电力系统安全防护方案篇1
关键词:电力信息安全防护等级保护安全域
中图分类号:tp309文献标识码:a文章编号:1674-098X(2016)12(b)-0055-03
为深化电力信息化工程安全防护体系建设,落实工程安全防护总体方案,制定此操作指引,为电力信息化依据总体方案开展信息安全建设提供参考。
1安全域划分设计
依据国家电网公司安全分区、分级、分域及分层防护的原则,首先,各单位网络分为管理信息大区与生产控制大区;其次,管理信息大区按照双网隔离方案又分为信息内网与信息外网。电力工程安全防护总体方案的设计作用范围为信息内网和信息外网的一体化平台以及业务应用相关系统,在进行安全防护建设之前,应首先实现对信息系统的安全域划分。
对于一体化平台与业务应用安全域划分依据总体方案中定义的“二级系统统一成域,三级系统独立分域”的方法进行,信息内网的系统基本上可分为:(1)eRp系统域;(2)电力市场交易系统域;(3)财务(资金)管理系统域;(4)办公自动化系统域(总部);(5)营销管理系统域;(6)二级系统域;(7)桌面终端域。信息外网的系统可分为:(1)外网应用系统域;(2)桌面终端域。
安全域的具体实现可采用物理防火墙隔离、虚拟防火墙隔离或Vlan隔离等形式。基本实现目标为划分各域网络边界并进行访问控制。
进行安全域划分后,国家电网公司总部、网省、地市所划分出的安全域与数量如表1所示。
2安全域的实现设计
安全域实现方式以划分逻辑区域为目标,旨在实现各安全区域的逻辑隔离,明确边界以对各安全域分别防护,并且进行域间边界控制,安全域的实体展现为一个或多个物理网络或逻辑网段的集合。对安全域的划分手段可以参考采用如下方式(以下方式可能出现技术重叠,以最终实现网络分域并可进行访问控制为目标)。
2.1防火墙安全隔离
可采用双接口或多接口防火墙进行边界隔离,在每两个安全域的边界部署双接口防火墙,或是采用多接口防火墙的每个接口分别与不同的安全域连接以进行访问控制。
2.2虚拟防火墙隔离
采用虚拟防火墙实现各安全域边界隔离,虚拟防火墙可以将一台防火墙在逻辑上划分成多台虚拟的防火墙,每个虚拟防火墙系统都可以被看成是一全独立的防火墙设备,可拥有独立的系统资源、管理员、安全策略、用户认证数据库等。在该方案中,可以实现为每个安全域建立独立的虚拟防火墙进行边界安全防护。
2.3三层交换机Vlan隔离
采用三层交换机为各安全域划分Vlan,采用交换机访问控制列表或防火墙模块进行安全域间访问控制。
2.4二层交换机Vlan隔离
在二层交换机上为各安全域划分Vlan,采用trunk与路由器或防火墙连接,在上联的路由器或防火墙上进行访问控制。
对于一个应用的子系统跨越多个物理环境如设备机房所带来的分域问题,由于安全域为逻辑区域,可以将一个公司层面上的多个物理网络或子网归属于同一安全域进行安全体系建设。
3明确所要防护的对象
在进行安全防护体系建设之前,首先需明确所要防护的对象,将所要防护的对象对应至整体信息网络环境与相应的安全域中,设计所保护域的边界、网络、主机及应用。
(1)边界安全防护。针对信息内外网第三方边界、纵向上下级单位边界以及横向域间边界进行安全防护。
①信息外网第三方边界为国家电网公司信息外网与互联网的网络边界。
②信息内网第三方边界为国家电网公司信息内网与其他利益相关方(如银行、代收机构)间的网络边界。
③信息内外网边界为信息内网与信息外网间的边界,采用逻辑强隔离装置进行隔离。
④纵向上下级单位安全边界包括国家电网总部与各网省分司间、各网省公司与地市公司间、地市与县级单位间的网络边界。
⑤横向域间边界指划分出的各安全域之间的边界,如营销管理系统域与eRp系统域之间的边界属于横向边界。
在进行边界安全防护之前,首先应当制定出边界清单,对各网络边界进行登记。
(2)网络环境安全防护。包括所要防护的基础网络及安全域范围内的网络设备和安全设备。
(3)主机系统安全防护。包括承载所防护的安全域中的应用系统的操作系统、数据库的安全防护。
(4)业务应用安全防护。包括应用系统及通过用户接口、数据接口所传输数据的安全防护。
4可共用的安全防护措施设计
划分安全域防护带来的成本增加主要为网络边界隔离设备的投入和网络安全防护设备的投入。
(1)逻辑隔离设备的成本。如,防火墙、路由器等成本。针对逻辑隔离设备的成本控制,可采取将多接口防火Α⑿槟夥阑鹎健⑼络交换机Vlan间访问控制等措施在多个安全域间共用的方式实现。
(2)网络安全防护设备成本。包括实现防护所需的入侵检测、弱点扫描系统等。可采用在多个安全域共用一套入侵检测系统,在各安全域仅部署入侵检测探头,所有安全域可采用统一的一套弱点扫描器等复用防护措施以降低防护投入。分域所带来的只有边界和网络层面上的投入增加,对于主机、应用相关的安全措施不会增加投入。
4.1明确可共用的安全防护措施
分析所有设计的安全防护措施,考虑可共用的安全防护措施,整理目前已完成建设的安全措施,对于不能通过安全产品实现的,需通过功能开发或配置更改等方式来实现。
在网络边界部署边界防护安全措施时,在满足功能及性能要求的前提下,应尽可能地采用较少的设备实现,例如:采用Utm或ipS设备可以实现网络访问控制功能且性能可以接受,则可不再专门部署防火墙。
对于通过部署安全产品实现的防护措施,可采用包括但不限于如下实现共用的方式。
(1)防火墙。
添加防火墙硬件接口模块实现边界访问控制。
添加防火墙管理系统中的策略和对象资源实现边界访问控制。
多安全域共用多接口防火墙、虚拟防火墙、交换机Vlan隔离等方式实现域间访问控制。
(2)Utm统一威胁管理。
添加Utm硬件接口模块来实现统一威胁管理。
添加Utm管理系统中的策略和对象来实现对资源的统一威胁管理。
(3)入侵检测系统。
添加软件网络入侵检测系统的网卡以增加可监测的网段。
在交换机上添加硬件网络入侵检测模块以实现对多网段的监听。
在交换机上增加镜像端口以实现对多网段的入侵检测侦听。
在网段分别部署硬件入侵检测探头以实现对多个安全域的分别监测。
在各重要业务主机部署主机入侵检测以实现对主机的入侵检测。
(4)弱点扫描系统。
采用一套共用的弱点扫描系统,在扫描系统上添加授权主机的扫描地址范围,将扫描系统安装在笔记本电脑上以实现对各安全域系统的扫描。
(5)桌面终端安全管理系统。
采用统一的桌面安全管理系统,分别部署于信息内外网集中进行管理。
(6)防病毒系统。
在信息内外网分别采用统一的网络版防病毒系统,将所有windows服务器安装防病毒客户端,统一进行管理,或在服务器上安装单机服务器版本的防病毒软件。
(7)安全事件/日志分析系统。
在信息内外网分别采用统一的安全事件及日志分析系统。
(8)入侵防护系统。
在信息外网应用系统域的网络边界上通过添加入侵防护硬件实现对各系统互联网应用的入侵防护。
通过添加入侵防护管理系统中的策略和对象以实现对特定资源的入侵防护。
(9)备份恢复软件。
可在信息内外网分别采用一套统一的备份恢复软件对各业务数据进行统一备份,在各应用服务器上添加备份。
4.2设计不可共用的安全防护措施
对于不能通过安全产品实现的安全防护措施,可通过专项研发来实现。
对于通过安全产品实现的安全防护措施,依据安全防护总体方案中的安全防护措施设计来选择安全产品。
产品选型时,对产品的选型原则、选型范围、功能技术要求等方面进行说明,然后依据产品选型要求对安全产品进行测评和筛选。
5安全防护措施实施设计
5.1安全控制措施实施设计
实施安全控制措施应该遵循总体方案设计,分阶段落实安全控制措施建设。这包括安全控制开发和配置、安全控制集成、测试与验收等主要环节。
(1)安全功能开发和配置。对于一些不能通过部署安全产品来实现的安全措施和安全功能,通过软件功能设计、开发和配置来实现。
(2)安全控制集成。将不同的软硬件产品集成起来,依据安全设计方案,将安全产品、系统软件平台和开发配置的安全控制与各种应用系统综合、整合成为一个系统。
(3)安全产品测试与验收。在安全产品上线前应当对设计的功能进行测试,并经过试运行后完成验收。
(4)安全运行维护。完成安全体系建设后,将进入安全运行维护阶段,各单位应当严格遵照国家电网公司相关运行维护要求及各安全产品的运行维护手册及要求进行系统运行维护。
5.2安全控制措施变更设计
经过一段时间运行后,随业务系统及信息环境的变化,安全控制措施可能需要进行变更,需注意以下几点。
(1)确定是安全体系局部调整还是重大变更,如果涉及到安全域变化需要重新依据防护方案进行设计;如果仅局部调整可修改安全控制措施的配置实现。
(2)由变更发起人向主管领导进行书面申请并要记录相应变更行为,确保变更实施过程受到控制,保证变更对业务的影响最小。
(3)对变更目的、内容、影响、时间和地点以及人员权限进行审核,以确保变更合理、科学的实施。
(4)变更应当制定详细的计划并在非关键业务时段进行,并制定相应的回退计划。
6结语
该课题对电力公司信息系统等级保护安全策略进行研究,采用了安全域划分设计,通过该课题设计实现信息安全等级保护建设的层次及过程,有效地将信息安全总体方案进行贯彻执行。
参考文献
[1]枪威.数字化变电站中信息处理及网络信息安全分析[J].电力系统保护与控制,2007,35(12):18-22.
[2]胡炎,谢小荣,韩英铎,等.电力信息系统安全体系设计方法综述[J].电网技术,2005,29(1):35-39.
[3]胡炎,谢小荣,辛耀中.电力信息系统现有安全设计方法分析比较[J].电网技术,2006,30(4):36-42.
