時間:2023-05-31 09:42:16
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇電廠安全防護措施,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
隨著計算機技術與網絡技術的不斷發展,計算機信息化技術在各個領域內的應用越來越普及。對于水電廠而言,利用先進的計算機信息技術不僅大大提升了工作的效率與質量,還能實現信息的快速處理和全面分析,方便、快捷地完成各部門之間的信息傳遞、信息共享。
關鍵詞:
水電廠;計算機;信息安全;水情監測
水電廠作為國家重要基礎設施,直接影響著人們的正常生活,其計算機信息安全防護的重要性及戰略意義重大。然而,在當前的信息化時代,水電廠在利用計算機技術與網絡技術來方便生產經營的同時,也面臨著諸多的計算機信息安全隱患。比如監控系統、信息管理系統、水情監測調整系統等子系統之間的網絡連接與信息交換的過程中,存在著較大的信息安全風險,一旦信息遭到破壞,將會影響水電廠的信息數據的安全性、完整性,甚至擾亂整個水電廠信息系統的正常運行,給水電廠的生產經營帶來極大的損失。
1存在的主要問題
現階段,計算機信息安全已經成為信息化時代普遍存在的問題,以水電廠為例,其計算機信息存在的主要問題如下。
1.1子系統訪問控制權限設置不合理
水電廠信息系統是由多個子系統組成的,在水電廠運作時,各子系統之間將會產生頻繁的信息交換與信息共享。而部分水電廠子系統擁有的訪問控制權限是一致的,一旦黑客利用某個子系統存在的漏洞侵入并竊取水電廠內部信息資源與數據,各類信息數據的安全性將會遭到破壞,某些黑客甚至還可以通過子系統的漏洞侵入到其他系統,直接影響到整個系統的安全性。
1.2各系統之間的相對獨立性較小
水電廠信息系統大致可以分為3類,包括信息資源管理系統、電力生產系統以及安全防護系統,從目前來看,部分水電廠各系統之間的相對獨立性不強。水電廠可能考慮到各系統保持相對獨立性將會在系統開發與基礎設施上投入更多的成本,就沒有進行系統隔離,這就導致在系統實際的運行過程中,一旦其中一個系統出現問題或故障,將會直接影響到其他系統的運行,大大增加水電廠系統的風險性與影響范圍。
1.3網絡防護措施不全面
部分水電廠的信息資源控制管理系統會與外網,即萬維網進行連接,這些是水電廠信息安全防護的重點。而現階段,往往由于技術的限制導致網絡防護措施不夠全面,如果一些黑客利用網絡連接的漏洞侵入到系統竊取或篡改電力信息資源系統或生產系統的數據,利用竊取的數據與外界進行利益交易,或者直接對生產系統進行破壞,將會對水電廠的運行造成極大的損害,引發極為嚴重的后果。
2水電廠計算機信息安全對策
2.1合理設置各子系統權限
在設置水電廠各子系統的訪問控制權限時,要結合水電廠的實際生產需要與子系統的實際功能進行合理設置。計算機信息監控系統要保障監控數據的實時性與精確性,其他的子系統只有對其數據進行單項讀取的權限,而沒有修改數據、命令等操作權限。這樣一來,可大大保障計算機信息監控系統的安全性,防止他人通過子系統對信息監控系統進行侵入或破壞。水電廠系統的其他子系統也要各自設置相應的訪問與控制權限,保障系統的安全性、可靠性與數據信息的真實性、完整性。
2.2加強各子系統之間的相互獨立性
水電廠各子系統之間應保持一定的相互獨立性,比如,電力生產系統與信息資源管理系統可采用雙網同設的方法進行獨立隔離,在這2個系統下的各單元系統盡量不要采用直接網絡連入的方式,而采用相互獨立隔離的網絡連入方式。同時,水情監測調整系統、工業電視系統、火災預防系統等都應留有備份系統以供不時之需,這樣就滿足了可靠性要求。
2.3定期進行全面掃描檢測
為了及時發現與控制計算機信息系統中存在的安全問題與風險,水電廠要定期對所有系統進行全面掃描檢測,包括計算機使用賬號、開機密碼、殺毒軟件安裝率、桌面管理系統安裝率、弱口令檢測等,及時發現整改含有病毒、木馬以及高危漏洞的計算機,同時,對業務系統的賬號權限口令、操作系統弱口令進行及時整改,保障水電廠信息系統的安全、穩定運行。
2.4增強信息安全防護意識
水電廠要定期抽調信息安全專業技術人員對系統操作人員開展信息安全防護培訓,認真細致、全面詳細地傳達計算機系統操作、計算機安全接入的相關規定,對內網準入系統的安裝注冊、桌面管理系統的管理操作、統一數據保護與監控平臺客戶端的安裝使用方法進行詳細講解,使計算機系統操作人員更加明確接入內網計算機的入網要求以及防止弱口令的操作方法,全面提升水電廠訪問操作口令的安全性以及防范高危漏洞的能力,同時,還要積極地向全體員工宣傳計算機信息安全防護的重要性,形成全員重視信息系統安全隱患防范、參與信息系統安全防護的氛圍。
3結束語
水電廠計算機信息安全問題不僅關乎電力企業的安全運轉,還直接影響到人們的正常生活以及電力行業的正常發展。水電廠一定要高度重視計算機信息安全問題,不斷增強全體人員的計算機信息安全防護意識,同時,采用各種物理防護與系統防護措施,有效保障水電廠系統的安全運行。
參考文獻
[1]曹林.淺析水電廠網絡安全防護的策略[J].信息化建設,2016(07).
[2]施星.關于水電廠計算機監控系統網絡安全問題的探究[J].房地產導刊,2015(30).
[3]張在峰.水電廠網絡信息安全防護措施分析[J].中國新通信,2015(14).
關鍵詞:調度自動化 網絡安全 二次防護
中圖分類號:TP29 文獻標識碼:A 文章編號:1007-9416(2012)09-0181-02
1、引言
電力工業是關系國計民生的重要基礎產業和公用事業,電力系統安全穩定運行和電力可靠供應直接關系到國民經濟發展和人民生命財產安全,關系到國家安全和社會穩定。現代電力系統生產運行高度依賴于計算機、通信和控制技術,電力監控系統、電力通信及數據網絡等電力二次系統已經成為電網運行控制不可須臾或缺的重要組成部分。
2、發電廠調度自動化系統概述
調度自動化系統是在對全系統運行信息進行采集分析的科學基礎上,運用現代自動化技術和可靠的通信系統,由計算機監控作出綜觀全局的明智判斷和控制決策。包括遠動裝置和調度主站系統,是用來監控整個電網運行狀態的。調度自動化系統是電網調度和電網運行管理必不可少的技術手段,是電力系統重要基礎設施之一,關系到電網安全穩定運行。發電廠調度自動化系統作為電力監控系統的重要組成部分,其安全問題一直受到國家有關部門的重點關注。
3、電力二次系統安全防護工作開展情況
2002年,原國家經貿委第30號令《電網和電廠計算機監控系統及調度數據網絡安全防護規定》,提出了電網和電廠計算機監控系統及調度數據網絡安全防護的基本原則,即“電力系統中,安全等級較高的系統不受安全等級較低系統的影響”,明確要求要實現兩個隔離:電力監控系統與辦公自動化系統或其他信息系統之間以網絡方式互聯時,必須采用經國家有關部門認證的專用、可靠的安全隔離設施;電力調度數據網應在物理層面上與公用信息網絡安全隔離。電監會成立以后,在充分總結以往工作的基礎上,明確提出了“安全分區、網絡專用、橫向隔離、縱向認證”的二次系統安全防護總體策略,使電力行業二次系統安全防護工作進入了實質建設階段。
2005年以來,電力行業按照《電力二次系統安全防護規定》(電監會5號令)及相關配套文件要求,從規章制度、組織體系、資金保障、人員管理及分區防御、網絡安全、數據防護等方面開展了一系列富有成效的工作,初步建立了覆蓋全行業的二次系統安全防護體系,防護能力顯著提高。隨著網絡安全威脅的日趨嚴重和升級,二次系統安全防護工作所面臨的安全形勢更加嚴峻。
4、調度自動化系統二次防護的主要策略
電力二次系統安全防護方案根據電力系統的特點及各相關業務系統的重要程序、數據流程、目前狀況和安全要求,將整個電力二次系統分為四個安全區:Ⅰ實時控制區、Ⅱ非控制生產區、Ⅲ生產管理區、Ⅲ管理信息區。
4.1 理順關系,合理整合接入業務
(1)調度自動化系統的橫向業務包括:第一、與辦公區域的生產管理信息系統(MIS)的接口。傳統的訪問方式是通過通信網關或WEB服務器實現數據的通信。若想達到橫向安全防護的目標,位于安全區Ⅱ的通信網關或WEB服務器與位于安全區Ⅲ的MIS系統之間必須采用經有關部門認定核準的專用隔離裝置,使MIS系統的用戶終端僅可以通過專用隔離裝置瀏覽WEB服務器上的調度自動化信息,禁止其MIS系統向調度自動化系統發出數據請求。第二、與電能量計量系統、競價上網系統的接口。為使這些位于安全區Ⅱ的系統能夠安全可靠地實現數據業務的傳輸,就要求調度自動化系統與這些系統之間增加硬件防火墻。
(2)調度自動化系統的縱向業務包括:第一、專線通道。通過專線通道和特定的通信協議實現廠站RTU裝置與調度主站EMS系統間的通信。這類接口暫不考慮安全問題。第二、網絡通信接口。通過通信網關實現廠站與調度主站間的通信。為確保處理安全區Ⅰ的各系統能夠安全可靠地實現數據業務的傳輸,就要求調度自動化系統與這些系統之間加設縱向加密認證裝置,再經電力通信數據網絡(SPTnet)進行通信。第三、遠程維護接口。系統維護人員或開發商可以通過撥號方式進行系統維護和故障處理。應加強口令的嚴格管理,在未采取安全防護措施前,不得開通通過撥號服務器接人遠程局域網的服務。
4.2 分區隔離,實施安全防護和加密認證
(1)縱向加密認證:在縱向傳輸防護方面,發電廠調度自動化系統依據傳輸業務的實時性和重要性進行分類傳輸保護。遠動裝置RTU采集數據、脫硫數據、同步相量采集裝置PMU采集數據、電壓自動控制系統AVC采集數據作為Ⅰ實時控制區數據直接接入區內專用交換機,并通過縱向認證裝置接入路由器。電量信息、保護信息子站數據等作為Ⅱ非控制生產區數據業務直接接入區內專用交換機,經防火墻連接至路由器。
