论文部分内容阅读
摘 要:大量的电力生产关键信息都通过电力调度数据网进行传输,电力生产的安全性对调度数据网的依赖变得与对电力系统一次部分的依赖同等重要,保障电力调度数据网安全成为保障电网安全生产的重要因素。因此,需要加强数据网的二次安防建设,增强信息的安全防护和自主控制,防止关键业务信息被窃取和篡改。本文主要针对电力调度数据网安全防护进行研究。
关键词:电力;调度数据网;安全防护
中图分类号:TM73 文献标识码:A 文章编号:1004-7344(2018)35-0123-01
1 引 言
电力调度行业的特殊性,决定了电力数据网不但具有一般数据网的安全特征,而且还具有电力实时控制系统的安全特征。因此,深入研究电力调度数据网的安全特征.并构建科学合理的安全管理模式,是保证电力调度数据网能够正常运行的重要内容之一。
2 电力调度数据网结构特性分析
从实践来看,构建电力调度数据网的目的,在于满足电力生产、电力调度、继电保护等信息传输的需要。通过信息数据的及时传输,实现电力系统发、输、变、配、用电等组成部分的联合运转和协调,以保证电网的稳定、安全运行。因此,电力调度涉及的主要是各调度中心,以及与之相关的发电厂、变电站。电力调度数据网的构建,就是通过VPN(虚拟专用网络)来实现它们之间的互联,在专用通道上利用IP路由交换设备组网,实现在SDH(同步数字体系)或PDH(准同步数字系列)层面上与系统内公用的电力信息的数据传输业务。
3 影响电力调度数据网安全性的因素
作为电力部门的专用网络,电力调度数据网主要负责电力调度的实时控制和承接在线生产业务。根据相关规定,电力调度数据网必须使用相对独立的网络设置组网,并在专用通道上运行。电力调度数据网必须与外部公共网络、电力企业其他数据网进行隔离,以保障其安全性。按照逻辑隔离,将电力调度网划分为非实时子网和实时子网两个部分,分别进行连接,并将其分为接入层、骨干层和核心层三个层次。目前,还有很多因素对电力调度数据网造成安全威胁,既有外部风险,也有电力系统的内部风险;既有网络风险,又有操作不当引起的风险。
3.1 操作不当引起的安全隐患
电力调度数据网是由专门人员进行管理的,因此在管理和操作的过程中也会存在一些安全隐患,对电力调度数据网造成威胁。特别是电力调度网的系统非常庞大,操作和管理起来有一定的困难。一些电力调度数据网的操作人员和管理人员安全意识薄弱,很多员工随意将账号信息告诉他人,在口令的选择上没有进行规范等,这些行为的背后都隐藏着安全隐患,一旦发生泄漏事件,则会给电力调度数据网带来很大的风险。
3.2 非授权访问引起的安全隐患
非授权访问顾名思义就是在使用计算机资源或网络资源之前,并没有得到相应的授权。非授权访问的类型有很多,例如越权访问信息、擅自扩大访问权限、绕过系统访问机制来访问网络资源等。非授权网络可以通过非法用户、违法操作、身份攻击、身份假冒和合法用户越权访问等方式进行。非授权访问是电力调度数据网安全性的直接威胁。
3.3 数据破坏和信息泄露引起的安全隐患
业务数据被丢失或者泄露主要有:存储介质丢失或泄露、传输过程中的信息丢失或泄露、数据使用权被非法窃取、重要信息遭到删除或修改、应用系统设计时被插入了隐蔽通道或者后门。
3.4 配置和操作错误引起的安全隐患
在配置和操作之前,没有详细研究网络结构和配置,没有深入了解网络设备的功能,在日常操作中没有严格按照安全操作规范进行操作,都会对电力调度数据网络的安全带来隐患。
3.5 其他安全隐患
其他安全隐患主要是系统和网络中出现的多余服务和漏洞、网络病毒等对电力调度数据和网络数据进行攻击等,都有可能造成系统瘫痪。
4 电力调度数据网安全防护
(1)网络设备安全。保障网络设备安全的主要措施:①保证网络设备的环境安全。操作要规范,保证机房的环境安全,同时避免电磁干扰、辐射泄漏,为电力调度数据网提供静电接地及稳定电源。②保证账号的安全。严格执行对用户的管理制度,采取分账手段更好地控制设备,提高其安全性。如对存储口令进行加密、对账户中长期不使用的用户名进行禁止、防止用户进行更改并对分级保护功能设密等。③保证网络设置的配置安全。由于网络存在很多不安全因素,因此重要文件要备份,防止丢失,并且要对配置的文件进行定期保存与检查。随时检查网络系统,及时升级,防止系统漏洞过多给电力调度数据网的安全造成威胁。