电力系统安全防护方案篇2
简述了当前文物及古建筑保护中面临的安全问题,从设计任务书、现场勘察记录、设计方案、系统设计等方面,阐述了文物及古建筑安防系统工程的设计方案与规范,指出安防系统在文物与古建筑保护中发挥了重要的作用。
关键词:
文物,古建筑,安防系统
中国是世界公认的四大文明古国之一。中华文明上下五千年,历史悠久,源远流长,留下了浩如烟海的珍贵文物,面对这些不可再生的历史印记,如何保护成为当前我国文物安全第一要务。随着文物的社会价值空前提升,文物安全面临的新、旧挑战却日益增多,日趋复杂。面对新时期文物自身的特点和公众对其的高度关注,文物安全成为文物工作的重中之重。文物安全事故的发生不仅损害文物本身,更为重要的是对一种文化记忆的损害或者灭失。不仅关乎财产损失,还关乎各方利益,关乎社会公众情感,国家、民族情感,甚至国家外交。1960年,我国第一台声控报警系统诞生,在故宫的珍宝馆开始安装并投入使用。从此,为我国采用科学技术手段用于安全防范填补了空白。到现在为止,我国已使用报警系统50多年,安防系统起源于文物安防,文物系统是安全技术防范系统应用、普及、发展的排头兵。安防系统在保护文物安全工作中发挥了不可替代的重要作用。
1当前文物、古建筑保护中面临的安全问题
1.1古建筑火灾火灾一直是危害文物安全的主要因素。5000多年来,我国历史上曾经兴建了难以计数的宫廷、王府、衙署、民居、寺庙、祠观和亭台楼阁,但世事沧桑,绝大多数古建筑都已灰飞烟灭。据有的学者进行不完全统计,从春秋时期到清朝未年,皇宫陵寝、王府衙署、寺观楼台等重要建设,史上有记载,共发生火灾355次之多。至今已保留的古建筑大多也是几经火劫,屡毁屡建。据不完全统计,新中国成立50年(1950年—2000年),我国发生古建筑火灾165起,平均每年3.5起。2000年—2008年,发生古建筑火灾多达356起,平均每年39.6起。2009年—2013年,仅国家文物局接报的省级以上文物保护单位发生的火灾、火险事故就达37起。许多珍贵的古代建筑就在熊熊烈火中消失殆尽。文物古建筑防火形势严峻。火灾是对文物、人员与设施安全的另一传统威胁,也是毁灭性的威胁。2007年3月4日,太原市市保单位山西省军区办公楼发生火灾,办公楼大部分被烧毁,起火原因系电线短路。4月24日晋城市阳城县国保单位开福寺大殿一根金代柱子被焚烧,起火原因电线短路。8月31日晚,阳泉市盂县藏山祠梳洗楼被火烧毁,该楼系1984年重建,事故原因不明。2011年8月29日,山西运城黄河文化博物馆发生火灾。着火位置位于该博物馆顶楼,着火物质是墙体夹层中的防雨布,因遇到电焊落下的火星而燃烧。2010年11月13日,全国重点文物保护单位清华大学早期建筑群中的清华学堂在维修过程中发生火灾,过火面积800多平方米,起火原因是施工过程中动用明火。
1.2盗窃、盗掘、抢劫等犯罪活动犯罪活动主要包括:1)盗掘古遗址、古墓葬、古塔地宫;2)田野石刻被盗;3)文物构件、附件被盗;4)博物馆被盗等。2009年—2012年全国公安机关立各类文物犯罪案件分别为1121起、964起、1210起、1384起。2011年陕西临潼千年的战国墓一夜间被盗。平遥县桑冀二神庙正殿柱础全部被盗,大殿前檐已成波浪形。2011年5月,故宫博物院惊曝展品失窃案。2004年6月15日,大同市博物馆107,108两间库房被盗。被盗一般文物古钱币6500枚,法帖、经书、料珠、骨饰等其他文物50多件。2010年1月8日,发生在运城市临猗县博物馆文物库,13件文物被盗,其中有一般文物4件,国家二级文物3件、三级文物6件。
1.3对文物的损毁如北京一司机拖板车运送挖掘机时,撞坏了国子监牌楼。2009年,一辆装了柏油的城市工程车在瞻园大门前倒车,将全国重点文物保护单位南京瞻园门口左边的石狮撞倒,导致基座也和狮身断裂,石狮嘴巴和尾巴严重受损。
2文物、古建设计建筑安全技术防范系统工程设计方案及规范
1)设计任务书:设计任务书是技防工程设计、方案审核和工程竣工验收的依据,设计任务书应按照GB50348标准内容编制。2)现场勘察记录:现场勘察是技防工程进行设计的重要依据,勘察的内容应按GB50348标准中的内容进行勘察。3)设计方案(根据GB50348,GB50394标准内容进行设计):a.任务来源;b.设计依据(标准、管理规定、设计任务书、现场勘察报告);c.指导思想;d.防护区域的划分:采取纵深防护体系;周界、监视区、防护区、的划分;达到人防、物防、技防相结合的有效防范;e.主要系统组成:视频监控系统;入侵报警系统;声音复核系统;出入口控制系统;巡更系统;通讯广播系统;防雷系统;钥匙管理系统;停车场管理系统;防爆安全检查系统等子系统构成。4)系统设计(按系统组成,分别做方案设计说明):根据文物系统安全防范标准要求,系统应以报警为主,并具有声音复核、图像复核集为一体,构成一个符合标准要求的自动化、智能化程度高,功能完善、防范严密的综合防范能力强的现代化安全技术防范系统,并能在现场环境条件下稳定可靠工作,以确保文物安全。a.防盗报警系统设计内容:中心设备选型及功能;周界、防护区、前端设备布设与选型;信号传输方式;系统指标:报警主机容量;设计使用容量;漏报警为0;误报警日平均次数不大于报警输入点总数的1%次(Ga368—系统误报警率应控制在可接受的限度内);报警响应时间(分线制不大于2s,无线和总线制任一防区首次报警不大于3s,其他防区后续报警不大于20s。Ga/t368);系统联动响应时间不大于4s(Ga/t368);防盗报警控制器平均无故障工作时间分三级(GB12663—2001:1级不小于5000h,208d;2级20000h,2.28年;3级60000h,6.85年);报警声压:安装在机内不小于80dB,安装在机外时,不小于100dB;报警系统入侵延迟时间不小于10min;处警响应时间不大于3min(Ga27—2002)、系统总功耗。b.视频监控系统设计内容:中心设备选型及功能;前端设备布设与选型;信号传输方式;系统指标:最大输入容量;设计规定容量;设备系统的平均无故障间隔时间(mtBF)不能小于5000h(208d);系统在验收后发生的首次故障时间必须大于3个月(Ga/t367—2001);视频图像质量等级应达到主观评价4级以上,对于电磁环境特别恶劣的现场,对图像质量等级要求不低于3级。对回放图像的质量要求低于3级,人的面部特征要能辨别;对设备信噪比为不小于48dB;显示分辨率不小于370线;系统总功耗。c.声音复核系统设计内容:中心设备选型及功能;前端设备布设与选型;信号传输方式;系统指标:最大输入容量;设计使用容量;覆盖范围100%;失真度不大于5%;信噪比不小于50dB、频率响应宜为100Hz~12kHz±3dB;系统总功耗。d.出入口控制系统设计内容:中心设备选型及功能;前端设备布设与选型;信号传输方式;系统指标:最大输入容量;设计使用容量;系统校时的计时精度应小于5s/d(天),当电池作为主电源时,其容量应保证正常开启1万次以上;系统总功耗。e.电子巡查系统设计内容:中心设备选型及功能;前端设备布设与选型;信号传输方式;系统总功耗。f.通讯广播系统设计内容:中心设备选型及功能;前端设备布设与选型;信号传输方式;系统指标:信噪比、失真度;系统总功耗。g.系统供电设计内容:现有供电方式(单路或双路);中控室供电应有稳压电源,稳压电源应有净化功能,其标称功率应大于系统使用功率的1.5倍;稳态电压偏移不大于±2%;稳态频率偏移不大于±2Hz;电压波形畸变率不大于5%;允许断电持续时间为0ms~4ms;备用电源形式(UpS和/或备用发电机)报警系统备用电源容量应至少保证正常工作8h以上(Ga/t367—2001,GB50348—2004)。视频系统正常工作时间不小于1h(Ga/t367—2001)。前端设备由监控中心统一供电(将各系统功耗列表,得出电源总功率设计依据,确定UpS备用电源容量)。h.系统防雷设计内容:技防系统防雷和接地保护是保证系统和人身安全的重要组成部分。系统防雷按GB50343—2004建筑物电子系统防雷技术规范、Ga/t670—2006安全防范系统雷电浪涌防护技术要求、GB50348、Ga367/t—2001规定进行设计。安全防范系统的接地母线应采用铜制线,接地电阻要求不得大于4Ω;如安全防范系统建造在野外的,要求接地电阻不得大于10Ω;若在高山岩石的土壤电阻率大于2000Ω•m时,要求接地电阻不得大于20Ω。
3安全技术防范系统在文物与古建筑保护中应用的功效
安全技术防范系统是主要以计算机技术为主体,以电子元器件为信息载体组成的系统。系统通过对各类报警探测器获取的信息进行控制分析处理后,使值班操作人员和安全保卫人员能够及时处理警情,有效的防止犯罪分子的抢劫、防盗窃、防破坏及防火灾的安全防范功能。安全技术防范系统,是人力防范手段和实体防范手段的功能延伸和加强,是技防防范和实体防范在技术上的补充和加强。安全技术防范系统要融入人力防范和实体防范之中,使人力防范和实体防范在探测、报警、反应三个基本要素中间不断地增加高科技含量,不断提高探测能力、报警能力和反应能力,使防范手段的作用真正发挥实效,达到预期的保护目的。安全技术防范系统的广泛使用,及近年来不断的发展已在文物安全防范、打击犯罪和管理方面发挥了不可替代的重要作用。
50多年来,仅以首都博物馆、秦始皇兵马俑博物馆、沈阳故宫、云南省博物馆等单位在安装使用技术防范设施,就成功抓获盗窃文物,触发火警报警等为国家避免和挽回了损失。山西省崇福寺、福圣寺、上海“一大”会址等多个单位均发生过多次非法入侵,犯罪分子作案触发报警设备后报警,当场抓获非法入侵者或终止盗窃活动。2004年1月云南省博物馆安装了报警设备,在同年5月12日,就抓获翻越围墙实施盗窃的犯罪嫌疑人,是通过报警设备和电视监控系统,值班人员发现了犯罪嫌疑人。云南省博物馆在2004年5月28日,控制室值班人员通过报警中心摄像机,发现书画展厅内一射灯因温度过高起火,及时处置,避免了一场火灾事故的发生。2013年8月22日~10月7日,首都博物馆与海南省博物馆举办了“西沙华光礁沉船宝藏展”,在撤展时发现在沙盘中隐藏的一件瓷器丢失。经公安部门通过安防系统的录像资料,确认了作案者,案件很快就被侦破,后将文物追回。由于安防系统在文物与古建筑保护中应用,近年来盗窃未遂、当场抓获盗窃分子及预防火灾、故意破坏文物的事件都得到很好的预防,为避免国家文物损失,各地文博系统的安全防范工作,在打击文物犯罪方面做出了巨大的贡献。
据各地上报的文物案件统计,20世纪90年代,全国每年发生几十起甚至上百起博物馆文物被盗案件,现在,馆藏文物被盗案件最多十几起,不超过20起,馆藏文物被盗案件逐年大幅度下降。技术防范工程的实施,是文物与古建筑保护被盗、被抢、火灾等事件大幅度下降的重要原因之一。
参考文献:
[1]刘起富.安全技术防范在文物安全工作中的地位和作用及文物系统对技术防范工作的管理体会[J].安防科技,2003(5):17-18.
