关于电力二次系统安全防护的具体措施分析.docVIP

关于电力二次系统安全防护的具体措施分析 　　摘要：作为国家支柱的电力行业运行越来越需要安全防护系统保障其安全运行，电力安全防护目前遇到了很多现实问题，建立电力二次系统安全防护体系，保障电力系统的安全，防范电力系统事故的发生，越来越受到集团企业和国家相关部门的高度关注。通过对电力二次系统的现状、安全防护目标和防护策略各方面的分析，明确了安全防护工作中存在的短板,进而初步探讨制定出新的电力二次系统安全防护方案和措施。 　　关键词： 电力二次系统 安全防护 具体措施 　　中图分类号： F406 文献标识码： A 文章编号：电力行业信息化技术的逐步提高，使得内部信息网具备跨地区、全行业覆盖的功能更突出。电力行业信息技术的进步,是计算机网络成为加入电网调度机构后发挥的重大作用。以目前的发展趋势，电力行业对网络的依赖性越来越大，为杜绝网络共计的危险，电力二次系统被提高到重要层面，已经成为有效抵制各种形式网络攻击的基本保障。 　　1.二次系统安全防护现状 　　近年来随着电力行业二次系统安全防护项目的发展，信息化应用日趋增强，电力网络安全问题也变得更为重要。目前电力安全系统涉及到发电行业各个环节，我国现实现了国调、网调、省调和县调五级。发电厂生产控制区业务系统接入调度数据网及相应调度数据网边界的安全防护。电网规模不停扩充，自动化系统需求增大，完善电力二次系统安全成为了必须。 　　1.1 系统硬件平台现状 　　EMS系统硬件平台是十分成熟的电网管理平台，它不仅负担着电网实时监测、控制、处理、SOE等任务，而且有电压无功优化管理、状态分析、负荷预测、调度员潮流分析等功能，还成为DMIS系统整合的有力支撑。火电厂的DCS、NCS、或ECS监控系统通过SIS系统与调度EMS系统相连，火力发电厂的AGC、AVC则直接与调度EMS系统相连，参与有功无功的远程控制。对于厂内二次系统，除了做好备份和计算机管理方面的工作外，更重要的是运用防病毒软件作为日常安全保障的重要手段，那么专用于电力系统的病毒升级服务器配备就显得尤为重要，渐渐被提上日程。 　　1.2 系统软件平台现状 　　系统软件平台EMS系统是功能一体化的系统，其网络结构是以总线连接两层交换机的构架，负荷很重，交换流量也过大，很易形成数据通信问题，甚至出现主程序会自主关闭现象。火电厂内部监控系统则通过标准协议（TCP/IP）全封闭系统，应杜绝外部访问。 　　2. 二次防护系统加固措施实践 　　采用自加固和专业安全加固两种形式对电力系统进行加固，能够对电力系统日常维护和专业评估后的漏洞起到修补的安全加固作用。 　　2.1 基于数据单向迁移的横向隔离措施 　　按照“安全分区、网络专用、横向隔离、纵向认证”原则，EMS系统基于LINUX操作系统服务器单向迁移数据镜像发布于Web服务器生成页面，给信息管理大区的业务用户使用。 　　Linux系统可实现对个体文件、任务进行加密处理，更加可靠。可是Web服务器在身份认证和权限管理方面无有效措施，Linux系统中的SAMBA服务使Web服务器在直接面向与INTERNET互联的MIS网络时，给HACKER攻击和病毒入侵提供了侵入机会。有效结合软硬件的安全隔离措施应被广泛使用，才能在共享网络数据时对侵入的非法信息进行阻断。 　　2.2 基于认证加密技术的纵向防护措施 　　采用IP认证加密装置间的相互认证来实现安全Ⅰ/Ⅱ区内部的纵向通信过程。有如下方面：IP认证加密装置之间支持基于数字证书的认证，支持定向认证加密；对传输的数据通过数据签名与加密进行数据机密性、完整性保护；支持透明工作方式与网关工作方式；具有基于IP、传输协议、应用端口号的综合报文过滤与访问控制功能；实现装置之间智能协调，动态调整安全策略；具有NAT功能。 　　2.3 系统的网络访问控制措施 　　网络各节点全面控制措施可以从五个方面来实现： 　　（1）强化口令管理：如果设置的口令较易被破解就需要加强口令管理控制。因为EMS系统口令若被人盗用，会对电力二次系统和电网的安全运行形成危害，后果不堪设想。 　　（2）禁用不必要服务：诸如Finger、BootpServer、ProxyArp等出场缺省服务，在路由器上，对于SNMP、DHCP以及Web不必须的管理服务等能关闭的就关闭。 　　（3）禁用远程访问：远程访问控制计算机必然泄露系统信息，在链接过程中难免有病毒侵入系统，所以应完全避免。 　　（4）控制流量有限进入网络：路由器通常会成为DOS攻击的目标，没有IP地址的包，一切外来的和仿冒内部的包都不要随意下载、打开使用。此外，用户还可以采取增加SYNACK队列长度、缩短ACK超时等措施来保护路由器免受TCP SYN的攻击。 　　2.4 数据库管理与安全审计措施