導(dǎo)語：如何才能寫好一篇電力系統(tǒng)網(wǎng)絡(luò)安全防護方案，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

[關(guān)鍵詞]　電力系統(tǒng)　網(wǎng)絡(luò)安全　風(fēng)險控制

1　概述

2008年對于電力部門來說，保奧運，確保電網(wǎng)和系統(tǒng)安全，是各發(fā)電集團公司、國家電網(wǎng)公司、南方電網(wǎng)公司的頭等大事。保護電力業(yè)務(wù)系統(tǒng)的安全，其核心在于保護電力數(shù)據(jù)的安全，包括數(shù)據(jù)存儲、傳輸?shù)陌踩?。影響電力系統(tǒng)網(wǎng)絡(luò)安全的因素很多，有些因素可能是有意的，也可能是無意的誤操作；可能是人為的或是非人為的；也有可能是內(nèi)部或外來攻擊者對網(wǎng)絡(luò)系統(tǒng)資源的非法使用。

以前由于電力系統(tǒng)一直以來網(wǎng)絡(luò)結(jié)構(gòu)和業(yè)務(wù)系統(tǒng)的相對封閉，電力系統(tǒng)出現(xiàn)的網(wǎng)絡(luò)安全問題也基本產(chǎn)生于內(nèi)部。但是，隨著近年來與外界接口的增加，特別是與政府、金融機構(gòu)等合作單位中間業(yè)務(wù)的接口、網(wǎng)上服務(wù)、三網(wǎng)融合、數(shù)據(jù)大集中應(yīng)用、內(nèi)部各系統(tǒng)問的互聯(lián)互通等需求的發(fā)展，其安全問題不僅僅局限于內(nèi)部事件了，來自外界的攻擊已越來越多，已經(jīng)成為電力系統(tǒng)不可忽視的威脅來源。但是，未來電力系統(tǒng)網(wǎng)上服務(wù)所采用的策略一般是由各省公司做統(tǒng)一對外服務(wù)出口，各級分局或電力公司和電廠將沒有對外的出口；從內(nèi)部業(yè)務(wù)應(yīng)用的角度來看，除大量現(xiàn)存的C／S結(jié)構(gòu)以外，還將出現(xiàn)越來越多的內(nèi)部B／S結(jié)構(gòu)應(yīng)用。

所以，對于電力系統(tǒng)整體來說，主要問題仍有一大部分是內(nèi)部安全問題。其所面臨的威脅大體可分為兩種：一是對網(wǎng)絡(luò)中通訊、信息的威脅；二是對網(wǎng)絡(luò)中設(shè)備的威脅，造成電力系統(tǒng)癱瘓。對于電力系統(tǒng)來說，主要是保護電力業(yè)務(wù)系統(tǒng)的安全，其核心在于保護電力數(shù)據(jù)的安全，包括數(shù)據(jù)存儲，數(shù)據(jù)傳輸?shù)陌踩?/p>

2　電力網(wǎng)絡(luò)信息系統(tǒng)安全的威脅

2.1　人為的無意失誤

如果網(wǎng)絡(luò)安全配置不當造成的安全漏洞，包括安全意識、用戶口令、賬號、共享信息資源等都會對網(wǎng)絡(luò)安全帶來威脅。主機存在系統(tǒng)漏洞，通過電力網(wǎng)絡(luò)入侵系統(tǒng)主機，并有可能登錄其它重要應(yīng)用子系統(tǒng)服務(wù)器或中心數(shù)據(jù)庫服務(wù)器，進而對整個電力系統(tǒng)造成很大的威脅。

