关于纵向加密管理装置在电力监控系统中的应用
摘要:本文就电力监控系统安全防护进行分析,严格遵循安全分区、网络专用、横向隔离、纵向认证的十六字原则,进行有效的安全隔离防护措施。对于安全防护来说,应该针对网络以及涉及到电力控制的网络,实施相应有效的边界防护措施,切实电力监控系统安全防护能力,从而进一步保证数据的安全性和可靠性。本文以汕头供电局电力监控系统第二平面建设为例,对纵向加密管理装置在电力监控系统安全防护系统中的应用以及符合未来发展的需求进行探究。
关键词:电力监控系统,策略,管理,安全防护
一、前言
由于近几年来频繁出现的网络安全事件,网公司对网络安全高度重视。无论是对等级保护测评的检测与整改,还是对网络安全攻防演习的重要部署,都对电力监控系统的网络安全提出了新的要求。2019年、2020年网络安全攻防演习以及各级等保测评中,关于网络安全设备的安全加固和防护做了重点要求。纵向加密认证网关作为电力监控系统的重要屏障和关卡,具有设备基数大、分布范围广、设备型号多、操作复杂、管理繁琐的基本特点。除此之外,有的自动化
二次安防厂家因追求使用便捷而导致的配置默认、密码简单、服务全开的安全隐患也客观存在。
二、功能
电力监控系统的安全防护主要指,采用相应的技术措施和管理方法,实现保障电力监控系统和电力调度系统的网络安全数据的目的。日趋完善的电力监控系统可以很大程度上抵御外部或危险源地址的进攻和入侵。纵向加密认证网关则是用于保护电力监控系统中,调度数据网路由器与电力监控系统局域网之间通信安全的电力安全专用设备,该设备是保护电力监控系统与调度数据网的边界设备,为自动化系统的网络安全提供认证和加密服务,实现数据传输的机密性、可靠性和完整性。此外,纵向加密认证网关实现了对电力系统专用的应用层的IEC-104通信规约的转换功能,以便实现端到端的选择性保护。按照管理要求,纵向加密认证网关装置部署在各级调度以及下属的各个厂站,并在上下级之间建立加密隧道。纵向加密认证网关采用基于公钥机制的密钥自动协商交换规则,密钥的生成、数据加密通过网关内部的高速数据加密卡来实现,加密基于专用加密算法芯片,具有加密速度快,抗攻击能力强的优点。纵向加密管理装置用于对所属地调、厂站端的纵向加密认证网关进行统一集中化管理,对加密装置的配置和状态的监管,节省了修改配置的时间和人力。
三、常规技术手段及存在问题
电力监控系统的纵向加密认证网关分布在各调度主站系统、电厂、以及变电站数量众多,大部分厂站路途远,单单从管理运维层面上来说如果落实到每一个厂站上是非常不方便的。目前对电力监控系统纵向加密认证网关的远程管理手段,是通过纵向加密管理装置来实现的。管理装置可以远程配置、修改对应的调度主站和厂站的策略、路由以及网络地址,极大程度地减少了班组人员对设备的运维时间成本。现存问题是,纵向加密管理装置功能较为局限,无法进行主站端、厂站端完善的网络安全防护,只能够通过调整网络配置这种相对简单的方法来实现防护运维,如果是硬件加固、软件升级、或者说是故障处理,是无法通过纵向加密管理装置来实现的。此外,纵向加密管理装置上承地调,下接各个厂站,对于硬件需求和装置性能的要求是非常高的,面对日新月异的只能电网发展,和电力监控系统的特殊地位,我们需要考虑在满足安全要求的前提下,节省设备运维消缺的时间成本,减少空间距离前提下带来的工作量问题,让加密设备能够统一规范标准,可以应对频繁的操作改动,即提供一种更加规范、高效的方法来对纵向加密认证网关进行管理维护。
四、适用于电力监控系统纵向加密认证网关的管理新思路
针对电力监控系统纵向加密认证网关覆盖范围广、统一维护管理繁琐的问题,在不影响系统安全稳定运行的原则下,在研究开始阶段,选择备用调度自动化电力监控系统第二平面作为试点,试验范围包括安全区Ⅰ(实时控制区)、安全区Ⅱ(非实时控制区)的纵向加密认证网关以及纵向加密管理装置。备调第二平面的网络拓扑关系图(如图1所示),本次研究只着重讨论至纵向加密认证网关部分。
图 1 第二平面电力监控系统拓扑图
整个管理过程和思路概括为以下几点:
1.
精简融合。将现有规划的第二平面实时区、非实时区的管理装置合并,通过二次安防横向防火墙的nat映射、地址转换等方式,将管理装置整合成一个电力监控系统的大管理体系,既节约了设备成本和空间,又能够起到一个集中管理电力监控系统所有加密设备的作用,让加密设备的管理更加智能化、人性化。
2.
功能拓展。现有的第二平面纵向加密管理装置界面如图所示(图2-纵向加密管理装置界面),管理装置功能较少,维护、加固、故障定位等无法实现,单单通过简单的软件管理界面远远无法满足日常使用和消缺需求,在管理装置中,增加命令行或者终端后台等实用工具界面、(类比于防火墙的CLI控制台,图3-防火墙web管理界面)增加“故障定位”功能,可以大幅度提升故障定位速度,缩短故障分析时间,提高故障处理效率。
图 2 纵向加密管理装置界面
图 3 防火墙web管理界面
1.
键设备告警。现有管理装置没有一个完善的告警机制和筛选功能,只有简单的“工作状态正常/异常、应答时间超时”提示,(图4-装置应答时间超时)在管理装置界面中新增“厂站电压等级”、“关键设备”等筛选条件,自定义筛选关键设备,在设备状态可疑、或者不活跃情况下触发告警,在最快的时间提示相关自动化运维人员进行缺陷处理,最大限度地缩短业务中断的时间,对于电力监控系统和调度自动化系统的稳定运行是很大的保障。
web应用防护系统图4-装置应答时间超时
1.
自定义管理模板。在纵向加密管理装置修改或者新增厂站隧道、策略、路由、网络地址、网
口时,通常都是手动添加、输入相关配置信息,而这些配置信息很大一部分是具有共通点、相似点的,例如相关220kV变电站的配置,除了每个站装置特有的接口、IP地址、网关,其余配置都是可以相互参照的。因此,在管理软件中可以新增一项“自定义策略/路由/其他配置”的功能栏,以文本形式先将模板撰写好,例如根据需要可以有500kV厂站配置模板、220kV厂站配置模板、110kV配置模板等等,这样在配置新厂站装置或修改配置时,可以导入相关所需的配置模板,从模板的基础上,再进行特定厂站的配置。大大减少了重复工作所耗费的时间,既提高工作效率,同时使得管理装置更加实用化,符合电力监控系统发展的要求。
五、关键性存在问题与解决方案