您的位置:360文档中心› 智能变电站网络安全策略分析与研究 徐晓寅

智能变电站网络安全策略分析与研究 徐晓寅

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

智能变电站网络安全策略分析与研究徐晓寅

发表时间:2017-09-04T15:58:51.217Z 来源:《电力设备》2017年第14期作者:徐晓寅

[导读] 摘要:智能变电站网络的可靠性和安全性决定了站内智能终端、合并单元、保护装置、测控装置、自动化系统等各设备之间信息流的传输质量,会对变电站的安全稳定运行产生直接影响。

(国网上海市电力公司检修公司上海市 200042)

摘要:智能变电站网络的可靠性和安全性决定了站内智能终端、合并单元、保护装置、测控装置、自动化系统等各设备之间信息流的传输质量,会对变电站的安全稳定运行产生直接影响。本文针对智能变电站网络存在的安全威胁,从技术和管理方面提出了适用于智能变电站网络安全的策略。

关键词:智能变电站;网络安全;策略分析

1 智能变电站网络安全现状分析

智能变电站网络面临的安全威胁主要有内部和外部两部分:内部威胁为网络交换机硬件问题对站内网络造成的风险;网络风暴造成站内网络瘫痪;外部人为专业攻击造成的破坏。

1.1 外部安全威胁主要是人为专业攻击,在智能变电站网络条件下,人为专业攻击主要分为以下两种。

1.1.1 主动破坏

非法专业用户接入网络后,通过监听、拦截对站内信息及设备进行监视和控制操作,再伪造信息向网络发送大量无用报文,使站内网络设备异常、死机甚至无法重启,最后导致整个网络瘫痪。

1.1.2 无意识破坏

专业用户正常接入网络后,由于误操作导致大量组播报文在网络内传播,对网络造成破坏和损失。

1.2 智能变电站面临的内部威胁主要来源于内部通信的脆弱性。智能变电站改变了原有的点对点的通信模式,取消了原有的硬接线模式,不同部件之间的通信,采用了对等的通信模式,所有变电站的智能部件之间的通信均在局域网上实现,并且不同智能部件的关联度更加紧密。一旦某个智能部件遭到恶意攻击,就会影响整个变电站内的通信,危及站内业务的正常运行。其安全威胁主要有以下几方面: 1.

2.1 网络交换机硬件风险

变电站在正常和异常运行时,均会产生不同程度的电磁干扰,如高压电气设备的倒闸操作、短路故障等电磁暂态过程及高压电气设备周围产生的静电场和磁场、雷电、电磁波辐射、人体与物体的静电放电等。这些电磁干扰会对交换机的通信传输产生一定影响,导致交换机转发的报文出错,甚至丢失整帧报文,影响智能变电站网络的安全可靠运行。因此,在强电磁干扰的情况下,交换机必须满足零丢帧的要求,以满足过程层数字化的需求。而在实际生产现场,智能变电站的交换机选型配置及验收都无明确的负责机构及硬件把关负责人员,导致交换机管理处于无序甚至空白状态。

1.2.2 网络风暴

交换机作为网络核心通信设备,如果自身的报文转发机制异常,会导致网络风暴,给智能变电站网络运维留下极大的隐患。网络风暴的基本表现为:大量重复报文在网络中快速传播,大量信息排队等待,直至占满带宽或耗尽交换机 CPU 资源,严重影响网络的正常运行。产生网络风暴的原因很多,其中重要的原因是网络环路问题,主要指:对过程层网络来说,虽然工程应用上通过静态VLAN划分或 GMRP 组播技术来实现网络隔离,但如果网络环路发生在同一VLAN内,仍会产生网络风暴;对站控层网络来讲,由于没有采用任何组播报文隔离技术,GOOSE 报文组播范围为站控层全网;一旦网络内形成重复链路,GOOSE 报文就会形成网络风暴。

2 智能变电站网络安全策略

2.1 制度建设和工作机制构建

在制度建设方面,首先要制定严格的规范条例同时还要完善信息安全机制在信息系统中的建设和完善并且设置严格的信息审核系统。对于有可能涉及到信息外泄的存储设备也要进行严格的控制并且限制与其他公共网络连接并且设置禁止访问权限。其次还要定期对管理制度的安全运行情况进行检查,确保管理制度的安全性、规范性。工作机制构建方面首先要对内部的管理系统定期进行演练,不断的更新应急预案,同时在一定程度上还可以将应急预案进行公开审核。然后对信息安全风险进行定期评估并且根据专业数据库制定风险评估工作制度。

2.2 实施威胁监控手段

建立起基于行为的业务审计模式,发现业务中可能存在的异常流量,并且对流量进行区分和筛选,发现其中可能存在的异常行为,再对异常行为进行多维元素的综合解析。比如发生对变电站开关、刀闸进行操作行为时,可以及时告警,使管理员及时应对可能出现的突发情况。

2.3 技术措施

为了有效的提高电网运行的可靠性,我们就应采取相应的技术措施,以此来有效的提高电网运行的高效性。因此,我们就应设置相应的防盗监控报警系统或安排专人进行值守,以此来有效的控制电网运行机房内的温度和湿度,从而有效的保证电网的正常运行。此外,为了有效的提高电网信息安全性,我们还应采取部署防火墙的措施,来加强对病毒的防范,进而不断的提高电网运行的可靠性。此外,我们还可不断的深化信息内外网边界的安全防护,进而有效的提高电网的隔离性能和效率。网络及边界安全措施需要严格实施以下措施防范恶意代码的广泛传播、非法访问以及恶意系统攻击,例如可以施行对流量、访问进行控制,设置入侵检测与防护等措施。同时还要对现行的安全隔离功能进行完善,达到提高工作效率的目的。主机的安全措施首先要对在数据库中进行操作的用户身份进行鉴别;然后针对匿名用户要在信息系统中设置严格的权限使其无法访问;最后对信息网络进行安全接入平台以及进入权限,通过公司的统一数字证书进行后期的维护。

2.4 交换机硬件选型及管理

为阻止智能变电站发生网络风暴,要求过程层网络拥有较高的应对突发数据的能力。由于过程层交换机的级联端口转发压力最大,因此24端口交换机级联端口可采用1000Mbit/s的速率。根据国家电网公司标准要求,当MV采用组网或与GOOSE共网的方式传输时,用于母线差动保护或主变差动保护的过程层交换机应支持在任1000M网口出现持续0.25ms(为80点采样速率时的1个采样周期) 的2000M突发流量

相关文档
最新文档