時間:2023-06-02 09:02:28
緒論:在尋找寫作靈感嗎?愛發表網為您精選了8篇電廠安全防護措施,愿這些內容能夠啟迪您的思維,激發您的創作熱情,歡迎您的閱讀與分享!
關鍵詞 建筑施工;臨時用電;安全防護;配電箱
中圖分類號 TU 文獻標識碼 A 文章編號 1673-9671-(2012)021-0132-01
建筑施工現場離不開臨時用電,臨時用電是建筑施工重要能源動力載體,如施工現場臨時照明、施工機具、工程機械設備等,均需要電能作為動力支持。電能在給建筑施工現場帶來巨大便捷的同時,也具有較強的破壞力和危害性,尤其是隨著建筑規模的進一步擴大,施工現場用電設備種類多、負荷大、施工場所較為復雜、工作環境不固定等特點,在電氣元件設備與電線電纜的選配、電氣線路的敷設與設置等方面均存在典型的短期臨時行為,加上施工現場工作人員對安全用電認識不足,僥幸心理較大,易引發觸電傷亡事故,已同高處墜落、物體打擊、等被建設部列為建筑施工企業四大傷害。因此,結合工程實際情況,加強建筑施工現場臨時用電安全管理,按照規范用電,是保證整個工程高效穩定建設發展的重要技術措施。
1 建筑施工現場臨時用電主要特征
1)短期臨時性。建筑工程根據其建設規模等因素,其施工工期有很大差異,小的工程其施工工期僅有幾個月,而建設規模大的工程其施工工期通常需要好幾年。待工程施工竣工后,一些施工臨時用電設施就需要拆除,因此,建筑施工現場的臨時用電具有明顯的短期臨時性。
2)用電負荷的不穩定性。隨工程施工建設的不斷進行,不同施工工期和施工項目其臨時用電負荷相差較大,也就是說建筑施工現場臨時用電負荷存在很大不穩定因素。
3)施工臨時用電設備存在流動性。在建筑施工現場,施工機械設備存在較大的周轉性、移動性、以及共用性,伴隨著施工的進一步進行和施工工序內部的進一步開展,施工機械設備、手持電動工具等使用變化頻率較大,如不采取完善的安全用電防護措施,施工現場很容易發生人員觸電傷亡事故。
4)建筑施工現場的復雜性。建筑施工現場是一個涉及專業多、作業點面廣、隨機性強的復雜場所,相應施工現場臨時用電也存在點多、面廣、隨機強等復雜特性。臨時用電是建筑施工現場中容易發生的安全事故的重要控制內容。
5)危險性較大。建筑施工現場的環境較為惡劣,施工電氣設備、配電線路等易受工程是施工外界的影響和侵害,同時大多數工種間又存在同步交叉作業情況,極易造成施工人員發生人身觸電傷亡事故。
2 建筑施工現場臨時用電典型安全隱患
建筑施工現場由于其施工外部影響因素較多、外部環境比較惡劣,風吹日曬、雨淋水濺、塵土飛揚等是造成施工現場臨時用電系統絕緣性能下降的主要原因。另外,建筑施工現場的臨時用電管理人員、施工人員等缺乏必要的安全用電知識,對電氣設備的安裝、使用和維修等經常出現違反安全規程操作等,同時自身又處于潮濕環境中,皮膚濕潤,容易引起人體阻抗發生下降,進而引起施工人員發生人身觸電傷亡事故。建筑施工現場用電的短期臨時性較強、施工用電負荷的波動性較大,加上施工現場機動車輛的運行、機械設備的廣泛使用,極易發生對電氣設備和線路的沖擊、撞擊、以及振動等影響,導致施工用電設備和臨時性線路發生絕緣性能下降和損壞,接地可靠性降低,進而引起嚴重的觸電事故發生。
3 臨時安全用電綜合防護措施
1)編制完善的臨時用電組織設計。建筑施工現場,對于用電設備在5臺及以上或設備用電總容量在50kW及以上的臨時用電系統,應結合工程實際情況,編制完善的臨時用電施工組織設計。要確定臨時用電電源進線、配電房、總配電箱、分配電箱、開關箱、以及供電線路的位置、容量規格和走向,并繪制臨時用電平面布置圖、立面圖、電氣主接線圖、以及開關箱系統圖等。
2)按照安全規程認真組織施工。應嚴格按照施工組織設計和相關技術規范,確定施工現場臨時用電線路的敷設方式(包括架空、埋地敷設兩種)。對于室外架空線路而言,其最大弧垂與地面間的安全距離應確保在4.0 m以上,室內架空線路其距地面的安全高度應確保在2.5 m以上;電纜線路其最大弧垂與地面間的安全距離應確保在2.5 m以上。室內臨時照明燈具其安裝高度應確保在2.4 m以上,而室外臨時照明燈具其安裝高度應確保在3.0 m以上。電纜埋地敷設時,其埋深應不小于0.6 m,對于經過道路等易遭受外部破壞力損傷的場所應加設保護鋼管等,確保電線及電纜絕緣層在施工過程中始終具有良好性能。
3)嚴格采用三級配電系統。建筑施工現場臨時用電應嚴格采用三級配電系統,即:施工現場的臨時用電系統,應按照配電柜或總配電箱、分配電箱、開關箱來進行用電系統規劃,實行從總配電箱分配電箱開關箱的三級配電防護控制。根據建筑施工現場的實際情況,在總配電箱下分設多個分配電箱,每個分配電箱下又設置多個開關箱,每臺施工用電設備均由其獨立的開關箱進行單獨控制。開關箱通常設置在設備旁邊,一旦用電設備發生故障,工作人員可以操作對應開關立即切斷設備電源,避免事故發生和擴大。
4)嚴格控制配電箱安裝尺寸。分配電箱與開關箱間的安全使用距離不應超過30 m,開關箱與其所控制的固定式用電設備間的水平距離不應超過3 m。為了便于操作和安全防護,固定式配電箱、開關箱其下底面與地面間的垂直距離應控制在1.3 m~1.5 m范圍內;移動式配電箱、開關箱,其下底面與地面間的垂直距離應控制在1.3 m~1.5 m范圍內。配電箱安裝位置應采取防水防潮措施,不得在操配電箱前方堆放施工材料等影響配電箱的正常操作。
5)采取多級保護。建筑施工現場臨時用電通常采用的兩級保護,是指至少應設置總漏電保護和開關漏電保護兩級配合保護。建筑施工現場臨時用電系統應按“一機一箱一閘一漏”保護原則設置保護,即一臺電氣設備應配置一個專用的開關箱,在開關箱內部應設置一個刀閘開關和一個漏電保護器相互搭配保護。總配電箱和開關箱間的兩級漏電保護器的額定漏電動作電流和額定漏電動作時間應進行認真計算,合理搭配,形成完善的分級分段保護系統。開關箱內的漏電保護器氣額定漏電動作電流應不大于30 mA,且其額定漏電動作時間應不大于0.1 s。
4 結束語
建立完善的建筑施工現場臨時安全用電綜合防護措施,對控制和提高建筑施工現場臨時用電整體安全水平具有非常重大的意義。提高建筑施工現場臨時用電安全使用水平的技術措施除了上述幾條外還有諸多技術措施,為此,在實際臨時用電安全管理工作中應不斷探索和總結,確保整個建筑工程高效、優質、高速的建設發展。
參考文獻
[1]中華人民共和國建設部.JGJ46-2005施工現場臨時用電安全技術規范[S].北京:中國建筑工業出版社,2005.