2.2　人為的惡意攻擊

這是計算機網(wǎng)絡(luò)所面臨的最大威脅，黑客的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種：一種是主動攻擊，它以各種方式有選擇地破壞信息的可用性和完整性；另一類是被動攻擊，它是在不影響網(wǎng)絡(luò)正常工作的情況下，進行截獲、竊取、破譯以獲得重要機密信息。這兩種攻擊均可對計算機網(wǎng)絡(luò)造成直接的極大的危害，并導(dǎo)致機密數(shù)據(jù)的泄漏和丟失。由于windows操作系統(tǒng)的漏洞不斷出現(xiàn)，針對windows操作系統(tǒng)漏洞的各種電腦病毒攻擊也日益多了起來。尤其是2003年8月份和2006年5月出現(xiàn)的沖擊波蠕蟲病毒和惡意程序給全世界80％的計算機造成了破壞，安徽省電力公司系統(tǒng)內(nèi)也有多個供電企業(yè)的信息系統(tǒng)遭到病毒的破壞，這一事件給網(wǎng)絡(luò)安全再次敲響了警鐘!

3　網(wǎng)絡(luò)安全風(fēng)險和威脅的具體表現(xiàn)形式

電力系統(tǒng)網(wǎng)絡(luò)的安全性和可靠性已成為一個非常緊迫的問題。電力安全方案要能抵御黑客、病毒、惡意代碼等通過各種形式對系統(tǒng)發(fā)起的惡意破壞和攻擊，特別是能夠抵御集團式攻擊，防止由此導(dǎo)致的一次系統(tǒng)事故或大面積停電事故，二次系統(tǒng)的崩潰或癱瘓，以及有關(guān)信息管理系統(tǒng)的癱瘓。必須提出針對以上事故的各種應(yīng)急預(yù)案。隨著計算機技術(shù)、通信技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展，電力系統(tǒng)網(wǎng)上開展的業(yè)務(wù)及應(yīng)用系統(tǒng)越來越多，要求在業(yè)務(wù)系統(tǒng)之間進行的數(shù)據(jù)交換也越來越多，對電力網(wǎng)絡(luò)的安全性、可靠性、實時性提出了新的嚴峻挑戰(zhàn)。其安全風(fēng)險和威脅的具體表現(xiàn)形式如下：

(1)UNIX和Windows主機操作系統(tǒng)存在安全漏洞。

(2)Oracle、Sybase、MS SQL等主要關(guān)系型數(shù)據(jù)庫的自身安全漏洞。

(3)重要應(yīng)用系統(tǒng)的安全漏洞，如：MS IIS或Netscape WEB服務(wù)應(yīng)用的“緩存區(qū)溢出”等，使得攻擊者輕易獲取超級用戶權(quán)限。核心的網(wǎng)絡(luò)設(shè)備，如路由器、交換機、訪問服務(wù)器、防火墻存在安全漏洞。

(4)利用TCP／IP等網(wǎng)絡(luò)協(xié)議自身的弱點(DDOS分布式拒絕服務(wù)攻擊)，導(dǎo)致網(wǎng)絡(luò)癱瘓。網(wǎng)絡(luò)中打開大量的服務(wù)端口(如RPC、FTP、TELNET、SMTP、FINGER等)，容易被攻擊者利用。黑客攻擊工具非常容易獲得，并可以輕易實施各類黑客攻擊，如：特洛伊木馬、蠕蟲、拒絕服務(wù)攻擊、分布式拒絕服務(wù)攻擊，同時可利用ActiveX、Java、JavaScript、VBS等實施攻擊。造成網(wǎng)絡(luò)的癱瘓和關(guān)鍵業(yè)務(wù)數(shù)據(jù)的泄漏、篡改甚至毀壞。在電力內(nèi)部網(wǎng)絡(luò)中非法安裝和使用未授權(quán)軟件。對網(wǎng)絡(luò)性能和業(yè)務(wù)造成直接影響。系統(tǒng)及網(wǎng)絡(luò)設(shè)備的策略(如防火墻等)配置不當。

(5)關(guān)鍵主機系統(tǒng)及數(shù)據(jù)文件被篡改或誤改，導(dǎo)致系統(tǒng)和數(shù)據(jù)不可用，業(yè)務(wù)中斷等。

