得更加广泛,电力系统在运行过程中对其变得更加依赖。但是,从实际情况来看,电力企业监理的操作系并不完善,工作环境中存在漏洞,这些漏洞的存在,导致系统容易被黑客入侵,从而导致电力系统遭受破坏。

3防范电力系统中计算机网络安全的有效措施

计算机网络信息安全对于电力系统运行的安全性来说有着重要意义,但是计算机网络信息安全问题较为严重,为了确保电力系统运行的安全性与合理性,要从多方面入手,加强防护,具体内容如下。

3.1提高对网络安全的重视程度

电力系统计算网络安全会对整个电力系统的运行安全性造成应影响,由此可见其重要性。因此,要加强对网络安全的重视:①提高相关工作人员的安全意识,加强对计算机网络安全的管理与监督[5]。②通过培训等方式,提升相关工作人员的专业能力,做好日常管理等各项工作。③定期对电力系统计算机网络相关信息内容进行检查分析,及时对系统进行扫面,发现病毒,并且将其清楚,对电力系统中存在的安全隐患进行科学处理,并且要做好相应的存档,保证电力系统网络安全。

3.2提升操作系统自身的安全性

网络本身具有开发性特点,操作系统可能存在安全隐患是目前我们必须要注意的一项问题,针对系统设计结构情况,可以进行具有针对性的探讨与研究,而且要在未来一段时间,操作系统在运行过程中可能会出现的安全问题,以及目前已经出现的安全问题进行探讨分析,从而使操作系统的安全性能够得到进一步提高,同时在具体问题分析过程中,要构造出一些与安全标准相符的体系结构。除此之外,应当依据具体情况创建安全模式,提高系统的安全性,同时也应当开发属于自己的操作系统。

3.3提高防病毒的合理措施

病毒对系统的危害性不言而喻,因此必须要采取合理的措施对其进行预防,具体措施如下:(1)电力企业应当集中设置防病毒信息管理系统,不得采用同一个防病毒管理服务服务管理系统的电力系统安全的不同区域。(2)针对电力系统中的各个工作站和全部服务器,都要设置具有防范病毒功能的客户端,避免病毒入侵。(3)布设电力系统计算机网络独立电子邮件系统时,为了避免病毒入侵,对系统运行造成危害,应当在电子邮件服务器前部设置病毒网管和杀毒软件,通过该方式,可以阻止带有病毒的邮件传播,避免系统遭受病毒的破坏。(4)在电力系统和互联网网路接口处设置防病毒网关,通过该方式,避免病毒和蠕虫入侵到电力企业管理系统中,保证系统运行的安全性。(5)要想确保电力系统计算机网络信息安全性能够达到人们的期望要求,还要做好对病毒信息的科学管理,确保病毒特征码可以得到及时更新。与此同时,要及时查明病毒的类型和特征,并且要通过分析掌握不同类型的病毒对电力系统的威胁状况,然后依据具体情况,制定针对性的措施,确保电力系统计算机网络信息的安全性。

3.4提升防火墙的拦截能力

防火墙指的就阻止病毒或黑客等损坏网络安全的的一层技术屏障,其技术原理如图2所示。在电力系统计算机网路中的杀毒软件设置基础之上,进行防火墙软件设置,这是一种相对安全的防范措施,可以提高整个系统在具体运行过程中的安全性,有效阻止病毒或者黑客入侵到计算中,避免对计算机网中的系统造成破坏。与此同时,可以定期对系统中的相关设备进行分析与检查,从而保证其始终都处于一个正常状态,保证系统运行的安全性。目前,防火墙系统可以分为以下几种:①过滤防火墙,其主要被设置在网络层面,通过设置过滤防火墙,对于信息的过滤可以在路由器中完成,确保信息的安全性。②双穴防火墙,主要是在一个网络中,收集相关数据,然后选择某些数据传输到另一个网络中。③防火墙,也可以将其称作应用层网管级防火墙,此种防火墙包括包括过滤器、服务器,是目前应用比较广泛的一种防火墙,并且在具体应用中取得了不错的效果。

4结束语

信息技术的不断发展,使其在电力系统计算机网路信息化得到了更加广泛的应用。同时,信息技术的发展,对于电力系统中计算机网络信息安全来说也是想一项严峻的考验。在具体问题分析过程中,需要加强对计算机网络安全的重视,提高操作系统自身的安全性,应用防病毒措施,提升防火墙能力,确保电力系统运行的安全性。

参考文献

[1]尤瑞刚,盛利强.计算机网络信息安全及其防护对策探究[J].电脑迷,2016,09:79.

[2]于涛.关于提高电力系统计算机网络信息安全水平的研究[J].中国管理信息化,2017,02:52~53.

[3]赵颖科.探究计算机网络与信息安全系统的建立与技术[J].山东工业技术,2015,06:162.

[4]李斌.关于提高电力系统计算机网络信息安全水平的研究[J].电子技术与软件工程,2015,21:214.

篇3

关键词:电力网络;安全性能;网络系统;防御手段

中图分类号:TM769 文献标识码:A 文章编号:1674-7712 (2012) 16-0033-02

随着计算机技术的快速发展,网络已经逐渐走进了千家万户。对于企业来说更是如此,计算机网络技术给企业的运营带来了巨大便利。然而网络的快速发展也带来了一些安全问题,一些不法黑客常常会利用一些系统漏洞进入企业单位,有的甚至肆意攻击企业网络,给企业带来了巨大损失,对于电力系统更是如此,一旦电力网络被攻击,将危机整个电网的持续稳定运行,对城市的正常运转带来不可估量的灾害。

一、电力网络安全策略

随着国内专家对于电力网络安全的深入研究,目前已经取得了一些进展。在网络安全研究工作研究方面。武汉大学李俊娥等人提出电力数据网络的整体安全策略以及电力企业络建设与管理的分级多层次和动态的安全策略,向继东等人提出分层实现电力系统的安全策略来实现系统多层次安全保障,王先培等提出将防火墙和人侵检测系统综合运用到电力信息网络的具体方案,尚金成等人提出将电力市场技术支持系统与EMS、电量计量(TMR)系统、调度MSI等系统安全互联。通过这些系统的协调有序运行从多个角度对网路安全进行保障。

总的来说,目前我国的电力网络安全保证主要是依赖防火墙对于入侵的检测和漏洞的扫描方面。防火墙经过多年的发展已经成为很成熟的技术,但仍然存在很多问题,比如它只能通过率粗粒度进行攻击,相对来说不够敏捷迅速,不能在第一时间对入侵者进行攻击。而且最重要的是它无法防止网络内部的攻击,这也给网络安全带来了一定的隐患。IDS虽然能检测到攻击威胁,但它的反应速度不够,不能及时的对敌方做出回应,而且自身的保护能力仍然有待加强。网络安全的提升仍然任重道远。只有充分了解敌人的攻击方式,并针对其攻击特点进行有力的还击,做到知己知彼才能保证网络的安全可靠。

二、电力系统安全防御体系

本文通过对主动诱骗系统理论的深人研究在参考已有主动防御系统原型的基础上,结合实际需求,初步实现了一个基于主动诱骗策略的电力网络安全防御体系(简称主动诱骗电力网络安全防御体系),并完成相应的系统和功能设计。

防御体系功能。这一防御体系主要以保障电力系统网络安全为目的,通过结合现有的网络安全手段和工具,以IDS作为网络防御中心的体系性结构。它的控制中心是IDS防入侵系统,IDS通过统筹安排其他系统的协调合作实现网络安全的最大化。首先,当网络中出现异常现象时,系统会将可以身份进行追踪,并将这一行为通知子系统,子系统可以定向对可疑人士进行追踪控制,并将其浏览痕迹进行记录复制,以便于以后的查证。复制的数据会由总系统控制被诱骗子系统接收,子系统再通过之前的判断对可以人员的网络使用进行控制,必要时甚至可以对可疑人士的网络使用进行全面监控,并针对攻击者的情况给以有力还击。整个系统通过合理有序运行,及时发现并将情况分别传递给不同子系统,使得整体系统的安全性更强,对于电力系统的网络保护能力更强。

