高夏生 黃少雄 梁肖
摘要:電力監(jiān)控系統(tǒng)是主要依靠智能終端和調(diào)度數(shù)據(jù)網(wǎng)絡(luò)對(duì)電力生產(chǎn)和輸送過(guò)程進(jìn)行監(jiān)視和控制的核心系統(tǒng)。為保障電力生產(chǎn)的安全運(yùn)行,抵御黑客利用操作系統(tǒng)漏洞、業(yè)務(wù)系統(tǒng)后門的惡意入侵,防止通過(guò)計(jì)算機(jī)病毒或惡意代碼進(jìn)行破壞和攻擊,造成電力監(jiān)控系統(tǒng)的淪陷或挾持電力監(jiān)控系統(tǒng)對(duì)電網(wǎng)生產(chǎn)進(jìn)行破壞,因此需要對(duì)電力監(jiān)控系統(tǒng)進(jìn)行安全防護(hù)。本文是作者長(zhǎng)期從事電力監(jiān)控系統(tǒng)安全防護(hù)的經(jīng)驗(yàn)總結(jié)。
關(guān)鍵詞:電力監(jiān)控系統(tǒng);安全防護(hù);等級(jí)保護(hù);橫向隔離;縱向認(rèn)證
中圖分類號(hào):TP311 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-3044(2017)08-0212-03
電力監(jiān)控系統(tǒng),標(biāo)準(zhǔn)定義是指用于監(jiān)視和控制電力生產(chǎn)及供應(yīng)過(guò)程的、基于計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)的業(yè)務(wù)系統(tǒng)及智能設(shè)備,以及作為基礎(chǔ)支撐的通信及數(shù)據(jù)網(wǎng)絡(luò)等。由此定義可以看出,電力監(jiān)控系統(tǒng)涵蓋發(fā)電、輸電、用電全過(guò)程的各類自動(dòng)控制系統(tǒng)。
2004年起,電力監(jiān)控系統(tǒng)的安全防護(hù)已得到電力行業(yè)的關(guān)注。2015年底,黑客通過(guò)對(duì)烏克蘭電力監(jiān)控系統(tǒng)發(fā)起網(wǎng)絡(luò)攻擊,控制電網(wǎng)自動(dòng)化系統(tǒng),并阻擾技術(shù)人員對(duì)系統(tǒng)的恢復(fù),導(dǎo)致伊萬(wàn)諾-弗蘭科夫斯克地區(qū)發(fā)生大面積停電。該事件是首次由黑客攻擊行為而直接導(dǎo)致的停電事件。事件引起國(guó)內(nèi)高度重視,各路專家學(xué)者通過(guò)對(duì)烏克蘭停電事件的分析,查找國(guó)內(nèi)電力監(jiān)控系統(tǒng)安全防護(hù)的不足,掀起了又一波對(duì)電力監(jiān)控系統(tǒng)安全防護(hù)措施和技術(shù)的研究高潮。
本文結(jié)合作者在電力監(jiān)控系統(tǒng)方面的工作實(shí)踐,探討電力監(jiān)控系統(tǒng)安全防護(hù)在技術(shù)措施方面的基本要素。本文主要探討安全防護(hù)的技術(shù)措施,不涉及管理要求。
1總體要求
電力監(jiān)控系統(tǒng)包括電力行業(yè)生產(chǎn)控制類信息系統(tǒng)、生產(chǎn)管理類信息系統(tǒng)及通信網(wǎng)絡(luò)系統(tǒng)。
電力監(jiān)控系統(tǒng)安全防護(hù)遵循《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》(國(guó)家發(fā)改委2014年第J4號(hào)令)、《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案等安全防護(hù)方案和評(píng)估規(guī)范》(國(guó)家能源局國(guó)能安全2015年第36號(hào))和《電力行業(yè)信息安全等級(jí)保護(hù)管理辦法》(國(guó)家能源局國(guó)能安全2014年第318號(hào))的要求,可以認(rèn)為這三份文件是電力監(jiān)控系統(tǒng)安全防護(hù)的根本大法。近期頒發(fā)的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》將網(wǎng)絡(luò)、信息安全從規(guī)章制度上升到國(guó)家法律的高度。
