广东电网有限责任公司东莞供电局变电管理一所 523000
摘要:电力不仅对于社会的生产以及生活的各个环节均能够产生极为重大的影响,且其生产和使用的过程中可能存在大量的安全方面的风险。而电力领域当中的二次系统主要所指的就是对这一能源的产生和使用进行必要的安全控制。二次系统的建立最为主要的作用就是提升电力自身在安全防控方面的整体水平,以确保电力生产以及使用等各个环节的安全。使用二次系统进行必要监控后,电力自身的安全确实得到了有效的提高,但同时二次系统在使用过程当中也存在突出性的稳定以及安全问题,本文主要目的即为针对此类问题提出解决方案。
关键词:分区管理 横向区隔 纵向安全控制 电力安全
伴随着网络体系的不断发展,针对各个领域的有效的深入监控已经改变了很多行业的运营方式,其中同样涵盖电力生产自身行业。通过对这一行业各个环节的更为完善的监控,能够有效改善该行业的安全情况,并且进一步提升行业的效率。这一类型的监控系统在电力行业当中称之为二次系统,本文将就这一系统如何确保稳定安全运转,进行较为系统地阐述。
制定电力二次安全防护方案,根据国家电监会二〇〇六年的规定,应当遵循以下的基础原则进行,即:“安全分区”,通过信息分区的形式防治信息交互过程中出现信息泄漏的问题;“网络专用”,电力系统管理使用的网络应当采用专用网络的类型;“横向隔离”,供能不同的分区应当实现信息的完全隔离,不进行任何信息交互;“纵向认证”,纵向信息交互的过程中,应当设置必要的安全规范,防治信息的外泄。
根据以上原则,制定的设计方案流程如下:
方案当中涉及的主要技术类型涵盖:纵向的区隔、两个安全区(一区和二区)的加密认证、需要进行纵向认证的非及时交互用户以及防火墙防护等。以上技术的使用主要的目标是在确保信息交互效率的基础上,通过安全防控系统的完善和清晰化,降低信息交互过程中可能出现的信息泄漏问题和安全控制管理问题。
为实现不同作用目的的网络的信息隔离,参照的主要标准为网络主要用于电力的调用或用于实现电力系统当中其他综合类型的供能。依照这一标准进行组网的过程当中,凭借的主要为SDH技术下的二次网络。组网过程当中,主要采用物理隔离的形式实现。即针对不同的网络需要,使用不同的光线内芯以及不同的光波长度。
由于电力调配对网络实时性的要求较高,因此在组网过程中,由电力的调用这一针对性网络承担第一、二安全区的信息传输,以满足电力的实施调配需求。这一过程当中需要注意,两个安全区之间同样需要进行信息的隔离,这一环节主要采用的网络隔离的形式,即通过MPLS协议技术的使用,给予第一、第二安全区不同的虚拟专用网络(VPN),从网络使用层面防止两个安全区出现信息的交互。
针对执行综合性业务的数据网络,则主要采用Web发布、Email传输以及以太网传输的形式进行信息的交互处理,这一部分的内容对及时性的要求相比调配系统而言较低,因此无需进行分区隔离处理。然而这一部分的在系统搭建时,需要进行纵向的保护,以确保所有使用人员仅能够根据本身的使用等级进行系统操作,该部分主要需要注重的是纵向信息输送的安全性。
加密系统是防止纵向信息交互过程中出现信息外泄最为重要的保护性措施,这一系统包括信息的认证与加密,以及访问权限的控制等部分。由于及时性要求较高、因此存在较高的隔离需求的第一、第二安全区需要通过加密的形式,严格控制访问权限,确保信息的安全以及信息交互的通畅。
对安全区进行加密主要采用数字认证以及算法加密的双重加密形式。其中数字加密采用的是基于KPI的证书认证系统,该系统属于高强度的加密认证系统,其中X509能够实现极为有效的加密认证效果。该系统属于公钥性质的体系,使用过程中通过个人(固定用户)拥有的个人秘钥进行认证,这一环节的加密认证属于不可逆的技术类型,能够实现有效的身份区隔。