關鍵詞: 施工現場臨時用電安全用電
Abstract: some safety problems in the analysis of the construction site temporary power exists, to improve construction site temporary electrical safety technical measures the level of detailed analysis.
Keyword:construction sitethe temporary use of electricitythe safe use of electricity
施工臨時用電是建筑施工現場的主要動力載體,是整個工程項目高效穩定建設的重要保障。在施工現場,由于受工程建設工期的決定,臨時供電系統具有明顯的臨時性,一般工程項目施工期大多在幾年內,有的則只有幾個月,甚至只有幾天,且施工安全用電要求,臨時用電必須在工程竣工后馬上進行拆除,也就是臨時用電系統需隨工程的竣工而從施工現場拆除。臨時用電還具有危險性,建筑施工現場內外環境比較復雜,由于施工工種多、交叉作業面多、人員設備進場較為頻繁,很容易接觸到臨時供電線路發生觸電危險。臨時用電系統還是一個結構復雜的系統,隨著工程建設的不斷進行,建設工作面也在不斷延伸拓展,各類供電線路、電氣設備的增加和移動,使得整個供電系統結構變得復雜多變。臨時供電系統還是一個負荷時變的系統,不同施工階段所需的機械用電設備也不一樣,系統負荷容量變化范圍波動較大,這就對供電系統調節能力提出更高的要求。從臨時用電以上多個特點可知,建筑施工現場即是一個電氣危險點較多的特殊場所,又是一個對安全技術水平要求十分高的特殊場所。因此,在建筑施工全過程中,必須采取相應的防范保護措施,提高施工現場臨時用電的安全水平,保障整個工程項目安全可靠、快速高效的建設。
中國分類號:TU7文獻標識碼:A
施工臨時用電是建筑施工現場的主要動力載體,是整個工程項目高效穩定建設的重要保障。在施工現場,由于受工程建設工期的決定,臨時供電系統具有明顯的臨時性,一般工程項目施工期大多在幾年內,有的則只有幾個月,甚至只有幾天,且施工安全用電要求,臨時用電必須在工程竣工后馬上進行拆除,也就是臨時用電系統需隨工程的竣工而從施工現場拆除。臨時用電還具有危險性,建筑施工現場內外環境比較復雜,由于施工工種多、交叉作業面多、人員設備進場較為頻繁,很容易接觸到臨時供電線路發生觸電危險。臨時用電系統還是一個結構復雜的系統,隨著工程建設的不斷進行,建設工作面也在不斷延伸拓展,各類供電線路、電氣設備的增加和移動,使得整個供電系統結構變得復雜多變。臨時供電系統還是一個負荷時變的系統,不同施工階段所需的機械用電設備也不一樣,系統負荷容量變化范圍波動較大,這就對供電系統調節能力提出更高的要求。從臨時用電以上多個特點可知,建筑施工現場即是一個電氣危險點較多的特殊場所,又是一個對安全技術水平要求十分高的特殊場所。因此,在建筑施工全過程中,必須采取相應的防范保護措施,提高施工現場臨時用電的安全水平,保障整個工程項目安全可靠、快速高效的建設。
關鍵詞:機電工程 施工現場 臨時用電 防范措施
“電”是人們生產、生活中不可缺少的能源,在建筑施工現場中“電”也是一種重大危險源,而恰恰好多施工現場就是在“安全用電”上存在薄弱環節,從而引發了觸電等生產安全事故。眾所周知,施工現場臨時用電工程是一個具有開放性、臨時性、可變性、地域環境多樣性等特點的特殊用電工程。可是,目前的一些施工單位以及工作人員對其不夠重視或者是因為節省資金,往往忽略了這方面的重要性,所以導致了因為基建工程中的施工用電而引起的電氣事故造成人體觸電傷害和財產損失不斷增加。
1 機電工程施工現場臨時用電的特點
1.1臨時性
在施工現場,由于臨時用電具有臨時性,這主要是由工程工期決定的,一般工程項目的施工周期 1~2 年,小的項目少則幾個月,或者幾天,工程竣工后臨時用電馬上拆除。所以,機電建筑工程施工現場的用電帶有明顯的臨時性。
1.2 危險性
在機電建筑工程施工的過程中,施工現場的環境較差,電氣設備、線路、工具等會變化頻繁,具有移動性、共用性、周轉性。配電線路、用電設備等極易因外界因素作用而受到影響和侵害。伴隨著機電建筑工程進度的發展和工作面的拓展延伸,人員和設備的進出更加頻繁,交叉作業的情況占大多數,很容易造成人身傷害發生觸電傷亡事故。
1.3 復雜性
機電建筑工程的施工,常常要面對極為復雜的施工現場,而且施工現場的臨時用電在建筑施工中面廣、點多,加上施工用電負荷有著不穩定的不確定因素,導致復雜的施工現場用電在施工過程中極易發生安全事故。
2 施工現場臨時用電的基本方案
施工現場臨時《施工現場臨時用電安全技術規范》規定:臨時用電設備在5臺及以上或者設備總容量在50KW及50KW以上者,應當編制臨時用電施工組織設計。臨時用電設備在5臺以下和設備總量在50KW以下者,應當制定安全用電技術措施和電氣防火措施。施工現場臨時用電方案直接關系到用電人員的安全,一方面要嚴格執行《施工現場臨時用電安全技術規范》,加強施工用電的安全教育,杜絕違章操作,加強現場日常檢查和維護。另一方面還要采取切實有效的技術措施,使所有用電設備處于良好的工作狀態及完善的保護狀態。
3 現場臨時用電的安全措施
3.1 接地保護
施工現場的變壓器及外引電源一般為中性點直接接地的系統。接地線由變壓器的工作地線或為總配電箱第一級漏電保護器電源側地線引出,形成三相五線制(TN-S)系統。(1)保護地線在總配電箱、線路中端及末端做重復接地。每處接地電阻R≤10Ω。(2)重復接地的目的:①降低故障點的對地電壓;②減輕保護零線斷線后的危險性;③縮短故障的持續時間。(3)重復接地裝置一般利用建筑物基礎鋼筋接地網做接地體,這樣比較經濟可靠。還有,接地線的選擇也固然重要,(1)接地線一律采用截面積≥2.5mm2、絕緣顏色為黃綠雙色多股銅線。(2)三相線路,當相線≤16mm2時,接地線與相線直徑相等;當相線>35mm2時,接地線取相線的一半;單相線路,接地線與相線相同,但不得小于2.5mm2(銅線)。這樣,一方面減小接地線電阻,降低設備漏電時的對地電壓;另一方面可以保證當漏電開關失靈后,設備發生碰殼短路時足以使空氣開關(或熔斷器)跳閘(或熔斷)。