三、主动诱骗电力网络安全防御体系关键技术

在主动诱骗电力网络安全防御体系设计中,主要研究的是如何提高主动诱骗系统对电力网络中各种攻击的诱骗能力,以及如何提高主动诱骗系统自身安全的保护能力。下面介绍关键技术的实现。

四、主动诱骗策略及诱骗系统

诱骗系统主要包括诱骗环境、系统隔离层和主机操作系统,其中,主机操作系统占据主导地位,通过它的统一控制实现各个系统的分工合作,协调有序运行,充分保障电力系统的网络安全。

诱骗环境中的一些机器可以通过伪装成其他的服务器进而躲过系统的检测,然而进入系统通过对目录、数据和文件等的伪装,或通过其他的诱骗策略,例如模拟操作系统的各种漏洞、产生仿真网络流量、配置有吸引力的名字、连接有吸引力的服务等策略,将人侵攻击引入诱骗环境中,诱骗系统通过诱骗机制创建了一个系统隔离层,作为诱骗环境和系统内核的接口,使诱骗环境中的系统行为不能直接访问到系统内核,起到很好的隔离作用。

五、路由控制

这一点主要是指通过路由器的访问权限对外来用户加以控制,防止一些诱骗系统的路由IP进入,并且对内部系统进行实时监管,防止有内部产生的系统漏洞威胁到整个体系的安全和稳定。同时,还可以将路由控制与连接控制相结合,利用路由控制的诊断功能,对外来入侵者进行监控,一旦发现可疑目标立刻采取相应措施和手段加以回应,进而保护电力系统网络的安全。

六、入侵行为重新定向

这一点主要是来自于防火墙的地址转换技术。防火墙在受到威胁时,可以快速的对攻击人士的IP进行定向,通过追踪攻击人士主机地址,获得攻击人员的信息情况。这一定向功能保证了在系统受到攻击之后有机会查找出攻击来源,并针对此做出回应。而且地址转换技术的运用也使得攻击人员对于网络安全有更多的顾虑,在很大程度上保护了网络系统的安全可靠。

七、日志服务器

防御体系为了保证整个体系的合理有序运行,会对一些外来威胁进行记录,当系统监控子系统检测到时间之后,通过中央系统的调控将加密的事件传递给日志服务器,通过在日志服务器中查看各种事件发生的频率,就能做到灵活掌握最新动态,规避可能存在的风险。本设计还有一大特点,日志的监控系统相对隐蔽,不会被外来人员轻易发现,这研究保证了监控的效率更高,最后获得的结果更加准确。否者外来人员容易借用其他方式进行欺骗,日志服务器的保密性使得网络的安全性能大大提高。

八、远程管理控制台

这一系统独立于主系统之外,主要通过隔离层接口对于外来人员的浏览加以记录,必要时可以利用自身所带功能报警,出现问题时也可以及时跟管理人员进行沟通,也可以帮助修改系统各个部分的配置和部署,还有系统的升级完善、处理收集数据等工作都由控制成。远程控制台的存在帮助管理人员更好地对系统进行管理和监控,使得系统运行的灵活性更强。

九、主动诱骗电力网络安全防御体系逻辑结构

结合电力网络的拓扑结构,主动诱骗电力网络安全防御体系逻辑结构中,外防火墙作为外部网络的第一道防线,采用“严进宽出”的配置策略,将大部分外部的入侵行为进行隔离,同时实现人侵检测和人侵行为重定向功能,出于防火墙的性能考虑,在外防火墙上利用IDS的日志功能有针对性地对人侵行为做记录,不宜做太详细的日志记录。IDS采用基于网络的IDS,可实时监视电力网络中所有的数据包。内防火墙采用“宽进严出”的设置策略。“宽进”是为了迷惑人侵者,使其在里面乐不思蜀,以收集更多数据、证据;“严出”则是为了防止人侵者利用该系统作为跳板,对其他电力信息系统进行进一步的攻击。在内防火墙上,由于出人数据都是可疑的,入侵行为记录子系统应该对系统的所有活动做严格、详细的记录。

十、结语

电力系统网络的安全可靠关系到整个供电功能是否正常运转,尽管目前我国在网络安全方面取得了较大进展,仍有很多不足之处,外来人员可以针对网络安全的漏洞对网络构成威胁。同时部分管理人员由于责任意识不到位,疏于管理,这也在无形之中增大了网络安全的危险系数。构建安全可靠的网络系统,不仅需要做好技术上的工作,还应在管理人员上下功夫。对管理人员进行培训,提升管理人员的专业素质,出现问题时能够及时有效的提出解决措施。加强管理人员的工作责任心,责任到人,奖罚分明,才能提升网络安全系数。同时,应该积极宣传网络安全的重要性,提升民众对于网络安全的认识,避免内部人员对系统网络进行恶意攻击。总的来说,电力系统网络的安全维护还有很长一段路要走,需要各部门人员协调合作,统一规划安排,才能将风险降到最低。

参考文献:

[1]程渤,张新有,浮花玲,杨国纬.基于主动诱骗的电力网络安全提升策略设计与实现[J].电力系统自动化,2004,8.

篇4

【关键词】电力;信息网络;安全措施

0引言

我国自改革开放以来,在电力领域的发展有着大幅度的提升,接入电力企业信息网络中的应用愈来愈多,在各个系统之间的数据交换也非常的频繁,这对电力控制系统以及数据信息网络的安全和可靠性等提出了新的挑战。由于网络的开放性以及共享性等特点,也会由于疏忽或者是恶意的攻击对电力网络安全带来很大的威胁,所以加强这一领域的防范就显得格外重要。

1电力信息网络安全的理论及安全风险分析

1.1电力信息网络安全的相关理论

随着社会的不断进步发展,我国的电力企业在新的阶段取得了瞩目的成就,国家的有关部门以及各级的电力企业对电力信息网络安全问题有着很高的重视度,故此在2002年国家经贸委制定了相关的电网和电厂计算机监控系统及调度数据网络安全防护规定。次年,将国家电力信息网络安全运行归入到电力安全生产的管理范畴,并将其纳入电力安全生产的体系。

在网络的安全技术措施方面,电力信息部门在国家信息安全防护框架下,在2002年开始了电力系统信息安全示范工程,针对电力信息网络安全系统的建设已经是近些年的电力企业信息网络化建设的重点内容,诸多的电力企业在网络身份认证以及防病毒、攻击方面得到了加强,各电力单位也有了不同等级以及种类的信息网络安全体系。

1.2电力信息网络安全当前面临的风险分析

在电力信息网络安全所面临的安全风险可分为网络设备风险以及网络中信息风险两个层面。在电力信息网络安全并非是单点安全,它所指的是在整个电力企业的信息网络整体安全,这就涵盖着管理以及技术两方面。在电力信息网络安全的物理安全风险方面主要就是信息网络服务系统中的设备以及服务器和用户端计算机等这些设备,在物理安全风险方面主要有火灾以及雷电等,这些风险会使得电力信息网络突然中断或者系统发生瘫痪等。

在网络安全风险方面主要有电力实时系统安全风险以及网络体系结构安全风险和网络通信协议安全风险。在电力信息网络安全系统的安全风险主要就是操作系统安全风险和数据库安全风险以及病毒危害风险、黑客入侵风险。应用安全风险方面就是身份认证和授权控制安全风险,信息传输完整性风险,信息传输机密性以及不可抵赖性风险。在管理上的安全风险主要就是责权不明以及管理的混乱,安全管理制度的不完善和操作性不强,网络管理员自身方面存在的问题以及缺乏对网络可控性和可审查性。

2当前我国电力信息网络安全现状及应对策略探究

2.1当前我国电力信息网络安全现状分析

从当前我国的电力信息网络安全现状情况来看,还存在着诸多的问题有待进一步的解决,首先就是电力企业的员工在信息网络安全意识方面还有待加强,最为突出的就是用户的安全意识有待加强,系统登陆口令比较的简单,有的甚至是将账号以及密码借给他人使用,对电力信息资源的共享以及管理不理性,这些方面对信息网络安全都有着比较大的威胁。

另外,就是电力企业员工多网络长时间的占用,从而大量的消耗了网络资源,从而给电力信息网络安全的通信增加了负担,这对电力系统内部的网络通信效率有了很大的影响,有的由于对网页的浏览以及使用了优盘致使一些网络病毒在信息网络中大肆的传播,从而给电力信息网络安全带来了很大的威胁。