各業務系統均直接通過專用交換機實現與上級調度部門的相應業務實現對口通信。為實現對不同安全區域的業務隔離,調度數據網通過縱向認證裝置和防火墻實現對Ⅰ區和Ⅱ區的安全隔離,兩個區域之間的業務不能通過網絡彼此通信。從而減少數據傳輸的中間環節,縮短了傳輸時間,有效地兼顧了二次系統對安全防護強度和數據傳輸實時性的要求。
工作票申請系統、報價系統作為發電廠的Ⅱ區業務接入相應的電力信息專網。以發電廠工作票申請系統為例,由于電力網調度生產信息網為電力內網,終端用戶接入網內時需要進行安全加固和安全隔離。也就是要做到內外網物理隔離,專機專用,同時增加網絡防火墻解決安全隔離的作用。每個用戶終端需要安裝上級電力調度部門簽發的電力調度系統設備數字證書,以保證電廠能及時、安全的獲取調度生產管理信息。
(2)橫向單向隔離:橫向傳輸防護方面,發電廠調度自動化系統主要是微機監測及發電負荷調度系統與安全區Ⅲ的廠信息系統之間的安全防護。一般加設橫向單向安全隔離裝置實現安全防護和隔離目的。生產區域的實時信息經過該物理隔離裝置單向傳輸給WEB服務器,且不接受來自外網的WEB服務器上任何信息和操作。辦公區域的工作站也只能通過外網的WEB服務器瀏覽生產區域的實時信息,從而有效保護內網的服務器和相關子系統設備,實現生產控制大區與管理信息大區之間的高強度的物理隔離,更好地保障電力生產監控系統的安全穩定運行。
4.3 軟件的安全防護功能
(1)分組用戶管理權限:計算機在網絡中的應用,存在兩種身份:一種是作為本地計算機,用戶可以對本地的計算機資源進行管理和使用;另一種是作為網絡中的一份子。高級的操作系統,都支持多用戶模式,可以給使用同一臺計算機的不同人員分配不同的帳戶,并在本地分配不同的權限。對于調度自動化系統所有后臺服務器,應全部實行分級用戶權限進行管理。
(2)設定高強度口令密碼:生活在信息時代的今天,在電力企業的網絡環境里,密碼顯得尤為重要。調度自動化系統所有后臺維護及操作平臺,均設有高強度口令密碼。只有擁有口令密碼的專業技術人員方能有權登錄,并進行相關安全操作。網絡管理人員應具有強烈的安全防護意識,設置以字母、數字、符號相互組合,且長度大于8位的口令密碼,并定期更換,可以有效地防止被黑客破解與攻擊,保護電力企業內部的調度自動化系統安全穩定,尤為重要。
(3)規范執行制度:調度自動化專業應有明確制度規定,定期進行系統數據異地存儲及備份。日常操作時,必須使用專用的移動存儲設備,任何人員均不得使用來歷不明的移動存儲設備。
5、結語
計算機網絡安全是電力生產安全密不可分的一部分。除了依據國家規定建立可靠的網絡安全技術構成的安全防護體系外,還必須建立健全完善的網絡安全管理制度,形成技術和管理雙管齊下的態勢,以確保網絡安全這一最終目的的逐步實現。同時,調度自動化安全防護是一個長期的、動態的工作過程。在隨著人員、技術、外界風險不斷變化發展,以及調度自動化系統應用與開發環境的不斷變化發展,安全目標與防護措施也隨之不斷發展和變化。調度自動化系統的安全管理需要及時跟進并應用新技術,定期進行風險評估、加強管理,才能保障電力行業調度安全穩定、可靠地長周期運行。
參考文獻
[關鍵詞]火力發電廠;低壓電氣供配電設備;設計原則;安全管理現狀;安全防護措施
中圖分類號:D622 文獻標識碼:A 文章編號:1009-914X(2016)25-0041-01
引言
在國家的大力扶持下,火力發電廠得到了很大的發展,在很多相關的電氣設備或者組件中都加入了現代技術。隨著運營規模的不斷擴大以及技術的提升,火電廠低壓供配電以及設備的安全運行問題面臨著更大的挑戰,也急需相關人員予以足夠的重視。在實踐中發現,火力發電廠低壓供配電以及設備運行的安全穩定性是直接與相關人員的工作素質、安全管理制度、技術掛鉤的,所以提升工作人員技能水平、加強安全管理,才能對火電廠低壓供配電與設備安全運行產生極大的積極作用。
一、火力發電廠低壓電氣供配電的設計原則
火力發電廠的低壓電氣供配電設備主要由發電設備、變電設備、供配電設備以及照明設備組成,四個部分相互影響,相輔相成,可單獨也可結合使用。在對供配電系統進行設計中,主要可能受到電網供電條件以及相關投資的影響。為盡可能科學合理地設計出一套適用的供配電系統,相關設計人員應當增加搜索力度,考慮盡可能多的影響因素,并遵守以下幾條原則:
1)在保證供電安全可靠的前提下,使設計出的供配電系統供電效果質量滿足人們需要,與此同時,該設計還能滿足相關用電設備的要求;
2)在設計時,盡可能保證供配電設備接線的簡單便捷以及安全性,便于后期出現故障時的拆裝以及維護工作;
3)要有預見意識,提前結合實際情況以及經驗等明確用電負荷可能存在的增長情況,為其留一定的空間預備。
二、火力發電廠低壓電氣供配電和設備安全運行的現狀
火力發電廠的低壓電氣供配電以及設備的運行的安全性和穩定性都將直接影響單位的成本以及工作效率,關系到發電廠經濟效益。而要從根本上提高單位工作效率,保證供配電及設備安全運行,就必須知道其運行的現狀,明確影響因素,才能真正做到對癥下藥。對于火力發電廠低壓供配電與設備運行現狀及遇到的問題可主要從以下幾個方面體現:
1)安全管理工作量大。在這個科技飛速發展的時代,發電廠在擴展公司規模的同時,也引進了很多先進的儀器儀表,雖然在一定程度上 ,現代化的儀器可以增加工作準確度,提升效率,但是在信息的傳輸、保存以及查詢等方面無疑大大增加了工作量。因人員的限制,往往會影響到信息的真實有效和安全性,降低工作效率;
2)相關人員工作技能以及安全意識可能還有所欠缺。在火力發電廠低壓電氣供配電及設備安全運行中的各個操作都應該嚴格服從相關規則。對于工作人員,單位還應針對不同崗位層次進行有目的性的訓練,提高員工安全意識及工作技能,更新知識,以此來降低事故發生的可能性。在進行安全管理中,應事先分配好各個員工的具體工作,完善安全責任的制度,幫助員工了解自身的職責范圍,也方便查找問題來源。
3)客戶用電安全知識不夠, 造成一些安全問題。在低壓電氣供配電設備安全管理中,應該加大設備終端安全維護知識的普及。同時單位也應做好定期檢測維修的工作,確保低壓電氣供配電設備運行的安全性。
三、火力發電廠低壓電氣供配電和設備安全運行防護對策
3.1 電氣設備的安全防護分析
根據相關數據分析顯示,環境的復雜多變是將會直接影響電氣設備的運行,影響安全防護的效果,直接降低電氣設備運行效率,甚至發生嚴重的電氣事故。
對于內蒙古地區來說,中西部深處內陸,很少降雨,氣候相對干燥,易形成沙漠地區,粉塵重;東北部地區則由于氣旋活動頻繁,降水多,空氣濕度大。內蒙古整體屬于干旱半干旱地區。以上所提的粉塵污染,空氣濕度大以及設備的一些腐蝕等都是環境上造成電氣設備出現安全問題的原因所在。
對此,火力發電廠的低壓電氣設備安全防護總得來說就應該重點屏蔽上述環境問題,通過密封結構以及防護物等結合使用,從而有效隔離環境有害因素與低壓電氣設備,切實提高低壓電氣設備運行的安全性。
3.2 火力發電廠對低壓電氣供配電以及設備安全運行的具體安防措施
為真正意義上實現低壓供配電設備的安全運行,火力發電廠應系統分析當下設備情況,環境因素,采取科學合理的方法加以防護,以保證其運行的安全性、穩定性以及可靠性。具體安全防護措施如下:
1)相關施工人員安裝低壓電氣供配電設備時,應該嚴格根據相關規范標準,配好安全設施,并在確定的架空結構周圍安全距離內工作,以保證安全規范性。根據相關標準,當相近的架空線路電壓在1千伏到10千伏之間時,安全距離即架空線路和架具結構邊緣距離應該大于6m;而在電壓等級小于一千伏時,安全距離則不能小于4m。
2)在進行施工操作時,在臨近架空線路的位置應該避免使用腳手架。對低壓線路進行敷設時,最好采用地下敷設或者架空。如果因為其他因素導致施工時沒法設安全距離 ,則應該在存在安全隱患的位置加強防護工作,以保證工作安全順利進行。
3)在高壓或者低壓線路鋪設下方,不能進行建筑施工項目。包括工程施工所需的臨時作業棚以及生活物品等都應避免出現在高壓或者低壓線路鋪設下方。對此相關部門還應專門設置巡查人員,以防一些雜物放置在高低壓線路敷設周圍。
低壓電氣供配電及設備運行的安全性不僅關系到火電廠的運營以及經濟效益,更是事關工作人員的安全問題,自然不容忽視。一般來說低壓電氣供配電系統常見的問題有:①低壓電氣供配電設備電壓不平衡;②設備開關出現問題;③運行時聲音異常;④設備溫度不斷上升。相關工作人員在低壓電氣設備運行時,應該提高警惕,嚴格把控各個環節,按照相關規定規范操作。一旦發現故障,必須及時并冷靜分析出現故障的原因,進行修復,保證其運行安全。
四、結論
總的來說,在國家的扶持下,隨著電氣事業的不斷發展,低壓供配電及設備的安全運行作為火力發電廠至關重要的一份子,需要單位足夠重視,并采取有效措施改善,才能真正提高單位的工作效率以及經濟收益,保證工作人員施工安全。為了實現這一目的,就必須首先認清火力發電廠低壓電氣供配電設備的運行現狀,了解安全隱患,才能針對性地不斷改進安全管理體系,完善相關制度。與此同時,提升相關工作人員的安全意識以及工作技能也是十分重要的,如此才能真正保證火電廠低壓電氣供配電及設備運行的安全性和穩定性。
參考文獻:
[1]陳威.提升建筑結構抗地震倒塌能力的設計思想與方法研究[J]. 低碳世界,2016,04:127-128.