電力監(jiān)控系統(tǒng)安全防護(hù)方案,以“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”十六字方針為核心,注重外部網(wǎng)絡(luò)邊界隔離阻斷,配備必要的安全防護(hù)裝置,部署必要的安全防護(hù)預(yù)警系統(tǒng),采用技術(shù)手段加快感知網(wǎng)絡(luò)異常,建設(shè)電力監(jiān)控系統(tǒng)柵格狀縱深安全防護(hù)體系,防患于未然。
電力監(jiān)控系統(tǒng)等級(jí)保護(hù),以提高電力監(jiān)控系統(tǒng)自身安全防護(hù)能力為依托,從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全等幾個(gè)層面,針對(duì)不同安全等級(jí)的電力監(jiān)控系統(tǒng)提出不同保護(hù)要求,加強(qiáng)系統(tǒng)內(nèi)部異常感知和惡意行為防范能力。
電力監(jiān)控系統(tǒng)安全防護(hù),重點(diǎn)圍繞系統(tǒng)邊界、網(wǎng)絡(luò)傳輸邊界和業(yè)務(wù)主機(jī)三個(gè)層次,構(gòu)建電力監(jiān)控系統(tǒng)安全防護(hù)的三道防線。
2業(yè)務(wù)歸類、安全分區(qū)
根據(jù)電力監(jiān)控系統(tǒng)的特點(diǎn)、各相關(guān)業(yè)務(wù)系統(tǒng)的重要程度和數(shù)據(jù)流程、運(yùn)行狀況和安全要求,電力監(jiān)控系統(tǒng)主要分布在兩個(gè)大區(qū)、三個(gè)小區(qū)及安全接人區(qū)。
分布在三個(gè)安全區(qū)的業(yè)務(wù)分別為:
安全區(qū)Ⅰ:控制區(qū)(生產(chǎn)控制大區(qū)),簡(jiǎn)言之,核心系統(tǒng)和實(shí)現(xiàn)實(shí)時(shí)監(jiān)控功能的系統(tǒng)部署在此區(qū),是電力生產(chǎn)的核心業(yè)務(wù),系統(tǒng)實(shí)時(shí)在線運(yùn)行,采用調(diào)度數(shù)據(jù)網(wǎng)絡(luò)或?qū)S猛ǖ纻鬏斝畔?,是安全防護(hù)的重中之重,安全等級(jí)最高;
安全區(qū)Ⅱ:非控制區(qū)(生產(chǎn)控制大區(qū)),電力生產(chǎn)上必須的業(yè)務(wù),但不具備遠(yuǎn)方控制功能的系統(tǒng)部署在此區(qū),系統(tǒng)在線運(yùn)行,采用調(diào)度數(shù)據(jù)網(wǎng)絡(luò)傳輸信息,是安全防護(hù)不可或缺的環(huán)節(jié),安全等級(jí)低于安全區(qū)Ⅰ;
安全區(qū)Ⅲ:調(diào)度生產(chǎn)管理區(qū)(管理信息大區(qū)),實(shí)現(xiàn)電力調(diào)度生產(chǎn)的管理,提高管理水平和生產(chǎn)決策能力的系統(tǒng)部署在此區(qū),不直接與電力生產(chǎn)環(huán)節(jié)閉環(huán),采用綜合業(yè)務(wù)網(wǎng)傳輸信息,與生產(chǎn)控制大區(qū)之間采用電力專用橫向單向隔離裝置進(jìn)行隔離;
安全接入?yún)^(qū):采用非可控通信通道(外部專用網(wǎng)絡(luò)通道或者GPRS通道等)傳輸數(shù)據(jù)的前置通信系統(tǒng),部署在安全接入?yún)^(qū)。安全接入?yún)^(qū)與生產(chǎn)控制大區(qū)中的業(yè)務(wù)連接,需經(jīng)過(guò)電力專用橫向反向隔離裝置;與外部網(wǎng)絡(luò)連接處,需部署硬件防火墻。山區(qū)小電源通過(guò)北斗衛(wèi)星通道接入、配網(wǎng)系統(tǒng)采集終端通過(guò)GPRS通道接人等,均應(yīng)預(yù)先經(jīng)過(guò)安全接人區(qū)。
電力監(jiān)控系統(tǒng)各安全區(qū)間連接的拓?fù)浣Y(jié)構(gòu)有多種,現(xiàn)實(shí)中采用三角結(jié)構(gòu)居多。