3.2 漏電保護
《施工現場臨時用電安全技術規范》要求,施工現場所有用電設備,除作保護接零外,必須在設備負荷線的首端處設置漏電保護裝置。同時規定,開關箱中必須裝設漏電保護器。就是說,臨時用電應在總配電箱和開關箱中分別設置漏電保護器,形成用電線路的兩級保護。漏電保護器要裝設在配電箱電源隔離開關的負荷側和開關箱電源隔離開關的負荷側。總配電箱的保護區域較大,停電后的影響范圍也大,主要是提供間接保護和防止漏電火災,其漏電動作電流和動作要大于后面的保護。
4. 合理選擇漏電開關的漏電動作電流
總配電箱內各分路漏電開關的漏電動作電流應根據線路長短、設備多少而定。可選100~300mA,動作時間≤0.1s,一般不應過小,否則會引起不必要的跳閘。開關箱內總漏電開關的漏電動作電流可選50~75mA,不應過小,否則會引起不必要的跳閘。開關箱內總漏電開關的漏電動作電流可選 50~75mA,動作時間≤0.1s,至用電設備的漏電開關其漏電動作電流應≤30mA,動作時間≤0.1s(特殊情況例外)。漏電開關的正確接線。漏電開關的上端電源相線及工作地線必須全部接牢,因為漏電開關的檢測回路工作電壓有的為220V,有的為 380V。
“一機一閘一箱一漏”就是指每臺用電設備必須設置各自專用的開關箱,開關箱內要設置專用的隔離開關和漏電保護器。不得同一個開關箱、同一個開關電器直接控制兩臺以上用電設備。開關箱內必須裝設漏電保護器。開關電器必須能在任何情況下都可以使用電設備實行電源隔離,其額定值要與控制用電的額定值相適應。開關箱內不得放置任何雜物,不得掛接其它臨時用電設備,進線口和出線口必須設在箱體的下底部,嚴禁設在箱體的上頂面、側面、后面或箱門處。動式電箱的進、出線必須采用橡皮絕緣電纜。施工現場停止作業一小時以上時,要將開關箱斷電上鎖。
5 綜合故障
漏電開關完好時,與自然接地面直接接觸的固定設備,人與設備接觸地面的電阻要比設備與地面的電阻要大,當設備漏電時首先會引起漏電開關跳閘;當設備漏電時,人觸摸設備在達到擺脫電流前也能引起漏電開關跳閘。設備保護地線漏接,1 個漏電開關失靈,當故障漏電時也會引起本回路其他漏電開關跳閘。極其惡劣的情況是:保護地線虛接或漏接,設備以上各級漏電開關全部失靈,并且這時設備漏電,這種情況概率極小,因為施工現場除了電工日常維修外,還有定期的安全用電檢查,該種情況將會及時排除。
6 臨電系統的驗收與檔案管理
專項臨時用電施工組織設計要由電氣專業技術人員進行編制,并經單位技術負責人審核、審批后方可施工。臨時用電系統在施工完成后要經過編制人、項目經理、審批人及專職電工共同驗收合格后方可投入使用。驗收要履行簽字手續。建立完善的用電檔案,并設專人管理,主要包括:專項臨時用電施工組織設計、接地電阻絕緣電阻遙測記錄、電工巡視維修記錄、臨時用電驗收記錄等。
7 日常維護與檢查
對現場的用電設備、供電設施、線路等進行經常性巡視、檢查,發現問題立即整改。持證上崗,用電設備、閘箱等的接線、日常維護檢查均須由取得相應資格的專職電工進行操作,并作好巡視、維修記錄,嚴禁無證上崗。定期對用電設備、供電線路、設施等的絕緣進行檢測,不能滿足安全使用要求的立即停止使用進行維修或更換。定期對供電系統接地電阻進行檢測,并做好記錄。
8 小結
綜上所述,我們得知機電工程施工現場臨時用電具有臨時性、復雜性、危險性的特點,它是一個易發生安全事故、危險性極高的行業。我們只要依照規定做好接地保護及漏電保護,就能有效地防止漏電、觸電事故的發生,保證施工用電的安全、可靠。
參考文獻
[1] 季平 ,孫凌 .建筑工程施工現場臨時用電安全管理[J].中國建設信息,2010(2).
隨著計算機技術與網絡技術的不斷發展,計算機信息化技術在各個領域內的應用越來越普及。對于水電廠而言,利用先進的計算機信息技術不僅大大提升了工作的效率與質量,還能實現信息的快速處理和全面分析,方便、快捷地完成各部門之間的信息傳遞、信息共享。
關鍵詞:
水電廠;計算機;信息安全;水情監測
水電廠作為國家重要基礎設施,直接影響著人們的正常生活,其計算機信息安全防護的重要性及戰略意義重大。然而,在當前的信息化時代,水電廠在利用計算機技術與網絡技術來方便生產經營的同時,也面臨著諸多的計算機信息安全隱患。比如監控系統、信息管理系統、水情監測調整系統等子系統之間的網絡連接與信息交換的過程中,存在著較大的信息安全風險,一旦信息遭到破壞,將會影響水電廠的信息數據的安全性、完整性,甚至擾亂整個水電廠信息系統的正常運行,給水電廠的生產經營帶來極大的損失。
1存在的主要問題
現階段,計算機信息安全已經成為信息化時代普遍存在的問題,以水電廠為例,其計算機信息存在的主要問題如下。
1.1子系統訪問控制權限設置不合理
水電廠信息系統是由多個子系統組成的,在水電廠運作時,各子系統之間將會產生頻繁的信息交換與信息共享。而部分水電廠子系統擁有的訪問控制權限是一致的,一旦黑客利用某個子系統存在的漏洞侵入并竊取水電廠內部信息資源與數據,各類信息數據的安全性將會遭到破壞,某些黑客甚至還可以通過子系統的漏洞侵入到其他系統,直接影響到整個系統的安全性。
1.2各系統之間的相對獨立性較小
水電廠信息系統大致可以分為3類,包括信息資源管理系統、電力生產系統以及安全防護系統,從目前來看,部分水電廠各系統之間的相對獨立性不強。水電廠可能考慮到各系統保持相對獨立性將會在系統開發與基礎設施上投入更多的成本,就沒有進行系統隔離,這就導致在系統實際的運行過程中,一旦其中一個系統出現問題或故障,將會直接影響到其他系統的運行,大大增加水電廠系統的風險性與影響范圍。
1.3網絡防護措施不全面
部分水電廠的信息資源控制管理系統會與外網,即萬維網進行連接,這些是水電廠信息安全防護的重點。而現階段,往往由于技術的限制導致網絡防護措施不夠全面,如果一些黑客利用網絡連接的漏洞侵入到系統竊取或篡改電力信息資源系統或生產系統的數據,利用竊取的數據與外界進行利益交易,或者直接對生產系統進行破壞,將會對水電廠的運行造成極大的損害,引發極為嚴重的后果。