(2)安全访问控制。安全访问控制是可調性最强的防范措施,重点是通过访问控制列表做到对敏感数据的有效安全访问。可以根据需要配置虚拟终端VTY(Virtual Teletype Terminal)类型线路的呼入呼出来限制简单网络管理协议SNMP(Simple Network Management Protocol)和Telnet用户访问;启用SSH(Secure Shell)方式等加密机制,利用SSH与路由建立加密的远程会话;实施控制存放、检索及更新路由器配置的管理策略。
(3)隔离虚拟局域网和VPN。为保障电力调度数据网的安全性,关键在于虚拟局域网和VPN,必须把它们隔离,使得子网的网段无法连通。另外,通过BGP、VPN技术可在内部进行数据的传递和流量的监控,从而控制用户对节点间的访问。
(4)重视审计策略,加强设备安全措施。重视并加固审计策略和设备安全措施,主要包括对网络硬件的防火墙进行加装升级,同时进行加密,使用专用网络入侵检测系统加强管理,网络一旦遭到入侵就发出警报,便于及时处理。除了做好安全防护,一旦发生事故,就要及时查询并记录用户的具体上网时间、上网的位置及使用的端口,便于后期的分析工作。
5 结 语
电力调度数据网安全防护建设是一个长期发展和不断改进、完善的工程。根据调度数据网的建设要求、实际现状和未来发展方向,应充分利用现有资源进行合理规划、建设,实现网络安全资源的有效利用与调配,满足调度数据网的实际需求;面对数据网当前所面临的多样化安全威胁及调度数据网管理困难的问题,应加固二次安全防护系统,增强主动安全防御能力和应急响应能力,支撑整个调度数据网安全运维工作便捷、有序和高效开展,构建保障电网系统稳定、安全、可靠运行的调度数据网络安全防护体系结构。
参考文献
[1]杜珊三.地市级电力调度数据网组网分析及应用研究[J].供用电,2010,27(4):33~36.
[1]赵 巍.电力调度数据网安全防护设计探讨[J].网络安全技术与应用,2017(11):90,92.
[2]谢 宇.二次安全防护在调度数据网中的应用和管理[J].科技创新与应用,2015(36):216.
收稿日期:2018-11-7
作者简介:易必金(1986-),男,福建长汀人,工程师,主要从事电网调度自动化方面的工作。
关键词:电力;调度数据网;安全防护
中图分类号:TM73 文献标识码:A 文章编号:1004-7344(2018)35-0123-01
1 引 言
电力调度行业的特殊性,决定了电力数据网不但具有一般数据网的安全特征,而且还具有电力实时控制系统的安全特征。因此,深入研究电力调度数据网的安全特征.并构建科学合理的安全管理模式,是保证电力调度数据网能够正常运行的重要内容之一。
2 电力调度数据网结构特性分析
从实践来看,构建电力调度数据网的目的,在于满足电力生产、电力调度、继电保护等信息传输的需要。通过信息数据的及时传输,实现电力系统发、输、变、配、用电等组成部分的联合运转和协调,以保证电网的稳定、安全运行。因此,电力调度涉及的主要是各调度中心,以及与之相关的发电厂、变电站。电力调度数据网的构建,就是通过VPN(虚拟专用网络)来实现它们之间的互联,在专用通道上利用IP路由交换设备组网,实现在SDH(同步数字体系)或PDH(准同步数字系列)层面上与系统内公用的电力信息的数据传输业务。
3 影响电力调度数据网安全性的因素
作为电力部门的专用网络,电力调度数据网主要负责电力调度的实时控制和承接在线生产业务。根据相关规定,电力调度数据网必须使用相对独立的网络设置组网,并在专用通道上运行。电力调度数据网必须与外部公共网络、电力企业其他数据网进行隔离,以保障其安全性。按照逻辑隔离,将电力调度网划分为非实时子网和实时子网两个部分,分别进行连接,并将其分为接入层、骨干层和核心层三个层次。目前,还有很多因素对电力调度数据网造成安全威胁,既有外部风险,也有电力系统的内部风险;既有网络风险,又有操作不当引起的风险。
3.1 操作不当引起的安全隐患
