當前位置:首頁 > 智能硬件 > 智能電網(wǎng)
[導讀] 本文所介紹的電力二次系統(tǒng)安全防護的是確保電力信息化系統(tǒng)、電力實時閉環(huán)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡的安全,目標是抵御黑客、病毒、惡意代碼等通過各種形式對系統(tǒng)發(fā)起的惡意破壞和攻擊,從而防止一次系統(tǒng)、二次系

本文所介紹的電力二次系統(tǒng)安全防護的是確保電力信息化系統(tǒng)、電力實時閉環(huán)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡的安全,目標是抵御黑客、病毒、惡意代碼等通過各種形式對系統(tǒng)發(fā)起的惡意破壞和攻擊,從而防止一次系統(tǒng)、二次系統(tǒng)事故或大面積停電等事故的出現(xiàn)。

引言

電力二次系統(tǒng)的安全防護是依據(jù)電監(jiān)會5號令以及電監(jiān)會[2006]34號文的規(guī)定并根據(jù)電廠二次系統(tǒng)系統(tǒng)的具體情況制定的,目的是設計規(guī)范電廠計算機監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡安全防護的規(guī)劃、實施和監(jiān)管,以防范對電廠計算機監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡的攻擊侵害及由此引起的電廠事故,保障電廠的安全、穩(wěn)定、經(jīng)濟運行。

電力二次系統(tǒng)是由地理上廣泛分布于各級發(fā)電機、變電站的業(yè)務系統(tǒng)通過緊密或松散的聯(lián)系而構(gòu)成的復合系統(tǒng),它的支持環(huán)境既包括各調(diào)度網(wǎng)絡和廠站的異構(gòu)計算機系統(tǒng)、局域網(wǎng)絡,又包括連通各局域網(wǎng)的電力系統(tǒng)行業(yè)外聯(lián)網(wǎng)。因此,電力信息系統(tǒng)安全不同于單純的計算機系統(tǒng)或通信系統(tǒng)安全,為了確保電力系統(tǒng)業(yè)務的安全,必須同時考慮廣泛分布而又相互聯(lián)系的業(yè)務系統(tǒng)及其與計算機、通信等基礎支持系統(tǒng)間的交互。以下介紹某水電廠的電力二次系統(tǒng)防護系統(tǒng)的實際應用。

安全防護的基本原則

1)安全分區(qū)。分區(qū)防護、突出重點。根據(jù)系統(tǒng)中的業(yè)務的重要性和對一次系統(tǒng)的影響程度進行分區(qū),重點保護生產(chǎn)控制以及直接生產(chǎn)電力生產(chǎn)的系統(tǒng)。

2)網(wǎng)絡專用。電力調(diào)度數(shù)據(jù)網(wǎng)SPDnet與電力數(shù)據(jù)通信網(wǎng)SPInet實現(xiàn)安全隔離,并通過采用MPLS-VPN或IPSEC-VPN在SPDnet和SPInet分別形成多個相互邏輯隔離的VPN實現(xiàn)多層次的保護。

3)橫向隔離。在不同安全區(qū)之間采用邏輯隔離裝置或物理隔離裝置使核心系統(tǒng)得到有效保護。

4)縱向認證、防護。安全區(qū)Ⅰ、Ⅱ的縱向邊界部署IP認證加密裝置;安全區(qū)Ⅲ、Ⅳ的縱向邊界必須部署硬件防火墻,目前在認證加密裝置尚未完善情況下,使用國產(chǎn)硬件防火墻進行防護。

電力二次系統(tǒng)的參考邏輯結(jié)構(gòu)圖如下:

安全區(qū)的劃分

根據(jù)水電廠電力二次系統(tǒng)的特點、目前狀況和安全要求,整個電力二次系統(tǒng)分為四個安全工作區(qū):第一區(qū)為實時控制區(qū),第二區(qū)為非控制業(yè)務區(qū),第三區(qū)為生產(chǎn)管理區(qū),第四區(qū)為管理信息區(qū)。