再者就是缺乏统一的信息安全管理的规范,由于种种因素使得电力信息网络安全的管理规范还没有得到统一完善的建立。还有就是在和电力行业特点相适应的信息网络安全体系方面的建设还没有完善,在电力系统当中的信息网络已经渗透到了诸多的领域,在管理以及经营和生产等方面的应用已经是愈来愈多,但实际的安全技术和策略等应对措施比较的缺乏。

还有就是信息网络硬件系统不牢固,这是比较普遍的问题,虽然互联网的硬件系统已经在安全性和稳定性方面都具备,但依然在一些方面还存在着脆弱性,硬件故障对信息的传输会造成不安全的威胁以及信息失真。

2.2针对我国电力信息网络安全现状的应对策略

在对电力信息网络安全的相关问题采取防范措施时,要能够从实际出发,首先要对电力企业人员在信息安全网络的意识上得到加强,对员工在信息网络的安全教育和培训方面进行强化,要能够让电力企业的员工通过教育培训对电力信息网络安全的重要性有充分的认识,要能够对相关的要求规定严格的遵守。

另外,就是要创建电力信息网络安全体系的防护骨架,要能够将其和电力工业特色、企业电脑信息技术的实际得到有机的结合,从而来创建电力新提案权体系的防护骨架,还要能够根据信息业务的功能,把电力信息系统分成不同的层面,也就是信息网络安全自动化系统以及生产管理系统和电力信息管理系统,这样能够循序渐进有规律的对实际问题加以解决。

再者就是对安全管理的强化,首先在网络的设备安全管理方面,网络设备的安全管理要能够将分区防御以及双网双机得以实现,进而再建立多层防御以及登记防御的体系,对信息网络的数据要做好检测和控制工作,并要能够对网络的访问加以严格控制,要进行实施入侵防护措施,在网络的访问权限进行设置。对网络的性能要进行及时的检测,从而使得网络的安全运行得以保证,在电力信息的传输过程中要进行加密处理,要保证信息的保密性,针对敏感性的数据信息要设置复杂的保密方式,防止非法的侦听和盗取信息数据。另外还可以通过防火墙的隔离措施进行对非法网络入侵问题进行防范,安装入侵检测系统以及服务器核心防护系统,对网络的安全性进行实时的监控,这样能够使得电力企业信息网络安全事故得以较低。

为能够有效的将电力企业的生产控制区安全得以保障,通过在生产控制区以及外部网络汇接点上架设网络隔离设备,能够将生产控制区的安全得以有效的保障,网络隔离设备能够在不影响电力系统的状况下,把生产控制系统的数据单向发到与之相连的MIS网络或者是其它的业务系统当中,能够将一些网络入侵以及病毒的攻击等得以有效的隔离,这样就对电力企业的生产控制系统的安全运营有了保障。

最后在信道安全方面进行采取相关的手段也能够对电力信息网络的安全起到保护作用,在跨广域网的安全措施方面可通过MPLSVPN将多种业务进行隔离,这样能够保证各种业务间的安全性和独立性,为能够使得各电力部门的网络正常的运行,将MPLS进行引入是最佳的解决方案,这样能够实现电力调度等生产控制业务在跨广域网时的安全防护。

篇5

1.1电力信息网络安全的相关理论

随着社会的不断进步发展,我国的电力企业在新的阶段取得了瞩目的成就,国家的有关部门以及各级的电力企业对电力信息网络安全问题有着很高的重视度,故此在2002年国家经贸委制定了相关的电网和电厂计算机监控系统及调度数据网络安全防护规定。次年,将国家电力信息网络安全运行归入到电力安全生产的管理范畴,并将其纳入电力安全生产的体系。在网络的安全技术措施方面,电力信息部门在国家信息安全防护框架下,在2002年开始了电力系统信息安全示范工程,针对电力信息网络安全系统的建设已经是近些年的电力企业信息网络化建设的重点内容,诸多的电力企业在网络身份认证以及防病毒、攻击方面得到了加强,各电力单位也有了不同等级以及种类的信息网络安全体系。

1.2电力信息网络安全当前面临的风险分析

在电力信息网络安全所面临的安全风险可分为网络设备风险以及网络中信息风险两个层面。在电力信息网络安全并非是单点安全,它所指的是在整个电力企业的信息网络整体安全,这就涵盖着管理以及技术两方面。在电力信息网络安全的物理安全风险方面主要就是信息网络服务系统中的设备以及服务器和用户端计算机等这些设备,在物理安全风险方面主要有火灾以及雷电等,这些风险会使得电力信息网络突然中断或者系统发生瘫痪等。在网络安全风险方面主要有电力实时系统安全风险以及网络体系结构安全风险和网络通信协议安全风险。在电力信息网络安全系统的安全风险主要就是操作系统安全风险和数据库安全风险以及病毒危害风险、黑客入侵风险。应用安全风险方面就是身份认证和授权控制安全风险,信息传输完整性风险,信息传输机密性以及不可抵赖性风险。在管理上的安全风险主要就是责权不明以及管理的混乱,安全管理制度的不完善和操作性不强,网络管理员自身方面存在的问题以及缺乏对网络可控性和可审查性。

2当前我国电力信息网络安全现状及应对策略探究

2.1当前我国电力信息网络安全现状分析

从当前我国的电力信息网络安全现状情况来看,还存在着诸多的问题有待进一步的解决,首先就是电力企业的员工在信息网络安全意识方面还有待加强,最为突出的就是用户的安全意识有待加强,系统登陆口令比较的简单,有的甚至是将账号以及密码借给他人使用,对电力信息资源的共享以及管理不理性,这些方面对信息网络安全都有着比较大的威胁。另外,就是电力企业员工多网络长时间的占用,从而大量的消耗了网络资源,从而给电力信息网络安全的通信增加了负担,这对电力系统内部的网络通信效率有了很大的影响,有的由于对网页的浏览以及使用了优盘致使一些网络病毒在信息网络中大肆的传播,从而给电力信息网络安全带来了很大的威胁。再者就是缺乏统一的信息安全管理的规范,由于种种因素使得电力信息网络安全的管理规范还没有得到统一完善的建立。还有就是在和电力行业特点相适应的信息网络安全体系方面的建设还没有完善,在电力系统当中的信息网络已经渗透到了诸多的领域,在管理以及经营和生产等方面的应用已经是愈来愈多,但实际的安全技术和策略等应对措施比较的缺乏。还有就是信息网络硬件系统不牢固,这是比较普遍的问题,虽然互联网的硬件系统已经在安全性和稳定性方面都具备,但依然在一些方面还存在着脆弱性,硬件故障对信息的传输会造成不安全的威胁以及信息失真。

2.2针对我国电力信息网络安全现状的应对策略

在对电力信息网络安全的相关问题采取防范措施时,要能够从实际出发,首先要对电力企业人员在信息安全网络的意识上得到加强,对员工在信息网络的安全教育和培训方面进行强化,要能够让电力企业的员工通过教育培训对电力信息网络安全的重要性有充分的认识,要能够对相关的要求规定严格的遵守。另外,就是要创建电力信息网络安全体系的防护骨架,要能够将其和电力工业特色、企业电脑信息技术的实际得到有机的结合,从而来创建电力新提案权体系的防护骨架,还要能够根据信息业务的功能,把电力信息系统分成不同的层面,也就是信息网络安全自动化系统以及生产管理系统和电力信息管理系统,这样能够循序渐进有规律的对实际问题加以解决。再者就是对安全管理的强化,首先在网络的设备安全管理方面,网络设备的安全管理要能够将分区防御以及双网双机得以实现,进而再建立多层防御以及登记防御的体系,对信息网络的数据要做好检测和控制工作,并要能够对网络的访问加以严格控制,要进行实施入侵防护措施,在网络的访问权限进行设置。对网络的性能要进行及时的检测,从而使得网络的安全运行得以保证,在电力信息的传输过程中要进行加密处理,要保证信息的保密性,针对敏感性的数据信息要设置复杂的保密方式,防止非法的侦听和盗取信息数据。另外还可以通过防火墙的隔离措施进行对非法网络入侵问题进行防范,安装入侵检测系统以及服务器核心防护系统,对网络的安全性进行实时的监控,这样能够使得电力企业信息网络安全事故得以较低。为能够有效的将电力企业的生产控制区安全得以保障,通过在生产控制区以及外部网络汇接点上架设网络隔离设备,能够将生产控制区的安全得以有效的保障,网络隔离设备能够在不影响电力系统的状况下,把生产控制系统的数据单向发到与之相连的MIS网络或者是其它的业务系统当中,能够将一些网络入侵以及病毒的攻击等得以有效的隔离,这样就对电力企业的生产控制系统的安全运营有了保障。最后在信道安全方面进行采取相关的手段也能够对电力信息网络的安全起到保护作用,在跨广域网的安全措施方面可通过MPLSVPN将多种业务进行隔离,这样能够保证各种业务间的安全性和独立性,为能够使得各电力部门的网络正常的运行,将MPLS进行引入是最佳的解决方案,这样能够实现电力调度等生产控制业务在跨广域网时的安全防护。