現就此項工作的開展情況向大家作一下匯報:
一. 領導重視、措施得力:
1. 成立專門的二次系統安全防護領導小組:
組長: 總工程師
副組長:副總工程師、生技部主任
成員:生產技術部、運行部、信息中心、儀控部專業負責人
2.組織安全防護小組人員認真學習電監會的文件精神,在思想、行動上提高對二次系統安全防護認識。
2. 領導牽頭,不定期組織人員對二次系統進行排查。
二. 各專業檢查情況:
1.運行專業
(1) 生產現場繼電保護、安自裝置運行管理規程、規定、典型操作票等符合上級調度要求及現場實際情況。
(2) 電網調度管理規程、公司生產調度規程已下發至現場;繼電保護、安自裝置狀態變更時,值班日志記錄規范。
(3) 嚴格執行操作票管理制度,二次設備狀態與上級調度要求一致;
(4) 完成機組勵磁系統、調速系統、PSS 的配置、參數與模型實測、整定情況核查,實測報告與計算分析數據一致性的核查。
(5) 安全自動裝置,包括安控規定、定值單、現場運行規程及時更新,設備檢修與維護的規程規定,裝置使用按規定編制典型操作票,異常及事故情況下的處理措施及報送分析滿足電網要求運行規程修訂升版工作正在進行中要求年底完成。
2.繼電保護專業:
(1) 執行落實繼電保護“四項規程”(技術規程、整定規程、檢驗規程、評價規程),對照2012 年新頒布《國家電網公司十八項電網重大反事故措施》整改。
(2) 繼電保護專業有檢驗計劃和檢驗報告,需完善現場設備巡檢記錄。標準化作業指導書、工作記錄;由專門的事件分析制度。
(3) 現場保護裝置及其信號燈的名稱正確,消缺及時,我公司有嚴格的消缺閉環流程,有嚴格的定值管理制度,嚴格按照制度執行,完善現場設備檢修記錄。
(4) 執行保護規程和專業管理規定,涉網保護執行涉網保護定值限額,執行檢驗計劃、反措和技改要求。
(5) 現場有部分備品,臺賬需完善。
(6) 控制和保護裝置直流電源設計要符合規程規定。
(7) 保護雙重化,雙通道。圖紙資料齊備,按照安徽省電網公司微機保護規程。
(8) 保護設備臺賬庫及設備臺賬管理情況及管理規定完善。
(9) 繼電保護班組及廠、站現場應備有齊全的與實際接線相符的竣工圖。對于本單位編制的繼電保護原理接線圖、展開圖和端子排圖經過本單位領導審核批準,并且印刷出版。
(10) 繼電保護技術改造新投產機組,無超期運行設備,暫無改造計劃。
(11) 涉網保護定值由省調下發,換算,輸入,經試驗驗證正確。
(12) 按照《微機保護軟件管理規定》統一管理廠站內微機繼電保護裝置的軟件版本。建立軟件版本檔案。軟件版本變更有說明相關記錄完整、清楚。
(13) 每月技術監督報表上報故障信息記錄、分析、處理等情況。
3.自動化專業
(1)自動化管理規程和制度是否齊全、管理責任到位。新擴建工程的設備資料,工程資料、調試驗收、竣工報告等齊全。
(2)具有自動化系統事故應急處理預案及網絡拓撲圖;部門的遠動崗位責任制度、遠動設備的技術管理制度、遠動設備的運行管理制度。
(3)雙路接入自動化通道,通訊主機雙機可靠切換。
(4)自動化監控系統數據備份方式、策略及實際執行符合要求;備份介質存放符合要求。
(5)備品備件管理制度齊備、備品備件(特別是測控單元或變送器)存放及記錄符合要求。
(6)采用雙路直流110V、專用UPS供電,實驗符合要求。
(7)有全廠對時系統柜圖紙,現場運行正常。
(8)電能量采集裝置為FFC+裝置,有完善巡回檢查記錄本。
(9)機房已涂刷防靜電漆,屏柜有專用接地。機房有空調及滅火器。
(10) 電廠機組涉網參數相關信號通過RTU送省調主站。采集省網要求的信號傳送正確,PMU裝置運行正常。
(11) 具備機組AGC(AVC)運行管理制度,機組AGC(AVC)相關信息按所屬調度機構的要求正確送至有關調度主站。
(12)發電廠為所有自動化設備配備自動化專職或專責運維人。
4.通信專業
(1)現場通信設備及機柜的安裝、接地、連接、標志、屏蔽、防雷等滿足要求;具有接地電阻測試報告;現場通信機房配備空調、滅火器材等必要的設施,無易燃易爆物品;現場機房具備動力環境監控,并將監控信息傳送至有人值班的場所。
(2)通信設備運行正常;圖紙資料臺帳齊全。
(3)通信設備電源可靠;符合規定;定期進行充放電試驗。
(4)具備兩路獨立路由;滿足“雙設備、雙路由、雙電源”要求。
(5)現場光纜、電纜布線滿足安全設計要求,標志清晰。
(6)具有完備的通信設備操作手冊或故障處理指南;制訂有詳細的、切實可操作的通信設備應急處理預案。
(7)制定了設備定期巡檢規定,有巡檢記錄。
(8)發電廠為所有通信設備配備通信專職或專責運維人員。
5.日常安全管理制度完善,不定期地對所有二次涉網設備進行安全隱患排查,消除安全隱患,保證設備的可靠運行。
三. 人員到位:
成立專門的二次系統安全防護領導小組,主管生產的總工程師黃學希任主要負責人,有指定的運行、繼電保護、通信、自動化專責負責本廠所轄電力二次系統的公共安全設施,明確各業務系統專責人的安全管理責任。
四. 物資到位:
所有涉網設備的易壞備件均已補充到位,隨時可以對損壞的設備進行更換。
五. 積極與電網公司聯系、溝通、合作:
1. 我公司在建設時期,凡涉及到涉網設備的采購、安裝調試,均與電網公司專業負責人進行聯系溝通,以保證能選到最理想的設備接入電網公司。
【關鍵詞】 二灘水電站 二次系統 安全防護
1 概述
二灘水電站地處中國四川省西南邊陲攀枝花市鹽邊與米易兩縣交界處,雅礱江下游,壩址距雅礱江與金沙江的交匯口33公里,距攀枝花市區46公里,系雅礱江水電基地梯級開發的第一個水電站,上游為官地水電站,下游為桐子林水電站。水電站最大壩高240米,水庫正常蓄水位1200米,總庫容57.9億立方米,調節庫容33.7億立方米,裝機總容量330萬千瓦,保證出力102.8萬千瓦,多年平均發電量170億千瓦時,兩回500kV出線接入攀枝花電網,三回500kV出線接入四川主網,并擔當四川電網主力調峰、調頻任務。
隨著網絡技術、信息技術在電力系統的廣泛應用,網絡與信息系統已經成為電力系統生產、運營和發展的基礎設施。信息安全風險作為電力企業信息安全風險管理的基本內容,是電力系統各級單位信息安全保障體系的重要內容,其中二次系統安全更是重中之重。
2 二灘水電站二次系統安全防護的必要性
二灘水電站生產控制系統在可靠性方面已經采取了防電磁干擾、冗余等措施,但是隨著2011年12月實現成都集控中心遠程控制二灘水電站,在通信鏈路上冒充、篡改、竊收、重放等類型的網絡威脅也不斷增加,嚴重影響到電力生產信息的完整性、真實性和一致性。同時隨著設備老化,消缺及改造的增加,生產控制系統在調試及維護階段,廠家人員以及相關班組通過移動工作站進入電力生產控制系統,出于安全意識薄弱、商業競爭或政治目的會置入邏輯炸彈、蠕蟲等惡意代碼,破壞電力生產控制系統的正常穩定運行的風險也不斷增大,二次系統安全問題日益凸顯。因此,二灘水電站于2011年8月啟動集控邊界二次安防系統建設。
3 二灘水電站二次系統安全防護系統的構成
二灘水電站按照《電力二次系統安全防護規定》和《全國電力二次系統安全防護規定》,根據電力二次系統安全防護總體原則“安全分區、網絡專用、橫向隔離、縱向認證”的要求,二灘水電站二次系統安全防護按安全等級劃分為兩個大區,即:生產控制大區和管理信息大區。生產控制大區劃分為安全Ⅰ區(實時控制區)和安全區Ⅱ(非控制生產區);管理信息大區劃分為安全Ⅲ區(生產管理區)。安全Ⅰ區主要包括計算機監控系統和穩定監錄裝置,安全Ⅱ區主要包括安控信息、保護信息和能量計費系統,安全Ⅲ區主要包括工業電視系統。二次安防系統圖如圖1。
3.1 二灘水電站二次系統安全Ⅰ區安全防護措施
二次系統安全Ⅰ區的計算機監控系統為整個電站的核心,一旦遭受網絡攻擊、惡意代碼等網絡安全威脅,對于電站自身安全生產乃至四川電網安全都構成嚴重威脅,必須采用最為嚴格的技術手段來確保其安全。二灘水電站穩定監錄系統為四川省電網穩定性監錄系統的重要監測點之一,為四川省電網穩定性監錄系統提供實時數據,為電網的安全穩定運行提供分析依據設,其信息安全直接關系到四川電網的穩定性,必須作為安全防護的重點。避免網絡威脅的最直接辦法就是減少與外部網絡的連接,并在網絡邊界處采取嚴格防侵入措施。如圖1所示,二灘水電站安全I區的主要防護措施如下:
(1)安全I區內系統在本站范圍內不與任何外部網絡連接,確保其網絡的獨立性。
(2)在安全I區與省調的縱向通信網絡邊界處裝設衛士通SJW77電力專用縱向加密認證裝置。該裝置采用國密辦批準的專用密碼算法以及電力系統安全防護專家組制定的特有封裝格式,在協議IP層實現數據的封裝、機密性、完整性和數據源鑒別等安全功能。
(3)在安全I區與成都集控中心縱向通信網絡邊界處裝設南瑞NetKeeper-2000縱向加密認證網關。該設備采用國密碼辦批準的電力系統專用加密芯片實現網絡層數據的加密,所有密鑰協商和密文通信均采用專用的安全協議。提供長度高達128位加密算法,抗攻擊性強,破解難度高,充分保證數據的機密性。提供長度高達160位密鑰散列算法,抗攻擊強度高,嚴格防止用戶篡改數據,保證數據的完整性。
(4)配置一套安全審計TDS管理系統。其針對站內監控系統網絡及監控系統與省調、集控中心網絡邊界,可通過全面漏洞掃描探測、操作系統信息采集與分析、日志分析、木馬檢查、安全攻擊仿真、網絡協議分析、系統性能壓力、滲透測試、安全配置檢查、進程查看分析、數據恢復取證(定制)、網絡行為分析等多個維度對網絡安權檢測分析,一旦發現網絡威脅,系統會迅速通過網絡備份與災難恢復系統進行快速恢復。
(5)監控系統主服務器采用UNIX操作系統,降低病毒風險。
(6)在每臺操作員站及工程師站裝設殺毒軟件,并及時更新數據庫。
(7)移動工程師站接入安全I區時,必須通過硬件防火墻
通過上述多項安全防護措施,二灘水電站安全I區能有效防止惡意攻擊、數據篡改及數據竊取等網絡威脅,符合二次系統安全防護的整體要求。
