电力监控系统一体化安全防护
2021-12-28张逸康傅亚启
张逸康 傅亚启
国网江苏省电力有限公司镇江供电分公司 江苏 镇江 212000
引言
在现代科技的发展带动下,电力监控系统的性能逐步优化,更利于推动电力行业现代化发展。但电力监控系统在运行中存在较大的安全隐患,因此加强系统优化与安全管理意义重大。鉴于此应当根据经验摸索性地引入纵向协同与部门合作等管理对策,夯实管理基础的同时,加大对系统安防的精细化管理力度,以满足电网规模化发展的需要。
1 电力监控系统安全防护的基本要求
生产控制、管理信息系统和通信网络系统共同构成了电力监控系统。对于电力监控系统的安全防护,国家已经出台了一系列的有关规定,并对电力监控系统网络安全防护的基本要求做出了详细地规定。要想加快网络异常检测技术的应用,构建电力系统安全防护体系,需要对电力系统的安全防护方案进行监控,要格外关注外部网络隔离的封闭边界,安装安全防护装置,设置安全预警系统。这样就构成了网络监控系统,防止各种问题的发生。以提高电力监控系统自保护能力为基础,从各个层面提出了对电力监控系统的分层保护方案。还需要根据不同的防护要求来提高系统对外部恶意入侵和攻击的防范及解决能力。电力监控系统的安全保护主要涵盖三个方面的内容,这三方面的内容是属于不同层面的,能够在不同的层面上保护电力监控系统的网络安全。
2 电力监控系统一体化安全防护的现状
2.1 体系结构不合理
发电厂等场所的安全防护设备配置,俨然达不到安全防护要求,普遍存在防护装置安全性能低与漏配安全防护装置或网络边界未使用防护装置等问题,尤其是在防护设备的安全加固对策方面,普遍存在设置过大的账号权限与未关闭空闲端口及弱口令等问题。
2.2 忽视运行维护
网络安全设备的基本巡检与功能巡检频次低。网络安全装置未编制事故预防措施,反事故的能力相对较低。在制定网络安全设备的技改方案时,通常缺乏严谨与真实的参照依据。对安全防护装置的日常管理及运行维护工作相对忽视,仍采取事后抢修维护的管理方式,无法提前掌握装置运行状况的相关数据信息,面对异常情况,缺乏应急处理预案。在消防设施与环境监控系统及机房门禁系统等基础设施方面,普遍存在配置不当或设施缺失等问题,存在明显的设施物理安全电源单套配置等方面的隐患。加上网络拓扑混乱与设施图纸资料不全等问题,不利于故障排查与网络结构深入检查。大部分电厂忽视对接入的移动介质设备实行管理,摆渡攻击概率随之提高。部分电厂与第三方运维人员的联系不密切,未建立签订保密协议等合作关系,导致电力监控系统的运行风险较大。主要问题体现在网络安全装置的检验工作缺乏周期性,缺乏等级保护管理;运维管理措施落实形式化,技术人员缺乏安防专业理念,未规范管理外来人员技术服务行为,忽视终端介质管理,未规范管理文档与移动存储设备等方面。电力监控系统的类型多样化,但对各系统网络安全配置与设置的检查维护工作严重缺失;加上各系统的网络安全运行维护管理规范尚未明确编制,管理维护人员的责任分工不科学,导致系统网络安全管理的成效无法实现持续改进。
2.3 接入设备管理不足
网络安全设备接入监控系统后,地调应加强对接入设备的型号与缺陷故障分析,及现场交接检验等工作展开制定相应的规范文件,从而为网络安全维护管理提供基础保障。大部分电厂的电力监控系统防护计划缺乏科学性,与安全防护要求与标准俨然不符,普遍存在防护计划与实际运行方案错位等现象。安全防护业务的类型多样化,包括安防设备接入与调度数据网接入等方面,但对标准体系与管理制度及工作流程的优化工作相对忽视,导致接入管理的工作体制缺乏高效性与实际性。
2.4 管理制度缺失
部分地调存在管理制度与监督机制不全等问题,导致安防人员无法贯彻执行管理制度。对第三方运维人员等外部人员的安全管理缺失,管理流程尚未优化。部分地调忽视展开应急演练工作的重要性。部分电厂未根据实际情况合理制定电力监控系统网络安防应急预案,导致预案与制度缺乏可操作性。网络安全管理工作的展开,严重缺乏制度化、标准化与科学化,执行与考核等方面不严谨,未按照行业标准与国家政策及等级要求,建立网络安全管理的相关制度与督查机制。制度落实与宣贯工作力度不足,未根据制度落实情况展开督查与自查工作,导致大部分制度未在岗位与基层实现真正的落实。
2.5 素质能力低
电力监控系统网络安全相关技术人员的职业素养参差不齐,在网络设备配置与工作原理掌握及故障分析等方面技能相对缺失,相对依赖网络安全厂家的技术指导,采取远程外网维护的方式俨然并不能使网络安全问题得到深入分析,网络安全隐患的预防力度相对较低。企业未实现安全防护管理人员的合理配置,人才数量与能力严重缺失,尤其是缺乏专业创新能力。加上团队成长步伐缓慢,无法使业务顺利开展。
3 电力监控系统一体化防护系统设计
通过一体化防护系统设计,实现电力监控系统网络安全纵深防护。针对在电力安全I区(生产控制区)与其他安全区之间没有网络安全防护设备,缺乏对关键控制设备有效的安全防护手段的问题,增加系统网络横向隔离,强化工控防火墙。通过对工控协议的深度解析及白名单机制有效阻止网络内异常流量通行,保证网络安全。针对安全I区网络内系统缺乏有效的安全审计措施,对工控网络内非法操作、病毒及恶意软件入侵、外部人员网络攻击无法进行实时监控及网络出现网络风暴的问题,增加工业安全审计系统,纵向实施调度网络的审计、监控外部系统的访问;区域内部优先解决辅控网络存在的网络风暴、病毒攻击等审计问题,实现电力监控系统网络安全纵深防护。
