电力监控系统有着网络封闭、规模庞大、实时性高、管理部门混杂等特点[1]。随着泛在电力物联网的建设,大量新技术、新业务应用到电网当中,目前,国家电网接入的终端设备超过5亿台,这个数字还会随着泛在电力物联网的建设而激增,终端设备防护的广度和深度越来宽泛和细致,网络安全问题已是电力物联网最大的隐患。不科学地开展电力监控系统终端防护可能引发网络安全事件发生,从而影响电力生产、电网安全。因此,电力监控系统终端防护工作需要有的放矢,针对黑客攻击手段,对症下药地进行,防止过度防护[2-3]。
1根据电力监控系统业务特性和重要程度,准确确定网络安全等级,合理划分安全区域,落实网络安全防护措施,重点保护核心控制功能安全。
1.1严格落实电力监控系统网络安全防护方针,应遵循“安全分区、网络专用、横向隔离、纵向认证”基本原则,落实网络安全防护措施与电力监控系统同步规划、同步建设、同步使用要求。确保厂站监控系统与调控机构的纵向边界、监控系统内部生产控制大区与其他外部网络的横向边界按照要求部署专用安全防护设备,并遵循访问最小化原则正确配置防护策略。
1.2 使用无线通信网或非电力调度数据网进行通信的,应当设立安全接入区,并采用安全隔离、访问控制、安全认证及数据加密等安全措施。
1.3 部署网络安全监测装置及就地监视工作站,全面采集服务器、工作站、网络设备、安全防护设备、数据库以及安防等终端设备运行状态,对监测对象的运行状态、告警信息进行实时监视,并将网络安全事件通过调度数据网上传相应调控机构内网安全管控平台,实现电力监控系统涉网部分网络安全事件的实时监测和快速处置。
2 电力监控系统终端本体安全。应用程序都是在操作系统的支持之下工作的,而操作系统厂商很容易取得用户的各种敏感信息,身份、口令、端口控制、远程登录等等,因此使用自主可控的国产安全操作系统,是确保终端本体安全的重要措施。在电力监控系统终端设备优先使用自主可控的国产安全操作系统,可有效化解windows操作系统漏洞而诱发的网络安全隐患。但是对于已经运行Windows操作系统的终端设备,可以对主机进行安全加固。主机安全加固包括以下几个方面:Windows安全配置管理、重大高危漏洞及防护方法、典型易传播病毒及处置措施。具体操作,从配置管理、网络管理、 接入管理、 日志与审计和恶意代码防范五个方面进行加固。
2.1 加强配置管理。按照仅授予管理用户最小权限的原则设置安全管理员、 审计管理员和系统管理员,删除或禁用系统无关用户、设置用户口令复杂度策略、用户登录失败锁定、用户口令周期策略,定期安装官方补丁,卸载无关软件。
2.2网络管理。关闭不必要的服务、系统端口,开启防火墙功能。遵循最小安装的原则, 仅安装和开启必需的服务, 避免系统中存在不必要的服务。
2.3接入管理。关闭自动播放功能、禁用 FTP、TELNET、 SNMP、 WEB 访问等不必要的服务端口、禁止使用无线设备,拆除终端设备上不必要的软盘驱动、光盘驱动、USB接口、串行口、以太网口、无线、蓝牙等,排查空闲端口,采取配置关闭和物理封堵措施。
2.4 日志与审计。配置系统日志策略配置文件,对系统登录、访问等行为进行审计,为后续问题追溯提供依据。
2.5恶意代码防范。防病毒软件、数据执行保护。安装防病毒软件, 防止恶意代码的攻击。
3 人防及管理措施
3.1人员安全管理。加强对电力监控系统安全防护的管理、运行、维护、使用及培训教育,特别加强对厂家维护人员及第三方人员的安全管理,提高内部人员和相关外部人员的安全意识。从事电力监控系统相关工作的所有人员具备必要的电力监控系统专业知识,明确作业现场和工作岗位存在的网络安全风险、网络安全注意事项。
3.2 监控系统终端设备安全管理。安防设备及重要电力监控系统设备在选型及配置时,均应选用符合国家相关部门检测合格的产品,确保各项安全防护管理措施落实到位。对电力监控系统中全部业务系统软件模块和硬件设备,特别是安全防护设备,建立相应的设备台帐。相关系统、设备接入电力监控系统网络时应制定接入技术方案,采取相应安全防护措施,并经电力监控系统安全管理部门的审核、批准。现场作业人员作业时使用专用的调试计算机及移动存储介质,不得接入外网使用,作业时不得直接通过互联网更新安全设备特征库、防病毒软件病毒库。
4 结语
没有网络安全就没有国家安全,没有信息化就没有现代化。电力监控系统网络安全防护是一项复杂的工程,终端设备分布在泛在电力物联网的各种应用现场,伴随着电力物联网的搭建、5G技术的日渐成熟与普及应用,应当从技术层面有效强化电力监控系统的安全防护能力,从管理层面不断加强防护管理力度,从技术和管理两个角度出发一同发力,才能够保障电力监控系统终端安全,进而实现电网安全。
[1] 郭丰.电力监控系统网络安全加固技术探讨[J] 网络安全技术与应用,2020,20(11):132-134.
[2] 李桐、王刚、刘扬,等.配电网智能终端信息安全风险分析[J].智慧电力,2020,48(9):118-122
[3] 曾鸣,刘英新,赵静“云大物移智”与泛在电力物联网融合的安全风险分析及安全架构体系设计[J],智慧电力,2019,47(8);25-31