[2]GB/t16571—1996,文物系统博物馆安全防范工程设计规范[S].
电力系统安全防护方案篇3
关键词:风电场;安全评价;信息安全
中图分类号:tm315文献标识码:a文章编号:
1引言
我国风电场现在正朝着规模化发展,增大装机容量。现代化的电力信息传输网络来保证电力系统的安全可靠,若电力调度机构想要更好的调度与调配各钟风电场的快速运转,必须保证风电场具备一定的自动化与信息化水平。因为网络和信息系统本身存在的缺点、脆弱性和面对的威胁,潜在风险也存在信息系统的客观运行上。所以,风电场的信息安全是现在所关注的重要问题。
伴随安全评价工作的迅速开展,安全评价逐渐趋向专业化道路,评价的内容不但提到安全管理、作业环境,而且还会提到设备设施的性能安全,这也是目前安全评价技术的发展目标。为了使风电场安全稳定运行,在风电场安全评价中建议增多信息安全的评价内容。
2风电场“三同时"安全评价概况
多年来我国有关风力发电建设项目安全“三同时”的安全评价得到了较好的评价,组织有顺序,发展稳定。中国水电水利规划设计总院编写《风电场工程安全预评价报告编制规定》,表明评价报告的内容、评价报告范围以及格式等等。在海南省三亚市,国家安全生产监督管理总局举办了两期“可再生能源发电建设项目安全“三同时”技术宣传训练班”。另外,全国各省、市安全生产监督管理部门提出了有关风电建设项目“三同时”监管工作的有关文件。上述工作都能有利于我国风电场进行“三同时”安全评价的开展。现在全国各地风电场都不同程度实施“三同时”的安全i耳价,装机容量超过ioomw的风电场行情况更好,保证了风电场建设施工以及运行安全。
3风电场发展特点与信息安全存在的问题
3.1风电场发展特点
风电是节能环保的绿色新能源,多年来获得了历史性的发展机遇。风电场的发展有以下特点:风电场发展迅速,极其注重规模,忽视基础工作;风电场的装机容量逐渐增大;高科技在风电场的应用很多;设备设施的自动化与信息化程度逐渐升高;出现越来越多无人值守风电场。
3.2信息安全存在的问题
因为风电场对信息安全的了解不足,使其系统网络内部,会存在访问控制不谨慎、网络异常状态解决不及时、预警手段缺乏、缺乏安全风险宏观检测以及控制手段等问题。在信息安全方面风电场存在的风电场信息安全管理意识浅薄
不管是管理人员还是技术人员,大多注霞网络的效应,忽略信息安全的重要性。一涉及信息安全,问题主要有:
(1)只要有防火墙或者杀毒软件就可以了,还有的人,依照设计要求,风电场装设了有关单向隔离装置关和硬件防火墙,咨询有关技术人员或管理者都表示不清楚。
(2)未重视互联网的安全威胁
风电场大多建在地点相对偏僻,远离城市。目的使工作与业余生活便捷,基本上所有风电场的网络都使用各种方式和互联网连接。方便的同时也带来了风险。黑客基本上能对网络上连接的计算机系统与设备实施进行入侵、攻击,影响网络上信息的传播,毁坏软件系统与数据,获取企业的机密信息以及商业秘密,非法运用网络资源,对风电场有巨大的损失。
(3)未建立信息安全专项管理体系
很多风电场未建立信息安全管理体系,也未制定专项管理制度以及防护措施。从而导致信息安全责任人得不到及时解决,所以可能出现私自滥用优盘、移动硬盘从服务器传输资料,未索要有硬件防火墙的检查报告或说明书;不与控制系统开发商签订保密合同;未定期实施主机加固等情况。
电力调度数据网的维护不够
伴随计算机网络技术的快速发展,数据通信网使各级风电场连在一起,落实了电网和风电场间信息系统相互联系、资源共用。根据《电力二次系统安全防护规定》(电监会5号令)规范,许多风电场都装备电力调度数据网,电网公司负责据网的维护,因为风电场特殊的地理环境,电力调度数据网一出现故障,在短时间内很难进行修复。
未定期对风电场信息安全进行评估
根据《关于开展信息安全风险评估工作的意见》(国信办[2006]5号)和《电力二次系统安全防护规定》(电监会5号令)的要求,风电场必须经常进行信息安全评估,经过评估能发现存在的缺点,有利于及时改进,保证信息安全。但是根据数字统计,风电场信息安全评估基本是零,明显看出此项问题未引起风电场的相应重视。
4电力系统强化信息安全的要求
4.1电力系统强化信息安全的文件规定
为了增强电力二次系统的安全防护水平,确保电力系统的安全稳定进行,国家电监会根据《电力二次系统安全防护规定》(电监会5号令),制定了《电力二次系统安全防护总体方案》、《省级以上调度中-L,--次系统安全防护方案》、《变电站二次系统安全防护方案》等。条款要求各单位必须完善和落实二次系统安全防护责任制,把电力二次系统安全保护收入到电力安全生产管理体系当中。建立完善的电力二次系统联合防护与应急方案,实施并且完善应急预案。
4.2电力二次系统安全防护的重点
风电场安全防护是为了防止黑客、病毒等使用各种形式而引发的恶意破坏与攻击,特别是集团式攻击,以保护电力实时闭环监控系统和调度数据网络安全为重点,避免由于这项而导致的电力系统事故,进而确保风电场和整个电力系统的安全稳定进行。
5在风电场安全评价中增多信息安全评价内容的建议
从风险管理角度风电场信息安全评价就是运用科学的手段以及方法,详细地分析网络和信息系统将面临的威胁和具有的脆弱性,评价安全事件如果发生将会使危害程度大大提高,为此要想出有目的性的抵御威胁的防护方法以及整改的对策。并且为了预防与解决信息安全风险,或将风险控制在最小的情况下,能够最大限度地保护网络与信息安伞提供科学根据。
5.1风电场信息安全评价根据
主要根据《电力二次系统安全防护规定》(电监会5号令)和它配套安全防护措施。
5.2评价原则
风电场信息安全风险评估工作必须要“严密组织、规范操作、注重实效、讲求科学”的基本原则进行开展。重视与强化风电场信息安全风险评估工作的领导,改进相应的评估制度,形成以预防为主、不断改进信息的安全风险评估机制。并且必须遵守保密制度,若有提到国家秘密的信息,按有关保密规定的要求必须严格遵循。
5.3评价方式
分为俩种评价的方式:一是要求风电场提供第三方评价报告,在信息安全的方面作为风电场“三同时”评价的依据;二是评价机构针对风电场实际情况,根据“网络专用、安全分区、纵向认证、横向隔离”的基本原则,可以评价信息安全方面的专项管理与配备的防火墙系统,把评价结果直接体现和反映在评价报告中。
5.电场信息安全评价内容
在风电场“三同时”安全评价中,信息安全评价的内容有以下几点:
(1)是否制定安全防护方案,并且合理安全分区。
(2)是否装备电力调度数据网,在专用通道上是否使用独立的网络设备组网,在物理层面上安全隔离电力企业其它数据网和外部公共信息网
(3)是否在管理信息大区和生产控制大区之间安置通过国家指定部门检查认证的电力专用横向单向安全隔离装置。是否在生产控制大区内部的安全区间使用具有访问控制功能的设备、防火墙或有关功能的设施,有效地实施逻辑隔离。
(4)是否在生产控制大区和广域网的纵向交接处设置通过国家指定部门检查认证的电力专用纵向加密认证装置或加密认证网关和有关设备。
(5)专项安全管理形势。是否建立电力信息安全管理系统,建立完善电力二次系统安全管理制度,把电力二次系统安全防护工作和信息报送放到平日的安全生产管理体系中,实施分级负责责任制;是否建立健全电力二次系统安全的联合保护以及应急措施,制定应急方案;电力二次系统有关设备和系统的供应商、开发单位是否通过合同条款或者保密合同的方法来保证所提供的设备和系统符合有关规定的要求,在生命周期内承担设备及系统的责任。
6结论
在风电场“三同时”安全评价中,信息安全的评价在这只是―个提议与有利的设想若可以加强信息安全方面的评价内容,在实际评价中还需要加强探索与研究,总结经验,逐渐加强风电场电力二次系统的安全防护水平,确保系统的正常稳定运行。
参考文献
[1]段斌,林嫒源,黄凌翔,等.风电场监控通信安全解决方案[J].电力系统自动化.2009,33(12):97.102
电力系统安全防护方案篇4
关键词:变电站二次系统安全防护
