论文部分内容阅读
摘要:近年来,我国对电能的需求不断增加,电力企业有了很大进展。电力调度数据网是电力企业生产经营过程中的相关数据信息传输网,网络传输的主要信息是电力调度实时数据、生产治理数据、通信监测数据等,是电力指挥安全生产和调度自动化的前提和基础,更是电力企业的重要组成部分。因此做好安全防护工作就十分重要,直接关系到电力企业的安全、经济、平稳、可靠运行。
关键词:电力调度数据网;网络安全;防护技术
引言
近年来我国电力调度数据网的建设及应用不断深化,网络复杂度也随着其规模的增大、承载数量的增多出现了显著提高,但在复杂大电网的影响下,电力调度数据网的安全仍面临着多方面的威胁,如缺乏高水平的网络安全管理模式与数据网安全测试方法、安全设备配置不够等,而为了尽可能消除这类威胁,正是本文围绕复杂大电网下电力调度数据网安全管理模式开展具体研究的原因所在。
1电力调度数据网现状及安全风险
电力调度数据网是电力监控系统的专用网络。为了保障电力监控系统的信息安全,国家相关部门明确要求:“电力调度数据网应当在专用通道上使用独立的网络设备组网,在物理层面上实现与电力企业其它数据网及部公共信息网的安全隔离。电力调度数据网划分为逻辑隔离的实时子网和非实时子网,分别连接控制区和非控制区”。二次安全防护是保障电网稳定运行的生命线,不能仅考虑边界防护,也应延伸到监控系统内部。调度数据网的大规模开发和使用,使得传统防护结构和体系面临以下考验。(1)安防机制被动。目前的电网调度数据网建设中,变电站内部及调度间的二次安全防护仅依靠隔离装置、加密装置,缺乏积极主动的安全防护工具。隔离和加密装置只是网络信息系统的一道防线,已不能完全满足现代智能电网中调度自动化系统的安全防御需要。(2)系统本身安全性。电力调度数据网本身的规模和复杂性,导致了以下安全威胁:一是维护人员需深入了解网络结构、配置参数和软件,以免在维护过程中出现操作不当,配置错误可能不易在短时间内被发现,但仍是不可小视的安全隐患;二是未详细研究使用的网络设备的本身缺陷和漏洞,网络设备在设计中会不可避免地因技术更新问题而存在薄弱环节或运行bug。(3)内外部攻击。电力调度数据网是一个相对独立的网络,大部分攻击来自内部非法访问,如外部人员非法访问造成对网络设备及资源的非正常使用,或擅自扩大自身权限,越权访问信息。电力调度数据网也利用国际通用的网络协议进行通信,随着信息化的高速发展,终端的交互不断提升,病毒和木马会严重影响网络速度和数据安全。综上所述,随着各种信息技术在数据网的不断渗透,网络运行环境的复杂性大幅提升。如果没有一个系统的、多层次的安全信息事件管理平台来加以整合,就易形成一个个的安全孤岛,使得网络安全事件无法互通、无法进行统一监管。
2电力调度数据网网络安全防护技术
2.1网络安全
(1)网络设备。首先要确保网络设备的运行安全,要促使操作人员不断强化自身的安全防护意识。其次要确保账号的安全可靠,要严格对登录账号进行加密,可以通过存储口令、用户名禁止等方式。最后要做好网络设备的配置安全,很多网络在使用过程中都有病毒,因此为了防止数据信息泄露和丢失,就要做好使用过程中的病毒查杀,并且定期对系统进行升级。(2)做好虚拟网络和VPN的隔离。要想保障电力调度数据网的安全性,还要做好虚拟网络和VPN的隔离。只有将两者有效隔离,并且进行数据信息的动态严密监控,才能确保其安全可靠。(3)严格抵制恶意代码。严格抵制恶意代码的访问,也能够有效保障网络安全。因此在实际工作中,就要结合实际情况,通过在企业局域网中通过防火墙技术、数据加密技术、审计与跟踪技术、病毒防范技术的应用,来有效避免非法用户获取信息。在登录过程中,将Telnet转变为SSH进行限制,进而将访问列表和网络使用量进行有效控制。
2.2状态分析平台
为更好满足电力调度数据网的安全需要,还应建立安全状态分析平台,这一平台应由数据采集适配层、应用管理层、功能展现层组成。其中,功能展现层应具备系统管理和B/S界面功能;应用管理层应具备基础管理功能和统计分析功能,基础管理功能包括设备管理、配置管理、拓扑管理、IP地址管理,统计分析功能则由网络安全测量、拓扑仿真分析、配置合规性分析、安全自动化评估、安全评估报告自动生成组成;资源管理层由资源信息管理和资源模型管理组成;数据采集适配层由接口适配管理功能组成。
2.3网络优选机制
网络优选机制包括干路复用和支路优选。经过对电力调度数据网进行广域数据传输时的网络带宽分析,相较于以点对点的方式直接进行数据发布,经过网络优选后的广域数据发布能够节省网络带宽、降低网络负载。干路复用是对广域发布过程中主干网络路径相同的多个数据消息兼容合并,进行一次整体性发送,以避免多次发送浪费带宽。广域消息到达分支节点后,再根据各客户端地址判断并选择最优网络支路路径复制分发,即支路优选机制。
