電網(wǎng)調(diào)度自動化信息網(wǎng)絡(luò)安全技術(shù)
掃描二維碼
隨時隨地手機(jī)看文章
北極星自動化網(wǎng)訊:隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的突飛猛進(jìn),數(shù)據(jù)網(wǎng)絡(luò)在電力系統(tǒng)中的應(yīng)用日益廣泛,已經(jīng)成為不可或缺的基礎(chǔ)設(shè)施。然而,開放的信息系統(tǒng)必然存在眾多潛在的安全隱患,黑客和反黑客、破壞和反破壞的斗爭仍將繼續(xù)。在這樣的斗爭中控制工程網(wǎng)版權(quán)所有,安全技術(shù)作為一個獨(dú)特的領(lǐng)域越來越受到全球網(wǎng)絡(luò)建設(shè)者的關(guān)注。近年來調(diào)度自動化系統(tǒng)的內(nèi)涵有了較大的延伸,由原來單一的SCADA系統(tǒng)擴(kuò)展為EMS、DMS、TMS、廠站自動化、水調(diào)自動化、電力市場技術(shù)支持系統(tǒng)和調(diào)度生產(chǎn)管理系統(tǒng)等,數(shù)據(jù)網(wǎng)絡(luò)是支持調(diào)度自動化系統(tǒng)的重要技術(shù)平臺,承擔(dān)著實時、準(zhǔn)實時控制業(yè)務(wù)及管理信息業(yè)務(wù)。調(diào)度自動化信息還需要與省調(diào)自動化系統(tǒng)、局MIS連接,網(wǎng)絡(luò)利用率較高,安全級別較低的業(yè)務(wù)與安全級別較高的業(yè)務(wù)混用,存在很多安全隱患。這就使保證信息的安全變得格外重要,有必要建立根據(jù)調(diào)度自動化系統(tǒng)中各種應(yīng)用的不同特點(diǎn),優(yōu)化電力調(diào)度數(shù)據(jù)網(wǎng),建立調(diào)度自動化系統(tǒng)的安全防護(hù)體系。
1 系統(tǒng)與網(wǎng)絡(luò)現(xiàn)狀
1.1 能量管理系統(tǒng)(SCADA/EMS)
1.1.1 系統(tǒng)業(yè)務(wù)
淮北供電公司調(diào)度所采用的是OPEN-2000能量管理系統(tǒng),主要包括數(shù)據(jù)采集和監(jiān)控系統(tǒng)(SCADA)、PAS高級應(yīng)用軟件,系統(tǒng)從廠站接收遙測、遙信數(shù)據(jù),這類數(shù)據(jù)實時性較強(qiáng),每秒都有數(shù)據(jù)傳輸;同時向廠站發(fā)送遙控、遙調(diào)、校時命令及計劃數(shù)據(jù),這類數(shù)據(jù)可靠性要求較高,與電網(wǎng)安全直接相關(guān)。
1.1.2 數(shù)據(jù)交換方式
主站各工作站、服務(wù)器通過100M/10M自適應(yīng)HUB互連,系統(tǒng)內(nèi)安裝了數(shù)據(jù)備份系統(tǒng),備份重要的應(yīng)用程序和數(shù)據(jù)。該系統(tǒng)避免了單點(diǎn)失敗出現(xiàn),大到服務(wù)器、工作站、存儲設(shè)備,小到適配器,均是冗余容錯的;無論是主機(jī)或通道出現(xiàn)故障,均可通過主/備切換來保證通信和數(shù)據(jù)的完整性;萬一主數(shù)據(jù)中心數(shù)據(jù)出現(xiàn)意外災(zāi)難,系統(tǒng)可以自動切換到備份數(shù)據(jù)中心。系統(tǒng)提供了需進(jìn)行身份認(rèn)證的撥號訪問供遠(yuǎn)程維護(hù)的需要,并且通過WEB服務(wù)器把信息傳至其它部門。
1.1.3 安全防護(hù)技術(shù)