2水電廠計算機信息安全對策
2.1合理設置各子系統權限
在設置水電廠各子系統的訪問控制權限時,要結合水電廠的實際生產需要與子系統的實際功能進行合理設置。計算機信息監控系統要保障監控數據的實時性與精確性,其他的子系統只有對其數據進行單項讀取的權限,而沒有修改數據、命令等操作權限。這樣一來,可大大保障計算機信息監控系統的安全性,防止他人通過子系統對信息監控系統進行侵入或破壞。水電廠系統的其他子系統也要各自設置相應的訪問與控制權限,保障系統的安全性、可靠性與數據信息的真實性、完整性。
2.2加強各子系統之間的相互獨立性
水電廠各子系統之間應保持一定的相互獨立性,比如,電力生產系統與信息資源管理系統可采用雙網同設的方法進行獨立隔離,在這2個系統下的各單元系統盡量不要采用直接網絡連入的方式,而采用相互獨立隔離的網絡連入方式。同時,水情監測調整系統、工業電視系統、火災預防系統等都應留有備份系統以供不時之需,這樣就滿足了可靠性要求。
2.3定期進行全面掃描檢測
為了及時發現與控制計算機信息系統中存在的安全問題與風險,水電廠要定期對所有系統進行全面掃描檢測,包括計算機使用賬號、開機密碼、殺毒軟件安裝率、桌面管理系統安裝率、弱口令檢測等,及時發現整改含有病毒、木馬以及高危漏洞的計算機,同時,對業務系統的賬號權限口令、操作系統弱口令進行及時整改,保障水電廠信息系統的安全、穩定運行。
2.4增強信息安全防護意識
水電廠要定期抽調信息安全專業技術人員對系統操作人員開展信息安全防護培訓,認真細致、全面詳細地傳達計算機系統操作、計算機安全接入的相關規定,對內網準入系統的安裝注冊、桌面管理系統的管理操作、統一數據保護與監控平臺客戶端的安裝使用方法進行詳細講解,使計算機系統操作人員更加明確接入內網計算機的入網要求以及防止弱口令的操作方法,全面提升水電廠訪問操作口令的安全性以及防范高危漏洞的能力,同時,還要積極地向全體員工宣傳計算機信息安全防護的重要性,形成全員重視信息系統安全隱患防范、參與信息系統安全防護的氛圍。
3結束語
水電廠計算機信息安全問題不僅關乎電力企業的安全運轉,還直接影響到人們的正常生活以及電力行業的正常發展。水電廠一定要高度重視計算機信息安全問題,不斷增強全體人員的計算機信息安全防護意識,同時,采用各種物理防護與系統防護措施,有效保障水電廠系統的安全運行。
參考文獻
[1]曹林.淺析水電廠網絡安全防護的策略[J].信息化建設,2016(07).
[2]施星.關于水電廠計算機監控系統網絡安全問題的探究[J].房地產導刊,2015(30).
[3]張在峰.水電廠網絡信息安全防護措施分析[J].中國新通信,2015(14).
關鍵詞:火力發電廠;信息安全體系;安全管理
隨著我國社會經濟的高速發展,火力發電廠規模不斷擴大,受到人們的廣泛關注,取得了較好的成效,但也面臨一系列的挑戰。應轉變傳統的經營管理模式,充分發揮現代計算機信息技術的作用,將網絡信息技術融入火力發電廠中,逐步實現自動化生產,創新火力發電廠管理方式,提高其信息管理水平,實現數據共享。為推動火力發電廠的現代化發展,應根據火力發電廠的實際情況建立健全的信息安全體系,加強火力發電廠信息安全管理工作,消除其中存在的安全漏洞,保障火力發電廠安全運行,實現綜合效益最大化。
1火力發電廠的相關內容
火力發電廠是利用燃料生產電能的工廠,在科學技術時代背景下,火力發電廠的經營管理發生了變化。為了應對日益激烈的市場競爭,開始充分應用現代信息技術,將其融入電力生產中,制定完善的信息管理系統,提高電力生產效率,為電力生產供應提供重要的安全保障。
2現階段火力發電廠信息安全中存在的威脅
首先,在火力發電廠運營過程中,使用的信息管理系統存在安全風險。在電力生產過程中,目前使用的信息管理系統已具備相應的安全管理功能,但受多方面因素影響,其內部仍存在威脅。工作人員的安全防護意識不強,在操作過程中易導致安全信息系統出現故障。其次,受外部攻擊存在的安全風險。信息管理系統受外來病毒入侵、網絡攻擊,導致系統無法正常運行,信息數據丟失,影響了火力發電廠信息系統的安全運行,難以保障火力發電廠的供電服務質量,不利于提升火力發電廠的經濟效益[1]。
3構建火力發電廠信息安全體系的有效措施
3.1建立健全的火力發電廠信息安全技術體系。(1)應充分應用防火墻技術。在火力發電廠信息安全體系中安裝防火墻,有利于強化信息系統的安全性,可對其進行有效防護。在信息網絡出口處安裝防火墻硬件時,需要根據實際需求選擇適宜的防火墻類型,維護信息數據傳輸的穩定性、安全性。有效的防火墻技術可封閉操作信息管理系統中的數據包,并設計科學的過濾配置,不允許未經許可的IP地址訪問信息管理系統,以免泄露火力發電廠的重要信息。可根據火力發電廠信息系統的特點、功能性,確定安全控制點,將其放置于信息系統和系統間,確保信息系統的獨立性[2]。(2)做好系統安全分區防護工作。為保障火力發電廠信息安全技術的有效應用,應實施系統安全分區防護工作。遵循橫向隔離原則,在網絡專用的指導下,科學設計安全分區。應基于火力發電廠的實際經營狀況,遵循信息系統安全分區原則,科學劃分各區域的安全等級,實施有效的安全防護措施預防安全風險。①實時控制區域,如生產控制系統,應對其實施重點防護工作;②二級控制區域,如管理信息系統;③生產信息管理系統、脫銷控制系統等區域,需要進行一級安全防護。可采用物理方式,安裝單向隔離裝置,科學調度和優化數據網絡系統,有效開展實時控制工作。應基于各區域的類型和功能制定適宜的訪問權限,優化安全隔離裝置設計,以提高各信息系統區域的安全性。在管理自動電壓控制系統、遠程終端單元系統時,應將其放在重點安全防護區域中,線路母線錄波、機組錄波等劃分至二級安全防護區域,可充分發揮加密認證的作用。(3)制定統一的防病毒系統。在火力發電廠信息安全系統中,應統一部署網絡防病毒系統,主要針對生產控制區域、管理信息區域。所有的大區服務器、終端設備均須安裝統一的防病毒客戶端,以實施有效的防病毒管理。應在第一時間更新病毒特征碼,科學分析獲得的病毒防護相關數據,明確火力發電廠信息系統中存在威脅的病毒類型,根據其實際情況選擇適宜的安全防護技術,保障信息系統的安全性。