3结语

篇6

【关键词】电力企业;信息安全;风险防御

和谐社会的发展是政治、经济、文化、社会和生态多方面合力的结果,科技的进步使得电力企业意识到亟需尽快的对电力系统进行革新,从计划经济到市场经济体制的改革中,电力企业为了适应这样的变化,加强了对管理体制的合理改变和生产效率的大步提高,拉开了电力系统改革的序幕。安全的信息网络系统的构建是电力企业发展改革过程中至关重要的一个环节,有效的将电力企业的信息安全系统与其管理和考核进行有机结合,更好的服务于电力企业的生产、经营和管理,电力企业安全信息系统风险评估与防御也就成为了电力企业在经济全球化进程中亟待重视的问题所在。

1 电力企业安全信息系统风险评估

1.1 企业规模发展迅速,信息网络安全意识淡薄

电力资源是我们社会生活中必不可少的一部分,电力企业在相对垄断的情况下,发展极其迅速,但在这样的过程中,我们可以看到,大多数电力企业仅仅对基础设施和简单的网络构建有着重视力度,却没有对安全信息系统的风险认识足够,这种情况下必然产生了诸如网络安全防御意识差,对网络信息安全防范的资金投入不足等不良情况的出现。企业规模越来越大,对企业安全信息系统的维护资金投入却并不高,网络安全技术没能及时加强,电力企业也就不能很好的抵御网络风险,对网络入侵也显得无所适从。

1.2 信息化安全资金投入少,管理机制有待完善

电力企业对安全信息网络的建设的重视并不充分,有些电力企业在管理过程中对信息管理部门完全忽视,只是将企业的网络信息安全的管理安排给几个技术员或挂靠到生产技术部门,电力企业作为高盈利企业却对信息安全资金投入并不充分,信息化管理制度也很不健全。电力企业安全信息机制的构建是个长期的系统工程,我们必须注意到构建专门的信息化部门的重要性,才能在激烈的市场竞争中使得电力企业更好的满足其发展体制对信息化管理的需求。

2 电力企业安全信息系统的主要问题

2.1 信息安全化管理未分区

国家电力管理委员会出台的5号规定,对电网企业、发电企业、供电企业等电力相关企业做出了有关其信息安全网络业务系统构建的明确规定,将这些企业的计算机和网络技术系统大致分为了管理信息的部分以及生产控制的区域。信息管理区域可以依托各个企业不同的经营管理模式对安全区进行划分,而生产控制区域一般来说应该由可控制区和非可控区两大部分构成。在这样两个大的区域之间,电力企业必须在国家电力监测认定部门的监督下安装电力生产专用的单向横向安全的隔离装置。如若不能很好的遵从这样一个标准对电力企业网络系统进行管理,就经常会出现企业管理信息大区部分网络直接可以对生产控制区域的数据进行访问,出现网络安全事件,影响电力企业的安全生产和发展。

2.2 网络端口接点存在风险

互联网技术的革新的步伐越来越快,企业的网络系统安全建设却并不牢靠,在部分环节仍然十分脆弱,在电力企业的信息安全网络建设中, Web程序漏洞、系统漏洞不断出现,对病毒的侵入无力抵抗,为黑客、病毒制造者提供了入侵的机会,这些信息安全威胁的发生可能会引起电力企业网络安全系统的瘫痪和网络故障,为企业造成了这些安全威胁使得企业利益造成了巨大的损失。在最近的一项调查数据中显示,电力企业中遭受到的网络安全信息系统威胁中约有70%是由于网络系统内部的危险侵袭。这种危害的可能发现于诸多方面:对于敏感数据的滥用,对于内部员工的信息监管不力使得信息泄露都提升了企业的运行风险。

2.3 互联网病毒的侵害

从口语传播时代到印刷传播时代,直至现在的网络传播时代,互联网的高速发展使得网络病毒也迅速得以传播和扩散。诸多的电力企业网络内外相连,覆盖范围相当广泛,网络病毒经常可以有机可乘,牵一发而动全身,从一台电脑的病毒侵害到整个电力网络系统,造成网络通信的阻塞,使得整个系统中的文件和关键数据得不到完整的保存,造成不可预计的后果。

2.4 信息安全人员防范意识较低

电力企业信息防范人员对信息安全应用系统的管理是保障信息网络安全系统的重要一部分。数据库操作系统的规划和防范都离不开信息安全人员的有力防范,但在如今的电力企业信息安全系统的管理过程中,相关人员防范意识低下的情况屡屡发生,由此引发的网络安全漏洞泄露了电力企业机密信息,造成了很大的安全隐患,使企业遭受安全冲击。用户的网络安全防范意识低下是现如今网络安全的通病,大多数的用户都认为网络自身有着一定的自我安全防范意识,对电脑提示的病毒预警视而不见,电力企业中也没有很好的避免这一点,部分工作人员重技术轻管理,网络安全信息管理机制的不完善,也给企业的网络带来了十分大的管理风险,这就迫切的要求应该对网络的安全机制进行完善,也应该主动自高工作人员自身的安全防范意识。

3 电力企业安全信息系统风险防御

3.1 防火墙技术的运用

防火墙技术是现今社会经常用于互联网风险防御的重要手段之一,多用于将可信任网络和非信任网络之间相隔开来。电力企业的生产经营和管理的过程中的运行调度中都应该加强在安全检查中对网络节点的关注,限制对含带危险信息的领域的访问。电力企业在生产经营、分散控制和运行调度的过程中对防火墙技术的运用有效的将信息的采集、整合和应用都限制在可掌控的范围内,在不同的权限内最大限度的合理的运用着相关资源。

3.2 网络病毒侵袭的防护

电力企业关系着国家重要电力资源的开发和应用,为了保护电力资源的安全,必须要从内到外的构建起全方位的网络病毒防侵害系统,更好的对来自于各个方面的病毒信息进行防护。只有提高了企业的整体安全性,在互联网和周边的局域网内都安装好防病毒侵袭的安全网关和内置的病毒防护软件,才能使得电力企业免受网络病毒的侵袭,各个方面的数据得以安全与稳定的保存。

在电力企业的网络准入控制系统中,对接入点客户的安全策略检测和身份认证都是必不可少的,若不能通过检测的用户应该被严令禁止在网络之外进行隔离。无论是无线用户还是有限用户,都将面对互联网访问客户端从验证、授权到阻止未授权的计算机网络资源的过程,只有在一系列的检测中得到审核通过才可以拿到进入内部网络的通行证,网络病毒越来越厉害,愈发侵入性越强,对此,电力企业对客户端主机应该进行更加严密的考察,不间断的对病毒特征信息库进行更新,维护好网络的完整和安全性。

3.3 虚拟网的数据备份技术

互联网技术的网络拓扑结构设置,加之很好的利用交换机、路由器等功能设置,可以使网络管理员将任何一个相关局域网内的一些网段结合起来,组成一个局域网。在这个局域网里的信息传递速度更加迅速,传播速度的加快使得网络信息安全生产过程中的管理效率得到提高,使得电力企业的数据被窃听的可能性不断的降低。与此同时,现在电力企业在大多数情况下都会对重要的资料进行数据库的备份工作,这样构建起对电力企业信息网络安全系统的应急预案,可以在出现网络侵袭时及时的对关键业务和应用程序进行保护,确保核心数据系统在出现损害时,企业核心安全得到保护。