1变电站二次系统存在的安全风险
由于近些年电子计算机技术发展迅速,英特网、环球网和电子邮件等开始被人们广泛使用,网络病毒凭借这些平台开始大肆传播。计算机病毒会破坏计算机数据或功能,导致计算机不能正常使用,并且还可以进行自我恢复,具有极强的复制性、破坏性和传染性。美国微软公司曾经了一条安全报告,网络罪犯把中国的电脑用户当作最主要的侵害目标。而且在近一段时间,我国病毒侵害事件的发生率正逐步增长,给我国带来了巨大的经济损失。
在现阶段,变电站二次系统病毒主要是借助网络、U盘、局域网等来进行传播,设计安全防护方案时最重要的就是预防,并且能够使病毒攻击的可能性得到最大限度的降低。其中,最主要的风险包括:第一,网络入侵者通过发送非法控制的命令,进而使电力系统出现事故,更甚者会造成系统瓦解;第二,未经授权就使用电力监控系统的网络资源或者计算机,导致负载过重,进而使系统出现故障;第三,将大量数据发送给通信网关或者电力调度数据网,进而使监控系统或者网络瘫痪。
2变电站二次系统安全防护设计
2.1总体防护策略
变电站二次系统集控“五防”,其在设计安全防护措施时,必须要全国电力二次系统的防护策略:“安全分区,网络专用;纵向认证,横向隔离”。
2.2划分安全区
综合分析变电站二次系统的特点,明确各项数据的流程,弄清楚当前的实际状况,同时分析各项安全要求,把变电站店里二次系统划分成三个安全区:其中,安全Ⅰ区是实施控制区,安全Ⅱ区是非控制生产区,Ⅲ区是生产管理区。安全区不一样,那么安全防护要求也会存在区别,防护水平及安全等级也会不一样。Ⅰ区具有最高的安全等级,Ⅱ区次之,剩下的以此类推。
在实时控制区中,安全区Ⅰ中的业务系统或功能模块可对电站进行实时监控,这也是其最显著的特征,在电力生产中发挥着无可取代的作用,系统通过调动数据网络和专用信道来实时在线运行。
在非控制生产区中,安全区Ⅱ中的业务系统或功能模块在电力生产中发挥着必要作用,但是不可实现对电力生产的控制,这是其最显著的特征。系统通过调度数据网络实现在线运行,且紧密联系着安全区Ⅰ中的业务系统或功能模块。
在生产管理区,安全区Ⅲ中的业务系统或功能模块可对电力生产进行管理,但无法控制电力生产,同时也不进行在线运行,其运行也无需在电力调度数据网络的支持下进行,而是直接关联着调度中心或控制中心工作人员的桌面终端,同时紧密连着着安全区Ⅳ的办公自动化系统。
2.3安全区之间横向隔离要求
(1)应对安全区Ⅰ与安全区Ⅱ进行逻辑隔离,隔离设备选用的硬件防火墙或相当设备必须是通过有关部门检查核准的,对于e-mail、web、telnet、Rlogin等服务,应明令禁止,明确规定不能通过安全区之间的隔离设备。
(2)安全区Ⅰ、安全区Ⅱ与安全区Ⅳ要隔离开来,禁止发生直接联系。安全区Ⅰ、安全区Ⅱ与安全区Ⅲ之间也需要用电力专用单向安全隔离装置进行隔离,且选用的装置必须是得到国家有关部门认证的。
(3)对于e-mail、web、telnet、Rlogin等网络服务以及以B/S或C/S方式的数据访问功能,应明令禁止,明确规定不能通过专用安全隔离装置。专用安全隔离装置中只能单向安全传输纯数据。
2.4纵向安全防护要求
(1)电力调度数据网用于连接安全区Ⅰ、安全区Ⅱ,电力企业数据网用于连接安全区Ⅲ和安全区Ⅳ。
(2)需对电力调度数据网进行进一步的划分,分别为逻辑隔离的实时子网和非实时子网,其中,实时子网与实时控制区连接,非实时子网与非控制生产区连接。
3具体实施方案
3.1加装硬件防火墙
在安全区之间进行防火墙的部署,以将两个区域的逻辑隔离、访问控制以及报文过滤等功能充分发挥出来。其中,基于业务流量的ip地址、协议、方向以及应用端口号的报文过滤是主要的防火墙安全策略。所以,在集控“五防”项目中,“五防”服务器端(纵向)和综合自动化后台中通讯依靠网络实现的“五防”子站,都进行了硬件防火墙的设置,以实现子站之间的隔离。
3.2二次系统安全加固
以集控“五防”变电站二次系统安全防护方案为基准,进一步加固账号口令、网络服务、数据访问控制、审计策略等。
加固账号口令,具体操作内容包括,对账户权限进行重新配置,将多余用户及时删除,禁止使用Guest账号,进一步完善各项安全设置(设置内容包括用户口令、口令策略以及自动屏保锁定),禁止系统进行自动登录。以实现“五防”机的严格管理和安全登录使用。
加固网络服务,具体操作方法为:将无用服务、无关网络连接、远程桌面全部关闭,并禁止再行打开,进行访问控制策略设置,禁止匿名用户连接和默认共享。以使网络的安全运行得到充分保障,避免出现数据泄露或恶意破坏现象的发生。
加固数据访问控制,具体操作内容包括:对特定执行文件的权限进行限制,禁止文件共享,避免文件完全控制。
加固审计策略,进行系统审核策略的更新配置,并根据实际情况对日志大小进行调整,此外还需进行进一步的统一安全审计。
3.3加装网络版杀毒软件
以集控“五防”变电站二次系统安全防护方案为基准,进行网络版防病毒软件的安装。在更新病毒特征码时,注意是要在离线的情况下进行更新,此外,更新要及时。此外,凡是集控“五防”二次系统涉及到的服务器和子站,都要进行瑞兴电力企业专用版杀毒软件的安装,此外,定期在一级服务器中对病毒库进行升级,以使维护的频次和工作量得到有效减少。
参考文献
[1]潘路.电力二次系统网络信息安全防护的设计与实现[D].华南理工大学,2014.
电力系统安全防护方案篇5
[关键词] 电力系统 网络安全 风险控制
1 概述
2008年对于电力部门来说,保奥运,确保电网和系统安全,是各发电集团公司、国家电网公司、南方电网公司的头等大事。保护电力业务系统的安全,其核心在于保护电力数据的安全,包括数据存储、传输的安全。影响电力系统网络安全的因素很多,有些因素可能是有意的,也可能是无意的误操作;可能是人为的或是非人为的;也有可能是内部或外来攻击者对网络系统资源的非法使用。
以前由于电力系统一直以来网络结构和业务系统的相对封闭,电力系统出现的网络安全问题也基本产生于内部。但是,随着近年来与外界接口的增加,特别是与政府、金融机构等合作单位中间业务的接口、网上服务、三网融合、数据大集中应用、内部各系统问的互联互通等需求的发展,其安全问题不仅仅局限于内部事件了,来自外界的攻击已越来越多,已经成为电力系统不可忽视的威胁来源。但是,未来电力系统网上服务所采用的策略一般是由各省公司做统一对外服务出口,各级分局或电力公司和电厂将没有对外的出口;从内部业务应用的角度来看,除大量现存的C/S结构以外,还将出现越来越多的内部B/S结构应用。
所以,对于电力系统整体来说,主要问题仍有一大部分是内部安全问题。其所面临的威胁大体可分为两种:一是对网络中通讯、信息的威胁;二是对网络中设备的威胁,造成电力系统瘫痪。对于电力系统来说,主要是保护电力业务系统的安全,其核心在于保护电力数据的安全,包括数据存储,数据传输的安全。
2 电力网络信息系统安全的威胁
2.1 人为的无意失误
如果网络安全配置不当造成的安全漏洞,包括安全意识、用户口令、账号、共享信息资源等都会对网络安全带来威胁。主机存在系统漏洞,通过电力网络入侵系统主机,并有可能登录其它重要应用子系统服务器或中心数据库服务器,进而对整个电力系统造成很大的威胁。
2.2 人为的恶意攻击
这是计算机网络所面临的最大威胁,黑客的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的可用性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成直接的极大的危害,并导致机密数据的泄漏和丢失。由于windows操作系统的漏洞不断出现,针对windows操作系统漏洞的各种电脑病毒攻击也日益多了起来。尤其是2003年8月份和2006年5月出现的冲击波蠕虫病毒和恶意程序给全世界80%的计算机造成了破坏,安徽省电力公司系统内也有多个供电企业的信息系统遭到病毒的破坏,这一事件给网络安全再次敲响了警钟!
