焦点期刊
在线客服

著作编辑 著作编辑

投稿邮箱: 941198995@qq.com

利用拨号安全网关提高调度自动化系统维护安全性

时间:2014-09-25 22:31:53 阅读量:0次 所属分类:电子论文

调度自动化系统对安全要求很高,二次安全防护的国网要求及实施,维护工作大幅度增加,利用拨号安全网关进行调度自动化远程维护可以提供系统维护的可靠性、安全性。我公司之前使用传统MODEM进行远程不具备可靠性、安全性,所以我们把原来的传统MODEM更换为拨号

杨伟杰 张白林

摘要: 调度自动化系统对安全要求很高,二次安全防护的国网要求及实施,维护工作大幅度增加,利用拨号安全网关进行调度自动化远程维护可以提供系统维护的可靠性、安全性。我公司之前使用传统MODEM进行远程不具备可靠性、安全性,所以我们把原来的传统MODEM更换为拨号安全网关,进而提高调度自动化系统的安全性。
关键词: 调度自动化系统 拨号安全网关 远程维护 安全性
Abstract: the automation system for safety requirements is very high, second safety requirements and implementation of SGC, maintaining a substantial increase in the work, using dial-up security gateway for dispatching automation of remote maintenance can provide the reliability and safety of the system maintenance. I used before the company does not have the traditional MODEM for remote reliability, safety, so we put the original traditional MODEM replacement for dial-up security gateway, and improve the safety of dispatching automation system.
Keywords: dispatching automation system dial-up security gateway remote maintenance safety


中图分类号: TM73 文献标识码:A 文章编号:
1 引言
根据电力二次系统安全防护要求,对调度自动化系统的远程拨号服务加强管理,必须安装拨号安全网关服务器以实现对远程拨号的有效管理,没有安装拨号安全网关服务器的原则上不可开通远程拨号。目前我公司调度自动化系统未安装拨号安全网关,而由厂家进行远程拨号服务必不可少,为了在保证系统安全的基础上,更好地保证自动化系统稳定运行,提高工作效率,针对调度自动化系统加装拨号安全网关是必不可少的。拨号安全网关采用工业级服务器、硬件USBKEY双因数强认证、防火墙、VPN等安全技术,对拨号接入用户进行认证,对传输的信息进行加密和数字签名,并设置安全策略对接入的用户访问的范围和资源进行限制,通过审计日志对其访问进行详细的记录,以电力二次安全防护安全防护的强度,保证拨号用户操作的责任性和可追查性。
2 现状分析
目前我公司电力调度信息系统有X个业务系统: EMS系统、MIS系统,同时还下辖地调的SCADA系统,其网络结构示意如下:

从上面的描述中可以看到,EMS厂家及自动化维护人员采用了MODEM拨号的方式进入安全区I对调度主站系统进行维护工作,存在严重的安全隐患。

3 原因分析
我们经过认真分析研究,确认影响远程维护安全性的原因有以下五点:
3.1 未及时掌握新技术
每天日常维护任务重,再加上没人组织学习,所以对新知识学习不足,知识落后,对新产品、新技术和新应用了解少,更谈不上应用。虽然拨号安全网关非常好,我们却没有应用。
3.2 没有借鉴先进经验
没有参观学习其它先进系统,对其他局的调度自动化系统二次安全防护发展到什么程度缺乏了解,信息闭塞,无从借鉴别人的先进经验。
3.3 拨入用户缺少身份认证及日志与审计
调度自动化系统需要远程维护是不可改变的事实,只能采取措施适应这种变化。
3.4 PSTN公网传输数据缺少加密及安全通道
随着国家电力调度中心对调度自动化系统的安全性要求越来越高,PSTN网络通信安全风险日益严重,网络被非法利用,通信数据被恶意串改等。
3.5 拨入系统人员缺乏权限控制
传统MODEM拨入只要具备用户名、密码既可实现,同时拨入人员进入系统后可以肆意操作,我方缺乏管理、控制。
通过以上论证,确认其主要原因是:
(1)未及时掌握新技术
(2)没有借鉴先进经验
(3)对拨入用户缺少身份认证及安全审计
(4)对PSTN公网传输数据缺少加密
(5)对拨入系统人员缺乏权限控制