可將防病毒網設置于網絡系統的出口位置,以免病毒透過網絡傳播至火力發電廠的內部信息系統中。(4)提高服務器安全水平。在火力發電廠信息安全系統中,應對關鍵服務器實施高效的安全加固工作,針對服務器運行中存在的問題,為其系統添加補丁,實施有效的系統審計工作,強化用戶管理,優化資源配置,保障火力發電廠信息安全系統的正常運行。①在信息安全系統中,安裝適宜的安全補丁,以強化系統操作的安全性;②定期清理安全系統中的各賬號和信息,刪除和清理無用的賬號,設置負責口令,加強對賬號的管理;③做好審計工作,關注系統中的日志,及時進行科學調整;④火力電廠信息系統中的特定賬戶,應進行有效的審計工作,實施全面的監督管理措施,優化配置信息資源;⑤在火力電廠信息系統中安裝病毒防范軟件,并定期進行升級,以提高信息系統的安全系數;⑥加強數據庫服務器系統安全防護措施,及時發現數據庫中存在的安全漏洞,并采取有效措施進行修復。應設置賬戶口令,擁有訪問權限的賬戶方可操作數據庫系統。可在數據庫中安裝安全補丁,刪除無關賬號,鎖定數據庫運行;設置賬號口令,不可使用賬戶默認密碼,超級管理員的賬戶不可遠程登錄。(5)建立健全的網絡入侵防護系統。為保障火力發電廠信息系統安全,應創建網絡入侵防護系統,以抵御黑客攻擊,識別計非法訪問,隔離病毒。可在網絡入口處設置IPS,深度防護網絡各層,應將IPS設置于核心交換機上,以加強對內網、外網的安全防護。內網出現黑客攻擊等非法訪問行為時,可利用IPS進行科學分析,找出攻擊來源,查看異常狀況,進而實施有效的安全防護措施進行處理,保障信息系統的安全運行。3.2制定完善的信息安全組織制度。在火力發電廠信息安全體系的構建過程中,應制定完善的信息安全組織制度,以保障信息安全。應根據實際情況培養專業的人員,實施有效的信息安全管理工作,成立專門的火力發電廠信息安全管理組織,各部門積極合作,加強彼此間的交流與互動。在部門成立安全管理小組,設置科學的責任機制,強化信息安全管理人員的責任意識,使工作人員全身心投入安全監督審查工作中,優化人力資源配置,保障信息系統的安全運行[3]。3.3建立健全的安全管理體系。建立健全的安全管理體系,有利于保障火力發電廠信息系統的安全性。(1)應制定完善的安全管理制度,并將其貫徹落實在信息安全管理工作中,做到有據可循、有法可依。制定的信息安全制度應具有全面性、可操作性,應規范相關人員的操作行為,統一技術標準,以充分發揮信息安全管理體系的有效作用,可制定《計算機網絡管理辦法》《信息安全風險評估管理辦法》等。安全管理行為均須嚴格按照相關規章制度的要求執行,實施跟蹤信息安全管理效果。(2)應根據當前火力發電廠信息安全體系的實際情況,科學部署網絡準入策略,加強訪問控制工作。擬定的技術方案應符合實際需求,做好入網登記備案工作,按照相關制度的要求,實施網絡巡檢工作,以提高火力發電廠信息網絡建設水平,強化信息網絡管理工作。(3)應積極開展信息安全培訓工作,加強工作人員間信息交流。培養相關人員的信息安全意識,明確火電廠信息安全體系中的核心,貫徹落實相關安全措施,加大安全管理力度,提升信息網絡系統的安全系數。(4)應保障信息系統的物理安全,加強對網絡系統的硬件設施的安全管理。應保證計算機機房的安全性,做好防火、防潮等措施,定期對服務器、網絡硬件設備等進行檢查和維護,確保儲存系統、備份系統的正常運行,保證供電質量安全。一方面,應從技術層面進行安全防護。設立專門的電子門禁系統,在機房等區域中設置防盜報警系統、監控報警系統、攝像頭,可充分利用火災自動消防系統,進行防水檢測,控制計算機機房中的溫度、濕度,為設備的日常運行創造良好的環境。另一方面,應從管理層方面進行有效防護。制定完善的規章制度,嚴格按照機房規定進行操作和管理,規范計算機房的使用標準,派遣專人進行安全巡檢工作,實施全面監控工作。
4結語
綜上所述,在火力發電廠信息安全體系的構建過程中,應明確當前信息系統運行中存在的安全威脅,實施有效的安全防范措施,保障信息管理系統的正常運行。應從技術、組織和管理等方面進行具體分析,建立健全的安全技術體系,制定完善的安全管理制度,優化安全監控組織,保障火力發電廠信息系統的安全運行,推動火力發電廠的可持續發展。
參考文獻
[1]郭小諾.火力發電廠一體化監控信息系統的設計與應用[J].中國新技術新產品,2017(20):30-31.
[2]朱曉琴.火力發電廠一體化監控信息系統的設計與應用[J].貴州電力技術,2013,16(8):19-21.
【 Abstract 】 Hydropower plant is an important component of China's power system, the process of hydropower plant operation, the monitoring information system for hydropower plant, supervision of each module operation mode, such as: turbine, equipment module, supervision of hydropower plant operation. Requirements for network security prevention and control of the monitoring information system of hydropower plant is relatively high, the purpose is the practice application specification of supervisory information system. Therefore, based on the research of the monitoring information system of hydropower plant, the analysis of network security prevention and control measures.