SCADA/EMS系統(tǒng)的物理邊界有4個:撥號網(wǎng)絡(luò)(遠(yuǎn)程維護(hù))邊界、傳統(tǒng)專用遠(yuǎn)動通道、縱向網(wǎng)絡(luò)連接(調(diào)度數(shù)據(jù)網(wǎng)與省主調(diào)連接)與公司MIS系統(tǒng)之間的橫向網(wǎng)絡(luò)連接。
采取的措施有:
(1) 撥號網(wǎng)絡(luò)邊界采用身份驗證功能;
(2) 傳統(tǒng)專用遠(yuǎn)動通道暫不考慮其它安全問題;
(3) SCADA/EMS系統(tǒng)中安裝數(shù)據(jù)備份系統(tǒng),用于備份重要的系統(tǒng)和數(shù)據(jù);
(4) SCADA/EMS系統(tǒng)和公司MIS系統(tǒng)之間采用WEB服務(wù)器www.cechina.cn,并安裝了硬件防火墻。
1.2 電量采集系統(tǒng)
1.2.1 系統(tǒng)業(yè)務(wù)
淮北地區(qū)電網(wǎng)電量采集系統(tǒng)使用的是YJD-953系統(tǒng),該電量采集系統(tǒng)功能簡單,僅僅具有召測電量和簡單的統(tǒng)計功能。主站端自動或人工召測變電站的關(guān)口電量并進(jìn)行總加,同時向廠站發(fā)送對時數(shù)據(jù),召測的關(guān)口電量可被省調(diào)或其它單位召測。
1.2.2 數(shù)據(jù)交換方式
只能主站端單向撥號廠站端,電表(脈沖)接入廠站端的電量采集裝置。
1.2.3 安全防護(hù)技術(shù)
該系統(tǒng)相對獨(dú)立,與公司MIS系統(tǒng)完全沒有物理連接,主要使用撥號MODEN與變電站的采集終端相連,與廠站端的其它系統(tǒng)分離。
1.3 淮北地區(qū)電力調(diào)度數(shù)據(jù)網(wǎng)
1.3.1 系統(tǒng)業(yè)務(wù)
在調(diào)度數(shù)據(jù)網(wǎng)實時業(yè)務(wù)運(yùn)行的是淮北地區(qū)電網(wǎng)調(diào)度自動化系統(tǒng)實時網(wǎng)絡(luò)通信,范圍包括:4個220 kV變電站、8個110 kV變電站、4個35 kV變電站和淮北電廠、淮北二廠等實時采集信息,與省調(diào)EMS系統(tǒng)之間,通過通信網(wǎng)關(guān)機(jī),實現(xiàn)滿足TASE.2協(xié)議的實時網(wǎng)絡(luò)通信。
1.3.2 數(shù)據(jù)交換方式
淮北地區(qū)電力調(diào)度數(shù)據(jù)網(wǎng)作為數(shù)據(jù)網(wǎng)絡(luò)6個子域中的一個子域,通過路由器向安徽電力調(diào)度傳輸數(shù)據(jù)。
1.3.3 安全防護(hù)技術(shù)
采用IP路由技術(shù)體制,構(gòu)建在SDH/PDH的n×2 M專用通道上面,實現(xiàn)了與其它數(shù)據(jù)網(wǎng)絡(luò)的物理層面的安全隔離。
2 存在的問題
2.1 設(shè)備管理方面
對各系統(tǒng)設(shè)置的專職維護(hù)人員沒有明確其對設(shè)備的安全維護(hù)職責(zé),沒有嚴(yán)格限制在系統(tǒng)計算機(jī)上做任何與系統(tǒng)無關(guān)的事情,沒有提供必要的工具對系統(tǒng)的運(yùn)行情況進(jìn)行監(jiān)控,保證系統(tǒng)安全、非間斷運(yùn)行。
2.2 安全管理方面