电力调度数据网是由专门人员进行管理的,因此在管理和操作的过程中也会存在一些安全隐患,对电力调度数据网造成威胁。特别是电力调度网的系统非常庞大,操作和管理起来有一定的困难。一些电力调度数据网的操作人员和管理人员安全意识薄弱,很多员工随意将账号信息告诉他人,在口令的选择上没有进行规范等,这些行为的背后都隐藏着安全隐患,一旦发生泄漏事件,则会给电力调度数据网带来很大的风险。
3.2 非授权访问引起的安全隐患
非授权访问顾名思义就是在使用计算机资源或网络资源之前,并没有得到相应的授权。非授权访问的类型有很多,例如越权访问信息、擅自扩大访问权限、绕过系统访问机制来访问网络资源等。非授权网络可以通过非法用户、违法操作、身份攻击、身份假冒和合法用户越权访问等方式进行。非授权访问是电力调度数据网安全性的直接威胁。
3.3 数据破坏和信息泄露引起的安全隐患
业务数据被丢失或者泄露主要有:存储介质丢失或泄露、传输过程中的信息丢失或泄露、数据使用权被非法窃取、重要信息遭到删除或修改、应用系统设计时被插入了隐蔽通道或者后门。
3.4 配置和操作错误引起的安全隐患
在配置和操作之前,没有详细研究网络结构和配置,没有深入了解网络设备的功能,在日常操作中没有严格按照安全操作规范进行操作,都会对电力调度数据网络的安全带来隐患。
3.5 其他安全隐患
其他安全隐患主要是系统和网络中出现的多余服务和漏洞、网络病毒等对电力调度数据和网络数据进行攻击等,都有可能造成系统瘫痪。
4 电力调度数据网安全防护
(1)网络设备安全。保障网络设备安全的主要措施:①保证网络设备的环境安全。操作要规范,保证机房的环境安全,同时避免电磁干扰、辐射泄漏,为电力调度数据网提供静电接地及稳定电源。②保证账号的安全。严格执行对用户的管理制度,采取分账手段更好地控制设备,提高其安全性。如对存储口令进行加密、对账户中长期不使用的用户名进行禁止、防止用户进行更改并对分级保护功能设密等。③保证网络设置的配置安全。由于网络存在很多不安全因素,因此重要文件要备份,防止丢失,并且要对配置的文件进行定期保存与检查。随时检查网络系统,及时升级,防止系统漏洞过多给电力调度数据网的安全造成威胁。
(2)安全访问控制。安全访问控制是可調性最强的防范措施,重点是通过访问控制列表做到对敏感数据的有效安全访问。可以根据需要配置虚拟终端VTY(Virtual Teletype Terminal)类型线路的呼入呼出来限制简单网络管理协议SNMP(Simple Network Management Protocol)和Telnet用户访问;启用SSH(Secure Shell)方式等加密机制,利用SSH与路由建立加密的远程会话;实施控制存放、检索及更新路由器配置的管理策略。
(3)隔离虚拟局域网和VPN。为保障电力调度数据网的安全性,关键在于虚拟局域网和VPN,必须把它们隔离,使得子网的网段无法连通。另外,通过BGP、VPN技术可在内部进行数据的传递和流量的监控,从而控制用户对节点间的访问。
(4)重视审计策略,加强设备安全措施。重视并加固审计策略和设备安全措施,主要包括对网络硬件的防火墙进行加装升级,同时进行加密,使用专用网络入侵检测系统加强管理,网络一旦遭到入侵就发出警报,便于及时处理。除了做好安全防护,一旦发生事故,就要及时查询并记录用户的具体上网时间、上网的位置及使用的端口,便于后期的分析工作。
5 结 语
电力调度数据网安全防护建设是一个长期发展和不断改进、完善的工程。根据调度数据网的建设要求、实际现状和未来发展方向,应充分利用现有资源进行合理规划、建设,实现网络安全资源的有效利用与调配,满足调度数据网的实际需求;面对数据网当前所面临的多样化安全威胁及调度数据网管理困难的问题,应加固二次安全防护系统,增强主动安全防御能力和应急响应能力,支撑整个调度数据网安全运维工作便捷、有序和高效开展,构建保障电网系统稳定、安全、可靠运行的调度数据网络安全防护体系结构。
参考文献
[1]杜珊三.地市级电力调度数据网组网分析及应用研究[J].供用电,2010,27(4):33~36.
[1]赵 巍.电力调度数据网安全防护设计探讨[J].网络安全技术与应用,2017(11):90,92.
[2]谢 宇.二次安全防护在调度数据网中的应用和管理[J].科技创新与应用,2015(36):216.
收稿日期:2018-11-7
作者简介:易必金(1986-),男,福建长汀人,工程师,主要从事电网调度自动化方面的工作。