SCI论文(www.lunwensci.com):
摘 要:根据电力物联网终端网络监测技术提出的安全性和可靠性更高要求,加快电力物联网终端网络安全管理平台的建 设,尽快实现网络终端的实时监测和闭环管理。因此,本文重点研究和分析了电力物联网终端的网络安全监测技术,从而确保 了电力物联网终端的网络安全,避免了各种病毒和网络安全漏洞对电力系统的网络安全造成严重威胁。
关键词: 电力物联网;安全监测;系统架构
Research on Network Security Monitoring Technology of Power Internet of Things Terminal
TAO Wenwei, CAO Yang, WU Jinyu, ZHANG Wenzhe, JIANG Zeming
(China Southern Power Grid Power Dispatch Control Center, Guangzhou Guangdong 510623)
【Abstract】:According to the higher security and reliability requirements of power Internet of Things terminal network monitoring technology, speed up the construction of power Internet of Things terminal network security management platform, and realize the real-time monitoring and closed-loop management of network terminal as soon as possible. Therefore, this paper focuses on the research and analysis of the network security monitoring technology of the power Internet of Things terminal, so as to ensure the network security of the power Internet of Things terminal and avoid the serious threat to the network security of the power system caused by various viruses and network security vulnerabilities.
【Key words】:power Internet of Things;safety monitoring;system architecture
0 引言
电力物联网终端网络是应用于电力领域的工业物联 网。基于完整状态感知、数据融合和使用,进行预控、 优化等智能辅助决策,有力支持电力物联网终端网络的 协同运行 [1]。电力物联网终端网络的典型安全访问架构 图如图 1 所示。电力物联终端网络是传统物联网在垂直 行业中的应用,仍然遵循感测控制层、通信网络层、管 理平台应用层的物联网的典型架构 [2]。目前,电力感测 和控制终端已覆盖发电、输电、变电、配电和用电的所 有生产阶段。随着物联网电力终端网络的计算机化、数字化和智能化程度越来越高,其面临的网络安全问题也 越来越复杂 [3]。在当前的电网终端网络保护措施中,重 点是终端的认证、连接流量的加密等。由于终端的模仿、 入侵检测等手段不足,但电力网络的终端数量大、物理 配置范围广,当黑客通过技术手段模仿并连接合法终端 时,在内部电力物联网终端的网络上几乎可以无限制地 访问其他业务。给电力生产网络带来巨大的安全威胁 [4]。 基于上述问题,本文设计研究了电网终端的网络安全监 测技术,收集了大量电网终端的企业网络数据,进行了 大数据分析,建立网络业务指纹的基本特征和网络终端的流量基线,通过建立异常检测模型,最终实现对正常 业务流量和异常流量的有效识别。
图 1 电力物联端网络终端典型安全接入架构图
Fig.1 Typical security access architecture of power IOT
end network terminal
