时间:2023-06-02 09:02:28
绪论:在寻找写作灵感吗?爱发表网为您精选了8篇电厂安全防护措施,愿这些内容能够启迪您的思维,激发您的创作热情,欢迎您的阅读与分享!
关键词 建筑施工;临时用电;安全防护;配电箱
中图分类号 TU 文献标识码 A 文章编号 1673-9671-(2012)021-0132-01
建筑施工现场离不开临时用电,临时用电是建筑施工重要能源动力载体,如施工现场临时照明、施工机具、工程机械设备等,均需要电能作为动力支持。电能在给建筑施工现场带来巨大便捷的同时,也具有较强的破坏力和危害性,尤其是随着建筑规模的进一步扩大,施工现场用电设备种类多、负荷大、施工场所较为复杂、工作环境不固定等特点,在电气元件设备与电线电缆的选配、电气线路的敷设与设置等方面均存在典型的短期临时行为,加上施工现场工作人员对安全用电认识不足,侥幸心理较大,易引发触电伤亡事故,已同高处坠落、物体打击、等被建设部列为建筑施工企业四大伤害。因此,结合工程实际情况,加强建筑施工现场临时用电安全管理,按照规范用电,是保证整个工程高效稳定建设发展的重要技术措施。
1 建筑施工现场临时用电主要特征
1)短期临时性。建筑工程根据其建设规模等因素,其施工工期有很大差异,小的工程其施工工期仅有几个月,而建设规模大的工程其施工工期通常需要好几年。待工程施工竣工后,一些施工临时用电设施就需要拆除,因此,建筑施工现场的临时用电具有明显的短期临时性。
2)用电负荷的不稳定性。随工程施工建设的不断进行,不同施工工期和施工项目其临时用电负荷相差较大,也就是说建筑施工现场临时用电负荷存在很大不稳定因素。
3)施工临时用电设备存在流动性。在建筑施工现场,施工机械设备存在较大的周转性、移动性、以及共用性,伴随着施工的进一步进行和施工工序内部的进一步开展,施工机械设备、手持电动工具等使用变化频率较大,如不采取完善的安全用电防护措施,施工现场很容易发生人员触电伤亡事故。
4)建筑施工现场的复杂性。建筑施工现场是一个涉及专业多、作业点面广、随机性强的复杂场所,相应施工现场临时用电也存在点多、面广、随机强等复杂特性。临时用电是建筑施工现场中容易发生的安全事故的重要控制内容。
5)危险性较大。建筑施工现场的环境较为恶劣,施工电气设备、配电线路等易受工程是施工外界的影响和侵害,同时大多数工种间又存在同步交叉作业情况,极易造成施工人员发生人身触电伤亡事故。
2 建筑施工现场临时用电典型安全隐患
建筑施工现场由于其施工外部影响因素较多、外部环境比较恶劣,风吹日晒、雨淋水溅、尘土飞扬等是造成施工现场临时用电系统绝缘性能下降的主要原因。另外,建筑施工现场的临时用电管理人员、施工人员等缺乏必要的安全用电知识,对电气设备的安装、使用和维修等经常出现违反安全规程操作等,同时自身又处于潮湿环境中,皮肤湿润,容易引起人体阻抗发生下降,进而引起施工人员发生人身触电伤亡事故。建筑施工现场用电的短期临时性较强、施工用电负荷的波动性较大,加上施工现场机动车辆的运行、机械设备的广泛使用,极易发生对电气设备和线路的冲击、撞击、以及振动等影响,导致施工用电设备和临时性线路发生绝缘性能下降和损坏,接地可靠性降低,进而引起严重的触电事故发生。
3 临时安全用电综合防护措施
1)编制完善的临时用电组织设计。建筑施工现场,对于用电设备在5台及以上或设备用电总容量在50kW及以上的临时用电系统,应结合工程实际情况,编制完善的临时用电施工组织设计。要确定临时用电电源进线、配电房、总配电箱、分配电箱、开关箱、以及供电线路的位置、容量规格和走向,并绘制临时用电平面布置图、立面图、电气主接线图、以及开关箱系统图等。
2)按照安全规程认真组织施工。应严格按照施工组织设计和相关技术规范,确定施工现场临时用电线路的敷设方式(包括架空、埋地敷设两种)。对于室外架空线路而言,其最大弧垂与地面间的安全距离应确保在4.0 m以上,室内架空线路其距地面的安全高度应确保在2.5 m以上;电缆线路其最大弧垂与地面间的安全距离应确保在2.5 m以上。室内临时照明灯具其安装高度应确保在2.4 m以上,而室外临时照明灯具其安装高度应确保在3.0 m以上。电缆埋地敷设时,其埋深应不小于0.6 m,对于经过道路等易遭受外部破坏力损伤的场所应加设保护钢管等,确保电线及电缆绝缘层在施工过程中始终具有良好性能。
3)严格采用三级配电系统。建筑施工现场临时用电应严格采用三级配电系统,即:施工现场的临时用电系统,应按照配电柜或总配电箱、分配电箱、开关箱来进行用电系统规划,实行从总配电箱分配电箱开关箱的三级配电防护控制。根据建筑施工现场的实际情况,在总配电箱下分设多个分配电箱,每个分配电箱下又设置多个开关箱,每台施工用电设备均由其独立的开关箱进行单独控制。开关箱通常设置在设备旁边,一旦用电设备发生故障,工作人员可以操作对应开关立即切断设备电源,避免事故发生和扩大。
4)严格控制配电箱安装尺寸。分配电箱与开关箱间的安全使用距离不应超过30 m,开关箱与其所控制的固定式用电设备间的水平距离不应超过3 m。为了便于操作和安全防护,固定式配电箱、开关箱其下底面与地面间的垂直距离应控制在1.3 m~1.5 m范围内;移动式配电箱、开关箱,其下底面与地面间的垂直距离应控制在1.3 m~1.5 m范围内。配电箱安装位置应采取防水防潮措施,不得在操配电箱前方堆放施工材料等影响配电箱的正常操作。
5)采取多级保护。建筑施工现场临时用电通常采用的两级保护,是指至少应设置总漏电保护和开关漏电保护两级配合保护。建筑施工现场临时用电系统应按“一机一箱一闸一漏”保护原则设置保护,即一台电气设备应配置一个专用的开关箱,在开关箱内部应设置一个刀闸开关和一个漏电保护器相互搭配保护。总配电箱和开关箱间的两级漏电保护器的额定漏电动作电流和额定漏电动作时间应进行认真计算,合理搭配,形成完善的分级分段保护系统。开关箱内的漏电保护器气额定漏电动作电流应不大于30 mA,且其额定漏电动作时间应不大于0.1 s。
4 结束语
建立完善的建筑施工现场临时安全用电综合防护措施,对控制和提高建筑施工现场临时用电整体安全水平具有非常重大的意义。提高建筑施工现场临时用电安全使用水平的技术措施除了上述几条外还有诸多技术措施,为此,在实际临时用电安全管理工作中应不断探索和总结,确保整个建筑工程高效、优质、高速的建设发展。
参考文献
[1]中华人民共和国建设部.JGJ46-2005施工现场临时用电安全技术规范[S].北京:中国建筑工业出版社,2005.