2.4注意接入时的安全
电力调度数据网在接入时,还需要注意网络安全,接入安全可靠接口,慎重选择合适认证方式,才能从源头上做好安全防护工作。在认证方式的选择中,还需要对用户地址以及接入端口都要严格仔细确认,在结合实际情况,选择合适的接入方式。
3前景展望
为加快构建电力企业安全事件信息管理平台,全面提高系统运行的安全性、稳定性、开放性和智能性,需依靠科技创新和人工智能技术。信息技术对于网络空间安全是非常重要的,未来可将整个平台变成一个由AI驱动的大数据智能平台。在这个平台上,可取得以下优势。(1)降低人工参与。无需大量安全技术人员介入来标注数据,利用无监督学习将正常运行事件聚集在一起,同时也将安全异常事件聚在一起,有利于算法识别出异常威胁,大大降低了人工参与的程度和安全工程师的人力成本。但是,这并不代表可完全脱离人工。在目前可预见的未来,有经验的安全专家对威胁风险的识别、对算法的修正及对整个系统可靠性和鲁棒性的维护都是非常重要的。因此,可考虑引入主动学习算法的同时,由安全领域专家对部分自动识别出的结果进行人工复核,对原有算法进行持续微调直至收敛。(2)识别隐形威胁。某些安全信息事件的威胁本身不够直观,如加密流量甚至不能以向量化、离散化等方式人为地直观表述,而表现为只是二进制输入流。还有些安全事件由于关联业务太多,很难用语言来表述为什么当初这个问题被判定为异常。对于这些问题,因为平台在运行过程中收集了大量安全事件样本,所以都可尝试依靠非线性能力显著的深度学习算法来分析,自动为各复杂事件建立内在关联,提高识别的准确率和预警成功率。
结束语
综上所述,对于电力企业来讲,电力调度数据网的安全也非常重要。因此在今后的工作中,就要做好電力调度数据网的网络安全工作,制定有效的安全防护措施,运用正确的安全技术,确保电网的安全正常运行。
参考文献
[1]张鑫.电力调度数据网安全技术分析[J].通讯世界,2015(19):179.
[2]蔡俊光,简锦波,余子勇,蔺艳斐.电力调度数据网安全管理体系研究[J].电信技术,2015(06):60~63.
[3]程霞.浅析电力调度数据网安全防护设计与实现[J].通讯世界,2015(07):180~181.
[4]胡鑫,陈信,江海敏.电力调度数据网网络安全防护技术研究[J].自动化技术与应用,2018,37(5):20-23.
关键词:电力调度数据网;网络安全;防护技术
引言
近年来我国电力调度数据网的建设及应用不断深化,网络复杂度也随着其规模的增大、承载数量的增多出现了显著提高,但在复杂大电网的影响下,电力调度数据网的安全仍面临着多方面的威胁,如缺乏高水平的网络安全管理模式与数据网安全测试方法、安全设备配置不够等,而为了尽可能消除这类威胁,正是本文围绕复杂大电网下电力调度数据网安全管理模式开展具体研究的原因所在。
1电力调度数据网现状及安全风险
电力调度数据网是电力监控系统的专用网络。为了保障电力监控系统的信息安全,国家相关部门明确要求:“电力调度数据网应当在专用通道上使用独立的网络设备组网,在物理层面上实现与电力企业其它数据网及部公共信息网的安全隔离。电力调度数据网划分为逻辑隔离的实时子网和非实时子网,分别连接控制区和非控制区”。二次安全防护是保障电网稳定运行的生命线,不能仅考虑边界防护,也应延伸到监控系统内部。调度数据网的大规模开发和使用,使得传统防护结构和体系面临以下考验。(1)安防机制被动。目前的电网调度数据网建设中,变电站内部及调度间的二次安全防护仅依靠隔离装置、加密装置,缺乏积极主动的安全防护工具。隔离和加密装置只是网络信息系统的一道防线,已不能完全满足现代智能电网中调度自动化系统的安全防御需要。(2)系统本身安全性。电力调度数据网本身的规模和复杂性,导致了以下安全威胁:一是维护人员需深入了解网络结构、配置参数和软件,以免在维护过程中出现操作不当,配置错误可能不易在短时间内被发现,但仍是不可小视的安全隐患;二是未详细研究使用的网络设备的本身缺陷和漏洞,网络设备在设计中会不可避免地因技术更新问题而存在薄弱环节或运行bug。(3)内外部攻击。电力调度数据网是一个相对独立的网络,大部分攻击来自内部非法访问,如外部人员非法访问造成对网络设备及资源的非正常使用,或擅自扩大自身权限,越权访问信息。电力调度数据网也利用国际通用的网络协议进行通信,随着信息化的高速发展,终端的交互不断提升,病毒和木马会严重影响网络速度和数据安全。综上所述,随着各种信息技术在数据网的不断渗透,网络运行环境的复杂性大幅提升。如果没有一个系统的、多层次的安全信息事件管理平台来加以整合,就易形成一个个的安全孤岛,使得网络安全事件无法互通、无法进行统一监管。