4 对策及改进:
通过以上分析论证,我们制定了如下对策:
4.1 针对“未及时掌握新技术”
我们请厂家技术人员讲课,查阅各种技术资料,选择专题文章,鼓励大家利用业余时间自学,并每天抽出1个小时时间组织学习讨论。通过学习掌握了新技术、新知识,了解到调度自动化二次安全防护技术的最新发展情况,认识到我公司的调度自动化系统安全防护有其先进性,也有不足之处需要改进。
4.2 针对“没有借鉴先进经验”
通过咨询,了解其他局调度自动化系统的发展情况并到几个自动化系统比较先进的地市局进行参观学习。收集拨号网关相应资料,掌握最新发展方向。
通过学习,不仅了解了系统配置、功能的先进性,而且对一些附属设备的配置使用也开了眼界,开阔了思路。
4.3 针对“拨入用户缺少身份认证及日志与审计”
通过研究拨号安全网关是对拨入用户首先需要结合电力专用调度数字证书及结合用户名、密码双重认证,才会建立客户端与调度主站之间的通信连接,并且我公司操作人员也可以结合实际工作变化去增加、注销客户端证书,从而提高对拨入人员的控制。
拨号安全网关可以移动客户端的所有动作事件、安全网关自身所发生的事件进行日志记录,审计查询的内容包括用户拨号的用户名、密码,登陆/注销时间,登陆时长,流量统计,每个数据包的内容,安全网关自身事件:开机/关机时间、用户TELNET/FTP命令的回放等等。
4.4 针对“PSTN公网传输数据缺少加密及安全通道”
拨号安全网关以电力系统专用证书颁发机构即CA中心签发的数字证书为核心的加密技术,可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,以及交易实体身份的真实性、签名信息的不可否认性,从而保障网络应用的安全性。通过严格的密钥协商、加密传输和生存管理过程包装密钥不泄漏;采用128位对称加密和1024非对称加密算法完成数据加密;采用VPN隧道封装技术,不仅保护数据,也保护地址信息。
4.5 针对“拨入系统人员缺乏权限控制”
拨号安全网关可以通过安全访问策略控制,从而做到限制拨入人员只能登陆到指定的主机进行维护处理,并结合实际工作需求限定其拨入时间段,提高系统安全管理的规范性、可控性。

5 实现目标
5.1 远程用户与工作站与系统本地具有相同的安全信任度与防护级别。
5.2 远程用户与工作站的安全防护是前提。
5.3 在拨号连接建立过程中对拨号实体(用户或者设备)进行基于数字证书的身份认证,通过后才可以建立网络层的连接。
5.4 对通信过程中的认证信息与应用数据进行完整性、机密性保护。
5.5对授权的用户进行合理的权限限制,在经过认证的连接上应该仅能够行使受限的网络功能与应用。
5.6 防护措施应该对用户操作、应用性能、以及便携程度产生尽量小的影响。

6 结束语
为总结成功经验,我们将《拨号安全网关实现远程安全维护》记录成册,编入《洛阳供电公司调度所远动班工作标准》,为今后类似工作提供技术指导。同时加强对设备巡视,确保设备使用的可靠性。
把传统MODEM更换为拨号安全网关后,提高了调度自动化系统的安全性和可靠性,为提高电网的安全、优质、经济运行奠定了基础。目前我公司正在创建国际一流供电企业,科技创新和一流的经济效益是一个重要方面,调度自动化系统安全、稳定运行为建立商业化运营机制、创建一流供电企业提供了技术保证。




本文链接:https://www.133lw.com/lunwen/dzlw/6769.html