3業(yè)務(wù)梳理、網(wǎng)絡(luò)專用
電力系統(tǒng)中并存著兩張獨(dú)立的網(wǎng)絡(luò):電力調(diào)度數(shù)據(jù)網(wǎng)和電力綜合業(yè)務(wù)網(wǎng)。網(wǎng)絡(luò)在物理層面分開(kāi),采用各自獨(dú)立網(wǎng)絡(luò)設(shè)備和通信通道。在邊界交接處,部署電力專用橫向隔離裝置。
電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)是電力調(diào)度生產(chǎn)的專用網(wǎng)絡(luò),承載安全區(qū)Ⅰ、Ⅱ的相關(guān)系統(tǒng)和業(yè)務(wù)的縱向數(shù)據(jù)通信。電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)采用MPLS VPN技術(shù),將實(shí)時(shí)業(yè)務(wù)、非實(shí)時(shí)業(yè)務(wù)分割成兩個(gè)相對(duì)獨(dú)立的邏輯專網(wǎng):實(shí)時(shí)VPN(rt-VPN)和非實(shí)時(shí)VPN(nrt-VPN),路由各自獨(dú)立,在網(wǎng)絡(luò)路由層面互不相通,其中實(shí)時(shí)VPN還保證了實(shí)時(shí)業(yè)務(wù)的網(wǎng)絡(luò)服務(wù)質(zhì)量QoS。采用分層VPN技術(shù)進(jìn)一步提高網(wǎng)絡(luò)的安全特性。
電力綜合業(yè)務(wù)網(wǎng)絡(luò)是電力生產(chǎn)管理的專用網(wǎng)絡(luò),承載安全區(qū)Ⅲ、Ⅳ的相關(guān)系統(tǒng)和業(yè)務(wù)的縱向數(shù)據(jù)通信。綜合業(yè)務(wù)網(wǎng)劃分有多個(gè)VPN,不同的業(yè)務(wù)分屬不同的虛擬子網(wǎng)。
與因特網(wǎng)連接的業(yè)務(wù)及工作站,均獨(dú)立于調(diào)度數(shù)據(jù)網(wǎng)和綜合業(yè)務(wù)網(wǎng)。
4業(yè)務(wù)分級(jí)、橫向隔離
4.1構(gòu)建橫向防線
橫向隔離是電力監(jiān)控系統(tǒng)安全防護(hù)體系的橫向防線,解決同一層級(jí)業(yè)務(wù)系統(tǒng)間橫向數(shù)據(jù)貫通的安全防護(hù)問(wèn)題。
橫向隔離的精髓是將電力監(jiān)控系統(tǒng)各業(yè)務(wù)分成不同安全等級(jí),在系統(tǒng)的連接出部署不同強(qiáng)度的安全防護(hù)設(shè)備,進(jìn)行安全隔離。
生產(chǎn)控制大區(qū)與管理信息大區(qū)之間應(yīng)部署電力專用橫向單向安全隔離裝置,隔離強(qiáng)度接近或達(dá)到物理隔離。橫向單向隔離裝置按照業(yè)務(wù)需要設(shè)置,專機(jī)專用。
生產(chǎn)控制大區(qū)內(nèi)部的安全區(qū)Ⅰ和安全區(qū)Ⅱ之間采用國(guó)產(chǎn)硬件防火墻設(shè)備,實(shí)現(xiàn)邏輯隔離。防火墻設(shè)備按照業(yè)務(wù)需要設(shè)置,專機(jī)專用。
安全接入?yún)^(qū)與生產(chǎn)控制大區(qū)連接時(shí),采用電力專用橫向反向安全隔離裝置進(jìn)行集中互聯(lián)。
4.2電力專用橫向單向隔離裝置
電力專用橫向單向安全隔離裝置是生產(chǎn)控制大區(qū)與管理信息大區(qū)之間橫向防護(hù)的關(guān)鍵設(shè)備。
電力專用橫向單向安全隔離裝置分正向型和反向型。生產(chǎn)控制大區(qū)到管理信息大區(qū)或安全接人區(qū)的數(shù)據(jù)傳輸采用正向安全隔離裝置;管理信息大區(qū)或安全接入?yún)^(qū)到生產(chǎn)控制大區(qū)的數(shù)據(jù)傳輸采用反向安全隔離裝置。
電力專用橫向隔離裝置與防火墻裝置的差別:首先橫向隔離裝置僅能完成單向數(shù)據(jù)傳輸,其次橫向隔離裝置僅能進(jìn)行非網(wǎng)絡(luò)方式(正文)的數(shù)據(jù)交換,因此無(wú)法進(jìn)行網(wǎng)絡(luò)方式穿越,安全性更高;與普通網(wǎng)閘的差別,在于采用不同的芯片和不同的工作原理。
