變電站綜合自動(dòng)化系統(tǒng)的安全問(wèn)題與對(duì)策
評(píng)論: 更新日期:2011年04月02日
一���、變電站自動(dòng)化系統(tǒng)
中國(guó)加入WTO后����,與國(guó)際接軌是必然趨勢(shì)�����,遠(yuǎn)動(dòng)傳輸規(guī)約也從原來(lái)使用的非國(guó)際標(biāo)準(zhǔn)的CDT和N4F向國(guó)際標(biāo)準(zhǔn)IEC60870-5-101(專(zhuān)線(xiàn)傳輸)和IEC60870-5-104(網(wǎng)絡(luò)傳輸)轉(zhuǎn)變�����。而且隨著通信網(wǎng)絡(luò)的健全�����,IEC60870-5-104將是遠(yuǎn)動(dòng)傳輸?shù)闹饕?guī)約��。變電站在調(diào)度端通過(guò)交換機(jī)構(gòu)成了一個(gè)互聯(lián)互通的網(wǎng)絡(luò)���,同時(shí)由于變電站系統(tǒng)大多是Windows操作系統(tǒng)�����,若有一個(gè)站點(diǎn)被病毒或入侵者控制��,則會(huì)影響到所有站點(diǎn)的正常運(yùn)行��,對(duì)變電站和電網(wǎng)的正常運(yùn)行構(gòu)成極大的威脅�,傳統(tǒng)的繼電保護(hù)�、測(cè)量、控制和遠(yuǎn)動(dòng)裝置被綜合自動(dòng)化設(shè)備所取代���,我國(guó)開(kāi)展變電站自動(dòng)化的研究及開(kāi)發(fā)相比世界發(fā)達(dá)國(guó)家較晚����,但隨著數(shù)字化保護(hù)設(shè)備的成熟及廣泛應(yīng)用�,調(diào)度自動(dòng)化系統(tǒng)的成熟應(yīng)用,變電站自動(dòng)化系統(tǒng)已被電力系統(tǒng)用戶(hù)廣泛接受使用��,許多智能設(shè)備如微機(jī)防誤閉鎖裝置����、直流監(jiān)控系統(tǒng)、消防報(bào)警、智能電度表等通過(guò)通訊接口實(shí)現(xiàn)集成�,變電站無(wú)人值班、集中控制管理模式應(yīng)運(yùn)而生�,變電站自動(dòng)化應(yīng)用自動(dòng)控制技術(shù)、信息處理和傳輸技術(shù)�����,通過(guò)計(jì)算機(jī)硬軟件系統(tǒng)或自動(dòng)裝置代替人工進(jìn)行各種運(yùn)行作業(yè)��,提高變電站運(yùn)行���,為變電站運(yùn)行維護(hù)管理創(chuàng)新�����、減人增效創(chuàng)造條件����。
二����、數(shù)據(jù)網(wǎng)絡(luò)安全策略
(1)多層次防護(hù)
所謂多層次防護(hù)策略就是應(yīng)用和實(shí)施一個(gè)基于多層次安全系統(tǒng)的全面信息安全策略���,在各個(gè)層次上部署相關(guān)的網(wǎng)絡(luò)安全產(chǎn)品以增加攻擊者侵入時(shí)所需花費(fèi)的時(shí)間����、成本和資源,從而有效地降低被攻擊的危險(xiǎn)��,達(dá)到安全防護(hù)的目標(biāo)����。目前,多層次防護(hù)已經(jīng)成為網(wǎng)絡(luò)安全的主流策略���。
(2)入侵檢測(cè)技術(shù)
入侵檢測(cè)系統(tǒng)是指監(jiān)視(或者在可能的情況下阻止)入侵或者試圖控制DAS和網(wǎng)絡(luò)資源等不良行為的系統(tǒng)��。入侵檢測(cè)系統(tǒng)是近年出現(xiàn)的新型網(wǎng)絡(luò)安全技術(shù)���,其目的是提供實(shí)時(shí)的入侵檢測(cè)及采取相應(yīng)的防護(hù)手段��。選擇入侵檢測(cè)系統(tǒng)時(shí)��,應(yīng)特別注意其主要性能�,包括:協(xié)議分析及檢測(cè)能力��、解碼效率(速度)、自身安全的完備性�、精確度及完整度/防欺騙能力、模式更新速度����,等等。
入侵檢測(cè)系統(tǒng)是分層安全中日益被普遍采用的手段�,它能有效地提升黑客進(jìn)入網(wǎng)絡(luò)系統(tǒng)的門(mén)檻。入侵監(jiān)測(cè)系統(tǒng)能夠通過(guò)向管理員發(fā)出入侵或者入侵企圖警報(bào)來(lái)加強(qiáng)當(dāng)前的存取控制系統(tǒng)�����,例如防火墻�����。它能識(shí)別防火墻通常不能識(shí)別的攻擊�,如來(lái)自企業(yè)內(nèi)部的攻擊;在發(fā)現(xiàn)入侵企圖之后提供必要的信息�,幫助系統(tǒng)移植防火墻。
?���。?)防火墻技術(shù)
通過(guò)有選擇地拒絕非法端口,允許合法的TCP/IP數(shù)據(jù)流通過(guò)�,防火墻技術(shù)[2]可以保證內(nèi)部網(wǎng)的數(shù)據(jù)和資源不會(huì)流向非法地點(diǎn)��。
由于入侵檢測(cè)系統(tǒng)有漏洞存在�����,防火墻就成為多層安全防護(hù)中必要的一層���。防火墻為了提供穩(wěn)定可靠的安全性,必須跟蹤流經(jīng)它的所有通信信息����。為了達(dá)到控制目的,防火墻首先必須獲得所有通信層和其它應(yīng)用的信息�,然后存儲(chǔ)這些信息,還要能夠重新獲得以及控制這些信息����。防火墻僅檢查獨(dú)立的信息包是不夠的����,因?yàn)闋顟B(tài)信息是控制新的通信連接的最基本的因素。對(duì)于某一通信連接��,通信狀態(tài)(以前的通信信息)和應(yīng)用狀態(tài)(其他的應(yīng)用信息)是對(duì)該連接做控制決定的關(guān)鍵因素���。因此�����,為了保證高層的安全�,防火墻必須能夠訪(fǎng)問(wèn)、分析和利用通信信息��、通信狀態(tài)及應(yīng)用狀態(tài)�,并進(jìn)行信息處理(基于以上所有元素的靈活的表達(dá)式的估算)。