关键词: 施工现场临时用电安全用电
Abstract: some safety problems in the analysis of the construction site temporary power exists, to improve construction site temporary electrical safety technical measures the level of detailed analysis.
Keyword:construction sitethe temporary use of electricitythe safe use of electricity
施工临时用电是建筑施工现场的主要动力载体,是整个工程项目高效稳定建设的重要保障。在施工现场,由于受工程建设工期的决定,临时供电系统具有明显的临时性,一般工程项目施工期大多在几年内,有的则只有几个月,甚至只有几天,且施工安全用电要求,临时用电必须在工程竣工后马上进行拆除,也就是临时用电系统需随工程的竣工而从施工现场拆除。临时用电还具有危险性,建筑施工现场内外环境比较复杂,由于施工工种多、交叉作业面多、人员设备进场较为频繁,很容易接触到临时供电线路发生触电危险。临时用电系统还是一个结构复杂的系统,随着工程建设的不断进行,建设工作面也在不断延伸拓展,各类供电线路、电气设备的增加和移动,使得整个供电系统结构变得复杂多变。临时供电系统还是一个负荷时变的系统,不同施工阶段所需的机械用电设备也不一样,系统负荷容量变化范围波动较大,这就对供电系统调节能力提出更高的要求。从临时用电以上多个特点可知,建筑施工现场即是一个电气危险点较多的特殊场所,又是一个对安全技术水平要求十分高的特殊场所。因此,在建筑施工全过程中,必须采取相应的防范保护措施,提高施工现场临时用电的安全水平,保障整个工程项目安全可靠、快速高效的建设。
中国分类号:TU7文献标识码:A
施工临时用电是建筑施工现场的主要动力载体,是整个工程项目高效稳定建设的重要保障。在施工现场,由于受工程建设工期的决定,临时供电系统具有明显的临时性,一般工程项目施工期大多在几年内,有的则只有几个月,甚至只有几天,且施工安全用电要求,临时用电必须在工程竣工后马上进行拆除,也就是临时用电系统需随工程的竣工而从施工现场拆除。临时用电还具有危险性,建筑施工现场内外环境比较复杂,由于施工工种多、交叉作业面多、人员设备进场较为频繁,很容易接触到临时供电线路发生触电危险。临时用电系统还是一个结构复杂的系统,随着工程建设的不断进行,建设工作面也在不断延伸拓展,各类供电线路、电气设备的增加和移动,使得整个供电系统结构变得复杂多变。临时供电系统还是一个负荷时变的系统,不同施工阶段所需的机械用电设备也不一样,系统负荷容量变化范围波动较大,这就对供电系统调节能力提出更高的要求。从临时用电以上多个特点可知,建筑施工现场即是一个电气危险点较多的特殊场所,又是一个对安全技术水平要求十分高的特殊场所。因此,在建筑施工全过程中,必须采取相应的防范保护措施,提高施工现场临时用电的安全水平,保障整个工程项目安全可靠、快速高效的建设。
关键词:机电工程 施工现场 临时用电 防范措施
“电”是人们生产、生活中不可缺少的能源,在建筑施工现场中“电”也是一种重大危险源,而恰恰好多施工现场就是在“安全用电”上存在薄弱环节,从而引发了触电等生产安全事故。众所周知,施工现场临时用电工程是一个具有开放性、临时性、可变性、地域环境多样性等特点的特殊用电工程。可是,目前的一些施工单位以及工作人员对其不够重视或者是因为节省资金,往往忽略了这方面的重要性,所以导致了因为基建工程中的施工用电而引起的电气事故造成人体触电伤害和财产损失不断增加。
1 机电工程施工现场临时用电的特点
1.1临时性
在施工现场,由于临时用电具有临时性,这主要是由工程工期决定的,一般工程项目的施工周期 1~2 年,小的项目少则几个月,或者几天,工程竣工后临时用电马上拆除。所以,机电建筑工程施工现场的用电带有明显的临时性。
1.2 危险性
在机电建筑工程施工的过程中,施工现场的环境较差,电气设备、线路、工具等会变化频繁,具有移动性、共用性、周转性。配电线路、用电设备等极易因外界因素作用而受到影响和侵害。伴随着机电建筑工程进度的发展和工作面的拓展延伸,人员和设备的进出更加频繁,交叉作业的情况占大多数,很容易造成人身伤害发生触电伤亡事故。
1.3 复杂性
机电建筑工程的施工,常常要面对极为复杂的施工现场,而且施工现场的临时用电在建筑施工中面广、点多,加上施工用电负荷有着不稳定的不确定因素,导致复杂的施工现场用电在施工过程中极易发生安全事故。
2 施工现场临时用电的基本方案
施工现场临时《施工现场临时用电安全技术规范》规定:临时用电设备在5台及以上或者设备总容量在50KW及50KW以上者,应当编制临时用电施工组织设计。临时用电设备在5台以下和设备总量在50KW以下者,应当制定安全用电技术措施和电气防火措施。施工现场临时用电方案直接关系到用电人员的安全,一方面要严格执行《施工现场临时用电安全技术规范》,加强施工用电的安全教育,杜绝违章操作,加强现场日常检查和维护。另一方面还要采取切实有效的技术措施,使所有用电设备处于良好的工作状态及完善的保护状态。
3 现场临时用电的安全措施
3.1 接地保护
施工现场的变压器及外引电源一般为中性点直接接地的系统。接地线由变压器的工作地线或为总配电箱第一级漏电保护器电源侧地线引出,形成三相五线制(TN-S)系统。(1)保护地线在总配电箱、线路中端及末端做重复接地。每处接地电阻R≤10Ω。(2)重复接地的目的:①降低故障点的对地电压;②减轻保护零线断线后的危险性;③缩短故障的持续时间。(3)重复接地装置一般利用建筑物基础钢筋接地网做接地体,这样比较经济可靠。还有,接地线的选择也固然重要,(1)接地线一律采用截面积≥2.5mm2、绝缘颜色为黄绿双色多股铜线。(2)三相线路,当相线≤16mm2时,接地线与相线直径相等;当相线>35mm2时,接地线取相线的一半;单相线路,接地线与相线相同,但不得小于2.5mm2(铜线)。这样,一方面减小接地线电阻,降低设备漏电时的对地电压;另一方面可以保证当漏电开关失灵后,设备发生碰壳短路时足以使空气开关(或熔断器)跳闸(或熔断)。