4 电力监控系统一体化防护系统关键技术
4.1 跨区安全监测方法
电力工控系统跨区安全监测方法的具体步骤如下[1]。①对第一电力监测区域内至少一个工控系统进行状态监控,获取监控数据及相应日志信息。第一电力监测区域为生产控制大区、管理信息大区中的一个,第二电力监测区域为生产控制大区、管理信息大区中与第一电力监测区域不同的另一个,单向隔离装置为正向隔离装置或反向隔离装置。②根据预设的区域-区域ID对应规则,对监控数据对应日志信息设置源地址标签,生成新的日志信息。根据预设的区域-区域ID对应规则,在日志信息尾部添加指定的源地址标签,并将定义后的新日志信息发送至所述单向隔离装置的对应转发地址端口。这里的区域-区域ID对应规则可根据实际需要采用现有技术中任何可能的ID设置手段进行相应设置,区域是划分好的单位监控区域或单个工控系统,例如工控系统上位机(操作员站、工程师站、接口机等)、下位机、网络设备(交换机、路由器)、安全设备(防火墙、入侵检测等)等。③将监控数据及新的日志信息通过单向隔离装置转发至第二电力监测区域。解析识别转发的新的日志信息,获取新的日志信息对应监控数据的IP地址,可识别相同IP的不同监控设备。
4.2 跨区安全装置研制
电力工控系统跨区安全监测装置包括安全监测模块、日志ID设置模块和日志转发模块。其中安全监测模块用于对第一电力监测区域内至少一个工控系统进行状态监控,获取监控数据及相应日志信息[2]。日志ID设置模块根据预设的区域-区域ID对应规则,对监控数据对应的日志信息设置源地址标签,生成新的日志信息。日志转发模块用于将监控数据及新的日志信息通过单向隔离装置转发至第二电力监测区域。业务部署的关键在于需同时在隔离装置两侧部署,即一侧实现采集转发,另一侧实现分析展现。安全展现模块:采用通用服务器主机和定制监测软件,软件功能主要实现对安全监测模块经隔离装置生成的数据进行分析并展现。
5 电力监控系统一体化安全防护的措施
5.1 加强体制完善
涉及以下几方面[3]:一是对电力监控系统的安防设备,施行全寿命周期的精细化与标准化管理,加大设备供应链的管理力度,贯彻设备的设计开发、建设与运行退役等过程,落实各方的安全责任,从源头上规避风险问题,避免出现责任推诿的问题。严格按照安全防护要求,对各业务环节定期展开安全检测工作,实现技术要求与水平的逐步提高。二是加强对安防系统设备的规范管理,对安防设备配置与内网监视平台接入工作及缺陷处置要求等方面的工作严格规范,实现对系统设备的标准化管控。三是完善考核评估指标体系,对电力监控系统安全防护实行闭环管理。系统安全防护的考核指标,主要包括安防方案审核完成率与纵向设备覆盖率及安防人员配备率、控制功能调度数字证书覆盖率等,定时上报工作进展,以高效落实安防重点工作。四是贯彻制定行业及国家的等级保护要求,落实定级与备案及测评整改等安全评估规范要求,组织各厂站与地调积极展开调查摸底监控系统的工作,对各单位存在的定级不准与未定级信息系统等问题督促整改,加强对监控系统安防评估与等级保护工作落实的指导。
5.2 加强职业素养培训
技术人员的知识技能专业水平,以及安防意识等职业素养,直接影响电力监控系统的安防管理成效,因此加大培训教育力度意义重大。首先应当加强对专业人员的合理配置,各安防组织机构应当根据实际情况,尽快完善安防制度与业务指导书,落实安防工作人员的职责义务,实现安防工作的统筹展开。其次加大培训教育力度,采取电话会议培训及集中培训与技能培训等途径,全面更新工作人员的知识技能。引入网络安全形式与行业技术规范及企业管理制度等方面的培训内容,不断完善工作人员的知识结构体系。在技术与技能培训方面,引入专家介入指导,不断提高工作人员的理论事件综合能力,逐步强化其应急处理能力与安全防护意识等职业素养。
5.3 加强建设安防设施
涉及以下几方面:一是加强建设网络安全监视体系,实现感知网络安全事件的常态化与动态化,发现潜在的监控系统网络攻击与安防设备故障等问题,实现对监控纵向边界的前瞻性与高效性管理[4]。根据实际情况积极制定监控系统内容安全监视管理等规范性文件,对纵向边界问题的预防性管理工作展开提供价值参照。二是合理部署安全防护装置,加强配置纵向加密认证装置,实现认证装置对各级厂站的全覆盖,以加大纵向边界的安全防护力度。三是管控辅助系统设施,加大巡视辅助系统设施的力度与周期性,严格围绕现场的实际情况,进一步修订与审核设计图纸等资料,尤其是注意保电期间的巡视。
6 结束语
近年来,电力系统信息化建设持续高速成长,并配有一定规模的信息安全防护系统,能对电力系统进行实时监控,还相应研制出了网络安全防护设备及网络安全监视系统健全电力行业网络安全责任体系,完善网络安全监督管理体制机制,加强关键信息基础设施安全保护,提升电力监控系统安全防护水平,强化网络安全防护体系,保障电力系统安全稳定运行和电力可靠供应。