入侵检测系统在电力调度系统中的应用.pdfVIP

第二十八届中国电网调度运行会议论文选集 。759‘ 入侵检测系统在电力调度 系统中的应用 毛泽文周宁 重庆电力调度通信中心 摘要：电力调度系统存在多个内部和外部网络连接，容易遭受入侵和混合型威胁。安全威 胁有内部和外部威胁两种。采用人侵检测系统能够有效地对入侵、蠕虫、病毒传播等行为进行 监控，并且自动响应．能够弥补现有安全防范措施的缺陷，有效降低风险，抵御来源于内部和 外部的威胁。 关键讯电力4臻≯侵检测DM队8弩信息安全风险管理蠕寒混合型威叭 一、引 言 电力作为国家的支柱产业，在国民经济中占有极其重要的地位。随着电力行业的不断发 展，电力的关键业务不断增长，因此信息化应用也不断增强，网络系统中的应用越来越多。 比如电网调度自动化系统、能量管理系统、办公自动化系统、变电站自动化系统、发电厂计 算机监控系统、配电网自动化系统、电能景计量计费系统、实时电力市场的辅助控制系统 等。同时，随着网络技术的发展，建立在Intemet架构上的跨地区、全行业系统内部信息网 开始逐步建立，网上应用着各种电力业务及办公系统。 随着电力系统的大规模网络化和应用的逐渐增多，电力系统的运行越来越依赖于信息网 络系统。电力信息网络系统的网络安全问题显得越来越重要。目前，针对能源和电力网络的 攻击行为居高不下；在北美，美国、加拿大等几个国家联合成立了专门的北美电力可靠性协 会(NERC)，对电力系统的物理安全和网络安全进行全面的控管。 调度中心管理信息系统(DMIS系统)，不同于普通的M1S系统，它是实时调度MIS系 统，它肩负着电网实时运行工况的在线监视及电网各类生产运行情况的在线综合分析及网上 发布功能，同时也是下一步电网商业化运营的窗口，必须要求24h不间断运行。 二、电力系统安全风险分析 美国国家安全顾问委员会(NSTAC)曾经对北美的电力系统进行了长达6个月的安全风 险分析，在分析报告中指出，除了物理安全威胁之外，信息安全威胁可以分为内部威胁和外 部威胁两种。结合国内实际情况后的分析如下： 其中内部威胁主要是指熟知内部信息系统结构和薄弱环节的内部工作人员或已经离职的 工作人员，对内部业务系统进行非法访问或破坏的行为。比如著名的黑客杂志《Hl”k》的 编者就是一名美国电力公司的前雇员。这种源于内部的威胁是非常严重的，因为他们对电力 内部的系统、应用、网络结构非常了解，很容易采用合适的攻击工具达到权限提升和数据窃 ’760’ Ihe28“ConferenceofChinaElectricPowerControland Opemo．ThesisFlorilegium 取、破坏等活动。这种活动还经常发生在电力公司和管理机构的内联网中，比如下级对上级 部门的恶意攻击、部门之间的攻击等等。 外部威胁主要是指非内部人员的攻击行为。在电力系统还没有大规模联网的时候，这种 威胁还不为人所重视。但是目前各级电力公司、电厂和管理部门都存在大量的外部连接，比 如和上下级电力系统的连接；各电力公司网络提供的远程访问服务；与银行、移动、政府、 设计院、学校等部门的连接等等。而且，即使在同一个电力公司内部，各子网络系统运行相 对独立，有着相对敏感的信息，但与MIS主网又有必要的信息交互，也存在网络连接。另 外，信息系统也存在和Intemet的连接。随着电力市场的改革，电力供应需要进一步市场化， 紧贴市场需求，所以一些发达国家成立了基于Intemet的输电开放同时系统(OASlS)，以便 为市场计算所用的输电能力，但这也将进一步将电力网络系统暴露在更加严重的网络攻击之 下。比如电力DMIS系统就存在和EMS、EBS、MIS、电力市场、国调等多种网络连接，同时 和多种外部网络存在间接连接。 图1是电力DMIS系统中存在的各种内部和外部联接类型。 图1 电力DMIS系统中存在的各种内部和外部连接 所以，电力系统网络很容易受到来自外网的各种攻击。入侵者可以利用各种工具扫描电 力网络