(1)目前,电力企业大多通讯网络层数人员的网络 安全意识相对薄弱。同时,作业人员的专业基本上是电力系统中的专业。网络安全专业人员很少,为此电力网 络安全专业技术人员远远不能满足网络安全需求,使得 电力系统终端网络信息安全处于被动状态。由于网络知识和员工网络安全意识差,电力系统终端网络安全防护 实施不到位,造成电力系统终端网络安全隐患 [5]。
(2)计算机病毒的入侵是其电力网络安全的最大威 胁。自从计算机病毒出现以来,它是计算机系统的最大敌对势力,也是网络安全的最大障碍。病毒入侵会阻塞 网络通信,破坏系统数据和文件系统,导致系统损坏后 无法服务,甚至出现完全瘫痪状态。
(3)目前电力系统在线安全监测装置使用的系统都 是老旧的 Windows XP 及 Windows Vista 系统, 随着微软中断后台维护和升级 Windows XP 和 Windows Vista 系统,这对电力系统终端网络安全构成了严重威胁。
2 网络安全监测系统架构
电力监测系统网络安全管理系统由两部分组成:主 站端的安全管理平台和厂站端的网络安全监测装置。该 平台分布在网、省、地三级调度侧,设备分布在变电站 和发电厂 [6]。系统根据设备自感知、监测设备分布式采 集、统一管理、管理平台控制的原则,构建了感知、采 集、控制三级结构的网络安全监测系统技术体系。
2.1 主站端的安全管理平台
主站端的安全管理平台主要负责收集网络设备(如 数据网络交换机、工控交换机等)、主机设备(服务器和工作站)、安全设备(如防火墙、前后隔离装置等)、 监测设备等的运行信息和安全事件,实时以报警信息向 主站平台报告运行信息和安全事件,并执行主站平台发 出的各种控制命令 [7]。
2.2 厂站端的网络安全监测系统架构
通过实施网络安全监测设备,对电力监测系统进行 网络安全监测和管理。如果变电站 I 区和 II 区之间有 防火墙连接,则 II 区只能安装一台网络安全监测设备; 如果 I 区和 II 区没有防火墙,则应分别在 I 区和 II 区 安装一台网络安全监测装置; 除了需要实施网络安全监 测设备和接入最终调度平台的电厂涉网部分,可以根据 需要在电厂局域网中实现,以实现网络安全事件的快速 管理能力和响应效率 [8]。厂站端的网络安全监测系统应 用环境架构图如图 2 所示。
图 2 厂站端的网络安全监测系统应用环境架构图
Fig.2 Application environment architecture of network security monitoring system at plant and station end
(1) 变电站配电架构: 网络安全监测装置部署在变 电站站控级网络中,同时接入 A、B 站双级控制网络交 换机,采集变电站控制级监测主机的安全信息车站、工作站、数据网络停机、信息保护变电站、五防设备等主 机设备,以及所有站控级网络设备和安全防护设备。
(2) 电厂的安装架构: 由于电厂有许多系统, 且大 多数系统没有网络连接,因此有必要安装多个网络安全 监测设备,以满足电厂网络区域内各种设备的访问,如 监测主机、操作员站、网关机、PMU、NCS 系统等涉 网主机类设备、网络设备以及安全防护设备。其中现场 设备的分布如图 3 所示。
图 3 现场装置部署图
Fig.3 Field device deployment diagram
3.1 做好电力基础设施安全管理工作
基于电力行业特点,做好电力基础设施的安全管理 和系统数据备份工作,并根据各基础设施的配置情况拟 定相应的应急预案。为了更深入确保电力在线监测系统 的网络安全,除了网络层面的安全管理外,基础设施的 安全管理工作也不可小觑。根据电力系统的实时运行和企业的生产经营情况,确立不同的基础设施安全等级, 并拟定相应的安全管控措施。可以借助当前先进计算机 网络技术,对基础设施执行全面管控: 一旦发生故障, 可以及时发现和诊断,及时查明故障的点和原由,根据 预先拟定应急预案优先处理,达到进一步优化基础设 施,以确保电力信息安全。
3.2 建立网络安全监测系统