4.3橫向數(shù)據(jù)安全傳輸要求
嚴(yán)格禁止安全風(fēng)險(xiǎn)高的通用網(wǎng)絡(luò)服務(wù)和數(shù)據(jù)庫(kù)訪問(wèn)穿越橫向單向安全隔離裝置,僅允許純數(shù)據(jù)的單向安全傳輸。
5業(yè)務(wù)傳輸、縱向認(rèn)證
5.1構(gòu)建縱向防線
縱向加密認(rèn)證是電力監(jiān)控系統(tǒng)安全防護(hù)體系的縱向防線,解決上下層級(jí)業(yè)務(wù)系統(tǒng)間縱向數(shù)據(jù)傳輸?shù)陌踩雷o(hù)問(wèn)題。
業(yè)務(wù)系統(tǒng)局域網(wǎng)與電力調(diào)度數(shù)據(jù)網(wǎng)廣域網(wǎng)的縱向連接處、地縣一體化調(diào)度自動(dòng)化系統(tǒng)中地調(diào)主站與縣調(diào)遠(yuǎn)程終端連接處,應(yīng)部署電力專用縱向加密認(rèn)證裝置,實(shí)現(xiàn)雙向身份認(rèn)證、數(shù)據(jù)加密和訪問(wèn)控制。
5.2縱向加密認(rèn)證裝置
縱向加密認(rèn)證裝置用于業(yè)務(wù)系統(tǒng)局域網(wǎng)與廣域網(wǎng)的連接處,一般串接于廣域網(wǎng)路由器和局域網(wǎng)交換機(jī)之間,或者遠(yuǎn)程連接(通過(guò)非可控的通信通道)的兩臺(tái)交換機(jī)之間??v向加密認(rèn)證裝置需成對(duì)使用,一端加密一端解密。也偶見(jiàn)非對(duì)稱用法(即僅在一端部署),但無(wú)法實(shí)現(xiàn)加密功能。
縱向加密認(rèn)證裝置與防火墻不同,縱向加密認(rèn)證裝置除具備防火墻的訪問(wèn)控制功能外,還為廣域網(wǎng)通信提供身份認(rèn)證與數(shù)據(jù)加密功能,實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)臋C(jī)密性、完整性保護(hù),同時(shí)具有安全過(guò)濾功能。
電力專用縱向加密認(rèn)證裝置,采用調(diào)度數(shù)字證書(shū)系統(tǒng)頒發(fā)的設(shè)備證書(shū)(等同于裝置的身份識(shí)別碼)進(jìn)行身份認(rèn)證,確保遠(yuǎn)程通信的兩端設(shè)備的合法性和功能授權(quán);采用國(guó)家密碼局專為電力系統(tǒng)頒發(fā)的加密算法和因子對(duì)遠(yuǎn)程通信的報(bào)文進(jìn)行加密處理,確保遠(yuǎn)程通信信息即使中途被惡意黑客截取也無(wú)法獲知信息內(nèi)容。
5.3電力系統(tǒng)縱深防御要求
對(duì)處于生產(chǎn)控制大區(qū)的業(yè)務(wù)系統(tǒng),除進(jìn)行操作系統(tǒng)的安全加固外,還要求支持加密認(rèn)證功能。操作人員需提供調(diào)度數(shù)字系統(tǒng)頒發(fā)的人員證書(shū),才能進(jìn)行關(guān)鍵操作。
具有遠(yuǎn)方遙控功能的業(yè)務(wù)(如AGC、AVC、繼電保護(hù)定值遠(yuǎn)方修改等)要求采用加密、身份認(rèn)證等技術(shù)措施進(jìn)行安全防護(hù)。
對(duì)于具備遙控功能的配網(wǎng)自動(dòng)化系統(tǒng)及其采集終端,應(yīng)采用加密認(rèn)證裝置(或硬件加密認(rèn)證卡),實(shí)現(xiàn)身份認(rèn)證功能。
6等保分級(jí)
將電力監(jiān)控系統(tǒng)范疇內(nèi)的所有系統(tǒng)按照重要級(jí)別劃分為不同的安全等級(jí)。依據(jù)系統(tǒng)的安全等級(jí)在物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全等各方面采取不同級(jí)別的安全措施,達(dá)到不同級(jí)別的防護(hù)水平。
7通用安全
7.1物理安全
電力監(jiān)控系統(tǒng)機(jī)房均設(shè)置門禁系統(tǒng)(重要系統(tǒng)機(jī)房設(shè)置雙重門禁系統(tǒng)),采取防火、防水、防雷、防盜竊、防破壞等措施。機(jī)房?jī)?nèi)應(yīng)部署監(jiān)控?cái)z像頭、溫濕度感應(yīng)器、水浸檢測(cè)探頭等,并接人一體化集中監(jiān)控系統(tǒng)。