为防止物理问题造成的认证无效化,用于一区的网络采用了冗机的模式,即一区连接两个路由器,其中主要使用的一个出现物理问题的情况下,通过快速连接备用机的形式保证传输的流畅。整体而言,一区以及二区的连接模式 如下所示:
非及时需求综合业务,使用的主要加密手段为拨号加密的技术。该种技术通过对身份的认证、防火墙的设置以及虚拟专线的划分,规定了用户能够访问的范围,实现了较为精密的加密处理。
该种技术使用过程当中,主要分为两个主要的步骤:首先是进行IP分配的步骤,远程用户使用过程中首先必须依照3P协议规定的PAP口令,进行第一步的登录;然后需要通过数字验证证书的确定,给予用户允许访问的权限。在此过程当中,最为重要的环节为数字证书的验证,数字证书需要记录于实体的设备上,一般情况下可以记录于硬盘上,为提高安全的防控等级,也能够使用特定的智能卡等设备辅助验证。
该种主要为远程使用的用户提供安全使用通道的技术,在设备配置方面,需要使用专门性的网关认证装置进行认证,该装置应该设置于远程用户与连接安全区的交流机之间,以避免无保护信息交互对安全区的信息安全产生威胁。该技术的搭建如下所示:
防火墙这一技术不仅能够起到信息隔离的作用,同样能够对信息进行有效的检测、对信息交互申请进行允许/拒绝的处理,属于信息安全管理系统当中使用范围极为广泛的一种技术类型。
这一技术在电力的二次安全系统当中同样已经得到了较为广泛的运用,在及时性要求较高的第一、第二安全区以及对外交互较多的综合业务数据库均能够得到有效的利用。在第一以及第二安全区中,防火墙技术的主要作用为进行两个安全区的隔离,其主要作用的位置为两个安全区间横向的逻辑区域,通过防火墙的使用能够从技术领域确保两个安全区处于隔绝状态中;针对对外交互较为频繁的综合业务数据库,防火墙的主要作用在语言为信息交互提供纵向的保护,即确保每个安全区中所有信息的交互均必须得到防火墙的允许。在综合业务数据库防火墙技术使用当中,同样应当在交互机外层使用防火墙技术,如下:
二次系统的出现,最初是为改善电力系统的使用,提升电力这一系统的整体安全性。而正是由于电力系统的重要性极高,因此对其进行管控的二次系统的信息以及物理安全同样重要。为实现对电力系统安全的更为有效的管理,需要加强对信息交互系统的管理和控制,这一过程当中需要以信息的区域隔离为基础,实现信息按照允许范围的划分,在完全管控的情况下进行交互。需要注意针对电力的管理和调配网络,应当以保证网络信息传送的顺畅为基础;针对需要实现更大对外信息交互的网络,需要对访客的访问权限进行更为精确的管理和控制。本文就如何确保二次系统的安全进行了部分梳理,明确这一系统当中目前主要采用的技术类型,希望能够对电力系统的发展发挥一定的作用。
参考文献:
[1]黄妍妍,范元亮,李天友.配电网信息物理系统(CPS)的初步探讨[J].电气开关.2017,(4).1-5,10.
[2]孟令楠.四表合一远程抄表系统设计及其运行状态评价[D].燕山大学,2017.72.
[3]李冰霞.电力信息网络安全态势评估与预测方法研究[D].华北电力大学(保定),2014.55.
[4]李维,陆忞.一种改进的电力信息安全态势评估模型研究[J].通信电源技术.2017,(1).130-131.
[5]陈红军.电力检修二次安防综合措施的实践探讨[J].通讯世界.2016,(9).169-170.
[6]岳宏亮,陈鹏良,楼书氢.地区电网控制中心二次系统安全防护策略分析[J].中国电力教育.2014,(33).180-181,186.
客服QQ:30444492琼网文【2021】1550-113号
增值电信业务经营许可证:琼B2-20210322
出版物经营许可证:新出发龙华出字第(2021)009号
广播电视节目制作经营许可证:(琼)字第00779号
版权所有 ©2002-2024 期刊网(www.qikanchina.com) 琼ICP备2021005105号