3 网络安全风险和威胁的具体表现形式
电力系统网络的安全性和可靠性已成为一个非常紧迫的问题。电力安全方案要能抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击,特别是能够抵御集团式攻击,防止由此导致的一次系统事故或大面积停电事故,二次系统的崩溃或瘫痪,以及有关信息管理系统的瘫痪。必须提出针对以上事故的各种应急预案。随着计算机技术、通信技术和网络技术的发展,电力系统网上开展的业务及应用系统越来越多,要求在业务系统之间进行的数据交换也越来越多,对电力网络的安全性、可靠性、实时性提出了新的严峻挑战。其安全风险和威胁的具体表现形式如下:
(1)UniX和windows主机操作系统存在安全漏洞。
(2)oracle、Sybase、mSSQL等主要关系型数据库的自身安全漏洞。
(3)重要应用系统的安全漏洞,如:mSiiS或netscapeweB服务应用的“缓存区溢出”等,使得攻击者轻易获取超级用户权限。核心的网络设备,如路由器、交换机、访问服务器、防火墙存在安全漏洞。
(4)利用tCp/ip等网络协议自身的弱点(DDoS分布式拒绝服务攻击),导致网络瘫痪。网络中打开大量的服务端口(如RpC、Ftp、teLnet、Smtp、FinGeR等),容易被攻击者利用。黑客攻击工具非常容易获得,并可以轻易实施各类黑客攻击,如:特洛伊木马、蠕虫、拒绝服务攻击、分布式拒绝服务攻击,同时可利用activeX、Java、JavaScript、VBS等实施攻击。造成网络的瘫痪和关键业务数据的泄漏、篡改甚至毁坏。在电力内部网络中非法安装和使用未授权软件。对网络性能和业务造成直接影响。系统及网络设备的策略(如防火墙等)配置不当。
(5)关键主机系统及数据文件被篡改或误改,导致系统和数据不可用,业务中断等。
(6)分组协议里的闭合用户群并不安全,信任关系可能被黑客利用。
(7)应用软件有潜在的设计缺陷。
(8)在内部有大批的对内网和业务系统相当熟悉的人员,据统计,70%以上的成功攻击来自于企业系统内部。与其他电力和合作单位之间的网络互通存在着极大的风险。
(9)虽然将来由省局(公司)统一的weB网站向外信息并提供网上信息服务,但很多分局和分公司仍允许以拨号、DDn专线、iSDn等方式单独接入互联网,存在着由多个攻击入口进入电力内部网的可能。系统中所涉及的很多重要数据、参数直接影响系统安全,如系统口令、ip地址、交易格式、各类密钥、系统流程、薄弱点等,技术人员的忠诚度和稳定性,将直接关系到系统安全。
(10)各局使用的oa办公自动化系统大量使用,诸如windows操作系统,可能存在安全的薄弱环节,并且有些分局可能提供可拷贝脚本式的拨号服务,拨入网络后,即可到达电力的内部网络的其它主机。
系统为电力客户提供方便服务的同时,数据的传输在局外网络和局内局域网络的传输中极有可能被窃取,通过Sniffer网络侦听极易获得超级用户的密码。
4 系统的网络风险基本控制策略
针对电力系统网络的安全性和可靠性,电力安全方案要能抵御通过各种形式对系统发起的恶意破坏和攻击,防止由此导致的一次系统事故或大面积停电事故、二次系统的崩溃或瘫痪,以及有关信息管理系统的瘫痪。总体来说,电力系统安全解决方案的总体策略如下:
(1)分区防护、突出重点。根据系统中业务的重要性和对一次系统的影响程度,按其性质可划分为实时控制区、非控制生产区、调度生产管理区、管理信息区等四个安全区域,重点保护实时控制系统以及生产业务系统。所有系统都必须置于相应的安全区内,纳入统一的安全防护方案。
(2)区域隔离。采用防火墙装置使核心系统得到有效保护。
(3)网络专用。在专用通道上建立电力调度专用数据网络,实现与其他数据网络物理隔离,并通过采用mpLS-Vpn形成多个相互逻辑隔离的ipSeCVpn,实现多层次的保护。
(4)设备独立。不同安全区域的系统必须使用不同的网络交换机设备。
(5)纵向防护。采用认证、加密等手段实现数据的远方安全传输。
5 电力系统的网络安全解决方案
针对电力网络安全的薄弱环节全方位统筹规划。解决方案注重防止非法入侵全网网络设备;保护电力数据中心及其设备中心的网络、服务器系统不受侵犯――数据中心与internet间必须使用防火墙隔离,并且制定科学的安全策略;制定权限管理――这是对应用系统、操作系统、数据库系统的安全保障;考虑网络上设备安装后仍然可能存在的安全漏洞,并制定相应措施策略。
(1)在网络设备的安全管理方面,将所有网络设备上的Console口加设密码进行屏蔽,配置管理全部采用oUt-BanD带外方式,并对每个被管理的设备均设置相应的帐户和口令,只有网络管理员具有对网络设备访问配置和更改密码的权力。
(2)在网管中心通过划分不同安全区域来规范管理网络和工作网络,从逻辑上把每个部门的资源独立成一个安全区域,对安全区域的划分基于安全性策略或规则,使区域的划分更具安全性。网络管理员可根据用户需求,把某些共享资源分配到单独的安全区域中,并控制区域之间的访问。
(3)Vpn和ipsec加密的使用。电力网络将通过mpLSVpn把跨骨干的广域网络变成自己的私有网络。为保障数据经Vpn承载商(iSp)传输后不会对数据的完整与安全构成潜在危险,在数据进入mpLSVpn网络之前首先经过ipsec加密,在离开Vpn网络后又再进行ipsec解密。
(4)通过网络设置控制网络的安全。在交换机、路由器、数据库和各种认证上,层层进行安全设置,从而确保整个网络的安全。
(5)通过专用网络防火墙控制网络边界的安全。
(6)进行黑客防范配置。通过信息检测、攻击检测、网络安全性分析和操作系统安全性分析等一系列配置,对黑客进行监控。可以部署在内网作为iDS进行监控使用,也可以部署在服务器的前端作为防攻击的ipS产品使用,以保障网络的安全性。
6 电力系统局域网内部网络安全解决方案
外部攻击影响巨大,但内部攻击危害也不能忽视,为了解决内网安全问题,在一个电力/电厂系统的局域网内部,可以使用防火墙对不同的网段进行隔离,并且使用ipS设备对关键应用进行监控和保护。同时,使用ipS设备架设在相应的安全区域,保证访问电力系统内部重要数据的可监控性、可审计性以及防止恶意流量的攻击。并且实现以下的主要目的:
(1)网络安全:防火墙可以允许合法用户的访问以及限制其正常的访问,禁止非法用户的试图访问。
(2)防火墙负载均衡:网络安全性越来越成为电力系统担心的问题了,网络安全已经成为了关键部门关注的焦点。网络安全技术将防火墙作为一种防止对网络资源进行非授权访问的常用方法。
(3)服务器负载均衡:执行一定的负载均衡算法,可以针对电厂内关键的服务器群动态分配负载。
7 广域网整体安全解决方案
对于整个广域网,为了端对端、局对局的安全性,本着不受其他系统影响,不影响其他系统的安全原则,可对防火墙以及ipS设备进行分布式部署。
通过过滤的规则设置可以使得我们方便地控制网络内部资源对外的开放程度,特别是针对国家电网公司、当地政府以及internet仅仅开放某个ip的特殊端口,有效地限制黑客的侵入。
通过过滤、ip地址以及客户端认证等规则的应用,可以确定不同的内部用户享受不同的访问外部资源的级别,对于内部用户严格区分网段,而且可以利用独特的内置LDap的功能对客户端进行认证。通过这种方式可以有效地限制内部用户主动将信息通过网络向外界传递。
电力系统安全防护方案篇6
现今信息技术在电力行业中广泛应用,双向互动服务由于大量使用了通信、网络和自动化等新技术,使自身的安全问题变得更加复杂、更加紧迫。信息安全问题显得越来越重要,它不仅威胁到电力系统的安全、稳定、经济和优质运行,而且影响着电力系统信息化建设的实现进程。
针对上述情况,本文在双向互动服务平台物理架构的基础上,分析双向互动服务的安全防护需求,并由此提出了一套切实有效的保护方案,对跨区通信进行重点防护,提升整体信息安全防护能力,实现对双向互动服务信息的有力支撑和保障。
1双向互动服务平台物理架构
双向互动服务平台的物理架构包括:
a.安全架构:终端安全接入平台,公网与DmZ区(隔离区)通过防火墙进行防护,DmZ区(隔离区)与信息外网通过防火墙隔离,信息外网与信息内网通过网络物理隔离装置隔离;专网(电力应用专网Vpn)越过DmZ区(隔离区),通过防火墙接入,实现与信息外网通讯,信息外网与信息内网通过安全接入网关实现安全接入。
b.内外互动:所有应用部署分信息内网部署和信息外网部署,移动作业、控制类的涉及敏感数据的互动服务部署在信息内网,普通互动服务部署在信息外网。
c.通信方式:电力专网(包括电力应用专网Vpn)、互联网(家庭宽带)、2G/3G/4G无线公网无线专网(Vpn)、电力载波(pLC)、RS485、Zigbee、RFiD、其它无线等。
2双向互动服务安全防护需求分析
从网络边界安全防护、网络环境安全防护、主站和终端设备的主机安全防护、业务应用系统安全防护等四个方面提出双向互动服务的安全防护需求。
(1)网络边界安全防护需求
双向互动服务需要对信息数据的流入流出建设相应的边界安全防范措施(如防火墙系统)和数据的入侵检测系统。由于双向互动服务平台中属于企业信息网络的管理大区,同生产大区之间应该实现逻辑隔离,但管理大区和生产大区之间要相互交换数据,所以在网络大区之间应建设安全隔离与信息交换设备,如隔离网闸。
(2)网络环境安全防护需求
需要针对双向互动服务的整个网络环境建立完整的网络环境安全防护手段。网络环境安全防护需要对系统中的组网方式、网络设备以及经过网络传输的业务信息流进行安全控制措施设计。
针对黑客入侵的威胁,需要增加入侵检测系统,以防止黑客的威胁和及时发现入侵;需要对病毒及恶意代码的威胁建立相应的安全措施。
(3)主站和终端设备主机安全防护需求
需要对操作系统和数据库的漏洞增加相应的安全防范措施,对主站和终端设备提供防窃、防破坏、用电安全的措施。为满足数据终端存储和系统访问控制、终端设备网络安全认证、数据加解密等安全需求,可使用安全认证芯片所提供的密码服务功能,保障主站与终端设备的安全。
(4)业务应用安全防护需求
业务应用系统安全防护需求应从使用安全和数据安全两个层面进行描述。
1)系统使用安全需求。该项需求包括管理规章、系统备份、密码管理、测试及运行、操作记录等方面安全需求。
2)系统数据安全需求。该项需求包括系统数据、用户身份数据、传输数据、交易数据、终端数据等安全需求。
3双向互动服务安全防护方案