3.2 二灘水電站二次系統安全Ⅱ區安全防護措施
二次系統安全防護Ⅱ區包括電站側能量計費系統、安控信息、及保護信息。其數據通信使用電力調度數據網的非實時子網,數據采集頻度是分鐘級或小時級,為非控制網,其二次安防按照遠程撥號訪問生產控制大區的防護策略,設防等級低于安全Ⅰ區。如圖1所示,安全Ⅱ區的防護措施如下:
(1)安控裝置與保護信息裝置之間裝設華為USG2000型防火墻,能有效起到入侵防御、防病毒等安全防護,確保安控裝置的安全性。
(2)二灘水電站安全Ⅱ區與省調網絡邊界裝設華為USG2000型防火墻,確保站內安全Ⅱ區不受來自外網絡的網絡入侵、病毒等網絡威脅。
(3)安全Ⅱ區網絡除省調邊界外,與外網隔離,不采用WEB服務器,保證專網專用,避免來自其他網絡的網絡安全威脅。
通過上述多項安全防護措施,二灘水電站安全Ⅱ區能有效防止來自內部及外部的網絡威脅,符合二次系統安全防護的整體要求。
3.3 二灘水電站二次系統安全Ⅲ區安全防護措施
二次系統安全Ⅲ區主要是工業電視系統。工業電視系統作為全站設備輔助監視的一個重要手段,能很好地為雅礱江公司集控中心在電站無人值班時,及時監控現場設備運行情況,大幅提升電站運行的可靠性。其安全防護特點雖不如安全Ⅰ區、Ⅱ區嚴格,但也不能忽視。二次系統安全Ⅲ區同樣采用專網專用,不與Ⅰ區、Ⅱ區相連,在與雅礱江公司集控中心網絡邊界處裝設華為USG2000型防火墻,保證安全Ⅲ區免受網絡入侵和控制。
4 二灘水電站二次系統安全防護系統運行管理
安全管理是電力系統安全的重要保障,二灘水電站的二次系統分布廣,不易管理,所以“三分技術,七分管理”中管理亦不能忽視。二灘水電站是國內首座通過NOSCAR認證的大型水電站,其對安全的重視尤為突出,針對二次系統安全防護的重要性,通過制度管理來保證其安全運行。
(1)實行安全責任追究制度,出現問題嚴格按照制度進行責任追究和考核。
(2)借助電站NOSA安全體系建設,強化員工安全意識,明確二次安防系統的重要性。
(3)加強用戶權限管理,運行人員僅具備查看、操作權限,參數配置、修改,系統維護等權限由檢修監控班統一管理。
(4)針對系統維護、消缺等工作制定嚴格工序卡,專業人員必須按照工序卡來執行。
(5)系統數據提取采用光盤刻錄方式進行,杜絕其他移動儲存設備的接入。
(5)建立機房管理制度并嚴格執行。
(6)制定應急預案,確保二次系統故障后能迅速、有效處置,限制、減小影響范圍。
5 結語
隨著水電站自動化水平的不斷提升,遙測、遙信、遙控和遙調設備的不斷增加,網絡安全威脅的不斷多元化,二次系統的安全足以影響整個電站的安全生產,所以二次系統安全防護需要技術不斷升級,管理不斷加強,保證電力生產安全。
二灘水電站二次系統安全防護工作按照國家電力二次系統安全防護的總體原則,結合電站自身情況,通過加密認證技術、防火墻技術、入侵檢測技術和網絡防病毒技術,對站內二次系統進行了有效防護,能有效保證其安全、穩定運行。
參考文獻:
[1]王群,潘亮.紫平鋪水力發電廠二次系統安全防護簡介[J].機電技術,2012,(5):57-59.
[2]電力二次系統安全防護規定(電監會5號令)[S].2004.
關鍵詞:液氨;重大危險源;應急預案
中圖分類號:X921 文獻標識碼:A
1 概述
根據國家標準《火電廠大氣污染物排放標準》(GB13223-2011)的規定,2014年7月1日起,現有火力發電鍋爐及燃氣輪機組(2012年1月1日之前建成投產或環境影響評價文件已通過審批的火力發電鍋爐及燃氣輪機組),其氮氧化物(以NO2計)排放限值應達到100mg/m3的要求。為滿足該標準要求,現有火力發電鍋爐需要采取不同方式的鍋爐煙氣脫硝改造方案,根據我單位參與評價的項目情況,多數火電廠采用選擇性催化還原技術或選擇性非催化還原技術,以液氨作為還原劑。由于煙氣脫硝技術對于多數火電廠而言,屬于相對比較新的事物,因此,在氨區的管理上,存在一定的不足和有待完善之處。本文將結合目前火電廠氨區管理存在的問題和不足進行分析,并在此基礎上提出對策建議。
2 氨區管理存在的主要問題
2.1 安全防護設施不完善
火電廠氨區安全防護設施的設置及管理方面存在的問題主要表現在氨區周圍實體圍墻的高度不夠(或采用金屬圍欄代替實體圍墻);安全標志數量不足;靜電釋放裝置安裝位置不當;卸氨場地用于連接罐車和接地裝置的跨接線生銹處理不及時以及防雷、防靜電裝置的定期檢測等方面存在明顯的不足。
此外,個別火電廠對氨區總平面布置、防爆型電氣設備選用、防雷防靜電設施、防中毒等方面能夠引起足夠的重視,但是對氨區內控制室、配電間等的重視程度不夠,不如對廠內其他控制室、配電間的重視程度。如滅火器配置數量不足,未放置在明顯便于取用的地點;未設置事故應急照明;配電間缺少事故通風設備等。
2.2 壓力容器管理不到位
火電廠對于特種設備的管理模式各不相同,有些電廠對于機電類特種設備(如起重機械、電梯等),由廠內安監部門專人負責管理;而對于承壓類特種設備,則按專業劃分,由汽機、鍋爐等相關專業各自負責管理。從而造成氨區壓力容器的登記注冊、定期檢驗等管理工作被遺漏,進而為日后安全管理留下安全隱患。要知道,氨區壓力容器的介質為液態氨或氣態氨,具有火災、爆炸危險性和毒性,一旦發生壓力容器超溫、超壓,液氨泄漏,極易發生火災、爆炸事故和中毒事故,后果極其嚴重。
2.3 重大危險源管理不到位
液氨屬于列入《危險化學品重大危險源辨識》(GB18218-2009)中的危險化學品,構成重大危險源的臨界量為10t。以目前火電廠氨區中液氨儲罐采用較多的規格:容積為60m3,儲存系數為0.9的1臺液氨儲罐為例進行簡單計算,液氨的相對密度為0.82(水=1),因此,1臺液氨儲罐中氨的貯存量為:60(m3)×0.9×0.82(t/m3)=44.3t,已超過臨界量。在通常情況下,裝機容量為2×300MW級機組的火電廠需安裝2臺同等規格的液氨儲罐。可見,大部分火電廠的氨區已經構成重大危險源。然而,火電廠的氨區管理往往未能及時納入重大危險源管理的范疇。
3 事故后果分析及典型案例
根據《危險化學品名錄》,液氨屬于第2.3類有毒氣體。低濃度氨對粘膜有刺激作用;高濃度氨或液氨可致眼、皮膚灼傷以及組織溶解壞死。工作場所中氨的時間加權平均容許濃度為20mg/m3;短時間接觸容許濃度為30mg/m3。除具有毒性外,氨還具有火災爆炸危險性,氨與空氣混合能形成爆炸性混合物,爆炸下限為15.7%,爆炸上限為27.4%,最大爆炸壓力0.58MPa。液氨管理不善引發事故的案例在火電廠尚不多見,但在其他行業卻常有發生,應該引起足夠的重視。例如:2002年7月,山東省聊城某化肥廠發生液氨泄漏事故,共泄漏液氨約20t,造成13人死亡,24人重度中毒。
2005年6月,寶雞市某電解錳廠發生一起液氨泄漏事故,造成16人中毒。泄漏原因是一載有3t液氨的槽車在向液氨罐輸送液氨時,輸送管突然破裂引起的。
2006年11月1日上午7時50分左右,湖北孝感市大悟縣境內一氮肥廠發生液氨泄漏事故,氨氣隨風進入大悟縣城區,近2萬城區居民被迫緊急疏散,事故共造成1人死亡、6人受傷。
4 氨區管理應加強的工作
根據液氨的理化特性,并結合其他行業已經發生液氨泄漏事故造成的嚴重后果可知,在氨區管理上的任何疏漏,都容易造成嚴重的事故后果,因此必需引以為戒,及時消除隱患,防患于未然。從目前火電廠氨區管理存在的問題看,重點應抓好以下幾方面的工作。
4.1 完善安全設施管理
根據現行標準要求,氨區周圍的實體圍墻應完整,滿足2.2m的高度要求,當利用廠區圍墻時,該段圍墻高度不應低于2.5m。應設置“嚴禁煙火”等明顯的警告標示牌及進入氨區管理制度。氨區靜電釋放裝置應設置在氨區入口處,與接地網進行有效連接。按期進行防雷、防靜電裝置接地電阻測試。氨區消防器材應納入全廠消防器材管理,進行日常巡視、檢查和維護,及時更換過期或失效的滅火器材,確保好用。從根源上杜絕火源是防止氨區發生火災爆炸事故的有效途徑。
氨區內氨作業場所的醒目位置應裝設“有毒物品作業場所職業病危害告知卡”,張貼符合GBZ158規定的警示標識和職業衛生作業守則。輸送氨的管道系統、設備、閥門、安全設施、泵及其他固定設備均應貼上標簽或注明記號以識別所輸送的有毒物質,以便作業人員能夠采取有效的個體防護設施,降低職業病發生幾率。有毒氣體檢(探)測器的選擇、布設及定期檢定應嚴格執行標準要求,以便作業人員及時掌握作業場所空氣中的氨氣濃度,以判斷作業環境是否安全,是否需要采取相應措施等。風向標的安裝應能夠顯示工作區空氣流向,容易觀測且遠離阻風物體,安裝在空曠處,風向標應轉動靈活,顏色醒目,在事故情況下為人員疏散、逃生提供依據,防止事故進一步擴大。
對氨區內的安全設施進行全面的管理,除應重視對主要設備的管理,也不能放松對氨區內控制室、配電室等輔助設施的管理,嚴格執行現行相關標準的要求。
4.2 加強壓力容器管理
氨區壓力容器在條件允許的情況下,應納入全廠壓力容器統一管理,在投入使用前或者投入使用后30日內,火電廠應當向所在地的登記機關申請辦理使用登記,領取使用登記證。應逐臺建立壓力容器技術檔案并且由其管理部門統一保管。應當在工藝操作規程和崗位操作規程中,明確提出壓力容器安全操作要求。壓力容器的安全管理人員和操作人員應當持有相應的特種設備作業人員證,按期每4年復審一次。
4.3 加強重大危險源管理
火電廠應該對本單位氨區是否構成重大危險源進行辨識,對于構成重大危險源的,應按重大危險源的相關要求進行管理。
建立、健全重大危險源安全管理規章制度,制定重大危險源安全管理與監控的實施方案。對本單位的重大危險源進行登記建檔,建立重大危險源管理檔案,按照國家和地方有關部門重大危險源申報登記的具體要求,在每年3月底前將有關材料報送當地縣級以上人民政府安全生產監督管理部門備案。電廠的主要負責人要保證重大危險源安全管理與檢測監控所必需的資金投入。
