浅谈电力调度数据网安全技术及其应用.docVIP

浅谈电力调度数据网安全技术及其应用 　　[摘 要]电力调度数据网络安全防护系统的建设已经成为了电网建设与运行的重要组成部分，安防系统的可靠性直接关系电力调度生产数据传输的安全性。目前，电力调度数据网络安全安全防护工作中仍存在许多问题，安防系统软硬方面仍然存在不少漏洞，这都给电网的安全生产带?砹瞬簧僖?患。文中主要对当前电力调度数据网络安全防护工作中存在的一些问题进行梳理，并对解决这些问题所采用的管理技术手段进行了初步探讨 [关键词]电力调度；数据网；安全技术；技术应用 中图分类号：TM73 文献标识码：A 文章编号：1009-914X（2017）08-0397-01 1 导言 随着我国电力系统的快速发展，电力二次系统的安全防护关系到整个电网的供电稳定和安全，对人们的生产生活有着重要的影响。如今网络安全问题愈演愈烈，对电力调度数据网的安全造成了很大的威胁。因此，必须应用相应的安全技术，对电力调度数据网的网络设备进行安全防护，保障电力调度数据网的平稳、安全运行。为此，本文对安全技术在电力调度数据网的应用进行了探讨，旨在为安全技术在电力调度数据网中的应用提供一些参考 2 电力调度数据网中存在的问题 电力调度数据网及其所接入的系统的安全性需要从软硬件方面进行综合考量，而在数据网及相关系统的建设和运行中由于设计和管理等方面的因素，经常会给系统的安全防护带来一些隐患问题，这些隐患为网络阻断攻击、截取攻击、篡改攻击和伪造攻击提供了可能性，进而对调度自动化系统的安全稳定运行产生了不利影响。以下主要将这些问题归纳为三方面进行综述 2.1 基础物理设施安全问题 设备物理安全是系统安全的基础，这方面的常见隐患主要包括机房防火、防水、电子门禁系统及关键业务系统的电磁屏蔽不完善，UPS电源的负载率过高，光端机设备、SDH设备、核心网络交换机、路由器等网络通信设备不满足冗余配置要求等，这都可能引发系统中某些设备的故障，甚至引起整个自动化系统的中断运行 2.2 体系结构安全问题 安全防护体系结构要求遵循“安全分区、网络专用、横向隔离、纵向认证”的总体原则，安防实际工作违反该原则的常见现象包括值班电脑接入无线网络、三四区系统跨区直连、横向边界正反向隔离装置配备不齐全、纵向加密装置和防火墙策略不完善等，这可能为通过低安全区系统向高安全区系统入侵提供途径，给调度生产控制业务带来了极大的隐患 2.3 系统本体安全问题 调度监控业务的正常开展最基本的还是要系统本体的安全稳定运行，而系统本体常见安全问题主要包括设备空闲网络端口未关闭、未采用国家有关部门检测认证的安全操作系统、生产控制大区未关闭E-Mail、Web和FTP等不必要的通用网络服务、使用弱口令和各类帐号权限不符合最小化分配原则等，这些问题对系统本体的安全运行会产生直接影响，可能会使得系统直接被控制或破坏 3 安全技术在电力调度数据网中的应用 3.1 网络安全 3.1.1 网络设备安全 网络设备的安全是整个电力调度数据网安全的前提，因此，必须加强网络设备的安全管理，提高网络设备的安全指数，主要要加强以下几方面的安全：①保障网络设备的物理安全。必须遵照相关规定和安全规范，保证机房的环境设计和建设安全、可靠，做好防火、防盗工作。机房必须能够防止电路的截获、防电磁辐射泄漏和防电磁干扰，能够为电力调度数据网提供静电接地和稳压电源。②保障网络设备的账号安全。完善用户管理机制，进行有效的分账管理，确实保障设备控制的安全。例如，可以设置分级保护功能口令，设置重要配置，防止低优先级用户对设备进行更改；设置高优先级模式的访问密码，限制网段的访问控制列表，对账户中不使用的用户名进行禁止，对账号中的弱口令进行重新设置、加密储存口令，等等。③保障网络设备的配置安全。对配置文件要进行定期保存，做好备份，定时对配置文件的完整性进行检查，对操作系统定期升级，以免系统漏洞而给电力调度数据网带来安全隐患 3.1.2 隔离VPN与虚拟局域网 虚拟局域网的划分能够对电力调度数据网进行逻辑分隔，成为几个无法相互连通的子网网段。这对电力调度数据网的安全性也是一种保障。而通过BGP/MPLS VPN技术则可以在VPN内部进行数据传递和流量监控，对节点间的访问进行有效控制 3.1.3 防范恶意代码和控制安全访问 通过对访问控制列表中敏感数据的访问进行控制，能达到安全访问控制的目的。根据实际需要，可以使用VTY类型线路，对TELNET用户访问进行限制；还可以用SSH登陆方式来代替TELNET方式。控制简单网络协议流量，对访问列表进行控制或者对非授权用户访问SNMP进行限制等。电力调度数据网的网络设备的智能性较高，可以对其IP源路由功能进行禁止，可以对病毒