(6)分組協(xié)議里的閉合用戶群并不安全，信任關(guān)系可能被黑客利用。

(7)應(yīng)用軟件有潛在的設(shè)計缺陷。

(8)在內(nèi)部有大批的對內(nèi)網(wǎng)和業(yè)務(wù)系統(tǒng)相當熟悉的人員，據(jù)統(tǒng)計，70％以上的成功攻擊來自于企業(yè)系統(tǒng)內(nèi)部。與其他電力和合作單位之間的網(wǎng)絡(luò)互通存在著極大的風(fēng)險。

(9)雖然將來由省局(公司)統(tǒng)一的WEB網(wǎng)站向外信息并提供網(wǎng)上信息服務(wù)，但很多分局和分公司仍允許以撥號、DDN專線、ISDN等方式單獨接入互聯(lián)網(wǎng)，存在著由多個攻擊入口進入電力內(nèi)部網(wǎng)的可能。系統(tǒng)中所涉及的很多重要數(shù)據(jù)、參數(shù)直接影響系統(tǒng)安全，如系統(tǒng)口令、IP地址、交易格式、各類密鑰、系統(tǒng)流程、薄弱點等，技術(shù)人員的忠誠度和穩(wěn)定性，將直接關(guān)系到系統(tǒng)安全。

(10)各局使用的OA辦公自動化系統(tǒng)大量使用，諸如Windows操作系統(tǒng)，可能存在安全的薄弱環(huán)節(jié)，并且有些分局可能提供可拷貝腳本式的撥號服務(wù)，撥入網(wǎng)絡(luò)后，即可到達電力的內(nèi)部網(wǎng)絡(luò)的其它主機。

系統(tǒng)為電力客戶提供方便服務(wù)的同時，數(shù)據(jù)的傳輸在局外網(wǎng)絡(luò)和局內(nèi)局域網(wǎng)絡(luò)的傳輸中極有可能被竊取，通過Sniffer網(wǎng)絡(luò)偵聽極易獲得超級用戶的密碼。

4　系統(tǒng)的網(wǎng)絡(luò)風(fēng)險基本控制策略

針對電力系統(tǒng)網(wǎng)絡(luò)的安全性和可靠性，電力安全方案要能抵御通過各種形式對系統(tǒng)發(fā)起的惡意破壞和攻擊，防止由此導(dǎo)致的一次系統(tǒng)事故或大面積停電事故、二次系統(tǒng)的崩潰或癱瘓，以及有關(guān)信息管理系統(tǒng)的癱瘓。總體來說，電力系統(tǒng)安全解決方案的總體策略如下：

(1)分區(qū)防護、突出重點。根據(jù)系統(tǒng)中業(yè)務(wù)的重要性和對一次系統(tǒng)的影響程度，按其性質(zhì)可劃分為實時控 制區(qū)、非控制生產(chǎn)區(qū)、調(diào)度生產(chǎn)管理區(qū)、管理信息區(qū)等四個安全區(qū)域，重點保護實時控制系統(tǒng)以及生產(chǎn)業(yè)務(wù)系統(tǒng)。所有系統(tǒng)都必須置于相應(yīng)的安全區(qū)內(nèi)，納入統(tǒng)一的安全防護方案。

(2)區(qū)域隔離。采用防火墻裝置使核心系統(tǒng)得到有效保護。

(3)網(wǎng)絡(luò)專用。在專用通道上建立電力調(diào)度專用數(shù)據(jù)網(wǎng)絡(luò)，實現(xiàn)與其他數(shù)據(jù)網(wǎng)絡(luò)物理隔離，并通過采用MPLS-VPN形成多個相互邏輯隔離的IPSEC VPN，實現(xiàn)多層次的保護。