對相關崗位從業人員進行安全生產教育和培訓,使其熟悉氨區安全管理制度和安全操作規程,掌握本崗位的安全操作技能等。將氨區可能發生事故時的危害后果、應急措施等信息告知周邊單位和人員。
至少每3年要對氨區進行一次安全評估。已經進行安全評價并符合重大危險源安全評估要求的,可不必進行安全評估。對重大危險源的安全狀況以及重要設備設施進行定期檢查、檢測、檢驗,并做好記錄。
4.4 加強應急救援管理
制定氨區應急救援預案,制定的應急預案應完善、可靠、有效,具有可操作性。應包括液氨泄漏后與周邊居民、單位的聯動,及時疏散人員等內容。配備必要的救援器材、裝備,并保持完好。每年進行一次事故應急救援演練,及時總結預案的缺陷和不足,不斷完善預案內容。氨區應急救援預案必須報送當地縣級以上人民政府安全生產監督管理部門備案。
4.5 其他
加強氨區的日常管理,要求所有進入氨區的人員必須進行登記并不得攜帶火種,人員進、出氨區后必須上鎖。
結語
氨區對于火電廠而言屬于比較新鮮的事物,應該通過不斷學習來強化對其的認識;通過完善安全防護設施和加強日常安全管理,來消除事故隱患,防止事故發生。
參考文獻
關鍵詞:P2DR模型 主動防御技術 SCADA 調度自動化
隨著農網改造的進行,各電力部門的調度自動化系統得到了飛快的發展,除完成SCADA功能外,基本實現了高級的分析功能,如網絡拓撲分析、狀態估計、潮流計算、安全分析、經濟調度等,使電網調度自動化的水平有了很大的提高。調度自動化的應用提高了電網運行的效率,改善了調度運行人員的工作條件,加快了變電站實現無人值守的步伐。目前,電網調度自動化系統已經成為電力企業的"心臟"[1]。正因如此,調度自動化系統對防范病毒和黑客攻擊提出了更高的要求,《電網和電廠計算機監控系統及調度數據網絡安全防護規定》(中華人民共和國國家經濟貿易委員會第30號令)[9]中規定電力監控系統的安全等級高于電力管理信息系統及辦公自動化系統。各電力監控系統必須具備可靠性高的自身安全防護設施,不得與安全等級低的系統直接相聯。而從目前的調度自動化安全防護技術應用調查結果來看,不少電力部門雖然在調度自動化系統網絡中部署了一些網絡安全產品,但這些產品沒有形成體系,有的只是購買了防病毒軟件和防火墻,保障安全的技術單一,尚有許多薄弱環節沒有覆蓋到,對調度自動化網絡安全沒有統一長遠的規劃,網絡中有許多安全隱患,個別地方甚至沒有考慮到安全防護問題,如調度自動化和配網自動化之間,調度自動化系統和MIS系統之間數據傳輸的安全性問題等,如何保證調度自動化系統安全穩定運行,防止病毒侵入,已經顯得越來越重要。
從電力系統采用的現有安全防護技術方法方面,大部分電力企業的調度自動化系統采用的是被動防御技術,有防火墻技術和入侵檢測技術等,而隨著網絡技術的發展,逐漸暴露出其缺陷。防火墻在保障網絡安全方面,對病毒、訪問限制、后門威脅和對于內部的黑客攻擊等都無法起到作用。入侵檢測則有很高的漏報率和誤報率[4]。這些都必須要求有更高的技術手段來防范黑客攻擊與病毒入侵,本文基于傳統安全技術和主動防御技術相結合,依據動態信息安全P2DR模型,考慮到調度自動化系統的實際情況設計了一套安全防護模型,對于提高調度自動化系統防病毒和黑客攻擊水平有很好的參考價值。
1 威脅調度自動化系統網絡安全的技術因素
目前的調度自動化系統網絡如iES-500系統[10]、OPEN2000系統等大都是以Windows為操作系統平臺,同時又與Internet相連,Internet網絡的共享性和開放性使網上信息安全存在先天不足,因為其賴以生存的TCP/IP協議缺乏相應的安全機制,而且Internet最初設計沒有考慮安全問題,因此它在安全可靠、服務質量和方便性等方面存在不適應性[3]。此外,隨著調度自動化和辦公自動化等系統數據交流的不斷增大,系統中的安全漏洞或"后門"也不可避免的存在,電力企業內部各系統間的互聯互通等需求的發展,使病毒、外界和內部的攻擊越來越多,從技術角度進一步加強調度自動化系統的安全防護日顯突出。
2 基于主動防御新技術的安全防護設計
2.1 調度自動化系統與其他系統的接口
由于調度自動化系統自身工作的性質和特點,它主要需要和辦公自動化(MIS)系統[6]、配網自動化系統實現信息共享。為了保證電網運行的透明度,企業內部的生產、檢修、運行等各部門都必須能夠從辦公自動化系統中了解電網運行情況,因此調度自動化系統自身設有Web服務器,以實現數據共享。調度自動化系統和配網自動化系統之間由于涉及到需要同時控制變電站的10 kV出線開關,兩者之間需要進行信息交換,而配網自動化系統運行情況需要通過其Web服務器公布于眾[5],同時由于配網自動化系統本身的安全性要求,考慮到投資問題,可以把它的安全防護和調度自動化一起考慮進行設計。
2.2 主動防御技術類型
目前主動防御新技術有兩種。一種是陷阱技術,它包括蜜罐技術(Honeypot)和蜜網技術(Honeynet)。蜜罐技術是設置一個包含漏洞的誘騙系統,通過模擬一個或多個易受攻擊的主機,給攻擊者提供一個容易攻擊的目標[2]。蜜罐的作用是為外界提供虛假的服務,拖延攻擊者對真正目標的攻擊,讓攻擊者在蜜罐上浪費時間。蜜罐根據設計目的分為產品型和研究型。目前已有許多商用的蜜罐產品,如BOF是由Marcus Ranum和NFR公司開發的一種用來監控Back Office的工具。Specter是一種商業化的低交互蜜罐,類似于BOF,不過它可以模擬的服務和功能范圍更加廣泛。蜜網技術是最為著名的公開蜜罐項目[7],它是一個專門設計來讓人"攻陷"的網絡,主要用來分析入侵者的一切信息、使用的工具、策略及目的等。
另一種技術是取證技術,它包括靜態取證技術和動態取證技術。靜態取證技術是在已經遭受入侵的情況下,運用各種技術手段進行分析取證工作。現在普遍采用的正是這種靜態取證方法,在入侵后對數據進行確認、提取、分析,抽取出有效證據,基于此思想的工具有數據克隆工具、數據分析工具和數據恢復工具。目前已經有專門用于靜態取證的工具,如Guidance Software的Encase,它運行時能建立一個獨立的硬盤鏡像,而它的FastBloc工具則能從物理層組織操作系統向硬盤寫數據。動態取證技術是計算機取證的發展趨勢,它是在受保護的計算機上事先安裝上,當攻擊者入侵時,對系統的操作及文件的修改、刪除、復制、傳送等行為,系統和會產生相應的日志文件加以記錄。利用文件系統的特征,結合相關工具,盡可能真實的恢復這些文件信息,這些日志文件傳到取證機上加以備份保存用以作為入侵證據。目前的動態取證產品國外開發研制的較多,價格昂貴,國內部分企業也開發了一些類似產品。
2.3 調度自動化系統安全模型
調度自動化安全系統防護的主導思想是圍繞著P2DR模型思想建立一個完整的信息安全體系框架,P2DR模型最早是由ISS公司提出的動態安全模型的代表性模型,它主要包含4個部分:安全策略(Policy)、防護(Protection)、檢測(Detection)和響應(Response)[8]。模型體系框架如圖1所示。
在P2DR模型中,策略是模型的核心,它意味著網絡安全需要達到的目標,是針對網絡的實際情況,在網絡管理的整個過程中具體對各種網絡安全措施進行取舍,是在一定條件下對成本和效率的平衡[3]。防護通常采用傳統的靜態安全技術及方法來實現,主要有防火墻、加密和認證等方法。檢測是動態響應的依據,通過不斷的檢測和監控,發現新的威脅和弱點。響應是在安全系統中解決安全潛在性的最有效的方法,它在安全系統中占有最重要的地位。
2.4 調度自動化系統的安全防御系統設計
調度自動化以P2DR模型為基礎,合理利用主動防御技術和被動防御技術來構建動態安全防御體系,結合調度自動化系統的實際運行情況,其安全防御體系模型的物理架構如圖2所示。
防護是調度自動化系統安全防護的前沿,主要由傳統的靜態安全技術防火墻和陷阱機實現。在調度自動化系統、配網自動化系統和公司信息網絡之間安置防火墻監視限制進出網絡的數據包,防范對內及內對外的非法訪問。陷阱機隱藏在防火墻后面,制造一個被入侵的網絡環境誘導入侵,引開黑客對調度自動化Web服務器的攻擊,從而提高網絡的防護能力。
檢測是調度自動化安全防護系統主動防御的核心,主要由IDS、漏洞掃描系統、陷阱機和取證系統共同實現,包括異常檢測、模式發現和漏洞發現。IDS對來自外界的流量進行檢測,主要用于模式發現及告警。漏洞掃描系統對調度自動化系統、配網自動化主機端口的已知漏洞進行掃描,找出漏洞或沒有打補丁的主機,以便做出相應的補救措施。陷阱機是設置的蜜罐系統,其日志記錄了網絡入侵行為,因此不但充當了防護系統,實際上又起到了第二重檢測作用。取證分析系統通過事后分析可以檢測并發現病毒和新的黑客攻擊方法和工具以及新的系統漏洞。響應包括兩個方面,其一是取證機完整記錄了網絡數據和日志數據,為攻擊發生系統遭破壞后提出訴訟提供了證據支持。另一方面是根據檢測結果利用各種安全措施及時修補調度自動化系統的漏洞和系統升級。
綜上所述,基于P2DR模型設計的調度自動化安全防護系統有以下特點和優越性:
·在整個調度自動化系統的運行過程中進行主動防御,具有雙重防護與多重檢測響應功能;
·企業內部和外部兼防,可以以法律武器來威懾入侵行為,并追究經濟責任。
·形成了以調度自動化網絡安全策略為核心的防護、檢測和響應相互促進以及循環遞進的、動態的安全防御體系。
3 結論
調度自動化系統的安全防護是一個動態發展的過程,本次設計的安全防護模型是采用主動防御技術和被動防御技術相結合,在P2DR模型基礎上進行的設計,使調度自動化系統安全防御在遭受攻擊的時候進行主動防御,增強了系統安全性。但調度自動化系統安全防護并不是純粹的技術,僅依賴安全產品的堆積來應對迅速發展變化的攻擊手段是不能持續有效的。調度自動化系統安全防護的主動防御技術不能完全取代其他安全機制,尤其是管理規章制度的嚴格執行等必須長抓不懈。
參考文獻
[1]梁國文.縣級電網調度自動化系統實現的功能.農村電氣化,2004,(12):33~34.