3.4 终端设备的网络准入控制技术

可采用基于网关认证的硬件控制技术,实现对通过无线网络、有线网络、VPN网络、wifi网络等方式连接的设备进行接入控制。同时,采用“报备重定向+注册重定向”的双重认证保护技术,对非法接入的终端设备进行强制重定向安全检查。对不符合安全等级要求的终端设备,可根据系统策略限制用户接入网络或将其访问限制在隔离区。

网络准入控制技术应以细致、准确、迅速为原则,对网络资源访问进行控制,尤其是一些核心的网络应用,包括C/S、B/S以及服务器应用;以精益化的客户端联动管理为核心,基于多种授权方式,包括单用户授权、用户组授权、白名单授权等方式,实现对未受控客户端实施不同用户级别的可靠便捷的接入控制。

4 结论

电力企业的安全信息系统是电力企业信息化管理的重要内容之一,有效的对电力企业安全信息系统将要面临的风险进行评估并且提出切实可行的防御措施,是保障电力企业现代化管理的有力手段。随着近些年来互联网技术的增强,电力企业的安全系统构建也愈发的完善,为电力企业的良性循环运行提供了必要的技术支持和保障,因此,我们应该重视对互联网信息的保护,防御病毒的侵害,为为电力企业的安全信息系统的正常运行营造起安全的网络环境。

参考文献:

[1]陈伟.电力系统网络安全体系研究[J].电力系统通信,2008(01).

[2]牟奕欣.关于电力系统的网络安全的探讨[J].中国经贸,2010(14).

篇7

【关键词】电力 自动化系统 网络安全

纵观而言,电力企业隶属于特殊行业,占据着国家经济命脉重要地位。传统意义上的电力生产运行管理通常是由人工操作完成的,涉及具体的工作量十分巨大且工作效率相对较低,安全性难以获得优化保障,针对各个部门的各项管理很是繁琐。在改革开放春风的沐浴下,电力行业实现统一整改,自动化系统出现在电力企业日常应用管理中,使得其可实现快速自动化管理,更为安全地完成跟电力生产输送、分配等多项作业,在节约人力资源的同时提升高工作效率。然而,网络安全问题接踵而来,若未能进行有效处理则会形成较大隐患,对电力事业发展造成消极影响,因此,需高度重视电力自动化系统网络安全,旨在保证电力企业稳定运营。

1 简述电力自动化系统基本功能

1.1 系统界面功能

该功能一般是指可以将大荧幕以及模拟屏、调度数据专网等有效连接起来是实现对电力自动化系统的合理化控制的仿真程序。

1.2 DTS/WEB服务功能

此项服务工程主要指的是在实际的电力操作实施进程当中可实现DTS/WEB服务功能的快速完成,进而全面评价考核电力自动化系统网络仿真成效。

1.3 SCADA功能

这个功能是指由厂站位置开始接收遥测数据和遥信数据,而后实施遥控以及遥调措施,并将实时指令信息向厂站全部进行发送,使得电力系统仿真操作更为科学合理。

1.4 PAS功能

该项功能可真正实现电力系统自动化电网模拟结构,在实际电力操作实施进程当中,可努力完成各项基础工作,譬如说负荷预报以及网络建模、电压优化控制、网络拓扑等多项内容。

一般来说,可将电力自动化系统网络应用领域划分为数据信息传输以及生产数据传输、音频输送、对外服务等多项内容。具体来说,针对不同应用系统进行处理所提出的安全要求也是大不相同的,但是其均跟电力网络安全、遥控以及遥调有着紧密联系,可见,所有电力系统应用对应的电力信息网络应充分结合实际需求选用针对性较强的保护措施,旨在保障电力自动化系统网络安全运行。

2 网络安全问题分析

2.1 重点关注网络各个层面安全

2.1.1 系统层面

就目前的情况来看,在电力自动化系统中较常使用的主机系统包括Linux和Windows、Vista等类型,但是均存在各式各样的系统漏洞,形成较多安全隐患问题,容易遭受木马病毒或者是黑客的不断入侵,严重问些电力自动化系统网络安全。所以,针对主机操作系统进行安装选择的时候应基于NTFS格式完成主机分区工作,并实时快速实施系统漏洞补丁安装,配置相应的杀毒软件,尽可能规避黑客或者是木马、病毒侵蚀电脑,保障网络安全,实现电力自动化系统网络稳定运作。

2.1.2 物理层面

通常而言,物理层面安全可谓是电力自动化系统实现安全设计的首要前提内容,防控由于人为原因导致的操作失误以及设备被窃、电磁干扰等影响安全的相关因素,提防来自于台风以及地震等类型自然灾害的直接影响,均隶属于电力自动化系统安全管理架构中的物理层面管控要点内容。所以说,需基于系统物理层面安全高度重视,要求系统设备选择安装以及基础设施建设能够满足实际规定要求,维持良好的设备机房环境,严格控制房间湿度,使其在百分之十之百分之七十五的湿度范围内,地板材料选用静电材质,使用屏蔽双绞线作为服务器网线,服务器则可使用双机冗余设备。

2.1.3 网络层面

确保网络安全可谓为电力自动化系统安全基础保障,其重要性不容忽视,所以需高度重视针对网络结构以及路由器设备、系统结构等内容的优化设置,尽量选用分层式的网络结构,综合考虑将冗余链路当作网络拓扑结构,若电力调度网络拥有很大规模则建议选用双网结构。

2.2 防火墙

针对电力自动化系统而言,网络信息进出控制器为防火墙,其能够就系统内部以及外部全部活动实施合理话控制,实现系统防火墙的有效设置,能够从根本角度出发确保电力自动化系统网络拥有较高安全性。因此,要求电力用户必须保持系统防火墙处于开启,坚决不能够因为怕麻烦而关闭该设施。硬件防火墙以及软件防火墙为两种主要的系统防火墙类型,就电力自动化系统应用来说,其较多使用内嵌式硬件防火墙,若此系统规模相对较大则可运用芯片硬件防火墙。

2.3 杀毒软件

为进步深入保障网络安全,使得系统不遭受侵害问题,通常会选用防护杀毒软件安装于系统中,尽量在病毒进出口位置有效设置系统防护,隔离病毒木马,保护系统文档以及电子邮件、电子文件等不受危害损坏。除此之外,需针对电力自动化系统中涉及应用的光盘以及硬盘、软盘、服务器等定期开展检测工作,实施安全防护,旨在全面保障系统安全。同时,完成杀毒软件实时更新操作,规避新型病毒滋生并大范围扩散。

2.4 入侵检测

该系统的作用在于针对电力自动化系统网络运行当中所存在的较为可疑行为实施检查,实现问题及时反馈并给出相应的处理措施,譬如说将来源切断且通知网络管理者、进行行为的详细记录等。滥用检测以及异常监测是两种主要的入侵检测方式,就目前的情况来兰,东软入侵检测系统有着普及应用,其优势在于可实现主动动态的实时安全防护。可见,入侵检测系统可尽量避免系统受损,充分确保系统网络安全。

2.5 加密认证

加密认证装置为广域网通信提供认证与加密功能,实现数据传输的机密性、完整性保护,同时具有类似防火墙的安全过滤功能。加密认证网关除具有加密认证装置的全部功能外,还应实现对电力系统数据通信应用层协议及报文的处理功能。主要用于生产控制大区,为电力监控系统及电力调度数据网上的关键应用、关键用户和关键设备提供数字证书服务,实现高强度的身份认真、安全的数据传输以及可靠的行为审计。

3 结语

综上可以知道,电力自动化系统网络安全是一项永久性话题,随着科技水平的提高,其威胁风险随之加剧,因此必须采取强有力措施有效解决网络安全问题,确保系统稳定运行,为电力企业发展提供坚强后盾。

参考文献

[1]罗洋洋,温元喜,罗成.力自动化系统的网络安全问题分析[J].中国新技术新产品,2013(22).

[2]伊凤雄.电力自动化系统的网络安全问题分析[J].新材料新装饰,2014(13).