3.2 漏电保护
《施工现场临时用电安全技术规范》要求,施工现场所有用电设备,除作保护接零外,必须在设备负荷线的首端处设置漏电保护装置。同时规定,开关箱中必须装设漏电保护器。就是说,临时用电应在总配电箱和开关箱中分别设置漏电保护器,形成用电线路的两级保护。漏电保护器要装设在配电箱电源隔离开关的负荷侧和开关箱电源隔离开关的负荷侧。总配电箱的保护区域较大,停电后的影响范围也大,主要是提供间接保护和防止漏电火灾,其漏电动作电流和动作要大于后面的保护。
4. 合理选择漏电开关的漏电动作电流
总配电箱内各分路漏电开关的漏电动作电流应根据线路长短、设备多少而定。可选100~300mA,动作时间≤0.1s,一般不应过小,否则会引起不必要的跳闸。开关箱内总漏电开关的漏电动作电流可选50~75mA,不应过小,否则会引起不必要的跳闸。开关箱内总漏电开关的漏电动作电流可选 50~75mA,动作时间≤0.1s,至用电设备的漏电开关其漏电动作电流应≤30mA,动作时间≤0.1s(特殊情况例外)。漏电开关的正确接线。漏电开关的上端电源相线及工作地线必须全部接牢,因为漏电开关的检测回路工作电压有的为220V,有的为 380V。
“一机一闸一箱一漏”就是指每台用电设备必须设置各自专用的开关箱,开关箱内要设置专用的隔离开关和漏电保护器。不得同一个开关箱、同一个开关电器直接控制两台以上用电设备。开关箱内必须装设漏电保护器。开关电器必须能在任何情况下都可以使用电设备实行电源隔离,其额定值要与控制用电的额定值相适应。开关箱内不得放置任何杂物,不得挂接其它临时用电设备,进线口和出线口必须设在箱体的下底部,严禁设在箱体的上顶面、侧面、后面或箱门处。动式电箱的进、出线必须采用橡皮绝缘电缆。施工现场停止作业一小时以上时,要将开关箱断电上锁。
5 综合故障
漏电开关完好时,与自然接地面直接接触的固定设备,人与设备接触地面的电阻要比设备与地面的电阻要大,当设备漏电时首先会引起漏电开关跳闸;当设备漏电时,人触摸设备在达到摆脱电流前也能引起漏电开关跳闸。设备保护地线漏接,1 个漏电开关失灵,当故障漏电时也会引起本回路其他漏电开关跳闸。极其恶劣的情况是:保护地线虚接或漏接,设备以上各级漏电开关全部失灵,并且这时设备漏电,这种情况概率极小,因为施工现场除了电工日常维修外,还有定期的安全用电检查,该种情况将会及时排除。
6 临电系统的验收与档案管理
专项临时用电施工组织设计要由电气专业技术人员进行编制,并经单位技术负责人审核、审批后方可施工。临时用电系统在施工完成后要经过编制人、项目经理、审批人及专职电工共同验收合格后方可投入使用。验收要履行签字手续。建立完善的用电档案,并设专人管理,主要包括:专项临时用电施工组织设计、接地电阻绝缘电阻遥测记录、电工巡视维修记录、临时用电验收记录等。
7 日常维护与检查
对现场的用电设备、供电设施、线路等进行经常性巡视、检查,发现问题立即整改。持证上岗,用电设备、闸箱等的接线、日常维护检查均须由取得相应资格的专职电工进行操作,并作好巡视、维修记录,严禁无证上岗。定期对用电设备、供电线路、设施等的绝缘进行检测,不能满足安全使用要求的立即停止使用进行维修或更换。定期对供电系统接地电阻进行检测,并做好记录。
8 小结
综上所述,我们得知机电工程施工现场临时用电具有临时性、复杂性、危险性的特点,它是一个易发生安全事故、危险性极高的行业。我们只要依照规定做好接地保护及漏电保护,就能有效地防止漏电、触电事故的发生,保证施工用电的安全、可靠。
参考文献
[1] 季平 ,孙凌 .建筑工程施工现场临时用电安全管理[J].中国建设信息,2010(2).
随着计算机技术与网络技术的不断发展,计算机信息化技术在各个领域内的应用越来越普及。对于水电厂而言,利用先进的计算机信息技术不仅大大提升了工作的效率与质量,还能实现信息的快速处理和全面分析,方便、快捷地完成各部门之间的信息传递、信息共享。
关键词:
水电厂;计算机;信息安全;水情监测
水电厂作为国家重要基础设施,直接影响着人们的正常生活,其计算机信息安全防护的重要性及战略意义重大。然而,在当前的信息化时代,水电厂在利用计算机技术与网络技术来方便生产经营的同时,也面临着诸多的计算机信息安全隐患。比如监控系统、信息管理系统、水情监测调整系统等子系统之间的网络连接与信息交换的过程中,存在着较大的信息安全风险,一旦信息遭到破坏,将会影响水电厂的信息数据的安全性、完整性,甚至扰乱整个水电厂信息系统的正常运行,给水电厂的生产经营带来极大的损失。
1存在的主要问题
现阶段,计算机信息安全已经成为信息化时代普遍存在的问题,以水电厂为例,其计算机信息存在的主要问题如下。
1.1子系统访问控制权限设置不合理
水电厂信息系统是由多个子系统组成的,在水电厂运作时,各子系统之间将会产生频繁的信息交换与信息共享。而部分水电厂子系统拥有的访问控制权限是一致的,一旦黑客利用某个子系统存在的漏洞侵入并窃取水电厂内部信息资源与数据,各类信息数据的安全性将会遭到破坏,某些黑客甚至还可以通过子系统的漏洞侵入到其他系统,直接影响到整个系统的安全性。
1.2各系统之间的相对独立性较小
水电厂信息系统大致可以分为3类,包括信息资源管理系统、电力生产系统以及安全防护系统,从目前来看,部分水电厂各系统之间的相对独立性不强。水电厂可能考虑到各系统保持相对独立性将会在系统开发与基础设施上投入更多的成本,就没有进行系统隔离,这就导致在系统实际的运行过程中,一旦其中一个系统出现问题或故障,将会直接影响到其他系统的运行,大大增加水电厂系统的风险性与影响范围。
1.3网络防护措施不全面
部分水电厂的信息资源控制管理系统会与外网,即万维网进行连接,这些是水电厂信息安全防护的重点。而现阶段,往往由于技术的限制导致网络防护措施不够全面,如果一些黑客利用网络连接的漏洞侵入到系统窃取或篡改电力信息资源系统或生产系统的数据,利用窃取的数据与外界进行利益交易,或者直接对生产系统进行破坏,将会对水电厂的运行造成极大的损害,引发极为严重的后果。