【 Keywords 】 power plant; monitoring information system; network security; prevention and control
1 引言
水電廠監控信息系統的運行中,必須采用網絡安全防控的措施,確保監控信息系統能夠適應水電廠的應用環境,維護水電廠的安全運行。由于監控信息系統內承載著發電廠的多項信息,所以水電廠非常關注監控信息系統的網絡安全防控,規避信息系統中潛在的風險隱患,加強水電廠信息化的監控力度,進而提高系統網絡應用的安全水平。
2 水電廠監控信息系統中的網絡安全問題
國家電力企業在監控信息系統的網絡安全方面,應該遵循相關的規范標準,以免干預電力信息的安全分配。結合某水電廠監控信息系統(SIS),在水電廠中的應用現狀,例舉典型的網絡安全問題。
2.1 網絡連接問題
該水電廠中的網絡數據,采用的是單向傳輸的方法,禁止向實時監控系統的服務器內寫入數據,主要是因為SIS連接了水電廠的運行設備,一旦連接中出現安全問題,即會影響水電廠的安全運行,很容易引起黑客入侵,所以網絡連接是一項常見的安全問題,導致SIS連接中出現了網絡缺陷。
2.2 網絡通訊問題
SIS通過交換機連接水電廠的通信服務器,網絡通訊的安全級別,要高于管理、操作等網絡系統。雖然SIS網絡通訊中使用了安全防護措施,但是網絡通訊同樣需要遵循單向傳輸的規定,站在網絡結構的角度上分析,網絡通訊仍舊存在一定的安全問題。例如,SIS中通訊訪問的過程是透明的,其可實現任意編程的訪問,表明任何身份的計算機,都可訪問SIS通訊網絡,獲取水電站的通信監控信息,由低到高的級別網絡中,不存在安全保護的措施,威脅了網絡通訊中的數據交流。
2.3 防火墻問題
該水電廠SIS中的防火墻設計,比較注重軟件防火墻,利用軟件操作,提高SIS的安全性。例如,SIS在監控水電廠電網調度信息時,軟件防火墻處于被動防御的狀態,該水電廠沒有升級軟件防火墻,只能阻擋常規病毒,對新型的攻擊起不到任何作用,此時軟件防火墻處于停滯狀態,沒有完全保護電網調度的信息,導致信息丟失,嚴重影響了該水電廠的調度過程。
3 水電廠監控信息系統網絡中的安全設計
水電廠監控信息系統網絡運行較為復雜,設計安全防控的方案,以此來規范監控信息系統的實踐運行。
3.1 系統網絡安全設計原則
水電廠監控信息系統網絡安全設計的原則:(1)實踐性原則,網絡安全設計必須以監控信息系統在水電廠中的實際情況為主,盡量不出現冗余設計;(2)安全接入原則,水電廠的運行規模大,監控信息系統的接入頻率較高,維護接入過程的安全,才能提高安全防護的水平;(3)適用性原則,網絡安全防控設計,要適用于水電廠的運行環境,符合水電廠監控信息系統的需求;(4)技術性原則,安全防控本身是一項技術,其在水電廠監控信息系統內,積極落實安全技術,改善水電廠監控的環境。
3.2 系統網絡邊界隔離設計
水電廠監控信息網絡中的邊界隔離設計,主要是防護外部攻擊和干擾。邊界隔離設計的基礎是防火墻,需要物理隔離進行配合,提高邊界安全隔離的水平。防火墻設計的過程中,考慮系統防火墻中出現的風險隱患,實行綜合化的防火墻隔離設計,防火墻設計中,注重控制水電廠監控的信息流,采用成熟的技術控制,彌補安全漏洞的不足之處,防火墻邊界隔離時,要注重升級和更新操作,抵御復雜的病毒攻擊。系統網絡邊界的物理隔離,集中在硬件防護方面,水電廠在監控信息系統中,利用具有隔離作用的硬件設備,連接運行主機,通過硬件設計隔離主機之間的運行,而且硬件設備在系統中的隔離,既可以控制數據流向,又可以支撐安全防護,提供標準的隔離方式。
4 水電廠監控信息系統網絡的安全防控措施
根據水電廠監控信息系統對網絡安全的需求,提出三點防護的措施,用于提高監控信息系統在水電廠中的安全水平。
4.1 硬件防護措施
水電廠在設置監控信息系統時,提出了硬件防護的措施,在監控信息系統中設置專有的硬件隔離,保護監控系統的安全性。例如,水電廠的監控信息系統接入MIS時,安裝了單向傳輸裝置,規范硬件中的信息流向,促使監控信息系統的數據能夠安全的傳送到MIS模塊中,主動阻斷MIS回傳的所有數據信息。比較常用的硬件防護裝置是南瑞SYSKEEPER 2000,按照“2+1”的模式構建硬件防護系統。硬件防護措施可以保障水電廠數據信息準確的穿過網閘,規避數據傳輸中潛在的協議負荷,凈化監控信息系統中的數據傳遞。
4.2 入侵防護策略
入侵防護策略偏重于水電廠監控信息系統的軟件構成,根據病毒入侵的等級,設計標準的防護策略。例舉水電廠監控信息系統網絡安全防護中,比較常用的入侵防護策略:(1)依照水電廠監控信息系統的運行周期,規劃病毒查殺的周期,實行全面的病毒查殺,查殺完成后檢查病毒定義碼,設計查殺軟件的配置,促使其跟上病毒演變的速度;(2)水電廠網絡防護人員定期修復病毒入侵造成的漏洞,針對漏洞安排測試方法,科學的安排修補措施,彌補病毒造成的缺陷、漏洞;(3)積極引入先進的防病毒軟件,病毒更新的速度非常快,增加了水電廠監控系統網絡運行的風險,先進的軟件在配置、設計上有一定的優勢,其對病毒的防護能力相對比較強。
4.3 軟件系統的可靠性
水電廠監控信息系統網絡中的軟件,既可以落實監控和監督功能,也可以發生不穩定的漏洞,干預了信息系統的安全運行。水電廠必須使用正規的操作系統和軟件,如Windows Server 2003,盡量不使用試點軟件,以免影響監控信息系統的整體穩定性。水電廠加強軟件系統的可靠性控制,預防監控的過程中的軟件卡死情況,嚴謹控制運行軟件的安全使用。
5 結束語
水電廠的運行規模比較大,其對監控信息系統網絡安全防護的要求比較高,根據監控信息系統中常見的風險問題,提出安全設計的方法,同時落實安全防護措施,優化監控信息系統在水電廠中的應用,強化網絡安全防控的應用力度。水電廠監控信息系統運行中,積極深化網絡安全防控的應用,致力于為水電廠提供優質的監控方式。
參考文獻
[1] 侯加兵.廠級監控信息系統信息安全關鍵技術研究[D].南京理工大學,2011.
[2] 龐占洲.電廠監控信息系統的網絡安全問題[J].電力安全技術,2006,01:13-16.
[3] 季金付.發電廠廠級監控信息系統的網絡安全防護[J].安徽電力,2013,04:66-69.
[4] 孟春艷.廠級監控信息系統(SIS)的網絡設計與實施[J].山東農業大學學報,2013,04:572-575.