篇8

【关键词】电力;调度数据;网络安全;方案

前言

电力调度数据网络在电力系统的运行中起到不可忽视的重要作用,良好的电力调度数据网络环境有效保证电网经济、安全、可靠、稳定的运行,为电力系统中的电力生产、燃料调度、水库调度以及电网调度自动化、继电保护等提供了便捷的通信条件,它为电力企业的生产与管理提供了良好保障。为了满足基于虚拟专用网的电力调度数据网络的安全性需求,相关技术人员要不断在实际工作中总结经验,设计出合理、科学的安全方案,以保证电力调度数据网络更好地服务于企业,为企业带来更多的经济效益。

1电力调度数据网络建设的必要性

随着经济社会的快速发展,各种现代化管理方式应运而生,电网管理方式的创新与管理水平的提高,带动了电力调度业务的发展,良好的电力调度数据网络能够有效保障电网系统的安全性与经济性,确保电网运行的稳定性。目前我国电力调度数据业务还局限在传统模式上,运用的是传统的数字专线模式,这种传统电力调度数据模式使信息共享受到阻碍,造成了通信资源的浪费,随着各种高科技产品的生产,各种电力调度业务不断上线,对电网通道资源与数据共享的需求也逐渐增高。只有建设良好的电力调度数据网络,才能保证电力系统的经济性与安全性。

1.1电力调度数据网络建设是自动化系统发展的需要

人们在经营各种生产生活等的活动中,都离不开电网的支持,为了更好地适应电网的发展需求,调度自动化系统在其功能上得到不断的改进和完善,除了安全自动装置、继电保护以及传统的调度自动化系统之外,一些现代化的系统诸如配网自动化系统、电能量计量系统、无人值班变电站监控设备等逐渐应用到电网系统中,这些新型系统设备的有效运用,使得信息传输容量得到了很大的提高。由于信息传输容量的增加,各个调度系统之间要进行更多的信息共享与数据转换,这就对通信网络的要求越来越高,传统的通信网络在传统实时数据时其数量和质量都受到了很大的局限,不能够再适应现代电网自动化应用系统的需求。建立安全的基于VPN的电力调度数据网络,在一些地区已经得到运用,其运行情况很好,对信息数据的传输速率与质量都有了明显的提高,有效保证了自动化应用系统的发展需求。建立一个基于VPN的电力调度数据安全网络,能够有效提高电网运行的信息共享程度、传输速率,满足电网自动化系统发展的需求。

1.2电力调度数据网络建设是提高实时数据传输可靠性的需要

目前我国一些电力系统变电站的实时监控信息采用的是模拟和数字专线通道与地调调度自动化系统相结合的通信方式,每台终端设备和地调之间要独自单用一条或者是两条专用的数据通道。这种采用模拟和数字专线通道与地调调度自动化系统进行通信的模式在通信传输时速率普遍较低,传输的信号会受到通道较大的干扰,传输的数据不稳定,也没有网络层间的保护系统,如果数据通道出现故障,那么数据信息就会立即丢失并且不能够进行数据的恢复,这种点对点的传输方式需要在主站端设置较多的接口设备,由于操作配置的复杂性,使其在后期维护时工作量增大。建立电力调度数据网,能够实现调度生产应用系统的网络性模式,通过直接上网的方式来进行数据交换,有效的提高了信息传输的可靠性。基于VPN的电力调度数据网络的建设,能够保证信息数据传输的可靠性,不会因为通道出现故障而导致数据丢失的情况,主站端不必要设置大量的终端设备,方便了工作人员进行设备维护。

2基于VPN的电力调度数据网络安全方案

基于VPN的电力调度数据网络安全方案在设计时要遵循经济性、流量优化、扩展性、节点可靠性以及拓扑可靠性等的原则。设计电力调度数据网络安全方案时,在充分确保电力调度数据网络的畅通性和可靠性的前提下,最大限度的减少网络电路的数量、网络电路的总里程以及宽带,以此来尽量减小网络的运行费用,为企业带来更多的经济效益。根据电力调度数据网络的流量以及流向,在设置电路和宽带时要保证其合理性配置,均匀的将网络流量分布开来,保证各个电路宽带均能充分的利用网络流量,避免使网络带宽达到瓶颈,影响电力调度数据网络的安全性。进行主干网络的拓扑设计时,要充分遵循N-1的设备可靠性和电路可靠性原则,增加、修改或者减少网络电路和节点时,要保证网络的总体拓扑不受到影响。在设置网络中各个骨干、核心的节点时,要采用双设备配置,根据实际情况需求,进行设备的风扇、引擎以及电源灯冗余设计,注意电力调度数据网络节点的热插拨等特性。

在网络设计中包括电力调度数据网络的核心层、汇聚层以及接入层三层的设计。在核心层中进行核心路由器和核心层交换机的联通性时,要注意保证核心层交换机的业务服务器在传输数据时具有不间断性,顺畅地发送到核心层路由器,再由核心层路由器再次转发数据。核心层交换机要具备全局的地址,能够保证网管服务器的正常访问。核心层与汇聚层进行具体网络的联通时,要注意核心层交换机下联的网络管理服务器可以正常的对汇聚层的设备进行访问,下联的业务服务器能够顺利的连接汇聚层的业务地址并进行正常访问。即使发生部分线路中断的情况,汇聚层的各个业务地址仍然可以在冗余的网络拓扑结构中进行数据的传输,或者是通过高可靠性的路由协议来完成数据的上传,保证业务或者网管服务器正常接收数据。此外还应当注意汇聚层的不同站点业务地址不需要进行互通。电力调度数据网的核心层和骨干层的数据处理能力较强,因此在设计方案中将仿真分析集中于接入层。对于电力调度数据网络安全方案的接入层设计,应当保证接入层中的业务流量可以进行不间断的数据发送,接入层中的业务终端可以与核心层的业务服务器进行正常互通,接入层的网络设备可以与核心层的网络管理服务器进行正常的互通,只有同时达到这三个要求,才能保证接入层的网络连通性。接入层采用的是低端网络的嵌入式远动监控设备,在安全方案设计中将基于IPSec的VPN内核进一步裁剪,在裁剪后的VPN安全框架中融入新的身份认证和密钥协商算法,这样能够有利于新设计安全方案的实现,同时可以大幅度降低接入层设备在安全数据处理中的费用,减少电力调度数据网络安全方案的设计投入。

3结语

总而言之,在电力系统的生产管理工作中,电力调度数据网络起到对其的直接控制作用,电力调度数据网的重要性不容忽视。电力企业一定要重视电力调度数据网的安全性和实时性,不断借鉴国外先进的技术,在实际运行工作中,注意总结和归纳,设计出一种合理的基于VPN的身份认证与密钥协商相互融合的安全方案,消除电力调度数据网络中实时性与安全性两者之间的矛盾,使其为企业带来更多的应用价值。

参考文献:

篇9

 

近几年, 随着国家对电力系统的关注与扶持,我国在电网调度自动化建设方面取得了比较理想的成果,电网调度数据作作为直接为电力调度生产提供服务的专用型数据网络得到了推广、普及,全国范围内所有省级调度都已基本建成并投入正常使用。随着各级网络技术的延伸与扩展, 网络规模日趋庞大,技术成分更加复杂,电网调度在自身规划中的安全隐患与设计缺陷不断暴露,成为我国电网安全运行的重大阻碍。因此积极推动实现电力调度数据网安全技术升级改良成为电力系统安全调度的重点工作。

 

一、制度健全,管理高效安全

 

制度管理是电力调度数据网安全运行的前提与基础,要想实现网络运行期间的网络安全首先要编制合理的管理制度,保证制度的合理与安全,实现数据网的功能最大发挥。制度安全涉及项目众多,除了基本的安全保障制度还需要健全安全防护组织机构、人员管理制度及机房管理制度、设备网络管理制度、安全操作管理制度等,除了制度上的健全与规范,安全管理运行离不开科学的防范管理体系,建立完善的防范管理体系可以保证制度管理方案的正常运行,增强电力网络部门之间的稳定性,增强网络威胁的应对能力,提前做好应急预案及演练管理工作,确保在发生危险时网络安全依然可以稳定高效运行。

 

二、物理环境安全稳定

 