2水电厂计算机信息安全对策
2.1合理设置各子系统权限
在设置水电厂各子系统的访问控制权限时,要结合水电厂的实际生产需要与子系统的实际功能进行合理设置。计算机信息监控系统要保障监控数据的实时性与精确性,其他的子系统只有对其数据进行单项读取的权限,而没有修改数据、命令等操作权限。这样一来,可大大保障计算机信息监控系统的安全性,防止他人通过子系统对信息监控系统进行侵入或破坏。水电厂系统的其他子系统也要各自设置相应的访问与控制权限,保障系统的安全性、可靠性与数据信息的真实性、完整性。
2.2加强各子系统之间的相互独立性
水电厂各子系统之间应保持一定的相互独立性,比如,电力生产系统与信息资源管理系统可采用双网同设的方法进行独立隔离,在这2个系统下的各单元系统尽量不要采用直接网络连入的方式,而采用相互独立隔离的网络连入方式。同时,水情监测调整系统、工业电视系统、火灾预防系统等都应留有备份系统以供不时之需,这样就满足了可靠性要求。
2.3定期进行全面扫描检测
为了及时发现与控制计算机信息系统中存在的安全问题与风险,水电厂要定期对所有系统进行全面扫描检测,包括计算机使用账号、开机密码、杀毒软件安装率、桌面管理系统安装率、弱口令检测等,及时发现整改含有病毒、木马以及高危漏洞的计算机,同时,对业务系统的账号权限口令、操作系统弱口令进行及时整改,保障水电厂信息系统的安全、稳定运行。
2.4增强信息安全防护意识
水电厂要定期抽调信息安全专业技术人员对系统操作人员开展信息安全防护培训,认真细致、全面详细地传达计算机系统操作、计算机安全接入的相关规定,对内网准入系统的安装注册、桌面管理系统的管理操作、统一数据保护与监控平台客户端的安装使用方法进行详细讲解,使计算机系统操作人员更加明确接入内网计算机的入网要求以及防止弱口令的操作方法,全面提升水电厂访问操作口令的安全性以及防范高危漏洞的能力,同时,还要积极地向全体员工宣传计算机信息安全防护的重要性,形成全员重视信息系统安全隐患防范、参与信息系统安全防护的氛围。
3结束语
水电厂计算机信息安全问题不仅关乎电力企业的安全运转,还直接影响到人们的正常生活以及电力行业的正常发展。水电厂一定要高度重视计算机信息安全问题,不断增强全体人员的计算机信息安全防护意识,同时,采用各种物理防护与系统防护措施,有效保障水电厂系统的安全运行。
参考文献
[1]曹林.浅析水电厂网络安全防护的策略[J].信息化建设,2016(07).
[2]施星.关于水电厂计算机监控系统网络安全问题的探究[J].房地产导刊,2015(30).
[3]张在峰.水电厂网络信息安全防护措施分析[J].中国新通信,2015(14).
关键词:火力发电厂;信息安全体系;安全管理
随着我国社会经济的高速发展,火力发电厂规模不断扩大,受到人们的广泛关注,取得了较好的成效,但也面临一系列的挑战。应转变传统的经营管理模式,充分发挥现代计算机信息技术的作用,将网络信息技术融入火力发电厂中,逐步实现自动化生产,创新火力发电厂管理方式,提高其信息管理水平,实现数据共享。为推动火力发电厂的现代化发展,应根据火力发电厂的实际情况建立健全的信息安全体系,加强火力发电厂信息安全管理工作,消除其中存在的安全漏洞,保障火力发电厂安全运行,实现综合效益最大化。
1火力发电厂的相关内容
火力发电厂是利用燃料生产电能的工厂,在科学技术时代背景下,火力发电厂的经营管理发生了变化。为了应对日益激烈的市场竞争,开始充分应用现代信息技术,将其融入电力生产中,制定完善的信息管理系统,提高电力生产效率,为电力生产供应提供重要的安全保障。
2现阶段火力发电厂信息安全中存在的威胁
首先,在火力发电厂运营过程中,使用的信息管理系统存在安全风险。在电力生产过程中,目前使用的信息管理系统已具备相应的安全管理功能,但受多方面因素影响,其内部仍存在威胁。工作人员的安全防护意识不强,在操作过程中易导致安全信息系统出现故障。其次,受外部攻击存在的安全风险。信息管理系统受外来病毒入侵、网络攻击,导致系统无法正常运行,信息数据丢失,影响了火力发电厂信息系统的安全运行,难以保障火力发电厂的供电服务质量,不利于提升火力发电厂的经济效益[1]。
3构建火力发电厂信息安全体系的有效措施
3.1建立健全的火力发电厂信息安全技术体系。(1)应充分应用防火墙技术。在火力发电厂信息安全体系中安装防火墙,有利于强化信息系统的安全性,可对其进行有效防护。在信息网络出口处安装防火墙硬件时,需要根据实际需求选择适宜的防火墙类型,维护信息数据传输的稳定性、安全性。有效的防火墙技术可封闭操作信息管理系统中的数据包,并设计科学的过滤配置,不允许未经许可的IP地址访问信息管理系统,以免泄露火力发电厂的重要信息。可根据火力发电厂信息系统的特点、功能性,确定安全控制点,将其放置于信息系统和系统间,确保信息系统的独立性[2]。(2)做好系统安全分区防护工作。为保障火力发电厂信息安全技术的有效应用,应实施系统安全分区防护工作。遵循横向隔离原则,在网络专用的指导下,科学设计安全分区。应基于火力发电厂的实际经营状况,遵循信息系统安全分区原则,科学划分各区域的安全等级,实施有效的安全防护措施预防安全风险。①实时控制区域,如生产控制系统,应对其实施重点防护工作;②二级控制区域,如管理信息系统;③生产信息管理系统、脱销控制系统等区域,需要进行一级安全防护。可采用物理方式,安装单向隔离装置,科学调度和优化数据网络系统,有效开展实时控制工作。应基于各区域的类型和功能制定适宜的访问权限,优化安全隔离装置设计,以提高各信息系统区域的安全性。在管理自动电压控制系统、远程终端单元系统时,应将其放在重点安全防护区域中,线路母线录波、机组录波等划分至二级安全防护区域,可充分发挥加密认证的作用。(3)制定统一的防病毒系统。在火力发电厂信息安全系统中,应统一部署网络防病毒系统,主要针对生产控制区域、管理信息区域。所有的大区服务器、终端设备均须安装统一的防病毒客户端,以实施有效的防病毒管理。应在第一时间更新病毒特征码,科学分析获得的病毒防护相关数据,明确火力发电厂信息系统中存在威胁的病毒类型,根据其实际情况选择适宜的安全防护技术,保障信息系统的安全性。