(4)設(shè)備獨立。不同安全區(qū)域的系統(tǒng)必須使用不同的網(wǎng)絡(luò)交換機設(shè)備。

(5)縱向防護。采用認證、加密等手段實現(xiàn)數(shù)據(jù)的遠方安全傳輸。

5　電力系統(tǒng)的網(wǎng)絡(luò)安全解決方案

針對電力網(wǎng)絡(luò)安全的薄弱環(huán)節(jié)全方位統(tǒng)籌規(guī)劃。解決方案注重防止非法入侵全網(wǎng)網(wǎng)絡(luò)設(shè)備；保護電力數(shù)據(jù)中心及其設(shè)備中心的網(wǎng)絡(luò)、服務(wù)器系統(tǒng)不受侵犯――數(shù)據(jù)中心與Internet間必須使用防火墻隔離，并且制定科學(xué)的安全策略；制定權(quán)限管理――這是對應(yīng)用系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)的安全保障；考慮網(wǎng)絡(luò)上設(shè)備安裝后仍然可能存在的安全漏洞，并制定相應(yīng)措施策略。

(1)在網(wǎng)絡(luò)設(shè)備的安全管理方面，將所有網(wǎng)絡(luò)設(shè)備上的Console口加設(shè)密碼進行屏蔽，配置管理全部采用OUT-BAND帶外方式，并對每個被管理的設(shè)備均設(shè)置相應(yīng)的帳戶和口令，只有網(wǎng)絡(luò)管理員具有對網(wǎng)絡(luò)設(shè)備訪問配置和更改密碼的權(quán)力。

(2)在網(wǎng)管中心通過劃分不同安全區(qū)域來規(guī)范管理網(wǎng)絡(luò)和工作網(wǎng)絡(luò)，從邏輯上把每個部門的資源獨立成一個安全區(qū)域，對安全區(qū)域的劃分基于安全性策略或規(guī)則，使區(qū)域的劃分更具安全性。網(wǎng)絡(luò)管理員可根據(jù)用戶需求，把某些共享資源分配到單獨的安全區(qū)域中，并控制區(qū)域之間的訪問。

(3)VPN和IPsec加密的使用。電力網(wǎng)絡(luò)將通過MPLS VPN把跨骨干的廣域網(wǎng)絡(luò)變成自己的私有網(wǎng)絡(luò)。為保障數(shù)據(jù)經(jīng)VPN承載商(ISP)傳輸后不會對數(shù)據(jù)的完整與安全構(gòu)成潛在危險，在數(shù)據(jù)進入MPLS VPN網(wǎng)絡(luò)之前首先經(jīng)過IPsec加密，在離開VPN網(wǎng)絡(luò)后又再進行IPsec解密。

(4)通過網(wǎng)絡(luò)設(shè)置控制網(wǎng)絡(luò)的安全。在交換機、路由器、數(shù)據(jù)庫和各種認證上，層層進行安全設(shè)置，從而確保整個網(wǎng)絡(luò)的安全。

(5)通過專用網(wǎng)絡(luò)防火墻控制網(wǎng)絡(luò)邊界的安全。

(6)進行黑客防范配置。通過信息檢測、攻擊檢測、網(wǎng)絡(luò)安全性分析和操作系統(tǒng)安全性分析等一系列配置，對黑客進行監(jiān)控。可以部署在內(nèi)網(wǎng)作為IDS進行監(jiān)控使用，也可以部署在服務(wù)器的前端作為防攻擊的IPS產(chǎn)品使用，以保障網(wǎng)絡(luò)的安全性。

6　電力系統(tǒng)局域網(wǎng)內(nèi)部網(wǎng)絡(luò)安全解決方案

外部攻擊影響巨大，但內(nèi)部攻擊危害也不能忽視，為了解決內(nèi)網(wǎng)安全問題，在一個電力／電廠系統(tǒng)的局域網(wǎng)內(nèi)部，可以使用防火墻對不同的網(wǎng)段進行隔離，并且使用IPS設(shè)備對關(guān)鍵應(yīng)用進行監(jiān)控和保護。同時，使用IPS設(shè)備架設(shè)在相應(yīng)的安全區(qū)域，保證訪問電力系統(tǒng)內(nèi)部重要數(shù)據(jù)的可監(jiān)控性、可審計性以及防止惡意流量的攻擊。并且實現(xiàn)以下的主要目的：