[2]丁杰,高會生,俞曉雯.主動防御新技術及其在電力信息網絡安全中的應用.電力系統通信,2004,(8):42~45.
[3]趙陽.電力企業網的安全及對策.電力信息化,2004,(12):26~28.
[4]阮曉迅,等.計算機病毒的通用防護技術.電氣自動化,1998,(2):53~54.
[5]郝印濤,等.配網管理與調度間的信息交換.農村電氣化,2004,(10):13~14.
[6]韓蘭波.縣級供電企業管理信息系統(MIS)的應用.農村電氣化,2004,(12):33~34.
[7]Honeynt Project. Know Your Enemy:Hnoeynet[DB/OL].honeynet.org.
[8]戴云,范平志.入侵檢測系統研究綜述[J].計算機工程與應用,2002,38(4):17~19.
如果電力系統中缺少嚴格的驗證機制,或者不同業務系統之間缺乏有效的訪問控制,可能導致非法用戶使用到關鍵業務系統,引發非法侵入的業務安全風險。
2電力行業計算機應用網絡安全結構的內容
基于電力行業所面臨的網絡安全風險,為保障整個電力系統的安全、穩定運行,必須建立一套符合電力行業自身特點的網絡安全結構。而所謂電力行業計算機應用網絡的安全結構,即是應用和實施一個基于多層次安全系統的全面網絡安全策略,在多個層次上部署相關的安全產品,以實現控制網絡和主機存取,降低系統被攻擊危險,從而達到安全防護的目的。網絡安全結構的內容主要有以下幾個方面:2.1網絡安全防護結構體系電力行業網絡安全防護的基礎是網絡安全域的劃分。根據《電網和電廠計算機監控系統及調度數據網絡安全防護規定》的要求,電力系統的網絡可劃分為四級網。其中,電力調度生產控制與實時監測可作為一、二級網,它與三、四級網絡是進行物理隔離的。第三級網為DMIS網,第四級網為MIS網,網絡安全防護的重點也是第三、第四級網絡。根據整個電力行業計算機應用網絡的特點,還可對三、四級網絡進行進一步安全域的劃分,并劃清網絡的邊界,綜合采用路由器、防火墻、入侵監測等技術對三、四級網絡進行綜合防護。2.2安全防護技術的應用電力行業網絡安全防護技術,主要包括了防護墻技術、漏洞掃描技術、入侵檢測技術、病毒防治技術等,這些安全防護技術作為網絡防護結構的基礎組成部分,在統一的安全策略指導下,以保障系統的整體安全。其中,防火墻技術、入侵檢測技術和漏洞掃描技術,主要是針對內部信息系統不同安全域進行的安全防護;而病毒防治技術則主要是面對電力系統內的客戶端及各種服務器提供安全服務。
3電力行業計算機應用網絡安全結構的設計
3.1網絡安全結構設計的原則
(1)安全性原則。是指網絡安全結構的設計方案,應充分確保電力系統的安全性;所采用的安全技術產品應有著良好的產品質量與可靠性,以充分保證系統的安全。
(2)一致性原則。主要是電力行業網絡安全問題應與整個網絡的工作周期同時存在,所制定的安全體系結構也必須與網絡的安全需求相一致。
(3)易操作性原則。網絡安全結構的相關技術措施需要由人為去完成,如果所采用的技術措施過于復雜,對人的要求也過高,這自身就降低了系統的安全性。
(4)分布實施原則。由于電力網絡系統隨著規模的擴大和應用領域的增加,網絡受到攻擊的可能性也不斷增加,想一勞永逸的解決電力網絡安全問題是不現實的,而且網絡安全措施的實施也需要相當的費用支出。因此,網絡安全結構的建設可采用分布實施的方式,既可滿足當前網絡對信息安全的需要,也可為今后系統的擴展與完善奠定良好的基礎。
3.2網絡安全結構具體設計方案的應用
(1)電力系統局域網內部網絡安全結構設計整個電力行業計算機應用網絡,不僅會受到外部的攻擊,也同時會受到內部攻擊。內部網絡主要是指用于控制電力設備以及采集運行數據的設備層網絡系統,如SCADA系統DSC系統等,由于這部分網絡需和電力控制設備之間直接進行數據間的交換,任何非法入侵的數據都可能引發電力設備的故障,并可能導致整個電網的安全運行受到影響。為了有效解決內網的安全防護問題,可在電站系統的局域網內部,使用防火墻技術對不同的網段進行隔離,并且采用IPS設備加強對關鍵應用部位的監控與保護。如圖1所示,即為電力系統局域網內部網絡安全結構設計。在該設計方案中:
①使用防火墻集群將內部與外部網絡隔離,保證電力網絡外部的攻擊與漏洞掃描等,不會影響到內網數據的正常傳輸與交流;
②再將內部網絡的不同區域進行隔離,使之能具備不同級別的訪問權限,以有效保證內網數據的安全性;
③對電站關鍵部位的安全防護還可采用IPS裝置,以保證內部重要數據的可監控性、可審計性以及防止惡意流量的攻擊。
(2)省級電力骨干網絡安全結構設計省級電力骨干網絡的核心中部署有眾多的業務,如用電營銷、工程管理、辦公自動化系統、電力生產信息平臺以及GIS系統等,同時還包含了與其它企業及各種服務系統的系統。正是由于各種業務的流量都需由電力骨干網絡進行傳輸和匯集,對網絡的安全性與可靠性也有著極高的要求。因此,對于省級電力骨干網絡的安全結構設計,可部署2~4點的防火墻集群作為網絡系統的省級安全核心,并對系統的多鏈路情況進行負載均衡,以充分滿足省級電力骨干網絡對安全防護的要求。省級電力骨干網絡的安全結構建設,主要包括了兩方面的任務:
①利用防火墻技術對外部接口區域和內部服務器區域進行劃分,并綜合應用病毒防治技術、漏洞掃描技術等多種安全防護技術,從而實現系統在訪問控制、漏洞掃描、病毒防護、入侵檢測、集中安全管理以及日志記錄等多個環節的安全防護;
②通過安全結構的建設以實現系統多鏈路情況下的負載均衡,保證系統具有足夠的收發速度和響應速度,并能有效避免網絡服務的中斷。
(3)電力廣域網整體網絡安全結構設計對于整個電力系統的廣域網,為了保證端對端、局對局的安全性,并有效保證整個系統的安全性與可靠性,可對整個電力廣域網采用分布式的安全結構設計方案。其安全結構的特點是:
①通過分布式架構,可以使廣域網的安全結構真正實現多臺防火墻的同時Active技術,有效保證了網絡的安全性。
②通過過濾規則設置,可以實現對廣域網內部資源對外開放程度的有效控制,尤其是電力公司和Internet公共網絡之間的連接可僅開放某特殊段的IP端口,從而有效避免了病毒攻擊和非法侵入。
③通過客戶端認證規則的應用,可以確保電力廣域網不同的內部用戶享受到不同的訪問外部資源的級別。同時還對內部用戶嚴格區分網段,其自動的反地址欺騙有效杜絕了從外網發起的對于內網的訪問,而對于內網發起的對外網的訪問則可以不受到限制。
4總結
關鍵詞:火電廠;鍋爐;安裝工藝;技術要點
在火力發電廠生產過程中所使用的鍋爐是具有一定危險性的高壓容器,也是一種重要的生產設備。因此必須要加強對其安裝工藝施工的管理,嚴格遵照有關規定和技術要求進行安裝。由于火電廠的鍋爐安裝需要涉及到多個專業技術和工藝,因此安裝過程較為復雜。安裝過程中需要注意施工順序是否正確合理,尤其是幾個關鍵的安裝技術,更應該嚴格遵照安裝設計方案以及鍋爐安裝說明來執行,提高安裝人員的安裝技術水平,做好安裝防護措施,加強施工管理,確保安裝完成后的鍋爐能夠安全穩定運行。
一、火力發電廠鍋爐的安裝工藝
隨著社會生產對電力的需求不斷增多,火力發電廠為了擴大生產規模,提高生產效益,滿足市場需求,往往會增添一定的生產設備。而鍋爐正是其中一項必不可少的基礎設備。在鍋爐的安裝過程中,一般需要按照以下的安裝工藝與安裝順序來完成:
1、安裝準備工作。首先要確定鍋爐的安裝設計方案,并對安裝人員進行技術交底工作。使安裝人員了解安裝的整個過程以及需要注意的事項,做好安裝培訓工作,提高安裝人員的責任心與安全保護意識。另外,還需要注意將支撐鍋爐的鋼架進行校正處理,確保鋼架安裝符合技術要求,經驗收后進行相應的施工交底工作。
2、安裝過程。在所有準備工作完成后就可以開始進行鍋爐安裝,安裝過程是決定鍋爐安裝質量的關鍵環節,必須要做好施工管理工作。尤其需要各個部位組裝過程中的焊接施工質量控制,以及省煤器、空氣預熱器和過熱器的安裝。做好現場施工管理工作,確保鍋爐安裝工程安全順利的實施。
3、試行階段。鍋爐主體安裝完工后要進行質量驗收,并在確定安裝質量符合技術要求后進行一些輔助設備的安裝。之后就要進行試行,來試驗鍋爐的整體運行情況。在試行中需要對鍋爐的燃燒器、鍋爐主體以及相關的管道或閥門進行全面的查看,確保每個部位都運行正常后,方可認為鍋爐安裝完成,并驗收交接,投入使用。
二、火力發電廠鍋爐安裝過程中的幾個關鍵技術
在火電廠的鍋爐安裝過程中,需要用到多種施工技術和安裝工藝,包括對鍋爐支撐鋼架的焊接組裝工藝以及鍋筒與集箱、水冷壁、省煤器、空氣預熱器、過熱器等部件的安裝技術,在此筆者主要對鍋筒與集箱、水冷壁、空氣預熱器以及過熱器等幾個關鍵的安裝技術進行分析,指出其安裝要點。
1、鍋筒、集箱的安裝工藝。吊裝前先查明起吊鍋筒的重量,編制吊裝方案,吊裝要嚴格按安全操作規程進行,不得超負荷或違章作業,嚴禁用外部短管做吊點,嚴禁穿過管孔捆綁繩索;鍋筒起吊設專人指揮,專人操作起吊設備,并熟練起吊工藝,吊裝開始前,應先做試吊,當鍋筒距地面100~150mm時,停止起吊,再次全面檢查繩索的受力情況,起吊設備的工作情況,正常可繼續吊裝。
鍋筒、集箱的應位找正:將鍋筒的中心線用投影法投到基礎上與縱橫基準線應重合,找正鍋筒的中心位置和標高,鍋筒縱向水平度可用水準儀或軟管水平進行找正;鍋筒的臨時固定:采用長螺栓托座臨時固定,將鍋筒與鋼架、橫梁進行固定,嚴禁采用在鍋筒上焊接臨時焊接的方法進行固定。