可将防病毒网设置于网络系统的出口位置,以免病毒透过网络传播至火力发电厂的内部信息系统中。(4)提高服务器安全水平。在火力发电厂信息安全系统中,应对关键服务器实施高效的安全加固工作,针对服务器运行中存在的问题,为其系统添加补丁,实施有效的系统审计工作,强化用户管理,优化资源配置,保障火力发电厂信息安全系统的正常运行。①在信息安全系统中,安装适宜的安全补丁,以强化系统操作的安全性;②定期清理安全系统中的各账号和信息,删除和清理无用的账号,设置负责口令,加强对账号的管理;③做好审计工作,关注系统中的日志,及时进行科学调整;④火力电厂信息系统中的特定账户,应进行有效的审计工作,实施全面的监督管理措施,优化配置信息资源;⑤在火力电厂信息系统中安装病毒防范软件,并定期进行升级,以提高信息系统的安全系数;⑥加强数据库服务器系统安全防护措施,及时发现数据库中存在的安全漏洞,并采取有效措施进行修复。应设置账户口令,拥有访问权限的账户方可操作数据库系统。可在数据库中安装安全补丁,删除无关账号,锁定数据库运行;设置账号口令,不可使用账户默认密码,超级管理员的账户不可远程登录。(5)建立健全的网络入侵防护系统。为保障火力发电厂信息系统安全,应创建网络入侵防护系统,以抵御黑客攻击,识别计非法访问,隔离病毒。可在网络入口处设置IPS,深度防护网络各层,应将IPS设置于核心交换机上,以加强对内网、外网的安全防护。内网出现黑客攻击等非法访问行为时,可利用IPS进行科学分析,找出攻击来源,查看异常状况,进而实施有效的安全防护措施进行处理,保障信息系统的安全运行。3.2制定完善的信息安全组织制度。在火力发电厂信息安全体系的构建过程中,应制定完善的信息安全组织制度,以保障信息安全。应根据实际情况培养专业的人员,实施有效的信息安全管理工作,成立专门的火力发电厂信息安全管理组织,各部门积极合作,加强彼此间的交流与互动。在部门成立安全管理小组,设置科学的责任机制,强化信息安全管理人员的责任意识,使工作人员全身心投入安全监督审查工作中,优化人力资源配置,保障信息系统的安全运行[3]。3.3建立健全的安全管理体系。建立健全的安全管理体系,有利于保障火力发电厂信息系统的安全性。(1)应制定完善的安全管理制度,并将其贯彻落实在信息安全管理工作中,做到有据可循、有法可依。制定的信息安全制度应具有全面性、可操作性,应规范相关人员的操作行为,统一技术标准,以充分发挥信息安全管理体系的有效作用,可制定《计算机网络管理办法》《信息安全风险评估管理办法》等。安全管理行为均须严格按照相关规章制度的要求执行,实施跟踪信息安全管理效果。(2)应根据当前火力发电厂信息安全体系的实际情况,科学部署网络准入策略,加强访问控制工作。拟定的技术方案应符合实际需求,做好入网登记备案工作,按照相关制度的要求,实施网络巡检工作,以提高火力发电厂信息网络建设水平,强化信息网络管理工作。(3)应积极开展信息安全培训工作,加强工作人员间信息交流。培养相关人员的信息安全意识,明确火电厂信息安全体系中的核心,贯彻落实相关安全措施,加大安全管理力度,提升信息网络系统的安全系数。(4)应保障信息系统的物理安全,加强对网络系统的硬件设施的安全管理。应保证计算机机房的安全性,做好防火、防潮等措施,定期对服务器、网络硬件设备等进行检查和维护,确保储存系统、备份系统的正常运行,保证供电质量安全。一方面,应从技术层面进行安全防护。设立专门的电子门禁系统,在机房等区域中设置防盗报警系统、监控报警系统、摄像头,可充分利用火灾自动消防系统,进行防水检测,控制计算机机房中的温度、湿度,为设备的日常运行创造良好的环境。另一方面,应从管理层方面进行有效防护。制定完善的规章制度,严格按照机房规定进行操作和管理,规范计算机房的使用标准,派遣专人进行安全巡检工作,实施全面监控工作。
4结语
综上所述,在火力发电厂信息安全体系的构建过程中,应明确当前信息系统运行中存在的安全威胁,实施有效的安全防范措施,保障信息管理系统的正常运行。应从技术、组织和管理等方面进行具体分析,建立健全的安全技术体系,制定完善的安全管理制度,优化安全监控组织,保障火力发电厂信息系统的安全运行,推动火力发电厂的可持续发展。
参考文献
[1]郭小诺.火力发电厂一体化监控信息系统的设计与应用[J].中国新技术新产品,2017(20):30-31.
[2]朱晓琴.火力发电厂一体化监控信息系统的设计与应用[J].贵州电力技术,2013,16(8):19-21.
【 Abstract 】 Hydropower plant is an important component of China's power system, the process of hydropower plant operation, the monitoring information system for hydropower plant, supervision of each module operation mode, such as: turbine, equipment module, supervision of hydropower plant operation. Requirements for network security prevention and control of the monitoring information system of hydropower plant is relatively high, the purpose is the practice application specification of supervisory information system. Therefore, based on the research of the monitoring information system of hydropower plant, the analysis of network security prevention and control measures.
