陈鸿飞,吴叙锐
(华能新能源股份有限公司广东分公司,广东 广州 510000)
风电企业电力集控中心信息安全是电力系统安全和对外稳定供电的重要保证,其主要取决于网络的安全性、稳定性、经济性和质量。随着网络技术在电力经营管理各个环节的深入应用,对风电企业电力集控中心的信息安全工作提出了更高要求。电力公司的网络技术涉及自动化、调度、控制、配电自动化、电力市场营销等诸多领域,提高供电网络的安全性是风电企业电力集控中心走向信息化和自动化的一个关键步骤。在日常工作中,如何确保信息的准确、快速与安全是一项非常重要的工作。下面以某风电企业为例,探讨其在电力集控中心信息化建设过程中面临的问题以及安全对策的有效性。
目前,该企业电力集控中心信息化的硬件环境已基本建成,同时企业在系统建设上也逐步成型,传输、配供等关键环节均已实现自动化,但在电网建设与网络系统建设方面,仍有许多结构性问题需要解决,如市场营销、负荷管理、辅助计算、科学计算、教育培训等方面。
该企业电力集控中心信息网络安全涉及物理安全、用户安全、信息安全三个层次。影响物理安全的主要危险因素有:水灾、火灾、雷击、外部电磁干扰、设备自身缺陷等。这些通过日常的设备维护以及加强基础设施建设就可以保证物理安全。影响用户安全的主要因素是工作人员的安全意识,这一点通过相关培训也是可以保证的。而影响信息安全的因素是多方面的,比如网络系统的安全以及外部人员的恶意攻击等不可抗力因素,因此要保证信息安全就需要从多方面制定措施。
该企业信息网主要由各种类型的服务器系统、路由器系统、操作系统、数据库系统及其他应用系统构成。每一种系统都有不同的后门,因而面临相应的安全问题,一旦被利用和攻击,其损失将无法估量。计算机病毒可以附加到目标系统的文件中,导致服务被拒绝、数据被破坏,甚至整个电脑系统崩溃;病毒在网络环境中释放时,能够入侵操作系统导致计算机死机、信息泄露、文件丢失等。当前许多存储设备的计算机和大型硬件设施的网络安全防御能力相对薄弱,可能影响企业信息安全。
该企业在投资电力集控中心网络信息安全新技术时,对其进行了细致的风险评价,包括网络安全评估、系统安全风险评估、用户安全风险评估等。
1) 网络安全评估。近年来,黑客入侵是造成企业网络信息泄露、丢失的重要原因。在实际运行的电网中,一些黑客通过对网络进行分析、扫描和攻击,造成网络系统瘫痪、系统输出虚假数据等不良后果,严重损害了信息网络的安全。因此,必须开展网络安全评估。
2) 系统安全风险评估。通过对目前风电企业电力集控中心信息网络体系的分析,发现各系统都有不同程度的漏洞缺陷。黑客可以利用系统漏洞窃取和植入数据,然后通过隐藏的病毒来破坏数据,从而导致系统崩溃。这些病毒还可以通过数据的交流,在网络中进行大规模传播,从而导致系统安全问题。因此,评估系统安全风险是非常必要的。
3) 用户安全风险评估。用户安全风险主要有两种,一种是主动攻击,另一种是被动攻击。主动攻击是指集控中心内部人员对控制系统进行攻击或误操作造成系统的瘫痪。目前,全国风电企业电力集控中心已经建立了统一规范的网络信息系统和相应的安全体系,但由于起步较晚,对风电企业电力集控中心的信息网络安全工作缺乏完善的维护导致无法防范恶意的攻击。被动攻击是指对系统的保密性进行攻击。与只使用内部局域网的早期计算机系统不同的是,网络化使得系统时刻面临各种网络攻击,从而造成用户无法预料的损失。因此,必须开展用户安全风险评估。
1) 数据完整性。公司在建设其信息系统时,必须确保其存储和技术信息的完整性,确保在运行过程中不能进行删除、修改,且必须具备自动检测功能,可以判断所存储的数据是否被修改。
2) 合法性。网络中的各种行为体必须具备一定的法律表达能力,并能够对其进行合法性认证,以保证所有信息的使用者和传递者都拥有合法的身份,不得允许其他第三者参与到数据工作中。合法用户在处理数据时,网络上必须有记录。这样才能确保网络系统在遇到问题时,能够根据自己的工作来做出正确的判断。
3) 访问安全性。部分合法授权的使用者在接入互联网时,应当按照权限级别对其开放相应数据,不得以非法方式进行数字阅读、下载等。为了保障合法使用者的存取,可以通过设定安全存取权层级制与辨识系统来保障合法使用者的存取安全。合法的使用者必须拥有一定的权限,才能自由地控制和读取数据,同时接受协议性存储、选择性存储,确保数据的可控性。
1) 建立信息安全体系的数据备份中心。根据电力工业的实际情况,选用合适的备用设备和备用系统,在公司各个电厂、地区建立备份数据中心,并针对各种应用制定相应的备份计划。应依据系统存储数据信息的重要性,决定系统的安全水平及制订相应的控制策略。
2) 强化电力信息网安全管理。一方面,要实行分层管理,将信息网分成多个层级,每个层级设有隔离。另一方面,要实施分区管理,建立网络级计算机病毒防护系统、信息安全监控中心,使信息安全监控系统能够模拟各种黑客攻击,不断发现信息网络安全漏洞,并按危险等级列出所检测到的安全缺陷,备份有关的重要资料,未经授权的用户无权访问和使用相关数据资源,从而实现通过建立安全的访问权限系统和身份识别系统来确保合法用户访问安全的目标。
3) 建立完备的电力信息系统监控中心。为确保信息安全,可在信息网络管理中心设立一站式信息安全监控中心,将所有的信息安全技术融合在一起,确保无论发生何种情况,都能在第一时间得到解决,并根据信息反馈采取相应的预防措施,避免系统异常和故障。
4) 防火墙技术。防火墙技术被广泛地用于实际的信息网络建设中,可通过在数据存储区和公众交换区之间设置安全屏障来保护数据的安全性。利用授权的安全数据端口更好地实现风险过滤,确保数据的稳定性和准确性,在可控制、可审计的前提下使其能够顺利进行操作。获得部分合法化许可的用户在接入网络时,应按照其有权访问的层次结构开放数据访问,不得以任何非法形式阅读下载等。
在以上分析基础上,该电力集控中心建立了完善的数据备份中心以及电力信息系统监控中心,可以保证基本的数据安全。另外,在电力信息网安全管理方面,建立了安全的访问权限和身份识别系统,确保外来人员无法进入数据中心;在防火墙技术方面,结合访问控制技术、数据包过滤技术、虚拟专用网络技术等多种措施,有效保障该中心的信息安全。下一步,将继续加强针对员工信息安全方面的培训,力争将信息安全做到滴水不漏。