(1)網(wǎng)絡(luò)安全：防火墻可以允許合法用戶的訪問以及限制其正常的訪問，禁止非法用戶的試圖訪問。

(2)防火墻負載均衡：網(wǎng)絡(luò)安全性越來越成為電力系統(tǒng)擔(dān)心的問題了，網(wǎng)絡(luò)安全已經(jīng)成為了關(guān)鍵部門關(guān)注的焦點。網(wǎng)絡(luò)安全技術(shù)將防火墻作為一種防止對網(wǎng)絡(luò)資源進行非授權(quán)訪問的常用方法。

(3)服務(wù)器負載均衡：執(zhí)行一定的負載均衡算法，可以針對電廠內(nèi)關(guān)鍵的服務(wù)器群動態(tài)分配負載。

7　廣域網(wǎng)整體安全解決方案

對于整個廣域網(wǎng)，為了端對端、局對局的安全性，本著不受其他系統(tǒng)影響，不影響其他系統(tǒng)的安全原則，可對防火墻以及IPS設(shè)備進行分布式部署。

通過過濾的規(guī)則設(shè)置可以使得我們方便地控制網(wǎng)絡(luò)內(nèi)部資源對外的開放程度，特別是針對國家電網(wǎng)公司、當?shù)卣约癐nternet僅僅開放某個IP的特殊端口，有效地限制黑客的侵入。

通過過濾、IP地址以及客戶端認證等規(guī)則的應(yīng)用，可以確定不同的內(nèi)部用戶享受不同的訪問外部資源的級別，對于內(nèi)部用戶嚴格區(qū)分網(wǎng)段，而且可以利用獨特的內(nèi)置LDAP的功能對客戶端進行認證。通過這種方式可以有效地限制內(nèi)部用戶主動將信息通過網(wǎng)絡(luò)向外界傳遞。

篇2

【關(guān)鍵詞】通信網(wǎng)絡(luò)；電力自動化；無線通信；通信方案

作者簡介：范鋼銘（1990-），助理工程師，研究方向：電力信息通信

現(xiàn)代化的通訊技術(shù)包括了可靠性能越來越強的遠程監(jiān)控技術(shù)，該技術(shù)的主要功能就是監(jiān)測和把控我國電力系統(tǒng)時刻的流程以及狀態(tài)。而電力系統(tǒng)是我國社會經(jīng)濟發(fā)展的基礎(chǔ)和關(guān)鍵，對我國的社會發(fā)展具有穩(wěn)定器和高速器的作用，大大提升我國的經(jīng)濟發(fā)展水平。在網(wǎng)絡(luò)通訊發(fā)展過程中，電力自動化的信息安全問題需要我們高度重視，因此，在對電力自動化進行把控的過程中，最為關(guān)鍵的是要配合信息網(wǎng)絡(luò)的安全性，探究出關(guān)于電網(wǎng)信息安全的保護對策，保證整個電網(wǎng)系統(tǒng)有一個安全的自動化控制局面。

1通信網(wǎng)絡(luò)

1.1無線的通信網(wǎng)絡(luò)

無線技術(shù)在通訊領(lǐng)域的廣泛使用，推動了無線通訊技術(shù)的穩(wěn)步發(fā)展。該無線網(wǎng)主要是由無線的站點、終端以及該無線的管制端口組成。現(xiàn)階段使用的無線通訊手段最有優(yōu)勢的地方，就是它具有遠距離測控的特點，可以進行兩端通訊。和有線通訊技術(shù)相比，大大節(jié)約了通訊成本。但無線通訊技術(shù)并不是完美的，也存在一些不足。比如在無線通信中會被別的電磁波干擾，無線通信就會產(chǎn)生異常；由于無線電通訊技術(shù)在空氣中利用電波傳輸信息，必然存在安全隱患，會有犯罪分子通過竊聽傳輸?shù)膬?nèi)容，給無線電通信帶來了隱患。針對上述問題，有關(guān)部門對此有兩種解決方案：一是通過公共平臺進行無線通信，該方案的好處就是不用專門投入資金進行使用；二是建設(shè)專業(yè)的無線網(wǎng)平臺，這項方案的運行成本會很高，后續(xù)的設(shè)備維護也需要大量耗資。在整體電力運行系統(tǒng)中，特別是在電力自動化方面，對于無線通信技術(shù)已經(jīng)開始涉及。為了滿足高標準的自動化，使用最為廣泛的且更符合廣大群眾需求的就是無線網(wǎng)狀、傳感器模式等?；跓o線的傳感器網(wǎng)絡(luò)在電力自動化中的應(yīng)用，要從智能化的儀表讀數(shù)開始分析，該功能的出現(xiàn)，使得電力工作的效率更加高效，具有省時、省力、省錢的優(yōu)點，為廣大用戶的使用提供了方便。就目前的實際情況來看，無線化的智能讀表技術(shù)在投入市場時，其費用成本較高，我們希望隨著該技術(shù)的發(fā)展和調(diào)整，以及大范圍的使用，這種技術(shù)的運行成本會慢慢降低，從而使更多的用戶進行使用。

