智能变电站信息安全防护体系研究_许勇刚
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
智能变电站信息安全防护体系研究
许勇刚 冯 扬 汪 爽
(国网电力科学研究院北京中电普华信息技术有限公司安全中心 北京 100192
)摘 要:本文通过分析现有智能变电站信息系统的安全现状、需求和存在问题,提出信息系统整体安全管控的概念,建设统一管理平台,通过网络设备准入控制系统和运维审计系统的核心手段,实现对外部接入终端的设备安全和操作行为安全进行管控,
从而增强站控层网络安全性,和提升智能变电站信息系统整体安全。关键词:智能变电站;安全防护体系;管理平台;网络设备准入系统;运维审计系统中图分类号:TM633 文献标识码:A 国家标准学科分类代码:510
Information security
of Smart Substation Protection System ResearchXu Yonggang Feng Yang Wang
ShuangState Grid Electric Power Research Institute Beijing
China-Power InformationTechnology Co..Ltd Beijing 100192China Beijing
100192,China)Abstract:This paper through analysising the security situation of Smart Substation Information System,demand andexisting problems invote information system totally security
protection thsis,build unified management platform,bymeans of diverse admission control system and peration and maintenance audit system core metheld,control to devisesecurity and operation behavior security of the external accession terminal,thereby enhancing the station control layernetwork security,and enhancing the overall security
of smart substation information system.Keywords:smart substation;security protection system;management platform;networks devise admission system;p
eration and maintenance audit system 收稿日期:2014-
011 引 言
变电站作为智能电网发-输-变-配-用-调各个环节中呈上启下的关键环节,是智能电网的核心支撑资源,
直接关乎不同区域电量的供给问题。在符合电力网络统一的安全框架标准,以及智能变电站通信协议要求的前提条件下,建设数字化、集成化和规范化的智能变电站信息系统网络安全防护体系是本体系方案设计的目标。
2 研究现状
2.1 项目背景
智能变电站信息化建设作为国家电网公司智能电网工作的核心内容,
已经启动了试点建设工作。随着智能变电站建设的推进,为保证智能变电站信息系统的安全正常运行,
防止外部终端非法接入信息内网,从而影响电力信息网络,
甚至电力调度网络正常工作。国家电网公司制定了相关制度和规范和部署了一系列网络安全措施,但距离数字化、集成化和规范化的整体监测和安全防护目标,还有很大差距。
2.2 国内外研究现状
目前,国内外智能变电站系统基本都采用了IEC61850规约统一建模,在IEC61850规约中,将智能变电站系统从工作站到变电站依次划分为站控层、间隔层、过程层三个层面。图1为智能变电站系统架构示意图。
其中,站控层采用TCP/IP的MMS协议实现对间隔层主要是实现了信息数字化统一建模和管控。间隔层、过程层采用GOOSE、SV规约,在以太网上直接通信。过程层(设备层)基于IEC61850标准的变电站普遍采用交换以太网技术,主要是电子互感器及合并单
元[1]
,配置智能化一次设备,自动完成信息采集、测量、控制、保护、计量、检测等功能[2]
,也是智能变电站区别
于普通变电站的关键。对站控层的安全防护是本文的主要内容。
第3
7卷电 子 测 量 技 术
图1 智能变电站系统架构示意图
2.3 问题分析
由于IEC61850本身还处在逐步完善阶段。安全防护研究的重点还在业务管理层面,而对网络安全的防护还在起步阶段。所以国内还没有深入研究智能变电站安全防护的有效防护手段和技术工具,智能变电站的安全停留在宽泛的管理制度设计上。
经对河南、浙江等地智能变电站调研,110kV的变电站基本为智能变电站,支持支持IEC61850协议。在间隔层设备与站控层的网络连接处采取MMS协议通信,或基于TCP/IP网络,
本方案支持对其管控。主要发现了以下问题主要如下[
3]
:1、
变电站层主机、交换机网络访问接入控制缺乏技术手段与管理措施。外来主机设备接入站内操作没有进行安全检查,容易将病毒、木马等恶意代码引入站内系统。
2、
变电站运维现场系统运维无序,缺乏操作监护。对于接入各层网络进行运维调试操作的设备尚没有规范的管控手段。
3、
监控后台、信息一体化平台、状态监测系统等服务器缺乏安全加固措施。
4、
智能变电站内容工作人员,自动化与信息专业的运维人员较少,
对于站内系统的网络计算机系统故障无法自行处理,需要各系统厂家人员至现场进行调试,导致站内网络接入难于管控。2.4 总体要求
针对智能变电站站内运行安全管理所面临的问题,和国家电网信息系统安全规范,构建统一安全防护体系,包括安全管控平台,基于设备网络设备准入和运维操作审计核心子系统,构建站内工作审批、审核和校核的工作机制,减小误操作、违规操作的数量。
3 安全管理平台设计
智能变电站二次系统的防护目标是抵御黑客、病毒、恶意代码、SQL非法注入、各种攻击等通过各种形式对变电站二次系统发起的恶意破坏和攻击,
以及其它非法操作,保障智能变电站二次系统正常运行,并相应减少智能变电站一次系统的事故。构建安全防护体系,实现由安全管理平台对安全事件统一管理。该平台包括平台安全、通信防护和集中监控这三个部分组成,主要实现对外网接入终端的安全管理。3.1 平台安全加固
平台是支撑智能变电站系统所有安全功能的软硬件