2、水冷壁的安裝工藝。按設計將分段的管排吊放在組合臺上,并對管排的寬度、平整度、長度、對角線進行檢查、調整;管屏組對前后進行通球檢查,試驗用球采用鋼球,并進行編號,嚴防將球遺留在管內。通球后作好可靠的封閉措施,并做好記錄;在焊接結束后,在管排上劃出剛性梁位置線,然后將剛性梁吊放在管排上調整好,再焊上拉勾;整個組焊過程中,嚴禁損壞水冷壁管;對集箱、水冷壁管等設備不可隨意加焊支撐、支架,如果需要臨時固定,要采用卡具、螺栓連接的方法。
3、空氣預熱器的安裝工藝。安裝前檢查各管箱的外形尺寸,并應清除管子內外塵土、銹片等雜物,檢查管子和管板的焊接質量;管板應做滲油試驗,檢查管板嚴密性,管板四周與支承梁接觸處如有毛刺、焊疤要磨平;安裝時要注意管箱的上、下方向。管箱吊裝順序由下級至上級,吊裝時用起吊鉤單個吊裝,管箱就位后,割除管板起吊鉤并用鋼板將管板起吊孔密封焊接。管箱兩側護板與管束間距離,不得過大,避免形成煙氣走廊,造成管子磨損;吊裝前做好防磨短管間的耐磨料,并抹面。空氣預熱器內空氣間壓差較高,所有焊縫必須嚴密,以免泄漏;空氣預熱器的安裝與尾部豎井的聯梁、支持梁的安裝交叉進行。
4、過熱器的安裝工藝。過熱器的安裝應在尾部豎井空氣預熱器、省煤器安裝完以后進行;過熱器蛇形管與吊管交錯間隔布置,地面整體組合整體吊裝無法實施,需單片吊裝;過熱器蛇形管束組合前應按設備技術文件要求進行通球及單片水壓試驗;組對時,先將集箱固定、找正,再以兩端的管束為基準,精心安裝,確保間距正確,安裝時仔細檢查蛇形管束與集箱管頭對接情況和集箱中心距蛇形管端部的長度偏差,待基準蛇形管束找正固定后再安裝其余管排;每片管束與吊管現場焊接時,需找正并保證間距,吊線檢查吊管與蛇形管垂直度,符合要求后再進行焊接。
三、火力發電廠鍋爐安裝的注意事項與安全措施
為了能夠確保鍋爐安全順利的完成安裝,在安裝的過程中需要注意做好安全防護措施,提高安裝人員的安全意識,注意以下幾點安全事項:
1、鋼架吊裝須注意吊裝安全,鍋筒吊裝前,應檢查內件是否已點固,是否齊全。待吊裝就位后,可進入鍋筒將內件焊接。進入鍋筒工作,須將二端蓋全部打開,保證內部空氣暢通。內部照明應用低壓行燈,以保安全。
2、本體管路閥門應逐個進行水壓密封試驗,以閥門公稱壓力進行,保持5分鐘,無壓降和泄露。鍋爐整體水壓試驗用水為潔凈水,緩慢升壓,不得超壓。泄壓時應及時打開頂部排氣閥及底部排水閥。
3、在進行鍋爐安裝的焊接中,每個焊接人員都必須要持證上崗,且要具備一定的焊接經驗,嚴格按照焊接技術要求進行施工作業,不得私自更換焊材或改變焊接方法。焊接時要注意做好相應的安全防護措施,以免身體或眼睛受到損傷。
四、結語
總之,在當前火電廠的鍋爐安裝過程中,基于鍋爐自身復雜的系統與其所存在的危險性,在安裝中必須要做好安裝施工設計方案與施工現場管理。嚴格按照既定的施工順序進行施工,提高安裝人員的基本素質與業務水平,加強安全教育與培訓,確保鍋爐安裝的安全順利施工,保證鍋爐的安裝質量。
參考文獻
原有的單一通信技術,無線通信的產生方式和傳輸技術在逐步的完善,相應的,信息的傳播安全和傳播途徑的可信度受到了大家的關注。國家電力企業將通信公司的2G/3G/4G無線移動網絡和電力信息通信相結合,取長補短,組建了具有廣泛性,高效能,嚴格保密特點的電力無線虛擬專網,為智能化通信網絡在語音、數據、圖像、視頻等多媒體方面提供技術支持。
1電力無線虛擬專網組成結構
國家電力企業信息內網工作信息的傳送途徑主要以電力無線虛擬專網為主要途徑,電網組成是各級電網單位與通信公司相結合的集中接入的方式,如有想要加入到國家電網內部信息網絡的客戶,客戶信息網絡會通過最終客戶端連入通信公司的無線網絡,再通過信息公司的相應傳送途徑進行包裝,到達客戶端后進行解析工作,然后,安裝信息安全裝置才能加入企業的信息內網。
2電力無線虛擬專網的安全防范措施
國家電網無線網絡連接的共同途徑為電力無線虛擬專網,它存在很多的安全隱患,包括信息傳送的安全隱患和信息范圍的安全隱患,從在網絡信息安全和傳送范圍兩個方面入手大力保護,可減少信息傳送過程中出現的安全隱患。電力無線虛擬專網網絡起于通信公司無線基站止于電力安全防護設備,供電廠的主要工作是減少電力側網絡設備、電力側安全防護設備及客戶端的運行問題,確保客戶終端可以流暢應用,通信公司主要工作是減少無線基站、運營商IP承載網、專線的運行問題,使其規律的工作。此篇文章主演探究電力無線虛擬專網電力網絡側、電力網絡邊界側信息安全防范措施。
3電力無線虛擬專網數據保護要點
國家電網公司電力無線虛擬專網主要覆蓋信息內網業務,根據信息內網的安全防護要求,針對業務應用數據的重要程度,結合國家電網公司終端實際使用情況及成本效益綜合考慮,電力無線虛擬專網可采用安全防護架構。信息安全防護方案將電力無線虛擬專網分為三個區域:電力無線虛擬專網域、網絡邊界域和內網域。專網域采用租用運營商的專用傳輸通道承載無線終端數據;網絡邊界域采用防火墻和IDS等安全設備進行訪問控制和網絡攻擊檢測,采用公司專用的安全接入設備實現終端到邊界的加密傳輸、終端合法性認證和數據隔離交換等安全功能。
4電力無線虛擬專網信息安全防護措施
根據電力無線虛擬專網安全防護架構、安全區域劃分以及安全責任分界面的劃分等方面考慮,分別從電力企業側與運營商側闡述信息安全防護措施。
4.1電力企業側信息安全防范方法
電力企業在網絡信息安全范圍和信息內網域采用信息安全防范方法,以完成網絡信息安全范圍、信息內網域的安全防范。4.1.1安全范圍規劃:電力無線虛擬專網邊界對安全范圍進行嚴格規劃,使網絡使用范圍明了,對每個安全范圍都應用合適的安全防范方法,并且,對已經到達的網絡信息加以系統的安全保障措施,更好的提升瀏覽監控、危險檢測、輸送監管和客戶端認證等應用的使用性能。4.1.2訪問控制:在邊界接入設備上針對源地址制定訪問控制,禁止不同APN業務互訪;使用防火墻制定嚴格的訪問策略實現專網域至網絡邊界域的訪問控制。4.1.3安全隔離:采用電力企業專用安全接入設備實現網絡邊界域與內網域之間的數據安全交換,阻止非法網絡連接穿透網絡邊界訪問信息內網。4.1.4安全防御及入侵檢測:在邊界部署防火墻及入侵檢測系統,實現抗DOS攻擊、防惡意代碼等功能,即時監視網絡行為和網絡攻擊檢測。4.1.5安全審計:對邊界安全設備進行日志記錄及審計,為評估網絡安全性及網絡安全加固提供依據。4.1.6隧道加密傳輸:在無線終端與電力企業專用安全接入設備之間建立安全加密傳輸通道傳輸業務數據,保障業務數據的安全傳輸。4.1.7接入控制:建立身份認證系統對接入網絡用戶進行強認證,禁止非法用戶接入;信息內網業務系統采取有效措施對接入電力無線虛擬專網的終端硬件特征進行認證。
4.2通信公司隱患預防方法
通信公司使用隱患預防方法,以完成無線信息專網系統的網絡安全連接保護、專用途徑分類等專網域安全防護。4.2.1網絡信息安全連接保護:客戶端應用特定的APN接入,同時通信公司進行電力無線虛擬專業網絡合法SIM卡授權,通過授權后的合法SIM卡可以獲得訪問權,但不可以瀏覽互聯網和其他網絡。4.2.2APN訪問監管:相同的APN內客戶端不可以相互訪問,相反的,不同的APN內客戶端允許互訪。4.2.3特定通道及分離:在GGSN上電力無線虛擬專網用戶應用VRF技術與其他用戶路由分離;采取GRE/L2TP/MPLSVPN等VPN方法在通信公司網絡中輸送電力無線虛擬專網信息以完成專網專用的目的,使其更好的與其他網絡傳播途徑區別。
5結束語
摘要:解決信息安全問題不能僅僅只從技術上考慮,要防止重技術輕管理的傾向,加強對人員的管理和培訓。文章對信息安全的解決方案從技術和管理兩個方面進行了探討。
關鍵詞:電力安全解決方案
網絡安全是一個系統的、全局的管理問題,網絡上的任何一個漏洞,都會導致全網的安全問題,我們應該用系統工程的觀點、方法,分析網絡的安全及具體措施。安全措施是技術措施、各種管理制度、行政法律手段的綜合,一個較好的安全措施往往是多種方法適當綜合的應用結果。
1電力信息網安全防護框架
根據電力企業的特點,信息安全按其業務性質一般可分為四種:一種為電網運行實時控制系統,包括電網自動發電控制系統及支持其運行的調度自動化系統,火電廠分布控制系統(DCS,BMS,DEH,CCS),水電廠計算機監控系統,變電所及集控站綜合自動化系統,電網繼電保護及安全自動裝置,電力市場技術支持系統。第二種為電力營銷系統,電量計費系統,負荷管理系統。第三種為支持企業經營、管理、運營的管理信息系統。第四種為不直接參與電力企業過程控制、生產管理的各類經營、開發、采購、銷售等多種經營公司。針對電力信息網業務的這種的層次結構,從電力信息網安全需求上進行分析,提出不同層次與安全強度的網絡信息安全防護框架即分層、分區的安全防護方案。第一是分層管理。根據電力信息網共分為四級網的方式,每一級為一層,層間使用網絡防火墻進行網絡隔離。第二是分區管理。根據電力企業信息安全的特點,分析各相關業務系統的重要程度和數據流程、目前狀況和安全要求,將電力企業信息系統分為四個安全區:實時控制區、非控制生產區、生產管理區和管理信息區。區間使用網絡物理隔離設備進行網絡隔離,對實時控制區等關鍵業務實施重點防護,并采用不同強度的安全隔離設備使各安全區中的業務系統得到有效保護。