作者簡介:
羅光濤(1985-),男,貴州晴隆人,西安理工大學,大學本科(工學學士),貴州北盤江電力股份有限公司光照發電廠檢修維護部電氣班,副班長,助理工程師。
關鍵詞:調度自動化 網絡安全 二次防護
中圖分類號:TP29 文獻標識碼:A 文章編號:1007-9416(2012)09-0181-02
1、引言
電力工業是關系國計民生的重要基礎產業和公用事業,電力系統安全穩定運行和電力可靠供應直接關系到國民經濟發展和人民生命財產安全,關系到國家安全和社會穩定。現代電力系統生產運行高度依賴于計算機、通信和控制技術,電力監控系統、電力通信及數據網絡等電力二次系統已經成為電網運行控制不可須臾或缺的重要組成部分。
2、發電廠調度自動化系統概述
調度自動化系統是在對全系統運行信息進行采集分析的科學基礎上,運用現代自動化技術和可靠的通信系統,由計算機監控作出綜觀全局的明智判斷和控制決策。包括遠動裝置和調度主站系統,是用來監控整個電網運行狀態的。調度自動化系統是電網調度和電網運行管理必不可少的技術手段,是電力系統重要基礎設施之一,關系到電網安全穩定運行。發電廠調度自動化系統作為電力監控系統的重要組成部分,其安全問題一直受到國家有關部門的重點關注。
3、電力二次系統安全防護工作開展情況
2002年,原國家經貿委第30號令《電網和電廠計算機監控系統及調度數據網絡安全防護規定》,提出了電網和電廠計算機監控系統及調度數據網絡安全防護的基本原則,即“電力系統中,安全等級較高的系統不受安全等級較低系統的影響”,明確要求要實現兩個隔離:電力監控系統與辦公自動化系統或其他信息系統之間以網絡方式互聯時,必須采用經國家有關部門認證的專用、可靠的安全隔離設施;電力調度數據網應在物理層面上與公用信息網絡安全隔離。電監會成立以后,在充分總結以往工作的基礎上,明確提出了“安全分區、網絡專用、橫向隔離、縱向認證”的二次系統安全防護總體策略,使電力行業二次系統安全防護工作進入了實質建設階段。
2005年以來,電力行業按照《電力二次系統安全防護規定》(電監會5號令)及相關配套文件要求,從規章制度、組織體系、資金保障、人員管理及分區防御、網絡安全、數據防護等方面開展了一系列富有成效的工作,初步建立了覆蓋全行業的二次系統安全防護體系,防護能力顯著提高。隨著網絡安全威脅的日趨嚴重和升級,二次系統安全防護工作所面臨的安全形勢更加嚴峻。
4、調度自動化系統二次防護的主要策略
電力二次系統安全防護方案根據電力系統的特點及各相關業務系統的重要程序、數據流程、目前狀況和安全要求,將整個電力二次系統分為四個安全區:Ⅰ實時控制區、Ⅱ非控制生產區、Ⅲ生產管理區、Ⅲ管理信息區。
4.1 理順關系,合理整合接入業務
(1)調度自動化系統的橫向業務包括:第一、與辦公區域的生產管理信息系統(MIS)的接口。傳統的訪問方式是通過通信網關或WEB服務器實現數據的通信。若想達到橫向安全防護的目標,位于安全區Ⅱ的通信網關或WEB服務器與位于安全區Ⅲ的MIS系統之間必須采用經有關部門認定核準的專用隔離裝置,使MIS系統的用戶終端僅可以通過專用隔離裝置瀏覽WEB服務器上的調度自動化信息,禁止其MIS系統向調度自動化系統發出數據請求。第二、與電能量計量系統、競價上網系統的接口。為使這些位于安全區Ⅱ的系統能夠安全可靠地實現數據業務的傳輸,就要求調度自動化系統與這些系統之間增加硬件防火墻。
(2)調度自動化系統的縱向業務包括:第一、專線通道。通過專線通道和特定的通信協議實現廠站RTU裝置與調度主站EMS系統間的通信。這類接口暫不考慮安全問題。第二、網絡通信接口。通過通信網關實現廠站與調度主站間的通信。為確保處理安全區Ⅰ的各系統能夠安全可靠地實現數據業務的傳輸,就要求調度自動化系統與這些系統之間加設縱向加密認證裝置,再經電力通信數據網絡(SPTnet)進行通信。第三、遠程維護接口。系統維護人員或開發商可以通過撥號方式進行系統維護和故障處理。應加強口令的嚴格管理,在未采取安全防護措施前,不得開通通過撥號服務器接人遠程局域網的服務。
4.2 分區隔離,實施安全防護和加密認證
(1)縱向加密認證:在縱向傳輸防護方面,發電廠調度自動化系統依據傳輸業務的實時性和重要性進行分類傳輸保護。遠動裝置RTU采集數據、脫硫數據、同步相量采集裝置PMU采集數據、電壓自動控制系統AVC采集數據作為Ⅰ實時控制區數據直接接入區內專用交換機,并通過縱向認證裝置接入路由器。電量信息、保護信息子站數據等作為Ⅱ非控制生產區數據業務直接接入區內專用交換機,經防火墻連接至路由器。
各業務系統均直接通過專用交換機實現與上級調度部門的相應業務實現對口通信。為實現對不同安全區域的業務隔離,調度數據網通過縱向認證裝置和防火墻實現對Ⅰ區和Ⅱ區的安全隔離,兩個區域之間的業務不能通過網絡彼此通信。從而減少數據傳輸的中間環節,縮短了傳輸時間,有效地兼顧了二次系統對安全防護強度和數據傳輸實時性的要求。
工作票申請系統、報價系統作為發電廠的Ⅱ區業務接入相應的電力信息專網。以發電廠工作票申請系統為例,由于電力網調度生產信息網為電力內網,終端用戶接入網內時需要進行安全加固和安全隔離。也就是要做到內外網物理隔離,專機專用,同時增加網絡防火墻解決安全隔離的作用。每個用戶終端需要安裝上級電力調度部門簽發的電力調度系統設備數字證書,以保證電廠能及時、安全的獲取調度生產管理信息。
(2)橫向單向隔離:橫向傳輸防護方面,發電廠調度自動化系統主要是微機監測及發電負荷調度系統與安全區Ⅲ的廠信息系統之間的安全防護。一般加設橫向單向安全隔離裝置實現安全防護和隔離目的。生產區域的實時信息經過該物理隔離裝置單向傳輸給WEB服務器,且不接受來自外網的WEB服務器上任何信息和操作。辦公區域的工作站也只能通過外網的WEB服務器瀏覽生產區域的實時信息,從而有效保護內網的服務器和相關子系統設備,實現生產控制大區與管理信息大區之間的高強度的物理隔離,更好地保障電力生產監控系統的安全穩定運行。
4.3 軟件的安全防護功能
(1)分組用戶管理權限:計算機在網絡中的應用,存在兩種身份:一種是作為本地計算機,用戶可以對本地的計算機資源進行管理和使用;另一種是作為網絡中的一份子。高級的操作系統,都支持多用戶模式,可以給使用同一臺計算機的不同人員分配不同的帳戶,并在本地分配不同的權限。對于調度自動化系統所有后臺服務器,應全部實行分級用戶權限進行管理。
(2)設定高強度口令密碼:生活在信息時代的今天,在電力企業的網絡環境里,密碼顯得尤為重要。調度自動化系統所有后臺維護及操作平臺,均設有高強度口令密碼。只有擁有口令密碼的專業技術人員方能有權登錄,并進行相關安全操作。網絡管理人員應具有強烈的安全防護意識,設置以字母、數字、符號相互組合,且長度大于8位的口令密碼,并定期更換,可以有效地防止被黑客破解與攻擊,保護電力企業內部的調度自動化系統安全穩定,尤為重要。
