《地县调控一体化自动化系统网络安全管控策略分析.doc》由会员分享,可在线阅读,更多相关《地县调控一体化自动化系统网络安全管控策略分析.doc(2页珍藏版)》请在三一文库上搜索。
1、NO7,2014 (Serial No.312)电力技术交流地县调控一体化自动化系统网络安全管控策略分析赖欢欢刘津源林高翔(国网温州供电公司电力调度控制中心,浙江温州325000)播要:为防止电网调度自动化系统后台网遭受非法设备入侵提出一种基于地县调控一体化自动化系统后台网络的安全管控策略。 通过关闭交换机闲置端口、在交换机竭口上绑定接入设备的MAC地址并设定聂大MAC地址学习数等方法.结合地县调控一体化自动 化系统后台网设备按入管理流程的制定,实现对调度自动化系统后台网按入设咎工作的突全管挫与规苑管理。关键词:地县一体化;后台网络;MAC地址梆定;安全管控中图分类号:F270.7文献标识码:
2、A文章编号:1007-0079(2014)17-0123-02123NO7,2014 (Serial No.312)电力技术交流123NO7,2014 (Serial No.312)电力技术交流调度是智能电网六大环节(发电、输电、变电.配电、用电和 调度)之一,是电网运行的中枢,指导电力系统的整体运行,负责 系统内建要操作和事故处理。调度自动化系统作为电网运行控制 的基础,其性能好坏对电网的安全经济运行起着重耍作用。为满足国家电网公司大运行”体系建设的要求,实现调控 运行的“标准化.一体化建设.精益化、集约化管理” 合理利 用调度自动化系统建设资金,优化配置大二次系统运行维护资 源和技术资源,
3、近年来许多地区开展了地县调控一体化自动化 系统建设。地县调控一体化自动化系统建设的快速推进使计算 机网络成为电网调度机构的主要技术支撑平台。随着地区调度 自动化系统后台网络覆盖面快速扩大,系统接入信息点数最倍 增,系统后台网络的安全隐患也在逐渐增大。系统网络应用和 功能不断增加,促使电力生产对调度自动化系统后台网络的安 全性、稳定性、可靠性提出了更岛的要求。本研究通过分析地 县凋控一体化白动化系统后台网络安全现状,采取相应的技术 措施完善交换机配置,并制定配套的设备接入管理描施为地 县调控一体化自动化系统后台网络管理工作提供了一种行之有 效的安全管控策略。-S当前系统网络安全存在的问题在地县调
4、控一体化自动化系统中,后台网络作为整个系统的 骨架,承担着传输前置实时数据以及后台同步数据的重要责任, 是实现自动化数据采集和系统有序工作的基础设施网络的安 全稳定是保证地县一体化系统安全、正确运行的基础。据统计, 目前地县调控一体化自动化系统后台网络安全工作存在以下儿 个问题:第一,调度自动化系统实行地县调控一体化后,任何一 台存在错误配置的眼务器或丁作站接入后台网络都可能引起自 动化系统SC ADA (数据采集与监控)服务器消息接收异常严重 时甚至会带来网络风暴,影响報个一体化系统的运行。由于缺乏 规范的设备接入管理措施该类故障发生后故障源难以快速定 位,对调控运行人员的监控工作带来影响。
5、第二调度自动化系 统后台网络接入信息点的增多超出了网络管理员的人工监符范 围。许多县局存在私自从接入层交换机或现有接入点挂接hub 等网络设备的悄况,任意接入或搬移工作站的行为在给系统安 全带来威胁的同时也会导致自动化资产管理混乱。第三外部人 员(如厂家)所携带的计算机设备随意接入后台网络极有可能 给电力调度自动化系统带来病毒、木马甚至恶意攻击。第四. 地县调控一体化运行模式实施后,每个地区分别配备两台接入 交换机。除地调接人交换机与地县一体化汇聚交换机置于地调 外,其他接入交换机分别布置于备调及各个县局。当前接入交换 机设备未开启远程访问功能,给网络维护人员的故障排査及处 理带来困难。同时,
6、接入交换机设备未配置任何登陆身份认证料L 制,交换机配置可轻易被篡改,存在安全隐患。综上所述,网络维护人员急需对地县调控一体化自动化系 统后台网络采取一定的整改措施.以实现对网络中接入的交换 机、工作站及服务器等设备的有效管理,确保一体化系统后台 网络的安全稳定运行二.制定解决方案及措施地县调控一体化调度自动化系统改变了过去地区、县局自 动化系统分散建设的模式其网络运行、维护管理模式也必须 与之相适应做出适当调築。本文提出的地县调控一体化自动 化系统后台网安全管控策略通过对调度白动化系统后台网交换 机实施一系列的安全措施,同时配合后台网设备接入相关管理 流程的制定,达到对后台网的安全管控目的,
7、防止电网调度自动 化系统后台网遭受菲法设备入侵。1.主要实施步凍一是开启基于口令的SSH远程访问功能设置交换机 console 口登陆密码与IP访问控制表指定所有接入层交换机只 能通过地调指定服务器进行远程登陆访问。该措施可有效提升 网络设备的安全性,并缩短网络故障排査及处理时间。二是通 过交换机指令査询各端口的状态信息。根据图1所示方法对交 换机端口进行归类,制作地县调控一体化后台网设备接入信 息表。表格主要登记了一体化系统后台网络所有接入层交换 机各端口的设备连接信息.内容主要包括接入设备的机器名、 IP地址.MAC地址所连端口号.所连交换机名称等。然后关闭 无任何设备连接的闲置端口。三是
8、核査地县调控一体化自动 化系统后台网工作站接入信息登记表的信息与实际悄况是否 相符纠正不正确的设备连接,并及时更新信息登记表c四是根 据核査更新后的地县调控一体化自动化系统后台网工作站接 入信息登记表,对有设备接入的非级联端口进行端口 MAC地 址绑定交换机级联端口不做绑定。2 交换机配置方法本文提出的后台网络安全管控策略的关键措施是实施了交123NO7,2014 (Serial No.312)电力技术交流123NO7,2014 (Serial No.312)电力技术交流收稿日期:2014-03-26作者简介:轴欢欢(1985-),女.浙江溫州人,工程师,从亨屯力系统自动化研究;刘漳源(1988-).男.浙江宁波人助理工租师,从亨电力系 统自动化研丸。123