现阶段中卫地区35kv变电站的综合数据网接入设备,该设备通过10M/100M与SDH传输设备连接,将综合数据信息接入骨干节点。综合业务数据网主要用于安全生产管理信息系统,协同办公,以及视频会议和在线监测系统的数据传输。本文通过对中卫地区35kv变电站综合数据网络现状的分析,总结出现行网络在安全方面的不足,介绍了信息加密技术,防火墙技术,安全管理功能应用于以后的网络改造中。
1 安全隐患
但是由于设备升级的滞后,现在所使用的接入设备仅是一台网络集线器(HUB),信息网络也缺少信息机柜,这给网络安全带来了巨大的隐患。
1.1变电站信息网络安全隐患
变电站信息网络安全潜在隐患一般都是由所连接的对外网络引发的。有非法拦截、阻断、删改、伪装、 恶意代码、权限管理不当、windows系统的信息安全漏洞等。
1.2设备故障问题
交换机的硬件问题一般有电源失电、宕机,尾纤折断等,软件问题有交换机配置丢失,版本升级所引起的故障等。
2升级建议
建议在35kV变电站配置1台路由器和1台交换机作为综合数据网接入层设备。
2.1站内所使用的路由器应满足如下要求
(1)网络时延<150ms;
(2)网络抖动<50ms;
(3)网络丢包率<10-3;
(4)收敛与恢复速度<40s;
(5)网络的可用率要求不小于99.99%。
2.2变电站内的网络交换设备满足以下功能
(1)数据帧转发。交换机应具有IEC 60870-5-104、IEC 61850相关协议的数据帧转发转发功能。
(2)数据帧过滤。交换机可以实现设备MAC地址与IP地址的绑定。
(3)网络管理。可以实现SNMPv2管理协议,支持安全WEB界面管理,支持密码设备;
(4)网络风暴抑制。能够有效抑制住广播风暴,能有效抑制组播风暴和单播风暴。
(5)组网功能。可以按照电力系统的需求进行组网,组网方式至少包括四种形式:这四种形式为星形,环形,双星形,双环形;
(6)互联网组管理协议。可以启用交换机组管理协议。
(7)镜像。镜像包括单端口镜像和多端口镜像;
单端口镜像指镜像端口只复制(监视)一个端口数据,多端口镜像指镜像端口同时复制(监视)几个端口数据;
(8)多链路聚合。这种技术主要是使各个成员端口中的流量平均分担,可以将多个物流端口捆绑以形成逻辑端口使用。
3网络安全策略
3.1 35kv变电站信息网络安全策略配置
根据变电站信息网络锁承担的任务和信息传输的时效性,有别于其他信息网络,要对变电站信息网络的安全策略稍作变通。
3.2 做好系统安全防护
根据宁夏电力公司的统一要求,对每台接入内网的终端都要设置符合要求的密码,同时安装防病毒软件,能够快速更新病毒库,启用防违规外联插件,并注册桌面管理软件。
3.3 加密技术
变电站中经常采用的加密算法就是对称加密技术,这种技术采用了对称密码编码技术,它具有文件加密和解密使用相同的密钥这种特点,即加密密钥也可以用作解密密钥,这种被称为对称加密算法的算法应用较为简单快捷,密钥较短,且破译困难,是应用在变电站信息网络中的有效安全加密技术。
4建立深度防御
在入侵者和信息资源之间建立多层防护,增强网络的安全性,在层防御之上筑起更深一层的深度防御。入侵者想要深入获取信息资源所遇到的困难要大的多。同时这也阻断了入侵者对网络系统的危害。
根据电力企业变电站的实际情况来实施合适的防御策略,这些防御策略仅需投入很少的设备费用,但是所起到的防护作用将远远超出所花费掉的价值。如:可以防止未经授权的调度员进入变电站控制系统在网络带宽达到一定规模时,可以使用更高等级的密钥技术和加密算法。
5结语
变电站的信息网络安全防护比其他行业,包括银行账户的安全防护更加苛刻,一旦出现故障,人员的误操作就将造成不可挽回的巨大损失。国内电力行业也不乏由于信息安全漏洞所导致的恶性事故,这对我们的信息网络安全工作提出了更高的要求。
作者:刘立兵 来源:数字技术与应用 2015年12期