四級(jí)系統(tǒng)的前置系統(tǒng)服務(wù)器均放置在屏蔽機(jī)柜中。
7.2安全加固
電力監(jiān)控系統(tǒng)安全加固,是在保證電力監(jiān)控系統(tǒng)正常穩(wěn)定運(yùn)行的前提下,在識(shí)別系統(tǒng)面臨威脅和存在脆弱性的基礎(chǔ)上,對(duì)電力監(jiān)控系統(tǒng)進(jìn)行物理防護(hù)、安全配置修改或漏洞修補(bǔ),從而提高自身安全性的過(guò)程。
安全加固采用自加固和專業(yè)加固相結(jié)合的方式。自加固是依靠自身的技術(shù)力量,對(duì)電力監(jiān)控系統(tǒng)在日常維護(hù)過(guò)程中發(fā)現(xiàn)的脆弱性進(jìn)行修補(bǔ)的安全加固工作。專業(yè)加固是由專業(yè)技術(shù)支持單位負(fù)責(zé)完成的電力監(jiān)控系統(tǒng)安全加固工作。
安全加固的對(duì)象包括操作系統(tǒng)、數(shù)據(jù)庫(kù)、通用服務(wù)、應(yīng)用服務(wù)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備(含電力專用安全裝置)等。
安全加固具體分為主機(jī)加固、安全設(shè)備加固、網(wǎng)絡(luò)設(shè)備加固、病毒及惡意代碼防護(hù)。
加固方式包括但不限于修改系統(tǒng)配置封閉主機(jī)設(shè)備空閑USB端口、關(guān)閉高危TCP端口、刪除通用系統(tǒng)賬戶或關(guān)閉權(quán)限、對(duì)重要資源設(shè)置敏感標(biāo)記并嚴(yán)格控制不同用戶對(duì)有敏感標(biāo)記資源的操作、增加密碼強(qiáng)度及有效期、禁止遠(yuǎn)程登錄功能等。
安全設(shè)備除啟用用戶名密碼登陸,密碼復(fù)雜度滿足要求并定期更換。重要安全設(shè)備啟用usbkey和登錄密碼雙重認(rèn)證。硬件防火墻、電力專用縱向加密認(rèn)證裝置、電力專用橫向單向隔離裝置等安全設(shè)備根據(jù)具體業(yè)務(wù)需求必須設(shè)置包括指定網(wǎng)絡(luò)地址、指定業(yè)務(wù)端口和指定數(shù)據(jù)方向的“三指定”安全策略。所有安全防護(hù)設(shè)備啟動(dòng)自身日志審計(jì)功能,并向所屬電網(wǎng)調(diào)控中心內(nèi)網(wǎng)安全監(jiān)管平臺(tái)推送日志信息。
網(wǎng)絡(luò)設(shè)備加固包括禁用不必要的公共網(wǎng)絡(luò)服務(wù)、關(guān)閉未使用的物理接口、禁止缺省口令登錄、避免使用默認(rèn)路由、網(wǎng)絡(luò)邊界關(guān)閉OSPF路由功能、限制登錄地址、記錄設(shè)備日志r含時(shí)間同步)、適當(dāng)配置訪問(wèn)控制列表等。
7.3防病毒及惡意代碼
由于電力監(jiān)控系統(tǒng)與外網(wǎng)隔絕,網(wǎng)絡(luò)版防殺病毒系統(tǒng)的病毒庫(kù)應(yīng)離線升級(jí),電力監(jiān)控系統(tǒng)中建議部署網(wǎng)絡(luò)版防殺病毒系統(tǒng)。網(wǎng)絡(luò)版防殺病毒系統(tǒng)主服務(wù)器部署在中心站,工作站下載部署客戶端。網(wǎng)絡(luò)版病毒庫(kù)主站端升級(jí)后自動(dòng)推送至客戶機(jī),客戶機(jī)每日自動(dòng)進(jìn)行病毒及惡意代碼查殺。
7.4備份與容災(zāi)
電力監(jiān)控系統(tǒng)最高級(jí)別的容災(zāi)是異地建設(shè)備用監(jiān)控系統(tǒng),如調(diào)度的備調(diào),完全實(shí)現(xiàn)系統(tǒng)級(jí)在線備份與容災(zāi)。關(guān)鍵主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備和關(guān)鍵部件具備冗余配置。備用系統(tǒng)與主用系統(tǒng)的數(shù)據(jù)、畫(huà)面和系統(tǒng)軟件配置實(shí)現(xiàn)實(shí)時(shí)同步。備用系統(tǒng)具備獨(dú)立的數(shù)據(jù)采集與傳輸系統(tǒng),主用系統(tǒng)退出運(yùn)行時(shí),備用系統(tǒng)能獨(dú)立有效運(yùn)行。