针对电力物联网终端的网络安全问题,建立统一的 电力物联网终端网络安全监测系统,确保电力在线监测 系统的网络可靠。借助监测体系整合现有的安全技术手 段,可以及时发现在线电力监测系统的网络安全漏洞, 并进行模拟病毒攻击测试,筛选出安全漏洞情况并及时 查杀,更深入完善电力系统配置,消除安全漏洞。此 外,需结合电力企业的运营要求,定期对网络漏洞进行 扫描,合理限制多名员工的权限,避免人为破坏,对信 息网络建设进行安全检查,建立数据备份中心,确保电 力在线监测系统网络安全运行。数据备份是电力在线监 测系统网络安全的必要前提,如果电力信息数据因某些 软件故障、外部攻击和误操作而损坏,可以使用此备份 系统恢复系统数据。同时,数据备份不仅可以处理网络 工具,还可以防止对电力基础设施的破坏。虽然外部基 础设施的破坏会影响在线电力监测系统的网络安全,但 由于数据备份,电力系统可以在多个级别上进行保护, 以避免逻辑损坏。
4 终端网络安全监测的实践
4.1 设备更新
目前, 对于现有的 Windows XP、Windows Vista 和 Windows 2000 操作系统,微软已经停止了官方技术支 持和后续漏洞更新服务, 已完成更换不符合 Windows 7 操作系统的后台服务器,并将系统升级到 Windows 7 操作系统。同时,油色谱在线监测系统在更新窗口系统 中的兼容性不足,应进行特殊处理。
4.2 系统断网
原则上,所有变电站设备的在线监测系统应该断开 数据网络,以便进行全面检查和安全改进。输出方法主 要采取控制每个变电站的综合数据网络访问交换机上的 开关,断开监测系统的连接端口在线设备。
4.3 加强边界
ACL 策略配置在综合数据网络接入交换机上,该交 换机只允许在线监测系统服务以白名单形式的双向访问 端口和 IP 地址,禁止以黑名单形式的 139、445 等服务 的双向接入,导致所有交换机端口的高风险。配置双向网络访问策略,在综合数据网络接入交换机上配置 ACL策略, 将交换机中设备在线监测系统的双向接入 IP 地 址和接入端口限制为白名单,禁止 139 的双向接入, 445 等高风险端口服务将所有交换机端口列为黑名单。 全面检查边防安防设备(隔离装置、防火墙、垂直加密 装置等)的部署、配置和运行情况,确保设备在线监测 系统的策略配置正确、运行稳定,在防火墙中明确添加 禁止端口 135、137、138、139、445 和 3389 的安全策 略,并启用日志功能。
4.4 病毒筛查和清除
Windows 和 Linux 服务器 / 终端: 操作系统管理 用户身份认证信息不易伪造,密码的复杂性必须满足要 求并定期更换。密码长度不应小于 8 位,且应为字母、 数字或特殊字符的混合组合。用户名和密码不能相同。应用软件禁止以明文形式存储密码。进行病毒筛查和清 除,加强在线监测系统服务器设备和主机终端的安全性。
5 结语
电力系统是一个多领域系统其涉及到电力生产、变 电、输电、配电等多个环节。电力系统信息安全防护又 包括电网发送数据、电力负荷控制、继电保护和配电网 自动化,以及电气系统销售安全装置和继电保护,其安 全稳定运行直接影响到整个电力系统。因此,做好电力系统网络安全防护工作,提高电力物联网终端网络安全 监测技术很有必要性,可以避免病毒、特洛伊木马以及 各种网络安全漏洞对电力系统网络安全造成严重威胁。
参考文献
[1] 李伟 . 电力监控系统网络安全管理平台设计[J]. 电子世界, 2020(22):176-177.
[2] 杨东锴 . 电力物联网终端安全监测技术的研究与开发[D].北 京:华北电力大学(北京),2021.
[3] 孙暄,冯勇,李响 .基于大数据的电力安全监测系统设计与研 究[J].通信技术,2019,52(9):2284-2290.
[4] 吴程楠,田茜,李曼 .基于网络安全管理平台的电力监控系统 网络安全应用实践[J]. 电力与能源,2021,42(3):287-290.
[5] 陈伟,宋贤睿,杨宁 . 电力监控系统网络安全监测的现状与改 进方法[J].信息技术与信息化,2020(4):167-168+172.
[6] 敖勇 . 电力监控系统网络安全监测装置应用分析[J].通信电 源技术,2020,37(12):286-288.
[7] 高小芊,罗超 . 电力监控系统网络安全监测装置功能及实施 [J].通讯世界,2019,26(4):176-177.
[8] 竹小锋,崔科杰,黄建伟 . 电力监控系统一体化安全防护的研 究[J]. 电工技术,2021(7):114-115+119.
关注SCI论文创作发表,寻求SCI论文修改润色、SCI论文代发表等服务支撑,请锁定SCI论文网!
文章出自SCI论文网转载请注明出处:https://www.lunwensci.com/jisuanjilunwen/45335.html