1.2通信網(wǎng)的電力自動化

隨著科學(xué)技術(shù)的迅猛發(fā)展，網(wǎng)絡(luò)已經(jīng)潛移默化的融入我們的生活中，人們也漸漸離不開網(wǎng)絡(luò)這樣一個平臺。在整個電力系統(tǒng)領(lǐng)域中，網(wǎng)絡(luò)通信的作用和意義極為重大。隨著對技術(shù)要求的日益加劇，我們需要智能化的服務(wù)，自動化的電力通信手段正好滿足了這一需求。網(wǎng)絡(luò)的出現(xiàn)，為我們的生活帶來了翻天鋪地的變化，使我們的生活更加便捷和高效。針對電力系統(tǒng)，目前普遍使用的網(wǎng)絡(luò)模式以光通訊為主，幾乎覆蓋了整個電力領(lǐng)域，是最為主流的通信信道。此外，對于EMS這種實時信息傳輸，電力體系是支持的。

2電力自動化信息網(wǎng)絡(luò)通訊安全性的防護

在整個通訊領(lǐng)域，電力自動化的通訊安全是一個不容忽視的問題。該問題的存在，給整個通訊事業(yè)的發(fā)展帶來了一定的局限性。因此，我們必須結(jié)合當前電力系統(tǒng)和通信業(yè)的發(fā)展現(xiàn)狀，探究出一種合理有效的安全防護措施。這種安全防護措施要運用管理學(xué)知識，以先進的技術(shù)手段為技術(shù)基礎(chǔ)，形成一套完善的安全防護體系。在對安全信息進行處理時，由于其存在很多不確定因素，因此我們需要的是可以進行隨時變化的防護措施。針對一些復(fù)雜性的安全問題，還需要進行監(jiān)控，及時應(yīng)對出現(xiàn)的各種問題，最終對該體系進行評估和總結(jié)，根據(jù)評估結(jié)果進行調(diào)整。我們要根據(jù)具體問題進行具體分析，針對存在的不同問題給出不同的解決措施。在對通信網(wǎng)絡(luò)進行管理時，要進行統(tǒng)一的規(guī)劃，從各個角度對信息平臺進行管理和操作，采用以點到面的管理模式，從點對點發(fā)展為點對面，到最終形成面對面的結(jié)構(gòu)，從而實現(xiàn)電力系統(tǒng)自動化。在電力系統(tǒng)的實際運行過程中，我們務(wù)必要結(jié)合現(xiàn)狀，立足于現(xiàn)實，在此基礎(chǔ)上進行合理有序的劃分，針對出現(xiàn)的問題，提供具體地、針對性的解決方案和措施，以此來確保整個電力系統(tǒng)領(lǐng)域的高校運轉(zhuǎn)。隨著我國技術(shù)水平的不斷提升，為我國電力自動化的通信網(wǎng)絡(luò)體系提供了發(fā)展機遇。我們應(yīng)該抓住這個千載難逢的機遇，不斷更新和完善我國電力自動化的通信體系，正確、積極地面對發(fā)展過程中出現(xiàn)的問題，并以一個好的心態(tài)去應(yīng)對和解決，以此來避免損失。作為通信領(lǐng)域的高科技人才，我們要不斷研制和開發(fā)新的信息技術(shù)，保證電力系統(tǒng)和通信領(lǐng)域的安全性和可靠性。

