电力二次系统安全防护常用技术浅析.docVIP

电力二次系统安全防护常用技术浅析 摘要：随着计算机技术、通信技术和网络技术的发展，电力二次系统也有了很大发展，接入电力数据网络的各类控制系统和非控制系统越来越多。通过对电力二次系统发展实际情况的分析，得出电力二次系统面临的安全风险。文章对电力二次系统常用安全防护技术做了分析，对各种技术的适用情况作了介绍。 关键词：电力二次系统；安全防护技术；电力数据网络；拓扑结构；安全需要 文献标识码：A 中图分类号：TM774 文章编号：1009-2374（2015）04-0131-02 DOI：10.13535/j.cnki.11-4406/n.2015.0346 1 目前电力二次系统存在的安全风险 随着计算机技术、通信技术和网络技术的发展，电力二次系统也有了很大发展，接入电力数据网络的各类控制系统和非控制系统越来越多。电力二次系统的不同安全分区之间及相同安全分区不同层级系统之间均存在不同程度的数据交互。在调度自动化系统的使用中，地调与省调、县调、变电站、开关站和电厂等生产控制大区之间均存在数据交换。除此之外，调度自动化系统的Ⅰ区还与WEB服务器所在的Ⅲ区之间也存在数据交换。各安全分区和相同安全分区的不同层级系统之间的数据交互增强了各系统的监控功能，给各个部门和科室的工作带来了极大的便利。 不同安全等级和不同安全分区之间的系统互联、对Internet网络的跨越使用，将使更多的人有机会接触到电力专用系统，这便给黑客和病毒的攻击提供了可乘 之机。 2 电力二次系统安全防护的目标和重点 电力二次系统安全防护的目标是防止未授权的用户访问系统或进行恶意的非法操作，防止外部边界发起的攻击，避免由攻击导致的一次系统的事故和二次系统的瘫痪。 电力二次系统安全防护的重点是抵御黑客和病毒等通过各种形式发起的破坏和攻击，保证电力实时监控系统和相关调度数据网络的安全，防止由此引起的电力系统事故，确保电力系统能安全稳定运行。 3 电力二次系统安全防护常用技术措施 3.1 备份与恢复技术 定期对关键系统的数据进行备份，确保在数据损坏或系统崩溃的情况下，能快速准确恢复相关数据，保证系统可用，比如对调度录音系统语音文件的定期备份和对调度自动化系统数据库的定期备份等。 对关键服务器、网络设备、电源模块和关键部件进行冗余配置，避免单点故障导致系统不可用，比如电力调度自动化系统中会对前置服务器、数据库服务器、SCADA服务器等进行双机冗余配置，使关键服务器达到N-1的安全配置要求。 对于实时控制系统，在具备条件的情况下，构建异地的系统备份，提供系统级别的容灾功能。比如云南省调建立在曲靖的调度自动化备调系统，当云南昆明遭遇重大自然灾害导致省调自动化系统瘫痪时，云南省调可以利用曲靖的备调系统进行电力调度，确保电力调度工作的正常开展。 3.2 防病毒技术 该技术通过病毒防护系统的部署来实现。防病毒措施要覆盖所有服务器和工作站，并且，生产控制大区统一部署病毒防护系统，管理信息大区统一部署病毒防护系统。定期对病毒防护系统的病毒特征代码进行升级，并服务器和工作站上定期开展病毒查杀工作。其中，生产控制大区严禁通过与外部网络连接升级病毒特征码。 3.3 防火墙技术 防火墙对流经它的数据流进行安全访问控制，符合防火墙安全策略的数据才允许通过，不符合安全策略的数据将被拒绝通过。防火墙还可以关闭不使用的端口，禁止特定端口的流出通信或来自特定站点的访问。防火墙通常使用包过滤技术和应用代理服务技术。 通过防火墙的使用可以限制外部用户对系统资源的非授权访问，也可以限制内部用户对外部系统的非授权访问。 防火墙通常部署在控制区与非可控制区之间，可以实现两个区域之间的逻辑隔离、报文过滤、访问控制。 防火墙的安全策略的设置可以使用IP地址、应用端口号、应用系统、报文方向等不同因素的组合。 防火墙是一种重要的网络安全设备，它通常部署在不同网络或不同安全域之间，用于不同网络之间或不同安全域之间的访问控制，比如在电力调度自动化系统的Ⅲ区的WEB服务器和办公网络之间便布置硬件防火墙，以此将两个安全分区进行逻辑隔离。 3.4 入侵检测技术 入侵检测技术是一种主动发现网络安全隐患的技术。通过入侵检测系统的部署，可以收集计算机网络系统中关键点的信息，通过对这些信息的综合分析可以识别出黑客常用的入侵和攻击手段、网络的通信状况是否异常、系统的漏洞及后门是否存在被非法利用的情 况等。 入侵检测技术能够帮助系统对付网络攻击，扩展系统管理员的安全管理能力，是防火墙技术的有效补充，它提高了信息安全基础结构的完整性。 3.5 网络设备安全配置技术 不使用默认路由。 在网络边界路由器上关闭OSPF功能。 升级软件，及时打好补丁，避免系统漏洞被非法 利用。 设置复杂密码，并定期对密码进行修改。 对访问控制列表进行配置。 3.6 横向安全隔离技