(3)規范執行制度:調度自動化專業應有明確制度規定,定期進行系統數據異地存儲及備份。日常操作時,必須使用專用的移動存儲設備,任何人員均不得使用來歷不明的移動存儲設備。
5、結語
計算機網絡安全是電力生產安全密不可分的一部分。除了依據國家規定建立可靠的網絡安全技術構成的安全防護體系外,還必須建立健全完善的網絡安全管理制度,形成技術和管理雙管齊下的態勢,以確保網絡安全這一最終目的的逐步實現。同時,調度自動化安全防護是一個長期的、動態的工作過程。在隨著人員、技術、外界風險不斷變化發展,以及調度自動化系統應用與開發環境的不斷變化發展,安全目標與防護措施也隨之不斷發展和變化。調度自動化系統的安全管理需要及時跟進并應用新技術,定期進行風險評估、加強管理,才能保障電力行業調度安全穩定、可靠地長周期運行。
參考文獻
近年來,電力企業不斷發展,特別是水電企業,改變了以往一直以來封閉式的網絡結構和業務系統,利用信息網絡逐漸跟外界接口聯系,許多企業都建立了自己的網絡系統,如企業門戶、辦公自動化系統、財務系統、營銷系統、生產管理系統等,極大提高了辦公效率,實現數據實時傳輸及共享。信息化的發展、網絡的普及,使辦公地點不緊緊局限于辦公室,遠程移動辦公成為了可能,辦公效率也大大提高,突破了時間及空間的限制,但信息化高速發展的同時也給我們帶來了嚴重的網絡安全問題。對此國家也非常關注,特意成立中央網絡安全和信息化領導小組,再次體現出過對保障網絡安全、維護國家利益、推動信息化發展的決心。由此可見,網絡安全已經到了不可小視,必須深入探討研究的地步。
2廣蓄電廠信息網絡安全建設
2.1網絡安全區域劃分
劃分安全區域是構建企業信息網絡安全的基礎,提高抗擊風險能力,提高可靠性和可維護性。廣蓄電廠內網劃分為網絡核心區、外聯接入區、IDC業務區、終端接入區。網絡核心區域是整個電廠信息網絡安全的核心,它主要負責全網信息數據的傳輸及交換、不同區域的邊界防護。這個區域一般包括核心交換機、核心路由器、防火墻及安全防護設備等。IDC業務區主要是各業務應用服務器設備所在區域,如企業門戶、OA系統、生產管理系統等各信息系統服務器。終端接入區即為終端設備(如:臺式機、筆記本電腦、打印機等)連入內網區域。
2.2二次安防體系建設
根據國家電監管委員會令第5號《電力二次系統安全防護規定》、34號《關于印發<電力二次系統安全防護總體方案>》的相關要求,電廠堅持按照二次安全防護體系原則建設:
(1)安全分區:根據安全等級的劃分,將廣蓄電廠網絡劃分為生產控制大區和管理信息大區,其中生產控制大區又劃分為實時控制Ⅰ區和非實時控制Ⅱ區。
(2)網絡專用:電力調度數據網在專用通道上使用獨立的網絡設備組網,采用SDH/PDH不同通道等方式跟調度、各電廠的生產業務相連接,在物理層面上與其他數據網及外部公共信息網安全隔離。對電廠的IP地址進行調整和統一互聯網出口,將生活區網絡和辦公網絡分離,加強對網絡的統一管理和監控。
(3)橫向隔離:在生產控制大區與管理信息大區之間部署經國家指定部門檢測認證的電力專用正反向安全隔離裝置。正向安全隔離裝置采用非網絡方式的單向數據傳輸,反向安全隔離裝置接收管理信息大區發向生產控制大區的數據,采用簽名認證、內容過濾等檢查處理,提高系統安全防護能力。
(4)縱向認證:廣蓄電廠生產控制大區與調度數據網的縱向連接進行了安全防護硬件的部署,包括縱向加密裝置、縱向防火墻等,并配置了相應的安全策略,禁用了高風險的網絡服務,實現雙向身份認證、數據加密和訪問控制。
2.3安全防護措施
(1)防火墻
在外聯接入區域同內網網絡之間設置了防火墻設備,并對防火墻制定了安全策略,對一些不安全的端口和協議進行限制。通過防火墻過濾進出網絡的數據,對內網的訪問行為進行控制和阻斷,禁止外部用戶進入內網網絡,訪問內部機器,使所有的服務器、工作站及網絡設備都在防火墻的保護下。
(2)口令加密和訪問控制
電廠對所有用戶終端采用準入控制技術,每個用戶都以實名注冊,需通過部門賬號申請獲得IP地址才能上局域網,并通過PKI系統對用戶訪問企業門戶、OA系統等業務系統進行訪問控制管理。在核心交換機中對重要業務部門劃分單獨的虛擬子網(VLAN),并使其在局域網內隔離,限制其他VLAN成員訪問,確保信息的保密安全。對電廠內部的網絡設備交換機、防火墻等,采用專機專用配置,并賦予用戶一定的訪問存取權限、口令等安全保密措施,建立嚴格的網絡安全日志和審查系統,定時對其進行審查分析,及時發現和解決網絡中發生的安全事故,有效地保護網絡安全。
(3)上網行為管理
上網行為管理設備直接串行部署在內網邊界區域,并制定了精細化的活動審計策略、應用軟件監控管理策略,監控及記錄用戶非法操作信息,實時掌握互聯網使用情況,防患于未然,通過上網行為管理設備進行互聯網網關控制。
(4)防病毒系統
在電廠的局域網內部署了Symantec防病毒系統。Symantec系統具有跨平臺的技術及強大功能,系統中心是中央管理控制臺。通過該管理控制臺集中管理運行SymantecAntiVirus企業版的服務器和客戶端;可以啟動和調度掃描,以及設置實時防護,從而建立并實施病毒防護策略,管理病毒定義文件的更新,控制活動病毒,管理計算機組的病毒防護、查看掃描、病毒檢測和事件歷史記錄等功能。
(5)建立虛擬專網(VPN)系統
為保證網絡的安全,實現移動辦公,在核心網絡邊界區域部署了1臺VPN設備,并設置訪問條件和身份認證授權策略,如通過PKI系統進行身份認證和訪問授權后才能訪問電廠企業門戶系統、OA系統等。使用虛擬專網(VPN)系統,不僅滿足了電廠用戶遠程辦公需求,而且保證了電廠信息網絡及信息系統數據安全傳輸。
3信息網絡安全管理策略
俗話說:“三分技術,七分管理”,這在信息網絡安全管理方面也是適用的。事實上95%以上的計算機、網絡受到的攻擊事件和病毒侵害都是由于管理不善造成的。廣州蓄能水電廠作為國內一流的水力發電廠,頭頂上始終懸著一把信息網絡安全的達摩克利斯之劍。在推進信息化道路上,借鑒國內外企業對信息網絡安全管理的經驗,形成屬于自身發展的網絡安全管理策略。(1)建立完善的網絡信息安全管理制度。在信息網絡安全方面電廠成立專門的信息化安全小組,制定完善的信息安全規章制度,規范整個電廠對網絡及信息系統的使用。(2)建立完備的網絡與信息安全應急預案。電廠建立了一套應急預案體系,目的就是在發生緊急情況時,指導電廠的值班人員對突發事件及時響應并解決問題。(3)定期進行安全風險評估及加固。電廠每年進行安全風險評估分析,及時了解和掌握整個網絡的安全現狀,通過安全加固使得網絡安全系統更加健全。
4結束語
