現階段中衛地區35kv變電站的綜合資料網接入裝置,該裝置通過10M/100M與SDH傳輸裝置連線,將綜合資料資訊接入骨幹節點。綜合業務資料網主要用於安全生產管理資訊系統,協同辦公,以及視訊會議和線上監測系統的資料傳輸。本文通過對中衛地區35kv變電站綜合資料網路現狀的分析,總結出現行網路在安全方面的不足,介紹了資訊加密技術,防火牆技術,安全管理功能應用於以後的網路改造中。
1 安全隱患
但是由於裝置升級的滯後,現在所使用的接入裝置僅是一臺網路集線器(HUB),資訊網路也缺少資訊機櫃,這給網路安全帶來了巨大的隱患。
1.1變電站資訊網路安全隱患
變電站資訊網路安全潛在隱患一般都是由所連線的對外網路引發的。有非法攔截、阻斷、刪改、偽裝、 惡意程式碼、許可權管理不當、windows系統的資訊保安漏洞等。
1.2裝置故障問題
交換機的硬體問題一般有電源失電、宕機,尾纖折斷等,軟體問題有交換機配置丟失,版本升級所引起的故障等。
2升級建議
建議在35kV變電站配置1臺路由器和1臺交換機作為綜合資料網接入層裝置。
2.1站內所使用的路由器應滿足如下要求
(1)網路時延<150ms;
(2)網路抖動<50ms;
(3)網路丟包率<10-3;
(4)收斂與恢復速度<40s;
(5)網路的可用率要求不小於99.99%。
2.2變電站內的網路交換裝置滿足以下功能
(1)資料幀轉發。交換機應具有IEC 60870-5-104、IEC 61850相關協議的資料幀轉發轉發功能。
(2)資料幀過濾。交換機可以實現裝置MAC地址與IP地址的繫結。
(3)網路管理。可以實現SNMPv2管理協議,支援安全WEB介面管理,支援密碼裝置;
(4)網路風暴抑制。能夠有效抑制住廣播風暴,能有效抑制組播風暴和單播風暴。
(5)組網功能。可以按照電力系統的需求進行組網,組網方式至少包括四種形式:這四種形式為星形,環形,雙星形,雙環形;
(6)網際網路組管理協議。可以啟用交換機組管理協議。
(7)映象。映象包括單埠映象和多埠映象;
單埠映象指映象埠只複製(監視)一個埠資料,多埠映象指映象埠同時複製(監視)幾個埠資料;
(8)多鏈路聚合。這種技術主要是使各個成員埠中的流量平均分擔,可以將多個物流埠捆綁以形成邏輯埠使用。
3網路安全策略
3.1 35kv變電站資訊網路安全策略配置
根據變電站資訊網路鎖承擔的任務和資訊傳輸的時效性,有別於其他資訊網路,要對變電站資訊網路的安全策略稍作變通。
3.2 做好系統安全防護
根據寧夏電力公司的統一要求,對每臺接入內網的終端都要設定符合要求的密碼,同時安裝防病毒軟體,能夠快速更新病毒庫,啟用防違規外聯外掛,並註冊桌面管理軟體。
3.3 加密技術
變電站中經常採用的加密演算法就是對稱加密技術,這種技術採用了對稱密碼編碼技術,它具有檔案加密和解密使用相同的金鑰這種特點,即加密金鑰也可以用作解密金鑰,這種被稱為對稱加密演算法的演算法應用較為簡單快捷,金鑰較短,且破譯困難,是應用在變電站資訊網路中的有效安全加密技術。
4建立深度防禦
在入侵者和資訊資源之間建立多層防護,增強網路的安全性,在層防禦之上築起更深一層的深度防禦。入侵者想要深入獲取資訊資源所遇到的困難要大的多。同時這也阻斷了入侵者對網路系統的危害。
根據電力企業變電站的.實際情況來實施合適的防禦策略,這些防禦策略僅需投入很少的裝置費用,但是所起到的防護作用將遠遠超出所花費掉的價值。如:可以防止未經授權的排程員進入變電站控制系統在網路頻寬達到一定規模時,可以使用更高等級的金鑰技術和加密演算法。
5結語
變電站的資訊網路安全防護比其他行業,包括銀行賬戶的安全防護更加苛刻,一旦出現故障,人員的誤操作就將造成不可挽回的巨大損失。國內電力行業也不乏由於資訊保安漏洞所導致的惡性事故,這對我們的資訊網路安全工作提出了更高的要求。