【 Keywords 】 power plant; monitoring information system; network security; prevention and control
1 引言
水电厂监控信息系统的运行中,必须采用网络安全防控的措施,确保监控信息系统能够适应水电厂的应用环境,维护水电厂的安全运行。由于监控信息系统内承载着发电厂的多项信息,所以水电厂非常关注监控信息系统的网络安全防控,规避信息系统中潜在的风险隐患,加强水电厂信息化的监控力度,进而提高系统网络应用的安全水平。
2 水电厂监控信息系统中的网络安全问题
国家电力企业在监控信息系统的网络安全方面,应该遵循相关的规范标准,以免干预电力信息的安全分配。结合某水电厂监控信息系统(SIS),在水电厂中的应用现状,例举典型的网络安全问题。
2.1 网络连接问题
该水电厂中的网络数据,采用的是单向传输的方法,禁止向实时监控系统的服务器内写入数据,主要是因为SIS连接了水电厂的运行设备,一旦连接中出现安全问题,即会影响水电厂的安全运行,很容易引起黑客入侵,所以网络连接是一项常见的安全问题,导致SIS连接中出现了网络缺陷。
2.2 网络通讯问题
SIS通过交换机连接水电厂的通信服务器,网络通讯的安全级别,要高于管理、操作等网络系统。虽然SIS网络通讯中使用了安全防护措施,但是网络通讯同样需要遵循单向传输的规定,站在网络结构的角度上分析,网络通讯仍旧存在一定的安全问题。例如,SIS中通讯访问的过程是透明的,其可实现任意编程的访问,表明任何身份的计算机,都可访问SIS通讯网络,获取水电站的通信监控信息,由低到高的级别网络中,不存在安全保护的措施,威胁了网络通讯中的数据交流。
2.3 防火墙问题
该水电厂SIS中的防火墙设计,比较注重软件防火墙,利用软件操作,提高SIS的安全性。例如,SIS在监控水电厂电网调度信息时,软件防火墙处于被动防御的状态,该水电厂没有升级软件防火墙,只能阻挡常规病毒,对新型的攻击起不到任何作用,此时软件防火墙处于停滞状态,没有完全保护电网调度的信息,导致信息丢失,严重影响了该水电厂的调度过程。
3 水电厂监控信息系统网络中的安全设计
水电厂监控信息系统网络运行较为复杂,设计安全防控的方案,以此来规范监控信息系统的实践运行。
3.1 系统网络安全设计原则
水电厂监控信息系统网络安全设计的原则:(1)实践性原则,网络安全设计必须以监控信息系统在水电厂中的实际情况为主,尽量不出现冗余设计;(2)安全接入原则,水电厂的运行规模大,监控信息系统的接入频率较高,维护接入过程的安全,才能提高安全防护的水平;(3)适用性原则,网络安全防控设计,要适用于水电厂的运行环境,符合水电厂监控信息系统的需求;(4)技术性原则,安全防控本身是一项技术,其在水电厂监控信息系统内,积极落实安全技术,改善水电厂监控的环境。
3.2 系统网络边界隔离设计
水电厂监控信息网络中的边界隔离设计,主要是防护外部攻击和干扰。边界隔离设计的基础是防火墙,需要物理隔离进行配合,提高边界安全隔离的水平。防火墙设计的过程中,考虑系统防火墙中出现的风险隐患,实行综合化的防火墙隔离设计,防火墙设计中,注重控制水电厂监控的信息流,采用成熟的技术控制,弥补安全漏洞的不足之处,防火墙边界隔离时,要注重升级和更新操作,抵御复杂的病毒攻击。系统网络边界的物理隔离,集中在硬件防护方面,水电厂在监控信息系统中,利用具有隔离作用的硬件设备,连接运行主机,通过硬件设计隔离主机之间的运行,而且硬件设备在系统中的隔离,既可以控制数据流向,又可以支撑安全防护,提供标准的隔离方式。
4 水电厂监控信息系统网络的安全防控措施
根据水电厂监控信息系统对网络安全的需求,提出三点防护的措施,用于提高监控信息系统在水电厂中的安全水平。
4.1 硬件防护措施
水电厂在设置监控信息系统时,提出了硬件防护的措施,在监控信息系统中设置专有的硬件隔离,保护监控系统的安全性。例如,水电厂的监控信息系统接入MIS时,安装了单向传输装置,规范硬件中的信息流向,促使监控信息系统的数据能够安全的传送到MIS模块中,主动阻断MIS回传的所有数据信息。比较常用的硬件防护装置是南瑞SYSKEEPER 2000,按照“2+1”的模式构建硬件防护系统。硬件防护措施可以保障水电厂数据信息准确的穿过网闸,规避数据传输中潜在的协议负荷,净化监控信息系统中的数据传递。
4.2 入侵防护策略
入侵防护策略偏重于水电厂监控信息系统的软件构成,根据病毒入侵的等级,设计标准的防护策略。例举水电厂监控信息系统网络安全防护中,比较常用的入侵防护策略:(1)依照水电厂监控信息系统的运行周期,规划病毒查杀的周期,实行全面的病毒查杀,查杀完成后检查病毒定义码,设计查杀软件的配置,促使其跟上病毒演变的速度;(2)水电厂网络防护人员定期修复病毒入侵造成的漏洞,针对漏洞安排测试方法,科学的安排修补措施,弥补病毒造成的缺陷、漏洞;(3)积极引入先进的防病毒软件,病毒更新的速度非常快,增加了水电厂监控系统网络运行的风险,先进的软件在配置、设计上有一定的优势,其对病毒的防护能力相对比较强。
4.3 软件系统的可靠性
水电厂监控信息系统网络中的软件,既可以落实监控和监督功能,也可以发生不稳定的漏洞,干预了信息系统的安全运行。水电厂必须使用正规的操作系统和软件,如Windows Server 2003,尽量不使用试点软件,以免影响监控信息系统的整体稳定性。水电厂加强软件系统的可靠性控制,预防监控的过程中的软件卡死情况,严谨控制运行软件的安全使用。
5 结束语
水电厂的运行规模比较大,其对监控信息系统网络安全防护的要求比较高,根据监控信息系统中常见的风险问题,提出安全设计的方法,同时落实安全防护措施,优化监控信息系统在水电厂中的应用,强化网络安全防控的应用力度。水电厂监控信息系统运行中,积极深化网络安全防控的应用,致力于为水电厂提供优质的监控方式。
参考文献
[1] 侯加兵.厂级监控信息系统信息安全关键技术研究[D].南京理工大学,2011.
[2] 庞占洲.电厂监控信息系统的网络安全问题[J].电力安全技术,2006,01:13-16.
[3] 季金付.发电厂厂级监控信息系统的网络安全防护[J].安徽电力,2013,04:66-69.
[4] 孟春艳.厂级监控信息系统(SIS)的网络设计与实施[J].山东农业大学学报,2013,04:572-575.