物理安全主要指电力周边设施对电力调度数据网安全的影响,这是调度数据网络安全的前提。安全高效的物理环境可以保护数据网免受水灾、火灾等环境事故及个人操作事物的影响。物理环境主要包括基本的机房环境、电力调度场地及对应的供电设备安全。积极做好机房环境优化,设置必要的设备防盗防护体系, 处理好日常的防雷、防静电等,在物理环境的优化上要根据具体数据网的特点进行合理布置。

 

三、网络运行的安全技术分析

 

除了上述提到的制度与物理环境的安全,在电力调度数据中最关键的是网络运行的安全,调动数据网是否能够安全运行主要取决于网络设备、网络结构及对用的安全审计等多个方面的防护措施安全程度。

 

(一) 网络设备安全分析

 

在网络设备安全中主要涉及到四个方面。首先是网络账号安全。电力调度数据网安全技术设置一定的账号方便账号管理工作,对用户进行身份验证,保证电网信息的安全不泄露。其次是配置安全,主要是基于电力数据网内的关键数据信息进行定期备份处理, 每一次关键信息的备份处理都在设备上留有痕迹, 保证档案信息有效。再次是审计安全,我国明确要求整个电力调度数据网具备审计功能,做好审计安全可以保证系统设备运行状况、 网络流量计用户日常信息更新, 为日后查询提供方便。 最后是维护安全, 要求定期安排技术人员进行设备巡视, 对于设备中存在的配置漏洞与书写错误进行检查修复, 防止系统漏洞造成的系统崩溃及安全问题。

 

(二) 网络结构安全分析

 

在计算机网络结构技术分析中我们为了保证电力调度数据网的结构安全可以从以下四个方面入手做好技术升级与完善。首先使用冗余技术设计完成网络拓扑结构,为电力调度提供主要的网络设备及通信线路硬件冗余。 其次依据业务的重要性制定带宽分配优先级别,从而保证网络高峰时期的重要业务的宽带运行。再次积极做好业务系统的单独划分安全区域, 保证每个安全区域拥有唯一的网络出口。最后定期进行维护管理, 绘制网络拓扑图、填写登记信息,并对这些信息进行定期的更新处理。在网络安全结构的设计分析上采用安全为区分与网络专用的原则,对本区的调度数据网进行合理的前期规划,将系统进行实时控制区、非控制生产区及生产管理区的严格区分。坚持“横向隔离,纵向认证”的原则,在网络中部署好必要的安全防护设备。 优先做好VLAN及VPN的有效隔离。 最后不断优化网络服务体系。网络服务是数据运输及运行的保证,积极做好网络服务可以避免数据信息的破损入侵,在必要情况下关闭电力设备中存在的不安全或者不必要的非法控制入侵行为,切实提高电力调度数据网的安全性能。

 

四、 系统安全管理技术分析

 

电力调度数据网本身具有网络系统的复杂性, 只有积极做好网络系统的安全管理才能实现电力的合理调度。系统管理工作涉及项目繁多,涉及主要的设备采购及软件开发、工程建设、系统备案等多个方面。在进行系统安全管理时要积极做好核心设备的采购、自行或外包软件开发过程中的安全管理、设置必要的访问限制、安全日志及安全口令、 漏洞扫描,为系统及软件的升级与维护保驾护航。

 

五、 应用接入安全技术分析

 

在电力调度的数据网安全技术中,应用接入安全是不可忽视的重要组成部分。目前由于电力二次系统设备厂家繁多,目前国家没有明确统一的指导性标准可供遵循,导致生产厂家的应用接入标准不一,无形之中为安全管理工作带来诸多不便。因此在优化电力调度数据网安全系统时,可以依据调度数据网本身的运行需求,从二次系统业务的规范接入、通信信息的完整性及剩余信息的保护等方面着手,制定出切实可行的安全防护机制,从根本上保障电力调度数据网络的安全稳定。

 

结束语

 

电力调度数据网安全技术升级与优化是动态发展的过程,具有一定的复杂性与长期性。随着当前信息技术的发展,电力业务的大量扩展, 电力系统漏洞威胁越来越明显,而电力调度的数据网安全技术更新升级与推广也具有了现实的迫切性。 目前我国电网公司已经根据电网调度数据网安全性要求加大对安全性技术的研发力度, 配套部署了部分安全防护型产品及安全防护技术, 但是做好电力调度数据网的安全技术管理依然是任重而道远, 需要我们付出不懈的努力。

篇10

关键词:电力 无线网络 漏洞 自动化 解决方案

中图分类号:TN915 文献标识码:A 文章编号:1672-3791(2014)10(c)-0084-02

1 研究背景

近年来,全球的数据网络正以令人惊奇的速度发展,为信息的交流和经济的发展提供了高效的工具和便利的平台。随着电力建设的飞速发展,电力自动化数据网络也迅速扩大,正在向全面覆盖所有的电力企业迈进,电力系统数字化已是大势所趋。电力调度自动化系统、配电自动化系统、电量计费系统、电力市场技术支持系统及交易系统、电力客户服务中心系统、变电站自动化系统、发电厂监控系统、MIS 系统等,无一不是以高速的数据传输与交换为基本手段而建设的。电力自动化数据通信网络利用因特网、无线网等的工具和平台,在提高数据传输效率、减少开发维护工作量的同时,也带来了新的问题,这就是内部机密信息在网络上的泄密、以及被攻击破坏等。

随着计算机运算性能的提高,通信技术的不断发展,电力通信协议也在不断的改进,以适应通信数据类别、流量和实时性的要求。IEC60870规约系列规定了电力远动、继电保护数据、电能计费等多个方面的通信协议,甚至出现了104网络通信规约,以适应网络RTU在电力系统中的应用。各项信息安全技术也开始得到广泛的应用,但是仍然是以以下观点为基础开展的,电力数据网络的信息安全研究应该有所突破:

(1)电力通信网络的两个隔离。物理隔离作为国家的明文规定是建立在网络条件不如人意,网络威胁依然严重的情况下的,需要看到电力信息系统的开放性将是主流方向,基础研究应该突破这个框架开展一些前瞻性的工作。(2)重点防护监控系统,对通信数据网络的信息安全重视不足。虽然通信网络的安全威胁相比而言较小,但是由于电力通信对实时性和可靠性的要求,使得通信数据网络与电力监控系统的信息安全同等重要。(3)认为电力自动化通信没有安全问题,或者认为还不值得深入研究,电力信息使得任何安全研究都不能不重视其实时性的要求,因此自动化通信的信息安全研究开展不多,还需要进行大量的研究。

2 电力系统无线通信对于信息安全的需求

电力自动化管理系统无线网络中传输的数据非常混杂,从加密的技术角度来区分,可分为实时数据和非实时数据两类。

2.1 实时数据的数据特点

无线网络中传输的实时数据,其通信规约对时间的要求很严格,不允许较大的传输延迟;另一方面,实时数据的数据量相对较小,且数据流量比较稳定。主要包括:

(1)下行数据。包括遥控、遥调和保护装置及其他自动装置的整定值信息等。这类数据与设备状态相关,直接影响到电网的安全运行。安全要求和实时要求都很高。(2)上行数据。包括遥信、重要遥测、事件顺序记录(SOE)信息等。这类数据是电网稳定运行的判据,也是调度决策的依据,实时性要求很高。管理数据。如负荷管理、停电计划等管理信息系统(MIS)的重要管理数据。这类数据对保密性有一定要求。实时数据其数据流量稳定且时效性快,但是要求实时性高、可靠性高,其保密性和数据完整性的要求也高,因此对实时数据加密必须慎之又慎。

2.2 非实时数据的数据特点

无线网络中传输的非实时数据,其数据量一般较大,但时效性不高,可以允许一定的传输延迟。它主要包括电力设备的维护日志、电力用户的电能质量信息等。非实时数据实时性要求不高,但是对数据完整性和保密性有一定的要求,在数据加密中要注意选择合适的算法。