電力監(jiān)控系統(tǒng)重要數(shù)據(jù)實(shí)現(xiàn)異地存放。除此之外,下級(jí)單位每年將運(yùn)行數(shù)據(jù)進(jìn)行光盤刻錄,并報(bào)送上級(jí)統(tǒng)一歸檔。
7.5入侵檢測(cè)
生產(chǎn)控制大區(qū)和管理信息大區(qū)分別部署網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng),根據(jù)業(yè)務(wù)需求設(shè)置合理規(guī)則庫(kù)。入侵檢測(cè)探頭部署于各安全分區(qū)核心交換機(jī)鏡像口,及時(shí)捕獲網(wǎng)絡(luò)異常行為、分析潛在威脅,定期對(duì)入侵檢測(cè)日志進(jìn)行審計(jì)。
對(duì)于具有等保三級(jí)及以上電力監(jiān)控系統(tǒng)的發(fā)、供電企業(yè),要求部署網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng);入侵檢測(cè)系統(tǒng)的運(yùn)行和報(bào)警日志均向省調(diào)內(nèi)網(wǎng)安全監(jiān)控平臺(tái)發(fā)送。
7.6內(nèi)網(wǎng)安全監(jiān)視平臺(tái)與安全審計(jì)
部署內(nèi)網(wǎng)安全監(jiān)控平臺(tái),通過(guò)安裝在安全I(xiàn)區(qū)及安全Ⅱ區(qū)的采集機(jī)對(duì)網(wǎng)絡(luò)運(yùn)行日志、數(shù)據(jù)庫(kù)訪問(wèn)日志、業(yè)務(wù)應(yīng)用系統(tǒng)運(yùn)行日志、安全設(shè)備運(yùn)行日志和異常報(bào)警日志等信息進(jìn)行集中收集、自動(dòng)分析,及時(shí)發(fā)現(xiàn)各種違規(guī)行為以及病毒和黑客的攻擊行為并將相關(guān)信息自動(dòng)推送給相關(guān)安全管理人員。每日對(duì)設(shè)備在線率、告警信息進(jìn)行巡視和處理,每月生成內(nèi)網(wǎng)安全監(jiān)視平臺(tái)運(yùn)行月報(bào)。
7.7公網(wǎng)接入
無(wú)線公網(wǎng)信號(hào)如需接入生產(chǎn)控制大區(qū),需首先經(jīng)防火墻或加密認(rèn)證裝置接人安全接入?yún)^(qū),再經(jīng)物理隔離裝置接入生產(chǎn)控制大區(qū)。禁止廠家通過(guò)遠(yuǎn)程撥號(hào)方式連接進(jìn)入電力監(jiān)控系統(tǒng)。
7.8調(diào)度數(shù)字證書(shū)
部署基于公鑰技術(shù)的分布式電力調(diào)度數(shù)字證書(shū)系統(tǒng),支持SM2加密算法,用于對(duì)各自調(diào)度管轄范圍的設(shè)備頒發(fā)調(diào)度數(shù)字證書(shū)。調(diào)度數(shù)字證書(shū)分人員證書(shū)、設(shè)備證書(shū)和應(yīng)用證書(shū)三種,分別用于。
8結(jié)束語(yǔ)
隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展和廣泛應(yīng)用,電力監(jiān)控系統(tǒng)安全防護(hù)問(wèn)題牽涉到了電力生產(chǎn)的各個(gè)環(huán)節(jié)、各個(gè)方面,包括電網(wǎng)和電廠。按照“誰(shuí)主管誰(shuí)負(fù)責(zé),誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)”的原則,各發(fā)、供電單位的管理人員和技術(shù)人員,需詳細(xì)了解電力監(jiān)控系統(tǒng)安全防護(hù)的要素,才能在技術(shù)上扎實(shí)做好安全防護(hù)工作。