当前位置: 首页 >> 机械厂家

电网行业工控安全发展态势三

2022-04-29 来源:济南机械信息网

电网行业工控安全发展态势(三)

二、行业工控系统的安全现状及问题

1.安全现状

(1)二次防护构建

电力调度中心主要由EMS(能量管理系统)、WAMS(广域监测系统)、安全自动控制系统、保护设置工作站等组成的一个实时性的生产系统和DTS(调度员培训系统)、电量管理系统和继保及故障录波等非实时性生产系统,以及雷电监测系统、气象信息、日报/早报等生产管理系统等系统组成。其中实时系统主要提供基于毫秒级的实时业务处理能力,主要通过SCADA系统的下位机对采集的各个一次设备的状态值包括厂站开关、刀闸的状态值、潮流的实时信息、电能量相关状态等实时数据信息,结合这些实时信息对电力系统进行经济、安全评估,并给出调度决策的建议,提高调度的水平,降低调度员的工作状态等功能。非实时系统主要完成调度管理员的模拟操作培训;实现电能量信息、瞬时量信息的采集、存储、上传、发布和维护;实现故障的记录和继电保护的功能。生产管理系统主要实现调度生产区的信息发布和其他支撑调度系统的相关数据支撑的作用,是调度生产相关的业务的集中区域。

根据电网二次防护的要求,根据对业务的实时性和重要性的要求分为三个区,分别对应着实时业务控制区、非实时业务控制区和生产管理区。

根据电网二次防护的要求,根据对业务的实时性和重要性的要求分为三个区,分别对应着实时业务控制区、非实时业务控制区和生产管理区。一区和二区同属于生产控制大区,一、二区之间通过防火墙进行逻辑隔离,在纵向区域和横向区域之间部署入侵检测来检测潜在的入侵行为。在二区和三区之间、一区和三区之间使用正向和反向隔离装置实现数据的定向传输。在三区信息大区与信息外网之间也要使用单项隔离装置实现数据的传输。为了有效加强对内部相关日志的管理,要求日志审计和管理机制。在调度中心与变电站和电厂之间,通过纵向加密认证装置现实通信的安全性。为了有效管理电网的安全,建立了国调、网调、省调、地调4级人员安全管理,并建立了安全专责负责制,由安全专责对相关的电力二次系统的安全防护的运维负责,依据电力二次防护方案的要求对电网安全的建设提供合理的安全规划建议。

电网的整体安全建设依据分区、分域、边界防护、责任到人的方式来进行相关的安全建设和管理,更多的是强调在边界处对威胁的抵御能力。

(2)自主可控建设

电网因其所处的行业的重要性,自主可控在电网中提出的比较早,并且也是国内比较早开始实践的行业。在2000年之前电网中从调度中心到变电站普遍都在采用国外的控制设备软件系统。在变电站和调度中心陆续出现了由于国外运维人员所导致的安全事故后,对于自主可控的建设提上了整个电网的议题中,尤其是国家电网,已经陆续在新建和改造的变电站中大量采用了国产设备,从测控装置到继保装置到合并单元,涵盖了整个变电站控制设备的绝对部分。工程师站和操作员站的应用软件都已经国产化,部分新建站的操作系统都已经开始在应用国产的linux系统。

在调度中心除了依据电力二次安全防护进行防护外,经过几年的国产化改造调度系统的主要业务系统都已经实现了国产化,相关的支撑平台,如操作系统、数据库、中间件都已经实现了国产化。并且基于可信计算的思路,建立了一套安全调度系统平台(D5000平台),通过D5000平台把原先分散的控制系统通过总线集成的方式放入一个系统中,在系统中建立了完善的人员身份认证和权限管理的机制。系统之间不同模块之间的通信需要基于可信通信的方式进行通信,通信的过程要进行严格的审计记录,为了对整个系统的安全和厂站安全进行有效的监控,D5000平台中集成了内网监视模块,来对系统内各个业务系统的安全状况进行监控。

整体思路是以自主可控的产品来构建控制系统内部的安全,并结合二次系统防护对边界的要求,从整体上构建电网控制系统的安全。

2.面临的问题与挑战

尽管电网已经从边界防护、管理和自主可控方面下大力气进行相关的安全建设。但是,智能电网的发展使更多的互联互通成为可能,未来开放用电侧的接入配电与用电的接口互通等所带来的外部暴露面的扩大,都将为电网的安全运营带来隐患。另一方面,新型攻击如APT攻击等所带来的冲击已经对电网的安全构成了足够的威胁。

美尚

小银管眼线液笔

油橄榄小绿灯精华

友情链接