关于如何进一步强化电力自动化安全防护措施探讨
发布时间:2018-12-04 10:50:32来源:
一、当前电力系统所面临的网络安全风险
目前针对电力系统信息安全主要攻击网络途径有:
1.远程非法突破网络边界,利用通用网络服务进入内部网络和系统;
2.绕过过建筑物、机房等基础设施的物理安全防护,直接接触内部网络或主机,从内部网络设备的端口和串口,主机设备的USB接口、串口和光驱进入系统;
3.越过建筑物、机房等基础设施的物理安全防护,直接接触内部网络或主机的输入输出设备,冒用合法用户或超越自身用户权限(软件安装、程序运行、配置变更、应用操作)。
二、如何加强电力系统安全防护
(一)在保障数据可靠方面
地市级电网调控作为调度数据网的接入层,纵向向上可达省调监控中心向下则邻接各个220kV变电站乃至110kV、35kV变电站,数据传输的保密性通过纵向加密装置对业务流进行非对称加解密处理,其算法使用国密局为电力专用的sxx06算法,使得传输的业务流具有”看不懂、改不了“的特性。但纵向加密系统就像个向下扣在桌上玻璃杯,四周严密但下方与桌面的接缝却存在一定的空隙。这个缝隙正是分布在各地区的无人值守变电站和电厂,这些地方由于无人值守的机制,导致现场人员、管控手段的缺乏,往往会成为安全防护的突破口。因此有必要在纵向加密之外,在变电站的站控层级进行小区域的业务过滤和安全判断,例如首先可以通过网管软件对各站之间网络端口流量进行监测对发现的流量异常行为及时排查,其次可以采用在核心变电站场站安装网络风险监测装置对远动机、保护装置间网络通讯进行监测、监测异常u盘插入等行为,并通过调度数据网络将异常数据上传到内网安全监视平台,对危害行为提前感知。
(二)在减少危害方面
除了在大区之间正反向隔离装置、安全区防火墙过滤、服务器、工程作业机终端补丁加固等传统做法外,还应根据地理分布范围、人员使用情况、使用重要性等进行划分,实现小区域的安全防护;例如:
1.在调控主站与其外延伸到各运维中心的交换机之间架设防火墙,防御外来安全管控较薄弱区域可能攻击;
2.在大楼内部不同部门间交换机上启用软件防火墙策略限定指定端口,以限制局部区域的病毒传播;
3.对接入硬件mac地址进行限定等手段限制危害扩展;
4.针对变电站数量多,安全防护设备难以全面部署的情况,启用软防火墙策略过滤的手段以弥补硬件数量不足的缺口。
5.在window系统设备上不仅应安装必要安防软件,更为重要的是考虑到软件系统自身系统缺陷也可能成为薄弱点,如在每次升级前,使用离线测试机监测对生产业务系统的影响;正式升级时,对业务系统设备升级分批次分时段进行,以避免出现系统业务或终端全面瘫痪的安全事故。