3結(jié)語

對于人們的日常生活來說，電力的存在能夠滿足人們工作、學(xué)習(xí)以及生活的基本需求，大大改善了人們的日常生活環(huán)境。隨著電力系統(tǒng)與通信領(lǐng)域的不斷發(fā)展，我們?nèi)粘Ｉ畹陌l(fā)展趨勢將是智能化、自動化的狀態(tài)。因此，我們在發(fā)展電力體系中的無線通信技術(shù)時，千萬不能忽視關(guān)于信息安全的問題，確保安全、嚴密以及高效的高科技通信。

參考文獻：

[1]李濤.電力自動化的通信網(wǎng)絡(luò)研究[J].通訊世界,2013（11）.

[2]王平歡.電力自動化的通信網(wǎng)絡(luò)研究[J].電子技術(shù)與軟件工程,2015（15）.

篇3

（靈川供電公司，廣西 靈川 541299）

【摘　要】在21世紀的今天，我國電力實業(yè)發(fā)展到了一個新的階段。我國電力調(diào)動隨著社會的不斷進步和發(fā)展也在不斷地像自動化發(fā)展。自動化，顧名思義，對于勞動力的需求大大降低，這無疑會給人們帶來更大的經(jīng)濟效益。然而在調(diào)度的過程中，對數(shù)據(jù)的可靠性要求比較高，網(wǎng)絡(luò)安全防護系統(tǒng)的好壞，至關(guān)重要。這也就逐漸的暴露出許多的隱患。

關(guān)鍵詞 電力調(diào)動；自動化；網(wǎng)絡(luò)安全

0　引言

電力調(diào)動的自動化就是調(diào)度員借助調(diào)度自動化設(shè)備了解電網(wǎng)的運行狀況確保電網(wǎng)正常運行的過程。在這個過程中對網(wǎng)絡(luò)的依賴性極大，因此在電力調(diào)動自動化的過程中對網(wǎng)絡(luò)的安全防護至關(guān)重要。電力調(diào)動的網(wǎng)絡(luò)系統(tǒng)主要由SCADA系統(tǒng)、PAS功能系統(tǒng)接口等組成，本文著重從電力調(diào)動自動化的網(wǎng)絡(luò)層面入手，提出有關(guān)于電力調(diào)動自動化網(wǎng)絡(luò)系統(tǒng)的安全防護方面的建議。

1　電力調(diào)動自動化

1.1　電力調(diào)動自動化帶來的突出貢獻

我國是一個“大國”，無論在人口還是面積上。我國對電力的需求巨大并且擁有世界上最大的電網(wǎng)，電網(wǎng)的運行操作非常的復(fù)雜，一旦電網(wǎng)發(fā)生故障，那么周圍人們的正常生活都會受到影響。在電力調(diào)動的自動化未實行之前，電網(wǎng)靠人力調(diào)度，經(jīng)常出現(xiàn)故障。但是在電網(wǎng)調(diào)度自動化系統(tǒng)被應(yīng)用并且更加的完善之后，電力的供應(yīng)很少出現(xiàn)故障，這得益于計算機超快的計算速度、電網(wǎng)調(diào)動自動化對工作人員的解放、自動化系統(tǒng)超高的處理問題的能力，除此之外，電力調(diào)動自動化系統(tǒng)還可以對每個用戶的用電量和主要的用電時間進行監(jiān)控，從而自行的調(diào)節(jié)電價，這樣就可以在一定的程度上對用戶的電量進行影響，避免用戶都在用電高峰時期用電。電力調(diào)動的自動化系統(tǒng)是人類電力調(diào)動史上的一項重大突破，這項技術(shù)促進了電網(wǎng)系統(tǒng)的發(fā)展，使人們的生活更加的穩(wěn)定，使企業(yè)不用擔(dān)心由于電量供應(yīng)的故障造成損失，滿足了人們生產(chǎn)生活的需求。