作者简介:
罗光涛(1985-),男,贵州晴隆人,西安理工大学,大学本科(工学学士),贵州北盘江电力股份有限公司光照发电厂检修维护部电气班,副班长,助理工程师。
关键词:调度自动化 网络安全 二次防护
中图分类号:TP29 文献标识码:A 文章编号:1007-9416(2012)09-0181-02
1、引言
电力工业是关系国计民生的重要基础产业和公用事业,电力系统安全稳定运行和电力可靠供应直接关系到国民经济发展和人民生命财产安全,关系到国家安全和社会稳定。现代电力系统生产运行高度依赖于计算机、通信和控制技术,电力监控系统、电力通信及数据网络等电力二次系统已经成为电网运行控制不可须臾或缺的重要组成部分。
2、发电厂调度自动化系统概述
调度自动化系统是在对全系统运行信息进行采集分析的科学基础上,运用现代自动化技术和可靠的通信系统,由计算机监控作出综观全局的明智判断和控制决策。包括远动装置和调度主站系统,是用来监控整个电网运行状态的。调度自动化系统是电网调度和电网运行管理必不可少的技术手段,是电力系统重要基础设施之一,关系到电网安全稳定运行。发电厂调度自动化系统作为电力监控系统的重要组成部分,其安全问题一直受到国家有关部门的重点关注。
3、电力二次系统安全防护工作开展情况
2002年,原国家经贸委第30号令《电网和电厂计算机监控系统及调度数据网络安全防护规定》,提出了电网和电厂计算机监控系统及调度数据网络安全防护的基本原则,即“电力系统中,安全等级较高的系统不受安全等级较低系统的影响”,明确要求要实现两个隔离:电力监控系统与办公自动化系统或其他信息系统之间以网络方式互联时,必须采用经国家有关部门认证的专用、可靠的安全隔离设施;电力调度数据网应在物理层面上与公用信息网络安全隔离。电监会成立以后,在充分总结以往工作的基础上,明确提出了“安全分区、网络专用、横向隔离、纵向认证”的二次系统安全防护总体策略,使电力行业二次系统安全防护工作进入了实质建设阶段。
2005年以来,电力行业按照《电力二次系统安全防护规定》(电监会5号令)及相关配套文件要求,从规章制度、组织体系、资金保障、人员管理及分区防御、网络安全、数据防护等方面开展了一系列富有成效的工作,初步建立了覆盖全行业的二次系统安全防护体系,防护能力显著提高。随着网络安全威胁的日趋严重和升级,二次系统安全防护工作所面临的安全形势更加严峻。
4、调度自动化系统二次防护的主要策略
电力二次系统安全防护方案根据电力系统的特点及各相关业务系统的重要程序、数据流程、目前状况和安全要求,将整个电力二次系统分为四个安全区:Ⅰ实时控制区、Ⅱ非控制生产区、Ⅲ生产管理区、Ⅲ管理信息区。
4.1 理顺关系,合理整合接入业务
(1)调度自动化系统的横向业务包括:第一、与办公区域的生产管理信息系统(MIS)的接口。传统的访问方式是通过通信网关或WEB服务器实现数据的通信。若想达到横向安全防护的目标,位于安全区Ⅱ的通信网关或WEB服务器与位于安全区Ⅲ的MIS系统之间必须采用经有关部门认定核准的专用隔离装置,使MIS系统的用户终端仅可以通过专用隔离装置浏览WEB服务器上的调度自动化信息,禁止其MIS系统向调度自动化系统发出数据请求。第二、与电能量计量系统、竞价上网系统的接口。为使这些位于安全区Ⅱ的系统能够安全可靠地实现数据业务的传输,就要求调度自动化系统与这些系统之间增加硬件防火墙。
(2)调度自动化系统的纵向业务包括:第一、专线通道。通过专线通道和特定的通信协议实现厂站RTU装置与调度主站EMS系统间的通信。这类接口暂不考虑安全问题。第二、网络通信接口。通过通信网关实现厂站与调度主站间的通信。为确保处理安全区Ⅰ的各系统能够安全可靠地实现数据业务的传输,就要求调度自动化系统与这些系统之间加设纵向加密认证装置,再经电力通信数据网络(SPTnet)进行通信。第三、远程维护接口。系统维护人员或开发商可以通过拨号方式进行系统维护和故障处理。应加强口令的严格管理,在未采取安全防护措施前,不得开通通过拨号服务器接人远程局域网的服务。
4.2 分区隔离,实施安全防护和加密认证
(1)纵向加密认证:在纵向传输防护方面,发电厂调度自动化系统依据传输业务的实时性和重要性进行分类传输保护。远动装置RTU采集数据、脱硫数据、同步相量采集装置PMU采集数据、电压自动控制系统AVC采集数据作为Ⅰ实时控制区数据直接接入区内专用交换机,并通过纵向认证装置接入路由器。电量信息、保护信息子站数据等作为Ⅱ非控制生产区数据业务直接接入区内专用交换机,经防火墙连接至路由器。
各业务系统均直接通过专用交换机实现与上级调度部门的相应业务实现对口通信。为实现对不同安全区域的业务隔离,调度数据网通过纵向认证装置和防火墙实现对Ⅰ区和Ⅱ区的安全隔离,两个区域之间的业务不能通过网络彼此通信。从而减少数据传输的中间环节,缩短了传输时间,有效地兼顾了二次系统对安全防护强度和数据传输实时性的要求。
工作票申请系统、报价系统作为发电厂的Ⅱ区业务接入相应的电力信息专网。以发电厂工作票申请系统为例,由于电力网调度生产信息网为电力内网,终端用户接入网内时需要进行安全加固和安全隔离。也就是要做到内外网物理隔离,专机专用,同时增加网络防火墙解决安全隔离的作用。每个用户终端需要安装上级电力调度部门签发的电力调度系统设备数字证书,以保证电厂能及时、安全的获取调度生产管理信息。
(2)横向单向隔离:横向传输防护方面,发电厂调度自动化系统主要是微机监测及发电负荷调度系统与安全区Ⅲ的厂信息系统之间的安全防护。一般加设横向单向安全隔离装置实现安全防护和隔离目的。生产区域的实时信息经过该物理隔离装置单向传输给WEB服务器,且不接受来自外网的WEB服务器上任何信息和操作。办公区域的工作站也只能通过外网的WEB服务器浏览生产区域的实时信息,从而有效保护内网的服务器和相关子系统设备,实现生产控制大区与管理信息大区之间的高强度的物理隔离,更好地保障电力生产监控系统的安全稳定运行。
4.3 软件的安全防护功能
(1)分组用户管理权限:计算机在网络中的应用,存在两种身份:一种是作为本地计算机,用户可以对本地的计算机资源进行管理和使用;另一种是作为网络中的一份子。高级的操作系统,都支持多用户模式,可以给使用同一台计算机的不同人员分配不同的帐户,并在本地分配不同的权限。对于调度自动化系统所有后台服务器,应全部实行分级用户权限进行管理。
(2)设定高强度口令密码:生活在信息时代的今天,在电力企业的网络环境里,密码显得尤为重要。调度自动化系统所有后台维护及操作平台,均设有高强度口令密码。只有拥有口令密码的专业技术人员方能有权登录,并进行相关安全操作。网络管理人员应具有强烈的安全防护意识,设置以字母、数字、符号相互组合,且长度大于8位的口令密码,并定期更换,可以有效地防止被黑客破解与攻击,保护电力企业内部的调度自动化系统安全稳定,尤为重要。