2电力调度数据网网络安全防护技术
2.1网络安全
(1)网络设备。首先要确保网络设备的运行安全,要促使操作人员不断强化自身的安全防护意识。其次要确保账号的安全可靠,要严格对登录账号进行加密,可以通过存储口令、用户名禁止等方式。最后要做好网络设备的配置安全,很多网络在使用过程中都有病毒,因此为了防止数据信息泄露和丢失,就要做好使用过程中的病毒查杀,并且定期对系统进行升级。(2)做好虚拟网络和VPN的隔离。要想保障电力调度数据网的安全性,还要做好虚拟网络和VPN的隔离。只有将两者有效隔离,并且进行数据信息的动态严密监控,才能确保其安全可靠。(3)严格抵制恶意代码。严格抵制恶意代码的访问,也能够有效保障网络安全。因此在实际工作中,就要结合实际情况,通过在企业局域网中通过防火墙技术、数据加密技术、审计与跟踪技术、病毒防范技术的应用,来有效避免非法用户获取信息。在登录过程中,将Telnet转变为SSH进行限制,进而将访问列表和网络使用量进行有效控制。
2.2状态分析平台
为更好满足电力调度数据网的安全需要,还应建立安全状态分析平台,这一平台应由数据采集适配层、应用管理层、功能展现层组成。其中,功能展现层应具备系统管理和B/S界面功能;应用管理层应具备基础管理功能和统计分析功能,基础管理功能包括设备管理、配置管理、拓扑管理、IP地址管理,统计分析功能则由网络安全测量、拓扑仿真分析、配置合规性分析、安全自动化评估、安全评估报告自动生成组成;资源管理层由资源信息管理和资源模型管理组成;数据采集适配层由接口适配管理功能组成。
2.3网络优选机制
网络优选机制包括干路复用和支路优选。经过对电力调度数据网进行广域数据传输时的网络带宽分析,相较于以点对点的方式直接进行数据发布,经过网络优选后的广域数据发布能够节省网络带宽、降低网络负载。干路复用是对广域发布过程中主干网络路径相同的多个数据消息兼容合并,进行一次整体性发送,以避免多次发送浪费带宽。广域消息到达分支节点后,再根据各客户端地址判断并选择最优网络支路路径复制分发,即支路优选机制。
2.4注意接入时的安全
电力调度数据网在接入时,还需要注意网络安全,接入安全可靠接口,慎重选择合适认证方式,才能从源头上做好安全防护工作。在认证方式的选择中,还需要对用户地址以及接入端口都要严格仔细确认,在结合实际情况,选择合适的接入方式。
3前景展望
为加快构建电力企业安全事件信息管理平台,全面提高系统运行的安全性、稳定性、开放性和智能性,需依靠科技创新和人工智能技术。信息技术对于网络空间安全是非常重要的,未来可将整个平台变成一个由AI驱动的大数据智能平台。在这个平台上,可取得以下优势。(1)降低人工参与。无需大量安全技术人员介入来标注数据,利用无监督学习将正常运行事件聚集在一起,同时也将安全异常事件聚在一起,有利于算法识别出异常威胁,大大降低了人工参与的程度和安全工程师的人力成本。但是,这并不代表可完全脱离人工。在目前可预见的未来,有经验的安全专家对威胁风险的识别、对算法的修正及对整个系统可靠性和鲁棒性的维护都是非常重要的。因此,可考虑引入主动学习算法的同时,由安全领域专家对部分自动识别出的结果进行人工复核,对原有算法进行持续微调直至收敛。(2)识别隐形威胁。某些安全信息事件的威胁本身不够直观,如加密流量甚至不能以向量化、离散化等方式人为地直观表述,而表现为只是二进制输入流。还有些安全事件由于关联业务太多,很难用语言来表述为什么当初这个问题被判定为异常。对于这些问题,因为平台在运行过程中收集了大量安全事件样本,所以都可尝试依靠非线性能力显著的深度学习算法来分析,自动为各复杂事件建立内在关联,提高识别的准确率和预警成功率。
结束语
综上所述,对于电力企业来讲,电力调度数据网的安全也非常重要。因此在今后的工作中,就要做好電力调度数据网的网络安全工作,制定有效的安全防护措施,运用正确的安全技术,确保电网的安全正常运行。
参考文献
[1]张鑫.电力调度数据网安全技术分析[J].通讯世界,2015(19):179.
[2]蔡俊光,简锦波,余子勇,蔺艳斐.电力调度数据网安全管理体系研究[J].电信技术,2015(06):60~63.
[3]程霞.浅析电力调度数据网安全防护设计与实现[J].通讯世界,2015(07):180~181.
[4]胡鑫,陈信,江海敏.电力调度数据网网络安全防护技术研究[J].自动化技术与应用,2018,37(5):20-23.