双向互动服务安全防护方案应该基于上述物理架构,从边界防护、网络安全防护、主机安全防护、应用与数据安全防护等四个方面进行设计,具体如下所示:
(1)边界防护。1)横向网络边界:横向域间边界安全防护是针对各安全域间的通信数据流传输所制定的安全防护措施,各系统跨安全域进行数据交换时应当采取适当的安全防护措施以保证所交换数据的安全。2)纵向网络边界:信息内网纵向上下级单位边界,此外,如果平级单位间有信息传输,也按照此类边界进行安全防护。3)第三方网络边界:信息内网第三方边界指信息内网与其他第三方网络连接所形成的网络边界,在双向互动服务中指通过公网信道(GpRS、CDma)接入信息内网的网络边界。
(2)网络安全防护。网络安全防护面向企业的整体支撑性网络,以及为各安全域提供网络支撑平台的网络环境设施,网络环境具体包括网络中提供连接的路由、交换设备及安全防护体系建设所引入的安全设备、网络基础服务设施。
(3)主机安全防护。双向互动服务的主机安全防护主要包括系统服务器及用户计算机终端的安全防护。服务器主要包括数据库服务器、应用服务器、网络服务器、weB服务器、文件与通信服务器、接口服务器等。计算机终端包括各地市供电公司远程工作站、省级公司工作站的台式机与笔记本计算机等。
(4)应用数据安全防护。应用安全防护包括对于主站应用系统本身的防护,用户接口安全防护、系统间数据接口的安全防护、系统内数据接口的安全防护。应用安全防护的目标是通过采取身份认证、访问控制等安全措施,保证应用系统自身的安全性,以及与其他系统进行数据交互时所传输数据的安全性;采取审计措施在安全事件发生前发现入侵企图或在安全事件发生后进行审计追踪。
4结论
用户是电力系统服务的最终对象,随着智能电网的发展,对于用户侧信息互动平台的研究越来越多。传统的信息安全防护技术已经不能满足电力系统的安全需求,面对用户侧双向互动功能安全防护的问题,本文阐述了双向互动服务平台物理架构,分析了双向互动服务的安全防护需求,并由此提供了一套可靠的解决方案,为双向互动服务信息安全提供了有力支撑和保障。
电力系统安全防护方案篇7
【关键词】:调度数据网;网络安全;分析
中图分类号:tn919.25文献标识码:a文章编号:
国家电网调度数据网,简称为调度数据网,是我国电力调度专用的数据网络,是实现各级调度中心和调度中心和电厂与电站之间进行生产数据传输和交换的重要的服务系统,是国家电网公司实行统一电网调度的重要基础。
一、国家电网调度数据网的网络组织分析
目前我国的国家电网公司的调度数据网是一种单一的平面组织,从发电厂或者电站到调度端的信息传输通道为数据网通道和专线通道。随着一些地区的特高压电网的架设,以及智能电网建设的发展,传统的调度数据网已经不能够满足使用的需要,不能保证电网调度系统的安全运行。电力调度数据网络在运行过程中具有可靠性高、实时性强的技术要求,所以在安全方面的要求比较高,直接关系到了电网的正常运行[1]。因此需要进一步的完善调度数据网的建设,对现有的网络资料实行不断的升级优化,建设可靠、安全的智能电网调度系统。
1.调度数据网的传输现状。目前我国的电力系统方面的传输方式主要有光纤、载波、微波三种方式,其中光纤通信的使用频率远远的高于其它两种通信方式,光纤通信具有传输容量大、损耗低、抗干扰能力强等非常优良的特点,成为我国电力系统主要的通信方式。我国的电力系统通信网络中已经建设成为光纤通信为主,其它两种通信方式为辅的格局。国家电网和其它的省分公司建成了密集型波分复用系统和SDH光传输双系统的结构,省级电网公司和其它地区基本建成了SDH光环网络,基本上能够满足调度数据网的使用要求[2]。
2.调度数据网的网络组织。已经建成的单一平面调度数据网络在网络升级改造的过程中,对于电网的正常运行有比较大的影响,而且选择的调度通信网络的专线传输方式可靠性不够高。在的省级调度数据网络中220kv变电站内基本上只安装了一台路由器,在电力的调度过程中容易发生数据丢失的现象,影响了电网调度数据网络的安全性和可靠性。在传输设备上以前的设备对于网络的安全维护带来了极大的困难,而且其专线方式也不能够满足日益增长的业务需求,和对数据传输的实时性、安全的要求。从2009开始,国家电网公司开始对原来的电网数据网络进行升级,以实现对网络组织的双平面扩充,通过对网络组织结构的调整,进一步的提高调度数据网络运行的安全性和可靠性。国家电网的调度数据网具有网络规模大、网络节点多的特点,所以一般采用多层、多级的结构。我国现行的调度数据网为单一平面结构,网络包含了国家电网调度中心、网络调度中心、省级调度中心、地区调度中心、220kv变电站和发电厂,采用了分层、分级的设计方案。我国的调度数据网主要分为骨干网和省级网两个级别,其中骨干网有国家调度中心负责网络的运行和管理工作,其工作范围包含国家电网公司和所有的省级调度中心、直调厂站等;省级网主要有各个省调度中心负责运行管理,包含了其管辖地区的调度中心和220kv及以上的厂站。
二、电网调度数据网络的安全防护
智能电网具有技术新、交互广、网络多等一系列的特点,使它在运行方面具有特殊的安全风险。同时,电网调度数据网络中包含了各种通信网络和网络协议,使电力调度数据网络变的更加的复杂,信息是传输过程中容易发生丢失、窃听、篡改等安全问题。
1.电力的发展使调度数据网络的安全防护变的困难。由于人民生活水平的不断提高,各种家用电器的广泛使用,使得网络中的业务服务系统之间,业务服务系统和用户之间的交流和沟通更加的频繁。在这种交互的过程中自然而然的产生了海量的数据信息,容易造成网络的拥堵和波动,业务过载的现象,同时也增加了用户的个人信息存在篡改、泄露和丢失的安全风险。
2.不断的加强网络的安全建设。电力调度数据网络是我国智能电网中重要的信息传输系统,它涵盖了应急、电量统计、调度指令等重要的信息,如果被黑客入侵,将会对电网的正常运行产生巨大的安全威胁,影响了电网的正常运行。因此需要不断的加强调度数据网的网络安全建设工作,提高网络的安全防护性能,杜绝网络被渗透或者入侵,保证电力系统的运行安全和数据安全。调度数据网络和一般的通信网络在结构和系统上具有非常强的相似性,所以在安全方案的选择和使用上也具有共同的特点,其中主要应用安全防护方案有物理隔离、数据加密和验证、防火墙、访问控制、信息过滤、数据备份、入侵检测、查杀木马和病毒等,一般企业在网络安全方案的选择上比较有效的方案有防火墙、安全路由器、web安全和邮件安全。在调度数据网中主要使用防火墙技术和纵向加密的技术来实现安全防护,一般在调度中心端和厂站端实行纵向加密认证措施,对网络实现端对端的保护;在实时业务和路由器之间也进行纵向加密认证措施,在非实时业务和路由器之间可以选择硬件防火墙或者纵向加密认证措施。通过对传输的数据进行加密认证,防止数据在网络的传输过程中出现破坏和篡改的现象,保证数据的安全性[4]。限制其它用户对电网调度数据网的访问权限,保证信息的安全性。同时,对于电网调度数据网络的安全防护上,还应当加强内部的信息安全防护,在内部的数据交换中常常容易发生信息安全问题。
三、结束语
随着我国电网结构的升级和电网调度数据网络的不断完善优化,将使国家电网调度数据网络系统发生质的变化,将进一步的提高电网运行的安全性和可靠性,我国的现代化建设提供能源保障。同时,电网调度数据网和一般的通信网络在运行结构上具有相似性,所以加强和维护电网调度数据网络的安全性也是电网调度数据网建设中的重要问题,需要认真的对待。
【参考文献】:
[1]高夏生,程俊,张先亮等.安徽电力调度数据网优化设计[J].人类工效学,2012,18(3):66-70.
[2]刘丽榕,王玉东,肖智宏等.国家电网调度数据网建设方案研究[J].电力系统通信,2011,32(2):18-21.
[3]吴强.贵州电网调度数据网业务接入安全防护方案设计[J].广东输电与变电技术,2010,12(3):65-66,70.
电力系统安全防护方案篇8
一、指导思想
以党的十七大、十七届三中全会精神为指导,深入贯彻落实科学发展观,积极应对严峻经济形势对广电设施保护工作带来的影响和冲击,紧密围绕全国“两会”和建国60周年大庆等重大政治活动的安全保卫工作,进一步加大对盗窃破坏广播电视设施违法犯罪活动的打击防控力度。在认真总结两年来专项斗争工作经验和做法的基础上,进一步完善人防、物防、技防措施,努力构建联防、互动、齐抓共管的长效机制,全面提高广播电视设施安全保护能力,确保广播电视设施安全运行和安全播出。
二、组织领导
2009年专项斗争工作继续实行以块为主,条块结合的原则,各县(市)广电部门要按照省“三电”专项斗争工作部署和市局的具体要求,认真抓好本系统的专项斗争工作。要充分发挥广播电视的优势和特点,广泛宣传“三电”专项斗争工作成果,要积极配合公安机关严厉打击盗窃破坏广播电视设施的违法犯罪活动,要切实加强广播电视设施的保护工作,确保广播电视的安全播出。
市广电局副局长高永锋同志为全市“三电”设施保护联席会议成员,社管科科长王建敏同志为联席会议办公室成员,社管科王国荣同志为联席会议办公室联系人。市局社管科负责指导、检查全市广电系统广播电视设施安全保护工作。
各县(市)广电部门也要明确本级广播电视设施安全保护工作机制的领导成员、办公室成员和联系人,落实负责部门,并于4月15日前,将人员名单、负责部门的联系电话报市局社管科。
三、工作目标
(一)进一步加大广播电视设施保护力度,有效遏制盗窃破坏广播电视设施案件频发势头,力争比2008年案发率有明显下降。
(二)确保全国“两会”、建国60周年大庆等重大政治活动期间广播电视设施的安全运行。
(三)充分利用广播电视宣传媒体优势,着力发挥广播电视作用,深入开展2009年专项斗争宣传教育工作。
(四)完善广播电视设施人防、物防、技防措施,构建联防、互动、齐抓共管长效机制。
四、阶段安排
(一)动员部署和全国“两会”安保阶段(2月—3月)。
各县(市)广电部门要结合本地区、本系统的实际,制定专项斗争工作方案,要围绕全国“两会”的安保工作,采取切实可行的工作措施,明确职责,狠抓落实,确保全国“两会”期间广播电视安全播出。
(二)防控整治阶段(4月—8月)。各县(市)广电部门要围绕全国“三电”专项斗争“压发案、严防范、堵源头”的工作目标,明确整治内容,突出防控重点,建立保护机制,搞好协同配合,确保盗窃破坏广电设施案件的大幅下降。
(三)建国60周年大庆安保阶段(9月—10月)。各县(市)广电部门要紧紧围绕建国60周年大庆安保工作,重点防范,强化措施,严格检查,堵塞漏洞,最大限度的消除隐患,确保建国60周年大庆期间广播电视设施和传输线路的安全。
