风电场电力监控系统安全防护的探讨
2018-05-31杨宁,吴敏
杨 宁, 吴 敏
(1.安徽省立威网安科技有限公司,安徽 合肥 230601;2.安徽水利水电职业技术学院,安徽 合肥 231603)
0 引 言
2016-01-22日,国家电网公司安全监察质量部关于乌克兰电网遭网络黑客攻击引发大面积停电情况进行了通报。国家电网公司高度重视,组织相关部门和单位迅速开展信息搜集,分析暴露问题,吸取事故教训,研究提出公司系统相应的防范措施。
本文依据国家相关文件,结合安徽省内风电场实际生产和运维情况,系统阐述了在风电场电力监控系统安全防护的管理措施及技术措施。
1 风电场电力监控系统安全防护的主要原则
如图1所示,生产控制大区与管理信息大区存在业务交互的数据流或信息流时,必须加装电力专用横向单向安全隔离装置,其中数据流从高安全区往低安全区流动需要经过正向型隔离装置,数据流从低安全区往高安全区流动需要经过反向型隔离装置。电力专用横向单向安全隔离装置达到物理隔离或近似物理隔离的安全级别。
图1 风电场电力监控系统安全分区
管理信息大区的业务系统与发电企业数据网或者公共网络存在业务数据交互需经过国产硬件防火墙以及VPN网关装置,以到达安全要求。
风电场的业务系统与所属调度机构的业务系统进行纵向交互时,必须通过电力专用纵向加密认证装置实现数据加密和身份认证功能后,才可以经由电力调度数据网实现业务数据上传和下行。
2 风电场电力监控系统安全防护存在的问题
2.1 管理方面
风电场的安全管理制度建设很不完善,存在的主要问题在此不再赘述。
2.2 技术方面
(1)物理安全。绝大多数风电场的通信机房未安装防盗报警装置,关键设备和磁介质未实施电磁屏蔽。
(2)网络安全。风电场的网络安全问题较严重,少数风电场依然存在位于安全区I的业务系统服务器直接与互联网相连的严重违规行为。其他较普遍的安全问题诸:在与一平面和二平面连接时部分隧道未进行加密;未能够对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断;未在网络边界处对恶意代码进行清除等。
(3)主机安全。很多服务器和主机依然使用安全级别较低的windows操作系统,因此存在着诸口令未定期更换, 未配置登录失败处理功能, 未采用加密的方式进行远程管理等常见问题。
(4)应用安全。问题主要集中在应用软件未提供登录失败处理功能。
(5)数据安全与备份。未采用加密或其他保护措施实现系统管理数据、鉴别信息和重要业务数据存储保密性;未提供异地数据备份功能。
3 风电场电力监控系统安全防护工作建议
针对上述安全问题,提出安全防护工作建议如下:
(1)制定管理制度。建议聘请信息安全专业咨询公司的专业人士针对自身风电场电力监控系统的实际情况和人员情况制定合规的、方便执行和操作的管理制度。
(2)防盗。通信机房防盗装置为主动防范,可以任意选用以下2种之一达到防盗的目的:①声光报警类装置,可以定位出事地点;②气体类装置,喷出的溶胶烟雾充满机房,迫使犯罪分子难以忍受环境放弃盗窃。③可以任意选用以下2种之一的改造方案到达电磁屏蔽目的:其一采用专用屏蔽机柜,防止机柜内电磁泄露导致泄密,同时防止外界电磁干扰;其二是在窗户加装电磁屏蔽窗帘。建议采用后者,其成本低,改造实施过程简单方便。④通过部署身份及访问管理系统,可以解决共享账号问题。维护人员接入IT系统进行维护操作具有接入方式多样、接入点分散的特点。身份及访问管理系统统一维护人员访问系统和设备的入口,提供访问控制功能,有效的解决运维人员的操作问题,降低相关IT系统的安全风险。⑤主机、数据库、网络设备等用户账号密码管理策略建议按照以下策略执行:口令复杂度(令长度不得小于8位,且为字母、数字或特殊字符的混合组合,用户名和口令不得相同)、口令更换周期(三个月更换一次)、登录失败次数限制(失败5-10次锁定账号)、密码加密传输及加密存储。同时也应制定账号管理相关流程、规定或制度,相关规定制度的发布应该通过信息部门、业务部门等的审批。⑥安全区之间的横向隔离方面,生产控制大区和管理信息大区之间必须部署电力专用安全横向单向隔离装置,两大区之间只能有数据的交换,其他所有访问均不能直接在两个大区之间进行。防火墙则在安全隔离的基础上,隔离控制区和非控制区、生产管理区和办公区、办公区与上级OA区、办公区和互联网区域,进行严格的访问控制,防范非授权和越权的访问。⑦建议在主机安装杀毒软件,在网络中部署入侵检测系统或防毒墙对恶意代码进行有效的防护。杀毒软件、入侵检测系统、防毒墙的特征库应及时升级,并采用离线升级的方式完成特征库的升级工作。⑧安全的技术措施需要安全的管理措施来保驾护航。建议在以下五个管理层面来完善管理措施:即安全管理制度;安全管理机构;人员安全管理;系统建设管理;系统运维管理。
4 结束语
风电场的电力监控系统作为关键信息基础设施,应严格按照相关法律法规,行业规范等执行并落实自身的信息安全防护工作,降低信息安全风险,为国家整体的信息安全建设添砖加瓦。
[参考文献]
[1] 全国人民代表大会常务委员会.中华人民共和国网络安全法[Z].2016.
[2]国家能源局.电力监控系统安全防护总体方案等安全防护方案和评估规范(国能安全[2015]36号)[Z].2015.
[3]国家能源局.电力行业网络与信息安全管理办法(国能安全[2014]317号)[Z].2014.
[4] 国家能源局.电力行业信息安全等级保护管理办法(国能安全[2014]318号)[Z].2014