3 电力自动化系统的安全漏洞及解决方案

电力自动化应用系统,不论是电力负荷管理系统、电能量管理系统或是其它的应用系统,它的网络结构框图都可以归纳成图1所示。

3.1 中心站的安全隐患及解决方法

应用系统都有一个中心站,它包括前置机、服务器等硬件设备及配套的管理软件,它负责接收各个子站上传的数据并通过管理软件对数据进行分析、归纳和管理;另一方面,它也维护各个子站正常运行,并以下发命令的方式对子站进行操作管理;而且中心站还是本应用系统与其它的电力自动化应用系统进行数据共享和管理的一个数据接口。一般来说,中心站和子站之间以及中心站和其它应用系统之间的数据传输都是通过有线传输(如光纤)进行的。

中心站既是内部通信子站数据集中的一个节点,也是应用系统与外部进行数据收发的一个接口。只要攻击者侵入了该节点,整个系统的数据就相当于暴露在了入侵者的面前。而且一旦中心站出现了故障,即使其它的通信子站均运行正常,整个系统也无法正常工作了。正由于它的重要性和脆弱性,因此对于中心站就更是要进行重点防护。防火墙就是一种有效的网络安全保护措施,它可以按照用户事先规定好的方案控制信息的流入和流出,监督和控制使用者的操作。防火墙大量的应用于企业中,它可以作为不同网络或网络安全域之间的信息的出入口,能根据企业的安全策略控制出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,它能有效地监控内部网和 Internet之间的任何活动,保证内部网络的安全。

防火墙的目的是在内部、外部两个网络之间建立一个安全控制点,通过允许、拒绝或重新定向经过防火墙的数据流,实现对进、出内部网络的服务和访问的审计和控制。一般的防火墙都可以达到以下目的:一是可以限制他人进入内部网络,过滤掉不安全服务和非法用户;二是防止入侵者接近你的防御设施;三是限定用户访问特殊站点;四是为监视Internet安全提供方便。由于防火墙假设了网络边界和服务,因此更适合于相对独立的网络,例如Intranet 等种类相对集中的网络。防火墙正在成为控制对网络系统访问的非常流行的方法。事实上,在Internet上的Web网站中,超过三分之一的Web网站都是由某种形式的防火墙加以保护,这是对黑客防范最严,安全性较强的一种方式,任何关键性的服务器,都建议放在防火墙之后。可见,防火墙处于可信网络和不可信网络边界的位置,是可信网络和不可信网络数据交换的“门户”,用来防止未经授权的通信进出被保护的内部网络,通过边界控制强化内部网络的安全策略,其性能、可用性、可靠性、安全性等指标在很大程度上决定了网络的传输效率和传输安全。防火墙是网络安全策略的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理,从总体上来看,防火墙的基本功能有两个:一是隔离,使内部网络不与外部网络进行物理直接连接;二是访问控制,是进出内部网络的数据包按照安全策略有选择地转发。围绕这两个基本功能,大量与安全有关的网络技术和安全技术被综合进防火墙设备中,使防火墙地功能不断扩展,性能不断提高。概括地说,功能较完善的防火墙采用了以下安全技术:

3.1.1 多级的过滤控制技术

一般采用了三级过滤措施,并辅以鉴别手段。在分组过滤一级,能过滤掉所有的源路由分组和假冒的IP源地址;在应用级网关一级,能利用FTP、SMTP等各种网关,控制和监测Internet提供的所有通用服务;在电路网关一级,实现内部主机与外部站点的透明连接,并对服务的通行实行严格控制。

3.1.2 网络地址转换技术(NAT)

利用NAT技术能透明地对所有内部地址作转换,使外部网络无法了解内部网络的拓扑信息,同时允许内部网络使用自己编的IP地址和专用网络,防火墙能详尽记录每一个主机的通信,确保每个分组送往正确的地址。

3.1.3 用户鉴别与加密

为了降低防火墙产品在Telnet、FTP等服务和远程管理上的安全风险,鉴别功能必不可少,防火墙采用一次性使用的口令字系统来作为用户的鉴别手段,并实现了对邮件的加密。

3.1.4 审计和告警

对网络事件进行审计,如果发现入侵行为将以发出邮件、声响等多种方式报警。为了加强自动化应用系统的安全水平,需要在系统与其它网络的接口之间设置一套防火墙设备。这样既能防止外来的访问者攻击系统,窃取或者篡改系统数据;同时也能防止内部数据未经允许流向外部网络。如图1所示,在公网通信中,除了自动化系统与其它应用系统的接口外,子站采集自终端的数据要发送到中心站,也要通过 Internet网络进行传输,这就给攻击者提供了一个侵入的端口。因此要在这两处均安装防火墙设备,来保证系统的安全运行。在专网通信中,由于整个通信网络是一个相对独立的网络,因此中心站了通信子站之间就不必加装防火墙了。

3.2 无线终端的安全防护手段

无论是哪种无线网络,都有若干数量的无线终端,它们是通信系统的最基本的组成结构,通过通信子站与中心站进行通信。因为无线终端的数据众多,也使它们往往成为系统安全漏洞所在。对于应用系统而言,保护系统信息安全与保护系统业务正常是同等重要的。保护系统信息安全首先必须保证信息访问的安全性,要让不该看到信息的人不能看到,不该操作信息的人不能操作。这方面,一是要依靠身份认证技术来给信息的访问加上一把锁,二是要通过适当的访问控制模型显式地准许或限制访问能力及范围。这就引出了两种信息安全技术:身份认证技术及访问控制技术。通过这两种技术手段,就能有效的解决以上的两个安全问题。对于自动化应用系统来说,系统内的终端用户只是采集电力用户数据并上传给服务器,并不存在越权访问系统信息的问题。因此采用身份认证技术就足以解决无线终端的信息保护问题了。

身份认证是指被认证对象向系统出示自己身份证明的过程,通常是获得系统服务所必须的第一道关卡。身份认证需要证实的是实体本身,而不是象消息认证那样证实其合法性、完整性。身份认证的过程一般会涉及到两方面的内容识别和验证。识别,就是要对系统中的每个合法注册的用户具有识别能力,要保证识别的有效性,必须保证任意两个不同的用户都不能具有相同的标识符。验证是指访问者声明自己的身份后,系统还必须对它声称的身份进行验证。标识符可以是非秘密的,而验证信息必须是秘密的。

身份认证系统有两方认证和三方认证两种形式两方认证系统由被认证对象和认证方组成,被认证对象出示证件,提出操作要求,认证方检验被认证对象所提供证件的合法性和有效性三方认证系统除了被认证对象和认证方外,还有一个仲裁者,由双方都信任的人充当仲裁和调节。建立一个身份认证系统的应满足的是:1)可识别率最大化:认证方正确识别合法被认证对象身份的概率最大化;2)可欺骗率最小化:攻击者伪装被认证对象欺骗认证方的成功率最小化;3)不可传递性:认证方不可以用被认证对象提供的信息来伪装被认证对象;4)计算有效性:实现身份认证所需的计算量要小;5)安全存储:实现身份认证所需的参数能够安全的存储;6)第三方可信赖性:在三方认证的系统中,第三方必须是双方都信任的人或组织或可信安全性身份认证系统所使用的算法的安全性是可证明和可信任的。

电力自动化系统内部使用身份认证技术,在每一个无线终端的实体上增加了一道安全防护,如图2 所示。在进行数据传输之前,验证对方是否是系统内的合法用户。可以防止入侵者伪装成内部用户,获取系统数据。

3.3 保护系统信息安全的常用方案-算法加密

除了以上的信息安全技术之外,算法加密技术是一种被普遍应用的安全技术。它在发送方将要发送的数据根据一定的算法进行加密,变成不可识别的密文;而在接收方通过对应的解密算法再将密文转化为明文。从而保证数据在传输过程中的保密性。

4 结论

该文研究了电力自动化无线通信系统中的信息安全问题。随着电力自动化无线通信技术的快速发展,对网络信息安全的要求也不断提高。无线通信技术有着其自身的特点,要求的安全解决方案也与其他不同。需要既保证无线信道的带宽,又要有效地提高系统的安全防护强度。

参考文献

[1] 孙毅,唐良瑞,杜丹.配电自动化中的通信网解决方案[J].燕山大学学报,2004,5(28):423-426.

[2] 宋磊,罗其亮,罗毅,等.电力系统实时数据通信加密方案[J].电力系统自动化,2004,28(14):76-81.