(四)检查考核阶段(11月)。各县(市)广电部门要根据专项斗争工作方案,对本地区、本系统的专项斗争工作进行认真的督促检查,严格考核,发现问题要及时补救和解决,建立健全切实有效的规章制度,保证专项斗争工作落到实处。
五、工作要求
(一)提高认识,加强领导。各县(市)广电部门要从深入学习实践科学发展观、促进经济建设、维护社会稳定、构建和谐社会的高度,充分认识开展专项斗争工作的重要性、必要性和长期性。真正把广播电视设施安全保护工作纳入本单位的议事日程,进一步明确任务,细化要求,确实加强组织领导,认真研究解决广播电视安全保护工作中的突出问题,逐步提高广播电视设施的防护能力。
(二)明确职责,强化措施。各县(市)广电部门要积极响应和配合全市“三电”专项斗争办公室的工作,制定本单位、本系统专项斗争工作方案,充分发挥职能作用和优势,建立主责明确、分工到位的工作机制,督促、检查、指导本系统所属单位的专项斗争;盗窃破坏广播电视设施案件高发地区的广电部门,要组织力量认真分析案件高发的原因和特点,找出安全防范工作中存在的问题和漏洞,有针对性地采取措施,严密防控,协调、会同公安机关重点打击,坚决把案件高发的势头打下去;要加强与广电设施周边沿线乡镇政府、村(居)委会、治保会和派出所的联系,组建专群结合的巡护队伍,加强信息沟通,一旦发生盗窃破坏案件,能够做到迅速出动,及时处置,有效控制,形成联防、联动、联合处置的有效防控机制,不断提高综合治理水平。
(三)信息畅通,及时报告。各县(市)广电部门要严格信息畅通、报告制度,要求准时报送专项斗争工作情况,重大案件、事件、信息和其他重要问题及时报告。每月30日前将上月本地区、本系统的情况报送市局社管科。11月30日前报送专项斗争工作总结。
电力系统安全防护方案篇9
关键词:高校档案;档案建筑;工程建设;建筑设计
高校档案建筑为档案保护体系建设提供基础设施和条件,是档案保护体系建设的基本内容之一。大规模的高校新校区建设已经卓有成效,但是大部分学校档案馆(室)仍然蜗居在老校区的陈旧建筑中,条件较差,不利于档案保护。随着高校行政、教学科研和生活中心由老校区向新校区的全面转移,高校新校区档案建筑工程建设需求日渐迫切,研究高校新建档案建筑更好地适应和服务于档案保护问题,也成为高校档案工作者和基本建设工作者共同面临的重要课题。
高校档案建筑作为档案事业的基础,是高校档案事业持续稳定发展的保证。档案建筑应在满足高校档案馆各项事业功能的前提下,以建筑为主、设备为辅来保证建筑内部环境的稳定,从而有利于档案保护。
1高校档案建筑选址与规划
高校档案馆基地一般位于学校总体规划中的行政办公区或者教学科研区,可选择余地相对较小。在确定其具体选址时,为保证档案馆建筑安全和建筑物内的档案、档案工作人员安全,应考虑以下几点:
第一,应选择校区内工程地质条件和水文地质条件均相对较好的地段。
第二,应远离存放易燃、易爆物品的场所;要尽量远离噪声较大的校区主干道、学生宿舍、食堂、体育场馆等建筑物,以避免和减少噪声的干扰;要尽量远离实验室建筑,以避免和减少可能对档案造成损害的其他污染源影响;要避开、远离锅炉房、变配电室、车库等可能危及档案安全的校区建筑。
第三,应选择校区内地势较高、地下水位较低、场地干燥、排水通畅、空气流通的区段。
目前的高校档案建筑,常常与图书馆或者行政办公楼合建,并且在总平面布置中未形成独立体系,档案建筑部分与其他部分互相干扰,不利于档案保护。由于档案馆的功能特殊性,档案建筑与图书馆、办公楼建筑的要求有很大不同,如库房的承重、层高、独立的空调系统、灭火系统等,所以档案馆建筑应该单独规划、独立建设、自成体系。在新校区建设高校档案馆工程时,应利用“新建校区”这一有利条件,在合理选址基础上,争取档案馆建筑独立规划、独立设计、独立建造,在空间上与校区内其他建筑完全区分开。
如果受校区用地和总平面规划限制,确需与其他工程合建时,档案建筑也应自成体系,即在满足档案安全保管、便于利用等功能要求的前提下,与图书馆等项目合建,但在设计上形成独立的结构单元、独立的安全防护单元、独立的水电保障单元以及独立的管理区域,以最大限度减少交叉干扰,保障档案安全。
采用独立规划、独立建设模式时,可以进行一次规划、建设,也可以根据条件进行一次规划、分期建设。如果采用后者,则要结合具体情况,在设计上考虑和保留各种扩建的可能性,如在总平面布置上预留水平方向的扩建用地,以便增建新的建筑;或者设计时考虑建筑物垂直方向的扩建,在基础及结构设计中,保留增加层数的需要。
2高校档案建筑设计功能分区
档案建筑设计应满足各类档案、资料的安全保管。高校档案建筑一般由档案库、档案业务和技术用房、对外服务用房、办公和附属用房四个部分组成。由于各类用房的业务功能不同,其防护要求也不同。设计时要注意功能分区,区别内外联系,避免相互交叉。为调卷方便、保护档案,库房与阅览等业务用房不能距离太远,交通应便捷;为了保护档案原件,各部分房屋之间的档案传送不应通过露天。有温湿度要求的房间尽量集中或分区集中布置,便于统一进行温湿度控制。总之,档案建筑布局应按照功能分区,合理布置各类用房,达到功能合理、流程便捷、内外相互联系又有所分隔,避免交叉,实现在有效保护前提下的充分、合理利用。
为减少外部因素对功能区的不利影响,特别是减少光线、粉尘、水汽对档案库房和档案本身的危害,档案建筑平面设计宜于采用环廊布置,在场地、经费条件允许时,采用双环廊(即同时采用内环廊和外环廊),受限制时采用单环廊;应尽力避免采用中间通廊布置。
为保证安全和便捷,两层或两层以上的档案库应设垂直运输设备,四层及四层以上的对外服务用房、档案业务和技术用房应设电梯。为运送档案设置电梯时,应将其布置在档案库附近以便于使用;同时为了防火安全,避免遇灾时扩大波及范围,以及为了避免直通电梯井给各层库房温湿度控制带来不利影响,还要注意将电梯设在库区防火门之外。
3高校档案建筑结构选型、抗震与构造
我省高校档案馆(室)建筑,目前基本属于传统的砖混结构,大多建成于上世纪八十年代,这类结构的优点是保温性能、耐火性能、声学性能较好。随着建筑结构及功能材料的进展,砖混结构的这个传统优势逐渐消失,而其抗震能力和耐久性较差的缺点愈益突出。从高校档案建筑的功能重要性出发,新建、改建和扩建高校档案建筑,宜于选择钢筋混凝土框架结构体系、框剪结构体系,充分发挥其受力和抗震能力,同时辅以防水、保温、阻燃、吸声等外加功能性材料构造层,为档案保护提供建筑工程条件。
地震灾害对档案的破坏是巨大的,作为高校重要建筑的档案馆建筑,必须做好抗震设计。一方面,要严格依照现行国家标准《建筑工程抗震设防分类标准》(GB50223-2008)的规定执行,我省郑州以外的大部分高校可以提高一个基本烈度设防,以确保档案安全;另一方面,在设计过程中,必须严格执行《建筑抗震设计规范》(GB50011-2010),在施工及验收过程中,必须严格执行系列施工及验收规范中与抗震设防相关的强制性条款,不能容许工程建设中往往存在的在“合格”与“可用”之间打球的情形出现。
档案馆建筑应尽量减少外部环境各种因素对档案的影响和损坏,保证档案的安全。除了采用前述环廊式平面布置之外,护结构(墙及门窗、屋顶)对于满足档案用房的温湿度要求,发挥防潮、防水、防日光及紫外线照射、防尘、防污染、防有害生物,以及安全防范等档案防护功能,也起着十分重要的作用。建筑设计时护结构的材料选择、构造设计,都必须经过热工、防水等计算,通过技术经济比较,合理确定其构造;建筑施工时护结构的施工作业和验收,要进行必要的现场实验,特别是对于材料的阻燃、保温、防水和密封性能,必须经现场试验确定,并在施工操作时严格执行相应规范、标准,以确保其防护能力。另外,档案库门应为保温门;窗的气密性能、水密性能及保温性能分级要求应比办公建筑的要求提高一级;为防止出现过大或过多的玻璃面积,档案库每开间的窗洞面积与外墙面积比不应大于1∶10。
4高校档案建筑耐火与消防
高校档案建筑是校内防火重点单位,必须按现行国家标准《建筑设计防火规范》(GB50016-2010)、《高层民用建筑设计防火规范》(GB50045-2005)、《建筑内部装修设计防火规范》(GB50222-95,2001年修订版)以及《档案馆建筑设计规范》(JGJ25-2010)等规范、标准的规定进行防火设计,耐火等级不低于二级。
高校档案建筑各功能部分中,档案库是关键。为在万一出现火情时,最大限度地控制其危害范围,库区围护结构的耐火极限应满足:档案库区中同一防火分区内的库房之间的隔墙,均应采用耐火极限不低于3.0h的防火墙;防火分区间及库区与其他部分之间的墙应采用耐火极限不低于4.0h的防火墙;其他内部隔墙可采用耐火极限不低于2.0h的不燃烧体。档案库中楼板的耐火极限不应低于1.5h。
火灾自动报警设施应是档案馆建筑最基本的应该具备的预警、保护措施,一般应覆盖全馆;经济条件所限时,也必须在一些重要用房设置,例如档案库、服务器机房、缩微用房、音像技术用房、空调机房等房间,必须设置火灾自动报警系统。
档案馆区应设室外消防给水系统。档案库房可采用惰性气体灭火系统、洁净气体灭火系统或细水雾灭火系统。档案库内不得设置明火设施,以减少火灾隐患,防范火灾发生。为便于人员及时疏散和防止火势蔓延,档案库区建筑及每个防火分区的安全出口不应少于2个,档案库区缓冲间及档案库的门均应向疏散方向开启,并应为甲级防火门;库区内设置楼梯时,应采用封闭楼梯间,门应采用不低于乙级的防火门。
5利于档案保护的若干档案建筑设计细节
为使库区内温湿度尽可能保持稳定,库区入口处要设置缓冲间,作为库区内外的过渡和分隔,也可以设专用封闭外廊或环廊。
为应对万一有明水入库的情况,例如库区外使用水消防等出现有明水时,避免明水流入档案库区内,库区内楼地面应比库区外高出15mm,并在库内设置密闭泄水孔和泄水管道向外排水。
为了发生事故时安全抢救档案和人员撤出需要,每个档案库应设两个独立的出入口,且不宜采用串通或套间布置方式,避免出现与楼梯、电梯的距离超过30m的安全距离、且不易形成防火分区的缺陷。
档案库必须采取防潮、防水措施,并对特藏库、无地下室的首层库房、地下库房设置机械通风或空调设备,以利于档案的保存。
光特别是太阳光对于档案纸张和某些字迹有很大的破坏作用,档案建筑中的档案库和档案阅览、展览厅及其他技术用房,必须避免阳光直射,减少紫外线对档案的影响。