2電力信息網安全防護技術措施
2.1網絡防火墻:防火墻是企業局域網到外網的唯一出口,這里的外網包括到不同層次的電力網、其他信息網如政府網和銀行網絡、internet,所有的訪問都將通過防火墻進行,不允許任何繞過防火墻的連接。DMZ停火區放置了企業對外提供各項服務的服務器,即能夠保證提供正常的服務,又能夠有效地保護服務器不受攻擊。要正確設置防火墻的訪問策略,遵循“缺省全部關閉,按需求開通的原則”,拒絕除明確許可外的任何服務,也即是拒絕一切未予準許的服務。與Internet連接的防火墻的訪問策略中,必須禁止Rlogin,NNTP,Finger,Gopher,RSH,NFS等危險服務,也必須禁止Telnet,SNMP,TerminalServer等遠程管理服務。
2.2物理隔離裝置:主要用于電力信息網的不同區之間的隔離。物理隔離裝置實際上是專用的防火墻,由于其不公開性,使得更難被黑客攻擊。
2.3入侵檢測系統:入侵檢測系統是專門針對黑客攻擊行為而研制的網絡安全產品。國際上先進的分布式入侵檢測構架,可最大限度地、全天候地實施監控,提供企業級的安全檢測手段。在事后分析的時候,可以清楚地界定責任人和責任事件,為網絡管理人員提供強有力的保障。入侵檢測系統采用攻擊防衛技術,具有高可靠性、高識別率、規則更新迅速等特點。系統具有強大的功能、方便友好的管理機制,可廣泛應用于電力行業各單位。所選擇的入侵檢測系統能夠有效地防止各種類型的攻擊,中心數據庫應放置在DMZ區,通過在網絡中不同的位置放置比如內網、DMZ區網絡引擎,可與中心數據庫進行通訊,獲得安全策略,存儲警報信息,并針對入侵啟動相應的動作。管理員可在網絡中的多個位置訪問網絡引擎,對入侵檢測系統進行監控和管理。
2.4網絡隱患掃描系統:網絡隱患掃描系統能夠掃描網絡范圍內的所有支持TCP/IP協議的設備,掃描的對象包括掃描多種操作系統,掃描網絡設備包括:服務器、工作站、防火墻、路由器、路由交換機等。在進行掃描時,可以從網絡中不同的位置對網絡設備進行掃描。掃描結束后生成詳細的安全評估報告,采用報表和圖形的形式對掃描結果進行分析,可以方便直觀地對用戶進行安全性能評估和檢查。
2.5網絡防病毒:為保護整個電力信息網絡免受病毒侵害,保證網絡系統中信息的可用性,應構建從主機到服務器的完善的防病毒體系。網絡防毒系統可以采用C/S模式,在網絡防毒服務器中安裝殺毒軟件服務器端程序,以服務器作為網絡的核心,通過派發的形式對整個網絡部署查、殺毒,服務器通過Internet利用LiveUpdate(在線升級)功能,從免疫中心實時獲取最新的病毒碼信息,及時更新病毒代碼庫。服務器和網絡工作站都安裝客戶端軟件,利用從服務器端獲取的病毒碼信息對本地工作站進行病毒掃描,并對發現的病毒采取相應措施進行清除。客戶端根據需要可用三種方式進行病毒掃描:實時掃描、預置掃描和人工掃描。由于病毒掃描可能帶來服務器性能上的降低,因此可采用預置掃描方式,將掃描時間設定在服務器訪問率最低的夜間。網絡工作站可根據各自需要,選擇合適的方式進行病毒掃描。客戶端采用登錄網絡自動安裝方式,確保每一臺上網的計算機都安裝并啟動病毒防火墻。同時要注意,選擇的網絡防病毒軟件應能夠適應各種系統平臺,各種數據庫平臺,各種應用軟件。例如能對電力信息網辦公自動化系統使用的LotusDomino/NOTE平臺進行查、殺毒。
2.6數據加密及傳輸安全:對與文件安全,通過文件加密、信息摘要和訪問控制等安全措施,來實現文件存儲和傳輸的保密和完整性要求,并實現對文件訪問的控制。對通信安全,采用數據加密、信息摘要和數字簽名等安全措施對通信過程中的信息進行保護,實現數據在通信中的保密、完整和不可抵賴性安全要求。對遠程接入安全,通過VPN技術,提高時的信息(如電子公文,MAIL等等)在傳輸過程中的保密性和安全性。
2.7數據備份:對于企業來說,最珍貴的不是計算機、服務器、交換機和路由器等硬件設備,而是存儲在存儲介質中的數據信息。因此對于一個信息管理系統來說,數據備份和容錯方案是必不可少的。因此必須建立集中和分散相結合的數據備份設施以及切合實際的數據備份策略。
2.8可靠安全審計:通過記錄審計信息來為信息安全問題的分析和處理提供線索。除了使用軟的密碼外,還可以使用象USBKEY等硬件的密碼認證,更可以采用二者相結合的方式。
2.9數據庫安全:通過數據存儲加密、完整性檢驗和訪問控制來保證數據庫數據的機密和完整性,并實現數據庫數據的訪問安全。
3電力信息網安全防護管理措施
技術是安全的主體,管理是安全的靈魂。只有將有效的安全管理實踐自始至終貫徹落實于信息安全當中,網絡安全的長期性和穩定性才能有所保證。
3.1人員管理,要加強信息人員的安全教育,保持信息人員特別是網絡管理人員和安全管理人員的相對穩定,防止網路機密泄露,特別是注意人員調離時的網絡機密的泄露。對網絡設備、服務器、存儲設備的操作要履行簽字許可制度和操作監護制度,杜絕誤修改和非法修改。
3.2密碼管理,對各類密碼要妥善管理,杜絕默認密碼,出廠密碼,無密碼,不要使用容易猜測的密碼。密碼要及時更新,特別是有人員調離時密碼一定要更新。
3.3技術管理,主要是指各種網絡設備,網絡安全設備的安全策略,如防火墻、物理隔離設備、入侵檢測設備、路由器的安全策略要切合實際。
3.4數據管理,數據的備份策略要合理,備份要及時,備份介質保管要安全,要注意備份介質的異地保存。
3.5加強信息設備的物理安全,注意服務器、計算機、交換機、路由器、存儲介質等設備的防火、防盜、防水、防潮、防塵、防靜電等。
關鍵詞:建筑施工墜落原因分析預防措施
一、高處墜落事故特點及成因
電廠建筑施工高處墜落事故,由于事故發生頻率高,死亡率大,因而高處墜落事故被列為建筑施工四大傷害之首,約占全部事故的60%以上。因此,研究建分析筑施工高處事故成因,尋找事故發生規律,從而采取相應的預防措施,是十分必要的,也是極為緊迫的。
高處墜落事故原因主要有:
(1)人的不安全行為:
(2)物的不安全狀態:
(3)施工方法不合適:
(4)管理的不到位:
(5)環境的不安全狀態:
二、電廠建設施工高處墜落事故的預防措施
(1)控制人的因素
減少人的不安全行為,經常對從事高處作業人員進行健康檢查,一旦發現有不安全行為,及時進行心理疏導,消除心理壓力,或調離崗位:禁止患有高血壓、心臟病、癲癇病等妨礙高處作業疾病或生理缺陷的人員從事高處作業;應當定期對從事高處作業人員進行體格檢查,發現有妨礙高處作業疾病或生理缺陷的人員,應當調離崗位。
加強對高處作業人員安全態度教育和安全法制教育,提高他們的安全意識和自身防護能力,減少作業風險。
運用行為科學理論對違章行為進行糾正,對遵章守紀行為進行強化,從而提高他們遵章守紀的自覺性。
領導應當主動關心作業人員的生活、工作思想情況,排除干擾安全生產的生理疲勞及心理疲勞因素,特別要做好“五種人”的安全防范措施。
組織從事高處作業人員對有關規程規范、技術標準的學習。
尋找事故發生規律,做好高處作業人員二重或三重臨界日或情緒臨界日的安全防護工作或將其調離崗位。
(2)控制物的因素、減少物的不安全狀態
把好材料關,施工中所搭設的腳手架必須堅固、可靠,滿足有關規定的要求。
根據不同的施工條件設置安全網,安全圍欄,防墜器等安全防護用品。
堅持“四口五臨邊”防護措施。
高處作業人員或具有危險性的高處作業應掛好安全帶等“安全三寶”。
(3)控制操作方法,防止違章行為,預防墜落事故
首先應盡量避免采用高處作業的方式,其次對不屬于高處作業的工程,也應注意采取相應的措施。
加強對腳手架搭設方案的審核、審批工作與腳手架搭設后檢查驗收工作。
從事高處作業人員禁止穿高跟鞋、硬底鞋、拖鞋等易滑鞋上崗或酒后作業。
從事高處作業人員應注意身體重心,注意用力方法,防止身體重心超出支承面而發生事故。
起重吊裝時嚴禁人員站在吊物上,嚴禁人員將安全帶掛在起吊物上。
(4)控制組織管理因素,避免違章指揮
嚴格高處作業檢查、教育制度,堅持“四勤”即勤教育、勤檢查、勤深入作業現場進行指導、勤發動群眾提合理化建議;查身邊事故隱患,實現“三不傷害”即我不傷害自己,我不傷害他人,我不被他人傷害的目的。
控制有妨礙高處作業的疾病或生理缺陷的人員進行高處作業。應當及時根據季節變化,調整作息時間,防止高處作業人員產生過度生理疲勞。
強化安全責任制意識,提高全員對安全生產重要性的認識。
切實做好針對性的安全技術交底,每個分部分項工程和零星安排的作業,都必須向操作者講清楚施工環境、操作過程、操作工藝、操作方法的具體要求和應采用的防護措施、作業中應遵守的紀律和存在或潛在的危害及發生時采取的應急避險措施。操作過程中必須監督安全技術交底的執行情況,使每個操作者時時、處處重視安全。
(5)控制環境因素,改良作業環境
禁止在大雨、大雪及六級以上強風天等惡劣天氣從事露天懸空作業。大雪、大雨、六級以上強風天之后,應當對腳手架進行認真檢查和清理。遇到特殊天氣或定期進行安全設施安全性檢查。
在腳手架上進行撬、撥、推拉、沖擊等危險性較大的作業,應當采取可靠的安全技術措施。
光線不好的地方或夜間施工,應有足夠的照明。
(6)加強企業文化及安全文化建設