1、安全區(qū)Ⅰ是實時控制區(qū),安全保護的核心。

凡是具有實時監(jiān)控功能的系統(tǒng)或其中的監(jiān)控功能部分均應屬于安全區(qū)Ⅰ。如各級調(diào)度的SCADA(AGC/AVC)系統(tǒng)、EMS系統(tǒng)、WAMS系統(tǒng)、配網(wǎng)自動化系統(tǒng)(含實時控制功能)以及電廠實時監(jiān)控系統(tǒng)等,其面向的使用者為調(diào)度員和運行操作人員,數(shù)據(jù)實時性為秒級,外部邊界的通信均經(jīng)由SPDnet的實時VPN。

2、安全區(qū)Ⅱ是非控制業(yè)務區(qū)

不直接進行控制但和電力生產(chǎn)控制有很大關系,短時間中斷就會影響電力生產(chǎn)的系統(tǒng)均屬于安全區(qū)Ⅱ。屬于安全區(qū)Ⅱ的典型系統(tǒng)包括PAS、水調(diào)自動化系統(tǒng)、電能量計費系統(tǒng)、發(fā)電側(cè)電力市場交易系統(tǒng)、電力模擬市場、功角實時監(jiān)測系統(tǒng)等。其面向的使用者為運行方式、運行計劃工作人員及發(fā)電側(cè)電力市場交易員等。數(shù)據(jù)的實時性是分級、小時級、日、月甚至年。該區(qū)的外部通信邊界為SPDnet的非實時VPN。

3、安全區(qū)Ⅲ是生產(chǎn)管理區(qū)

該區(qū)的系統(tǒng)為進行生產(chǎn)管理的系統(tǒng),典型的系統(tǒng)為DMIS系統(tǒng)、DTS系統(tǒng)、雷電監(jiān)測系統(tǒng)、氣象信息以及電廠生產(chǎn)管理信息系統(tǒng)等。該區(qū)中公共數(shù)據(jù)庫內(nèi)的數(shù)據(jù)可提供運行管理人員進行web瀏覽。該區(qū)的外部通信邊界為電力數(shù)據(jù)通信網(wǎng)SPInet

4、安全區(qū)IV是辦公管理系統(tǒng)

包括辦公自動化系統(tǒng)或辦公管理信息系統(tǒng)。該區(qū)的外部通信邊界為SPInet或因特網(wǎng)。

專用網(wǎng)絡劃分 1調(diào)度數(shù)據(jù)網(wǎng)。

調(diào)度數(shù)據(jù)網(wǎng)必須建立在IP+SDH的基礎上,嚴格執(zhí)行MPLSVPN的劃分。通過MPLSVPN劃分將調(diào)度數(shù)據(jù)網(wǎng)分成VPN1和VPN2。因此在縱向上安全區(qū)I的數(shù)據(jù)傳輸和交換通過VPN1來完成,安全區(qū)II的數(shù)據(jù)傳輸和交換通過VPN2來完成。

2安全區(qū)III網(wǎng)絡(調(diào)度生產(chǎn)管理信息OMS網(wǎng)絡)

安全區(qū)III網(wǎng)絡(調(diào)度生產(chǎn)管理信息OMS網(wǎng)絡)主要是在縱向上各級調(diào)度部門傳輸調(diào)度生產(chǎn)管理信息,屬于管理信息大區(qū),它與安全區(qū)IV網(wǎng)絡之間主要通過防火墻隔離。

3、安全區(qū)之間的橫向隔離及縱向防護

在各安全區(qū)之間均需選擇適當安全強度的隔離裝置。具體隔離裝置的選擇不僅需要考慮網(wǎng)絡安全的要求,還需要考慮帶寬及實時性的要求。安全區(qū)之間隔離裝置必須是國產(chǎn)并經(jīng)過國家或電力系統(tǒng)有關部門認證。

安全區(qū)Ⅰ與安全區(qū)Ⅱ之間的隔離要求:

采用硬件防火墻可使安全區(qū)之間邏輯隔離。禁止跨越安全區(qū)Ⅰ與安全區(qū)Ⅱ的E-MAIL、WEB、telnet、rlogin。

安全區(qū)Ⅰ/Ⅱ與安全區(qū)Ⅲ/Ⅳ之間的隔離要求:

采用物理隔離裝置可使安全區(qū)之間物理隔離。禁止跨越安全區(qū)Ⅰ/Ⅱ與安全區(qū)Ⅲ/Ⅳ的非數(shù)據(jù)應用穿透

物理隔離裝置的安全防護強度適應由安全區(qū)Ⅰ/Ⅱ向安全區(qū)Ⅲ/Ⅳ的單向數(shù)據(jù)傳輸。由安全區(qū)Ⅲ/Ⅳ向安全區(qū)Ⅰ/Ⅱ的單向數(shù)據(jù)傳輸必須經(jīng)安全數(shù)據(jù)過濾網(wǎng)關串接物理隔離裝置。

同一安全區(qū)間縱向防護與隔離:

同一安全區(qū)間縱向聯(lián)絡使用VPN網(wǎng)絡進行連接

安全區(qū)Ⅰ/Ⅱ分別使用SPDnet的實時VPN1與非實時VPN2

安全區(qū)Ⅲ/Ⅳ分別使用SPInet的VPN

防病毒措施

病毒防護是電力二次系統(tǒng)網(wǎng)絡必須的安全措施。病毒的防護應該覆蓋所有安全區(qū)的主機與工作站。特別在安全區(qū)I、II要建立獨立的防病毒中心,病毒特征碼要求必須以離線的方式及時更新。安全區(qū)III的防病毒中心原則上可以和安全區(qū)IV的防病毒中心共用。防病毒軟件要求覆蓋所有服務器及客戶端,對關鍵服務器實時查毒,對于客戶端定期進行查毒,制定查毒策略,并備有查殺記錄。

其他安全防護措施

1、數(shù)據(jù)與系統(tǒng)備份

對關鍵應用的數(shù)據(jù)與應用系統(tǒng)進行備份,確保數(shù)據(jù)損壞、系統(tǒng)崩潰情況下快速恢復數(shù)據(jù)與系統(tǒng)的可用性。

2、入侵檢測IDS

對于安全區(qū)I與II,建議統(tǒng)一部署一套IDS管理系統(tǒng)??紤]到調(diào)度業(yè)務的可靠性,采用基于網(wǎng)絡的入侵檢測系統(tǒng)(NIDS),其IDS探頭主要部署在:

安全區(qū)I與II的邊界點、SPDnet的接入點、以及安全區(qū)I與II內(nèi)的關鍵應用網(wǎng)段。其主要的功能用于捕獲網(wǎng)絡異常行為,分析潛在風險,以及安全審計。

對于安全區(qū)III,禁止使用安全區(qū)I與II的IDS,與安全區(qū)IV的IDS系統(tǒng)統(tǒng)一規(guī)劃部署。

3、主機防護

主機安全防護主要的方式包括:安全配置、安全補丁、安全主機加固。

安全配置

通過合理地設置系統(tǒng)配置、服務、權(quán)限,減少安全弱點。禁止不必要的應用,作為調(diào)度業(yè)務系統(tǒng)的專用主機或者工作站,嚴格管理系統(tǒng)及應用軟件的安裝與使用。

安全補丁

通過及時更新系統(tǒng)安全補丁,消除系統(tǒng)內(nèi)核漏洞與后門。

主機加固

安裝主機加固軟件,強制進行權(quán)限分配,保證對系統(tǒng)的資源(包括數(shù)據(jù)與進程)的訪問符合定義的主機安全策略,防止主機權(quán)限被濫用。

4、CA與身份認證

基于PKI的CA認證系統(tǒng)為電力調(diào)度生產(chǎn)及管理系統(tǒng)與調(diào)度數(shù)據(jù)網(wǎng)上的用戶、關鍵網(wǎng)絡設備、服務器提供數(shù)字證書服務。最終CA認證體系結(jié)構(gòu)圖如下所示:

建立健全安全管理的工作體系

電力二次系統(tǒng)安全防護工作涉及電力企業(yè)的建設、運行、檢修和信息化等多個部門,是跨專業(yè)的系統(tǒng)性工作,加強和規(guī)范管理是確實保障電力二次系統(tǒng)安全管理的重要措施,管理到位才能杜絕許多不安全事件的發(fā)生。因此建立健全安全管理的工作體系,第一是要建立完善的安全管理制度,第二是要明確各級的人員的安全職責。

結(jié)束語:

本文根據(jù)電力二次系統(tǒng)安全防護工作特點,介紹了水電廠電力二次系統(tǒng)統(tǒng)的安全防護的原則、劃分和措施,以防范對電網(wǎng)和電廠計算機監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡的攻擊侵害及由此引起的電力系統(tǒng)事故,保障三門峽水電廠電力系統(tǒng)的安全、穩(wěn)定、經(jīng)濟運行。

本站聲明: 本文章由作者或相關機構(gòu)授權(quán)發(fā)布,目的在于傳遞更多信息,并不代表本站贊同其觀點,本站亦不保證或承諾內(nèi)容真實性等。需要轉(zhuǎn)載請聯(lián)系該專欄作者,如若文章內(nèi)容侵犯您的權(quán)益,請及時聯(lián)系本站刪除。
換一批
延伸閱讀

9月2日消息,不造車的華為或?qū)⒋呱龈蟮莫毥谦F公司,隨著阿維塔和賽力斯的入局,華為引望愈發(fā)顯得引人矚目。

關鍵字: 阿維塔 塞力斯 華為

加利福尼亞州圣克拉拉縣2024年8月30日 /美通社/ -- 數(shù)字化轉(zhuǎn)型技術(shù)解決方案公司Trianz今天宣布,該公司與Amazon Web Services (AWS)簽訂了...

關鍵字: AWS AN BSP 數(shù)字化

倫敦2024年8月29日 /美通社/ -- 英國汽車技術(shù)公司SODA.Auto推出其旗艦產(chǎn)品SODA V,這是全球首款涵蓋汽車工程師從創(chuàng)意到認證的所有需求的工具,可用于創(chuàng)建軟件定義汽車。 SODA V工具的開發(fā)耗時1.5...

關鍵字: 汽車 人工智能 智能驅(qū)動 BSP

北京2024年8月28日 /美通社/ -- 越來越多用戶希望企業(yè)業(yè)務能7×24不間斷運行,同時企業(yè)卻面臨越來越多業(yè)務中斷的風險,如企業(yè)系統(tǒng)復雜性的增加,頻繁的功能更新和發(fā)布等。如何確保業(yè)務連續(xù)性,提升韌性,成...

關鍵字: 亞馬遜 解密 控制平面 BSP

8月30日消息,據(jù)媒體報道,騰訊和網(wǎng)易近期正在縮減他們對日本游戲市場的投資。

關鍵字: 騰訊 編碼器 CPU

8月28日消息,今天上午,2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會開幕式在貴陽舉行,華為董事、質(zhì)量流程IT總裁陶景文發(fā)表了演講。

關鍵字: 華為 12nm EDA 半導體

8月28日消息,在2024中國國際大數(shù)據(jù)產(chǎn)業(yè)博覽會上,華為常務董事、華為云CEO張平安發(fā)表演講稱,數(shù)字世界的話語權(quán)最終是由生態(tài)的繁榮決定的。

關鍵字: 華為 12nm 手機 衛(wèi)星通信

要點: 有效應對環(huán)境變化,經(jīng)營業(yè)績穩(wěn)中有升 落實提質(zhì)增效舉措,毛利潤率延續(xù)升勢 戰(zhàn)略布局成效顯著,戰(zhàn)新業(yè)務引領增長 以科技創(chuàng)新為引領,提升企業(yè)核心競爭力 堅持高質(zhì)量發(fā)展策略,塑強核心競爭優(yōu)勢...

關鍵字: 通信 BSP 電信運營商 數(shù)字經(jīng)濟

北京2024年8月27日 /美通社/ -- 8月21日,由中央廣播電視總臺與中國電影電視技術(shù)學會聯(lián)合牽頭組建的NVI技術(shù)創(chuàng)新聯(lián)盟在BIRTV2024超高清全產(chǎn)業(yè)鏈發(fā)展研討會上宣布正式成立。 活動現(xiàn)場 NVI技術(shù)創(chuàng)新聯(lián)...

關鍵字: VI 傳輸協(xié)議 音頻 BSP

北京2024年8月27日 /美通社/ -- 在8月23日舉辦的2024年長三角生態(tài)綠色一體化發(fā)展示范區(qū)聯(lián)合招商會上,軟通動力信息技術(shù)(集團)股份有限公司(以下簡稱"軟通動力")與長三角投資(上海)有限...

關鍵字: BSP 信息技術(shù)
關閉
關閉