(3)规范执行制度:调度自动化专业应有明确制度规定,定期进行系统数据异地存储及备份。日常操作时,必须使用专用的移动存储设备,任何人员均不得使用来历不明的移动存储设备。
5、结语
计算机网络安全是电力生产安全密不可分的一部分。除了依据国家规定建立可靠的网络安全技术构成的安全防护体系外,还必须建立健全完善的网络安全管理制度,形成技术和管理双管齐下的态势,以确保网络安全这一最终目的的逐步实现。同时,调度自动化安全防护是一个长期的、动态的工作过程。在随着人员、技术、外界风险不断变化发展,以及调度自动化系统应用与开发环境的不断变化发展,安全目标与防护措施也随之不断发展和变化。调度自动化系统的安全管理需要及时跟进并应用新技术,定期进行风险评估、加强管理,才能保障电力行业调度安全稳定、可靠地长周期运行。
参考文献
近年来,电力企业不断发展,特别是水电企业,改变了以往一直以来封闭式的网络结构和业务系统,利用信息网络逐渐跟外界接口联系,许多企业都建立了自己的网络系统,如企业门户、办公自动化系统、财务系统、营销系统、生产管理系统等,极大提高了办公效率,实现数据实时传输及共享。信息化的发展、网络的普及,使办公地点不紧紧局限于办公室,远程移动办公成为了可能,办公效率也大大提高,突破了时间及空间的限制,但信息化高速发展的同时也给我们带来了严重的网络安全问题。对此国家也非常关注,特意成立中央网络安全和信息化领导小组,再次体现出过对保障网络安全、维护国家利益、推动信息化发展的决心。由此可见,网络安全已经到了不可小视,必须深入探讨研究的地步。
2广蓄电厂信息网络安全建设
2.1网络安全区域划分
划分安全区域是构建企业信息网络安全的基础,提高抗击风险能力,提高可靠性和可维护性。广蓄电厂内网划分为网络核心区、外联接入区、IDC业务区、终端接入区。网络核心区域是整个电厂信息网络安全的核心,它主要负责全网信息数据的传输及交换、不同区域的边界防护。这个区域一般包括核心交换机、核心路由器、防火墙及安全防护设备等。IDC业务区主要是各业务应用服务器设备所在区域,如企业门户、OA系统、生产管理系统等各信息系统服务器。终端接入区即为终端设备(如:台式机、笔记本电脑、打印机等)连入内网区域。
2.2二次安防体系建设
根据国家电监管委员会令第5号《电力二次系统安全防护规定》、34号《关于印发<电力二次系统安全防护总体方案>》的相关要求,电厂坚持按照二次安全防护体系原则建设:
(1)安全分区:根据安全等级的划分,将广蓄电厂网络划分为生产控制大区和管理信息大区,其中生产控制大区又划分为实时控制Ⅰ区和非实时控制Ⅱ区。
(2)网络专用:电力调度数据网在专用通道上使用独立的网络设备组网,采用SDH/PDH不同通道等方式跟调度、各电厂的生产业务相连接,在物理层面上与其他数据网及外部公共信息网安全隔离。对电厂的IP地址进行调整和统一互联网出口,将生活区网络和办公网络分离,加强对网络的统一管理和监控。
(3)横向隔离:在生产控制大区与管理信息大区之间部署经国家指定部门检测认证的电力专用正反向安全隔离装置。正向安全隔离装置采用非网络方式的单向数据传输,反向安全隔离装置接收管理信息大区发向生产控制大区的数据,采用签名认证、内容过滤等检查处理,提高系统安全防护能力。
(4)纵向认证:广蓄电厂生产控制大区与调度数据网的纵向连接进行了安全防护硬件的部署,包括纵向加密装置、纵向防火墙等,并配置了相应的安全策略,禁用了高风险的网络服务,实现双向身份认证、数据加密和访问控制。
2.3安全防护措施
(1)防火墙
在外联接入区域同内网网络之间设置了防火墙设备,并对防火墙制定了安全策略,对一些不安全的端口和协议进行限制。通过防火墙过滤进出网络的数据,对内网的访问行为进行控制和阻断,禁止外部用户进入内网网络,访问内部机器,使所有的服务器、工作站及网络设备都在防火墙的保护下。
(2)口令加密和访问控制
电厂对所有用户终端采用准入控制技术,每个用户都以实名注册,需通过部门账号申请获得IP地址才能上局域网,并通过PKI系统对用户访问企业门户、OA系统等业务系统进行访问控制管理。在核心交换机中对重要业务部门划分单独的虚拟子网(VLAN),并使其在局域网内隔离,限制其他VLAN成员访问,确保信息的保密安全。对电厂内部的网络设备交换机、防火墙等,采用专机专用配置,并赋予用户一定的访问存取权限、口令等安全保密措施,建立严格的网络安全日志和审查系统,定时对其进行审查分析,及时发现和解决网络中发生的安全事故,有效地保护网络安全。
(3)上网行为管理
上网行为管理设备直接串行部署在内网边界区域,并制定了精细化的活动审计策略、应用软件监控管理策略,监控及记录用户非法操作信息,实时掌握互联网使用情况,防患于未然,通过上网行为管理设备进行互联网网关控制。
(4)防病毒系统
在电厂的局域网内部署了Symantec防病毒系统。Symantec系统具有跨平台的技术及强大功能,系统中心是中央管理控制台。通过该管理控制台集中管理运行SymantecAntiVirus企业版的服务器和客户端;可以启动和调度扫描,以及设置实时防护,从而建立并实施病毒防护策略,管理病毒定义文件的更新,控制活动病毒,管理计算机组的病毒防护、查看扫描、病毒检测和事件历史记录等功能。
(5)建立虚拟专网(VPN)系统
为保证网络的安全,实现移动办公,在核心网络边界区域部署了1台VPN设备,并设置访问条件和身份认证授权策略,如通过PKI系统进行身份认证和访问授权后才能访问电厂企业门户系统、OA系统等。使用虚拟专网(VPN)系统,不仅满足了电厂用户远程办公需求,而且保证了电厂信息网络及信息系统数据安全传输。
3信息网络安全管理策略
俗话说:“三分技术,七分管理”,这在信息网络安全管理方面也是适用的。事实上95%以上的计算机、网络受到的攻击事件和病毒侵害都是由于管理不善造成的。广州蓄能水电厂作为国内一流的水力发电厂,头顶上始终悬着一把信息网络安全的达摩克利斯之剑。在推进信息化道路上,借鉴国内外企业对信息网络安全管理的经验,形成属于自身发展的网络安全管理策略。(1)建立完善的网络信息安全管理制度。在信息网络安全方面电厂成立专门的信息化安全小组,制定完善的信息安全规章制度,规范整个电厂对网络及信息系统的使用。(2)建立完备的网络与信息安全应急预案。电厂建立了一套应急预案体系,目的就是在发生紧急情况时,指导电厂的值班人员对突发事件及时响应并解决问题。(3)定期进行安全风险评估及加固。电厂每年进行安全风险评估分析,及时了解和掌握整个网络的安全现状,通过安全加固使得网络安全系统更加健全。
4结束语