智能变电站通信网络安全技术探究

智能变电站通信网络安全技术探究

ID:34135484

大小:54.65 KB

页数:6页

时间:2019-03-04

智能变电站通信网络安全技术探究_第1页
智能变电站通信网络安全技术探究_第2页
智能变电站通信网络安全技术探究_第3页
智能变电站通信网络安全技术探究_第4页
智能变电站通信网络安全技术探究_第5页
资源描述:

《智能变电站通信网络安全技术探究》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、智能变电站通信网络安全技术探究摘要:文章通过分析智能变电站现有IEC61850体系的结构,针对安全问题和需求,提出了总体设计方案来加强变电站网络安全性。主要包括网络准入系统和运维审计系统,对两者的理论和实现进行了研究讨论,为智能变电站信息化安全建设提供了一种解决办法。关键词:IEC61850协议;网络准入;运维审计;部署实现引言目前,智能变电站系统基本都采用了IEC61850规约统一建模,为保证变电站系统的数据安全和正常运行,国家电网公司逐步部署了一些网络安全设备和相关管理办法,加强智能变电站信息系统自动监测和

2、安全防护工作。1研究现状1.1现状分析在IEC61850规约中,将智能变电站系统划分为站控层、间隔层、过程层三个层面。其中,站控层、间隔层设备构成与常规综合自动化变电站差异不大,但功能及网络结构发生了较大的变化,主要是实现了信息统一建模,统一了数据模型,实现设备之间的互连互通。过程层(设备层)主要是电子互感器及合并单元,配置智能化一次设备。[1]典型的智能变电站系统网络部署逻辑结构示意图如图lo图1智能变电站系统网络部署逻辑结构1.2网络安全问题分析由于智能变电站内部工作人员,运维人员较少,站内系统的网络与计算

3、机系统故障无法及时处理,需要各系统厂家人员至现场进行调试,导致站内网络接入员管控难。智能变电站内系统网络与计算机系统缺少准入管控手段,对于接入各层网络进行运维调试操作的设备尚没有规范的管控手段;智能变电站内系统运维操作没有审计管控手段,内外部人员、第三方人员接入网络进行测试、调试和运维操作缺乏技术管控、审批和核实手段。1.3需求分析目前,变电站安全防护措施很少,主要是严格按照电力二次系统安全防护相关规定[2]。变电站的运行管理部门,运维检修部对网络安全认识不足,特别是对工业控制网络存在的安全隐患了解很少。变电站

4、层主机、交换机网络访问接入控制缺乏技术手段与管理措施。[3]若运维人员接入内网的设备感染病毒,可成为攻击变电站的跳板,能导致监控后台、保护测控的全面瘫痪。2总体设计针对智能变电站站内运行安全管理所面临的问题,构建站内运维管理机制。基于准入系统和运维操作审计,构建站内工作审批、审核和校核的工作机制,减小误操作、违规操作对变电站内的影响。2.1加强对站内网络的接入控制,实现对所有设备网络接入的准入控制。通过准入控制系统,确保向在运行的站内网络接入任何设备时,都需要进行准入审批。只有经过身份验证、健康检查的设备才能接

5、入站内系统。2.2加强对站内运行操作的审计与管控,实现对所有站内设备运维操作的记录和审核。通过运维操作审计系统,确保在站内进行运维操作的人员获得授权,确保运维操作有记录可审核。3准入系统准入控制系统是确保,在运行的站内网络接入任何设备时,都需要进行准入审批。只有经过工作核准、健康检查的设备才能接入站内系统开展工作。准入控制系统以分布式部署、集中管理为基础设计思想,范围界定于终端用户信息管理、终端设备信息管理、终端健康管理、监测设备管理、网络设备信息管理、IP管理六大业务内容,实现一体化平台基础上统一的准入控制系

6、统监测平台。主要功能如下:3.1主机健康检查终端首次接入网络时,强制下载主机健康检查插件,扫描终端健康状况,检查规定软件是否安装到位,特征库是否及时更新。对不合规终端放入隔离区,禁止与内网通讯。这样既确保终端设备的安全性,又保证了信息内网的安全。3.2实名准入控制Web界面强制认证,对网络内的用户进行统一帐号管理,对用户访问网络资源时进行统一认证、统一授权和对用户访问网络的行为进行事后统一审计。事后统一审计包括记录用户何时、通过哪台终端、以何种方式接入网络,访问了或试图访问了哪些资源,并于何时退出网络,管理员可

7、以方便的查询任意一个或者一批用户的活动记录并生成相应的报表。3.3原有认证对于已有用户认证机制的网省公司,如AD域、ED、802.lx或Radius认证等,监测子系统在不改变原有认证服务的情况下,实现与已有认证服务器用户信息的联动。监测子系统在用户认证过程中只承担认证转发和读取功能,这样既保持原有认证机制,又能实现新的监测系统的用户认证。3.4IP统一管理对固定IP实行中心下发的管理方式,可以防止用户私改IP、私设IP。在动态IP环境下,还随时定位到人。对每个人不同时候得到的IP进行审计。并可以图形化显示交换机

8、所有端口使用状况,如:有无终端通信、端口下接几个终端、各自的IP地址/MAC/用户ID等。定位IP接入网络的交换机及端口。4审计系统运维操作审计系统是用于确保在站内进行运维操作的人员获得授权,确保运维操作合法合规,并有记录可追溯审核。4.1自然人审计由于网络及应用的复杂化,孤立的设备日志无法直接与用户身份关联在一起,不利于问题分析、处理。通过有效的关联,准确地判断出用户的身份和属性,从

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。