淮北地區(qū)電網(wǎng)調(diào)度自動化信息網(wǎng)絡(luò)主要包括能量管理系統(tǒng)、電量采集及計費(fèi)系統(tǒng)、調(diào)度專線數(shù)據(jù)網(wǎng)。不同系統(tǒng)之間存在著信息資源的交互,對外開放的功能較多,如一些不需要使用且不安全的系統(tǒng)功能FTP服務(wù)、WWW服務(wù)和telnet服務(wù)等,這些服務(wù)的開放,在客觀上降低了整個系統(tǒng)的安全運(yùn)行水平;同時由于電網(wǎng)調(diào)度自動化系統(tǒng)不同的使用者對安全的理解存在差異,采取的安全措施存在差別。有些地方為了使用方便,采取一些不符合規(guī)定的方法,將連接在調(diào)度數(shù)據(jù)網(wǎng)中的計算機(jī)和外網(wǎng)中的計算機(jī)相連,大大降低了整個網(wǎng)絡(luò)的安全水平。
2.3 運(yùn)行管理
以往應(yīng)用系統(tǒng)的實施,較多地會考慮到應(yīng)用層面上的安全,例如雙機(jī)熱備、系統(tǒng)冗余等,較少從運(yùn)行管理上考慮到系統(tǒng)和網(wǎng)絡(luò)安全,沒有制定一定的運(yùn)行管理制度,如網(wǎng)絡(luò)安全技術(shù)管理制度、運(yùn)行維護(hù)制度和使用管理制度等,造成改變網(wǎng)絡(luò)和系統(tǒng)變更的隨意性。
3 安全技術(shù)措施
(1) 由于調(diào)度自動化系統(tǒng)應(yīng)用的特殊性控制工程網(wǎng)版權(quán)所有,僅保證網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行還遠(yuǎn)遠(yuǎn)不夠,必須同時保證數(shù)據(jù)的機(jī)密性、完整性和不可否認(rèn)性。對于從外部撥號訪問的用戶,必須嚴(yán)格控制其安全性。首先CONTROL ENGINEERING China版權(quán)所有,應(yīng)嚴(yán)格限制撥號上網(wǎng)用戶所訪問的系統(tǒng)信息和資源;其次,應(yīng)加強(qiáng)對撥號用戶的身份認(rèn)證,在身份驗證過程中采用加密手段,減少用戶口令泄露的可能性。此外,還可在服務(wù)器上配置回?fù)芄δ埽薅硴芴栍脩糁荒軓奶囟娫挀苋?,特別是直接存取專業(yè)數(shù)據(jù)網(wǎng)絡(luò)資源的撥號帳號。
(2) 調(diào)度數(shù)據(jù)專用網(wǎng)絡(luò)根據(jù)不同的業(yè)務(wù)系統(tǒng),可采取網(wǎng)絡(luò)安全訪問控制技術(shù)、加密通信技術(shù)(主要用于防止重要或敏感信息被泄露或篡改)、身份認(rèn)證技術(shù)(用于網(wǎng)絡(luò)設(shè)備和遠(yuǎn)程用戶的身份認(rèn)證,防止非授權(quán)使用網(wǎng)絡(luò)資源)、備份和恢復(fù)技術(shù)。
(3) 必須建立面向企業(yè)、應(yīng)用系統(tǒng)、個人工作站的分級多層次和動態(tài)的安全策略體系。
(4) 加強(qiáng)人員管理CONTROL ENGINEERING China版權(quán)所有,建立一支高素質(zhì)的網(wǎng)絡(luò)管理隊伍,防止來自內(nèi)部的攻擊、越權(quán)、誤用及泄密。
(5) 加強(qiáng)運(yùn)行管理,建立健全運(yùn)行管理及安全規(guī)章制度,建立安全聯(lián)防制度,將網(wǎng)絡(luò)及系統(tǒng)安全作為經(jīng)常性的工作來抓。
總之,調(diào)度自動化信息網(wǎng)絡(luò)安全是一個綜合性的課題,涉及技術(shù)、管理、使用等許多方面。只有通過嚴(yán)格的保密制度、可靠的安全策略以及高素質(zhì)的網(wǎng)絡(luò)管理人才才能全面、實時地保證信息的完整性和正確性,確保網(wǎng)絡(luò)的安全運(yùn)行。