今日頭條
官方微信
官方抖音
資訊頻道摘要:電網調度自動化系統目前運用的設備管理、安全管理、運行管理等方面存在一定的安全隱惠,必須嚴格撥號上網用戶的管理,采用更完善的調度自動化系統的安全技術措施和管理措施,建立完備的電力安全防護體系,才能確保電力系統信息網絡正常運轉,以保護企業的信息資源不受侵害。
關鍵詞:調度自動化; 系統安全; 防護技術
通訊技術、網絡技術和電力市場的高速發展,為電力企業帶來了成本降低、效率提高、業務開拓和形象提升等諸多好處,在調度中心,集控中心、變電站、小水電、用戶之間進行的數據交換也越來越頻繁,系統的網絡組成也越來越復雜。這對調度中心:二次系統的安全性、可靠性、實時性提出了新的嚴峻挑戰,同時也使得電力調度 次系統的安傘防護問題成為調度中心日常L作中的重要內容。
能量管理系統(sCAD/EMS)及網絡現狀
1.系統業務及特點
調度自動化系統iES 500u能量管理系統,主要包括數據采集和監控系統(SCADA)、PAS高級應用軟件、WEB模塊、調度員仿真培i/~I(DTS)軟件,系統從廠站接收遙測、遙信數據,這類數據實時性較強,每秒都有數據傳輸:同時向廠 站發送遙控、遙調、校時命令及計劃數據,這類數據可靠性要求較高,與電網安全直接相關。而調度員仿真培iJII(DTS)軟件從主站系統取實時數據。
根據安全分區的原則,結合調度中心應用系統和功能模塊的特點,調度自動化SCADA 系統、PAS系統屬于生產控制大, 生產控制類中的基于TCP/IP的數據業務,速率要求不高,數據流基本恒定,但、l 務實時性較強,其中遙控遙調更與電網安全直接相關,可靠性要求較高;與計費相關的電力市場業務對安全性有特殊要求,小儀要求可靠,原始數據還要求保密。WEB模塊屬丁管理信息犬區 調度員仿真培訓模擬系統(DTS)屬于非控制 ,從應用范圍來看,生產控制類、 務分布在各網地調及大量發電廠和變電站,屬于較特殊的一 類窄帶業務。
2.數據交換方式
主站各工作站、服務器通過100M /10M 自適應HUB互連,系統的主眼務器設計為帶磁盤陣列的雙備冗余結構,互為熱備用,在單點故障的情況下系統能夠小間斷可靠運行,無論是主饑或通道出現故障,均可通過主/備切換來保證通信和數據的完整性;但在兩臺服務器均故障或磁盤陣列故障時,系統將不能正常運行。一旦調度豐站數據出現意外災難,系統將崩潰。
系統提供了需進行身份認旺的撥號訪問供遠程維護的需要。調度WEB服務摸塊通過經國家認證的正向犁網絡隔離裝置從調度自動化SCADA系統獲取實時數據,web服務器又通過硬件防火墻與局域網相連,把信息傳至其它部門。
3.安全防護技術SCADA/EMS系統的物理邊界有4個:撥號網絡(遠程維護)邊界、傳統專J咩j遠動通道、縱向網絡邊界、橫向邊界。采取的措施有:
(1)撥號網絡邊界采用身份驗證功能;
(2)傳統專用遠動通道暫不考慮其它安全問題;
(3)SCADA系統與WEB發布模塊邊界,安裝了經過國家認證的止向 網絡隔離裝置;WEB發布模塊與局域網之間安裝了硬件防火墻。
(4)SCADA系統和DTS模塊之間安裝了硬件防火墻。
(5)結構調整,結構調整的重點是生產控制大區中業務系統原由WEB功能和數據的外移。
(6)新建SC ADA、AVC等具有控制功能的業務系統應當支持電力調度數寧證實現加密認證。對已有系統應當逐步進行改造。
二 存在的問題
1.設備管理方面對各系統設置的專職維護人員沒有明確其對設備的安全維護職責,沒有嚴格限制在系統計算帆上做任何與系統無關的事情,沒有提供必要的工具對系統的運行情況進行監控,保證系統安全、非間斷運行。
2.安全管理方面
電網調度自動fgfN啟、 絡t要包括能量管理系統、電力應ff1軟件、調度員仿真培訓、調度防誤操作系統。不同系統之間存在著信息資源的交互,對外開放的功能較多,如一 不需要使用且不安全的系統功能FTP服務、www服務和telnet服務等,這些服務的開放,在客觀上降低了整個系統的安全運行水平;同時由于電網調度自動化系統不同的使用者對安全的理解存在差異,采取的安全措施存在差別。有些地方為了使用方便,采取一些不符合規定的方法,將連接在調度數據網中的計算機和外網中的計算機相連,大大降低了整個網絡的安全水平。
3.運行管理方面
以往應用系統的實施,較多地考慮到應用層面上的安全,例如雙機熱備、系統冗余等,較少從運行管理上考慮到系統和網絡安全,沒有制定一定的運行管理制度.如網絡安全技術管理制度、運行維護制度和使用管理制度等,造成改變網絡和系統變更的隨意性。
三、安全技術措施
1.由于調度自動化系統應用的特殊性,僅保證網絡系統的正常運行還遠遠不夠,必須同時保證數據的機密性、完整性和不可否認性。對于從外部撥號訪問的用戶,必須嚴格控制其安全性。首先,應嚴格限制撥號上網用戶所訪問的系統信息和資源;其次,應加強對撥號用戶的身份認證,在身份驗證過程中采用加密手段, 減少用戶口令泄露的可能性。此外, 還可在服務器上配置回撥功能, 限定某撥號用戶只能從特定電話撥人,特別是直接存取專業數據網絡資源的撥號帳號。
2.在網絡傳輸層,為了保證數據網絡的安全,又能向外傳輸必要的數據,必須堅持調度控制系統與調度生產系統之間、調度生產管理系統與企業辦公自動化系統(OA/MIS)之間有效安全隔離,它們之間的信息傳輸只能采用單向傳輸的方式。常采用的措施包括防火墻、專用網關(單向門)、網段選擇器等進行有效隔離。另外在調度數據專用網絡的廣域網和局域網上,根據不同的業務系統,還可采取以下技術手段:網絡安全訪問控制技術、加密通信技術、身份認證技術、備份和恢復技術。
3.在系統和應用層面,包括計算機防病毒技術、采用安全的操作系統(達B2級)、應用系統的關鍵軟硬件及關鍵數據的熱備份和冷備份等。防病毒技術和備份措施是通常采用的傳統安全技術,而安全的操作系統是一個新的發展趨勢。總之,調度自動化信息網絡安全是一個綜合性的課題,涉及技術、管理、使用等許多方面。而存在信息安全問題,通過對整個電力網絡資源進行系統分析和系統安全方案設計,建立嚴密的安全管理措施、可靠的安全策略以及高素質的網絡管理人才才能全面、實時地保證信息的完整性和正確性,從而能夠很好地滿足企業對網絡系統安全運行和數據安全保密的需求,以確保電力調度系統和電力系統能夠安全穩定的運行。
北京市公安局海淀分局備案號:11010802023656號