档案库楼、地面应平整、光洁、耐磨,宜于采用传统的高级现浇水磨石地面、防静电水磨石地面,或者铺贴高档防静电地板砖。
档案馆建筑的外门及首层外窗均应有可靠的安全防护设施;应设置入侵报警、视频监控、出入口控制、电子巡查等安全防范系统;重要电子档案保管和利用场所应满足电磁安全屏蔽要求,保障重要电子档案的保密安全。
为满足防潮、防水要求,避免给水排水管道漏水影响库房安全使用,档案库区内不应设置除消防以外的给水点,且其他给水排水管道不应穿越档案库区;给水排水立管不应安装在与档案库相邻的内墙上。
档案库应采用热空气供应库房采暖,不宜采用水、汽为热媒的采暖系统;确需采用水、汽为热媒的采暖系统时,应采取有效措施,严防漏水、漏汽。
电力系统安全防护方案篇10
主题词:雷电 住宅小区 智能化系统 防雷设计 施工
雷电是指一部分带电的云层与另一部分带异种电荷的云层,或者是带电的云层与大地之间迅猛的放电,这种迅猛的放电过程产生强烈的闪电并伴随巨大的声音。只要我们积极主动的防御,采取正确良好的防雷手段,雷电灾害是可以避免的。
1、现代防雷技术
国际电工委员会编制的标准(iecl024-1)、《建筑物防雷设计规范》gb50057-94(2000年版)将建筑物综合防雷装置分为两大部分:外部防雷装置和内部防雷装置,建筑物的防雷设计必须将外部防雷装置和内部防雷装置作为整体统一考虑。
外部防雷装置:外部防雷装置主要是防直击雷装置,即在直击雷非防护区(lpzoa)或直击雷防护区(lpzob)界面采取的防雷措施,由接闪器、引下线、接地装置三部分组成。接闪器一般由避雷针、避雷带、避雷线、避雷网等构成,可根据建筑物实际情况选择,既要考虑外观、经济,关键还要考虑防雷效果。
内部防雷装置:主要用于减小和防止雷电流在需防空间内所产生的电磁效应以及防止反击、接触电压、跨步电压等二次雷害,即在直击雷防护区(lpzob)届面内采取的防雷措施,内部防雷装置由等电位连接系统、共用接地系统、屏蔽系统、合理布线系统、浪涌保护器等组成。
共用接地系统:连接至接地装置的建筑物的所有互连的金属装置(包括外部防雷装置),《建筑物防雷设计规范》gb50057-94(2000年版)和《建筑物电子信息系统防雷技术规范》gb50343-2004均规定应采用共用接地系统。
屏蔽措施:指“在需要保护的空间内,当采用屏蔽电缆时其屏蔽层至少在两端并宜在防雷区交界处做等电位连接,当系统要求只在一端做等电位连接时,应采用两层屏蔽,外层屏蔽按前述要求处理。”屏蔽是减小电磁干扰的基本措施。
合理布线:现代化的建筑物都离不开照明、动力、电话、电视和计算机等设备的管线,在防雷设计中,必须考虑防雷装置与这些管线的关系。在管线较长或桥架等设施较长的路线上,还需要两端接地;第三,应该注意电源线、天线和屋顶高处的彩灯及航空障碍灯等线路的引入做法,防止雷电波侵入。
电涌保护器(spd)防护:电涌保护器的防护分为电源电涌防护和信号电涌防护。电源电涌防护按规范分为三部分:在总电房低压配电柜电源总开关处安装对地电源电涌保护器,作为一级防护:在分配电柜安装对地电源电涌保护器,作为二级防护;在ups电源、精密设备和电脑终端等设备处安装对地电源电涌保护器,作为三级防护。
2、住宅小区智能项目概述
住宅小区智能主要有电视监控系统、可视对讲系统及物业管理处计算机网络系统,所以本项目针对这些系统提出相应的防雷设计及施工方案。
电视监控系统一般由以下三部分组成:①、前端部分:主要由黑白(彩色)摄像机、镜头、云台、解码器、防护罩、支架等组成。②、传输部分:使用同轴电缆、电线、多芯线、双绞线、光纤等采取架空、地埋或沿墙敷设等方式传输视频、音频或控制信号等。③、终端部分:主要由画面分割器、监视器、控制设备、电视幕墙和控制台等组成。
为了对电视监控系统采取有效的防雷保护措施,保障监控系统正常可靠的运行,正确选择和使用监控系统设备的防雷保护装置,研究和探讨信号、电源线路的布放、屏蔽及接地方式等,对提高监控系统的抗雷电能力,优化系统的防雷水平能起到很好的作用。
可视对讲系统一套现代化的小康住宅服务措施,提供访客与住户之间双向可视通话,达到图像、语音双重识别从而增加安全可靠性,同时节省大量的时间,提高了工作效率,是提高住宅的整体管理和服务水平,创造安全社区居住环境不可缺少的配套设备。主要由室内用户机、门口机、管理机及网络连接设备如网络连接器等组成。
计算机网络系统是办公及与外界信息沟通重要的不可或缺的系统,主要由路由器、交换机、终端电脑以及连接线缆等组成。一旦遭受雷击损坏,将严重影响日常工作的进行。
3、防雷设计及施工方案
3.1 低压电源系统防护
3.1.1 电源一级防护
通常将配电系统第一级防雷保护设计为:使用10/350μs波形、通流容量15-25ka每线,8/20μs波形、通流容量60-100ka每线的b级电源电涌保护器将感应雷击过电压限制到4000v以下。所有接线用16mm2股铜线连接,地线用25mm2多股铜线连接。可选用开关型电源防雷模块或者电源防雷箱。
3.1.2 电源二级防护
按照第二类防雷建筑物雷电防护等级二次雷击参数要求,依据雷电分流理论,可分配到电源线路系统的雷电电流为8/20μs波形75ka,则对于tn系统,每线可分配8/20μs波形雷电流18.75ka,考虑到保护的裕度,作为配电系统电源第二级防雷,需使用8/20μs波形、通流容量40ka每线的电源电涌保护器将4kv的线路残余感应雷击过电压限制到2500kv以下。为防止浪涌保护器遭受雷击后损坏后,电源对地短路,需要在浪涌保护器前安装空气开关作为短路保护装置。
3.1.3 电源三级防护
依据智能建筑配电线路设计的实际情况,考虑到各种电子机房内设备的重要性,将配电系统按第三级防雷保护设计为:使用8/20μs波形、通流容量10ka每线的电源电涌保护器将感应雷击过电压限制到1500v以下。可选用限压型电源防雷模块或者电源防雷箱。
3.1.5 施工方案
在监控中心电源总开关和物业管理处电源总开关处各安装1套限压型电源防雷模块或者电源防雷箱,作为电源第一、二级防雷保护。
在监控中心内的监控主机、硬盘录像机、可视对讲主机等设备的用电处安装防雷插座,串联安装。带lc滤波,超低残压输出。作为电源线路第三级精细保护。
在总线分支器的电源箱处各安装单相电源防雷模块,作为线路第三级防雷保护。
在物业管理处电脑、路由器、打印机等设备的用电插座处安装防雷插座,串联安装,带lc滤波,超低残压输出,作为电源线路第三级精细保护。
3.2 监控系统防护
系统的各种线路,在建筑物直击雷非防护区(lpzoa)或直击雷防护区(lpzob)与第一防护区(lpzl)交界处应装设线路适配的浪涌保护器,宜使用8/20μs波形、通流容量3ka以上的信号电涌保护器将数千伏的线路感应雷击过电压限制到设备允许值。监控系统中央控制室内,应设等电位连接网络。
3.2.1 施工方案
系统的接地宜采用共用接地,其接地干线应采用截面不小于16mm2的铜芯绝缘导线,并应穿管敷设接至就近的等电位接地端子板。
在室外一体化快球的电源线路前安装1个电源电涌保护器,用于摄像枪电源线路的防雷保护。
在室外一体化快球的视频线路前安装1个视频信号电涌保护器,用于摄像枪视频线路的防雷保护。
在室外一体化快球的云台控制线路前安装1个控制信号电涌保护器,用于摄像枪控制信号线路的防雷保护。
在每条摄像枪视频信号线路进入机房设备前各安装1个视频信号电涌保护器,用于机房视频信号线路的防雷保护。
在快球云台控制信号线路进入机房转换器前安装1个控制信号电涌保护器。用于机房控制信号线路的防护。
室内所有设备金属机架(壳)、金属线槽、保护接地和浪涌保护器的接地端子等均应做等电位连接并有可靠的接地。
3.3 可视对讲系统防护
可视对讲系统的信号传输线缆宜在进出建筑物直击雷非防护区(lpzoa)或直击雷防护区(lpzob)与第一防护区(lpzl)交界处装设适配的信号浪涌保护器,需对设备进线缆线使用8/20μs波形、通流容量3ka以上的信号电涌保护器将数千伏的线路感应雷击过电压限制到设备允许值。
3.3.1 施工方案
在可视对讲总线分支器的联网总线及门口机的视频线路上安装视频信号电涌保护器,作为联网总线视频线路的防雷保护。线方式为接线端子。
在可视对讲总线分支器的联网总线及门口机的通信线路上安装通信线路信号电涌保护器,作为联网总线通信线路的防雷保护。
3.4 计算机网络系统防护
3.4.1 计算机网络系统的传输线路上浪涌保护器的设置
1)a级防护系统宜采用2级或3级信号浪涌保护器;
2)b级防护系统宜采用2级信号浪涌保护器;
3)c、d级防护系统宜采用1级或2级信号浪涌保护器。
各级浪涌保护器宜分别安装在直击雷非防护区(lpzoa)或直击雷防护区(lpzob)与第一防护区(lpzl)及第一防护区(lpzl)与第二防护区(lpz2)的交界处。
3.4.2 施工方案
在adsl通信线路进入设备前端安装信号电涌保护器,作为ads通信线路的信号防雷保护。
在终端电脑、路由器的每个网络通信端口各安装计算机网络通信线电涌保护器,用于路由器、终端电脑通信线路的防雷保护。
在机房内所有浪涌保护器的接地端,宜采用截面积不小于1.5mm2
的多股绝缘铜导线,单点连接至机房局部等电位接地端子板上。
计算机机房的安全保护地、信号工作地、屏蔽接地、防静电接地和浪涌保护器接地等均应连接局部等电位连接端子板上。
多个计算机系统共用一组接地装置时,宜分别采用m型或mm组合型等电位连接网络。
3.5 接地以及等电位连接
接地采用共用接地系统,即直击雷接地、感应雷接地、交流工作地、安全保护地等共用建筑物基础地网的形式,接地电阻要求小于4欧姆,若达不到要求,则需另外设置地网。
3.5.1 施工方案
分别在监控中心及物业管理处适当地方开凿柱筋,用圆钢或者扁钢引出并设置等电位接地箱,等电位连接网络采用s型连接的结构形式,将消防控制中心内的电气和电子设备的金属外壳、机柜、机架、金属管道、屏蔽线缆外层、信息设备防静电接地、安全保护接地、电涌保护器接地端等均以最短的距离与等电位箱连接。
在室外一体化快球接地采用就近接柱筋的方式。
4、运行维护
(1)避雷器安装之后,应检查所有接线是否正确安装,然后运行测试,看系统和设备是否正常工作,有无异常情况,如有,应及时检查,直至整个系统均正常运作。
(2)每年雷雨季节前应对接地系统进行检查和维护。主要检查连接处是否紧固、接触是否良好、接地引下线有无锈蚀、接地体附近地面有无异常,必要时应挖开地面抽查地下隐蔽部分锈蚀情况。如果发现问题应及时处理。