1.2　網(wǎng)絡(luò)安全現(xiàn)狀

目前電力調(diào)動的自動化主要依靠網(wǎng)絡(luò)，從電力使用的監(jiān)控、電力的調(diào)度到信息的采集、傳輸都離不開網(wǎng)絡(luò)。但是在現(xiàn)在的社會中，計算機系統(tǒng)較易受到人為的有意破壞、黑客的攻擊、病毒的入侵，如果計算機系統(tǒng)被破壞，那么整個的電力調(diào)動系統(tǒng)都將會癱瘓，這對于國家而言會產(chǎn)生不可估量的損失。據(jù)相關(guān)部門透露，調(diào)度自動化系統(tǒng)安全的威脅主要來自于與調(diào)度自動化系統(tǒng)相連的網(wǎng)絡(luò)，其中橫向是與其他系統(tǒng)相連如辦公室系統(tǒng)，縱向則是與上下級的自動化系統(tǒng)相連。如果有一個系統(tǒng)出現(xiàn)漏洞，那么將會引起一系列的連鎖反應(yīng)，對電力調(diào)動自動化系統(tǒng)造成不可挽回的損害。

2　電力調(diào)動自動化網(wǎng)絡(luò)安全存在的主要問題

2.1　網(wǎng)絡(luò)維護不及時

網(wǎng)絡(luò)對于電力調(diào)動的自動化的重要性不言而喻，但是某些部門，對于網(wǎng)絡(luò)維護不重視，網(wǎng)絡(luò)經(jīng)常由于“年久失修”而出現(xiàn)故障。電力調(diào)動的自動化系統(tǒng)中的網(wǎng)絡(luò)系統(tǒng)的建設(shè)并不是一勞永逸的，隨著電網(wǎng)復(fù)雜程度的增加，網(wǎng)絡(luò)系統(tǒng)往往要經(jīng)過復(fù)雜的運算才能實行電力調(diào)動的自動化，這對于計算機的負荷是非常大的，因此網(wǎng)絡(luò)系統(tǒng)需要及時維護。

2.2　系統(tǒng)不夠完善

除了網(wǎng)絡(luò)維護不夠及時外，系統(tǒng)不完善也是電力調(diào)動自動化系統(tǒng)要面臨的問題，首先數(shù)據(jù)的采集不夠準確，在整個的系統(tǒng)中，廠站端的信息采集關(guān)乎著整個的系統(tǒng)的調(diào)控度。但是經(jīng)常由于采集設(shè)備的更改維護而發(fā)生數(shù)據(jù)采集的錯誤；其次信息的傳輸經(jīng)常出現(xiàn)問題，主要是由于信息傳輸?shù)脑O(shè)備不可靠、傳送通道不穩(wěn)定，這種問題是由于技術(shù)層面的問題；第三由于主站的運行系統(tǒng)不夠穩(wěn)定，新開發(fā)的軟件程序未經(jīng)過工程的考驗，整個主站的中樞系統(tǒng)容易出現(xiàn)問題，一旦主站中樞系統(tǒng)出現(xiàn)問題，那么上行的數(shù)據(jù)采集與下行的控制命令全部受阻；上述的問題經(jīng)常會出現(xiàn)在整個的電力自動化調(diào)度系統(tǒng)內(nèi)，這都是整個系統(tǒng)不夠完善的體現(xiàn)。

3　電力調(diào)動自動化網(wǎng)絡(luò)安全的實現(xiàn)要點

3.1　網(wǎng)絡(luò)架構(gòu)要從三層分析

如果要保障電力調(diào)動自動化的網(wǎng)絡(luò)安全，我們首先應(yīng)該從網(wǎng)絡(luò)架構(gòu)入手，即采用“核心層、匯聚層和接入層”三層網(wǎng)絡(luò)拓撲結(jié)構(gòu)。首先在應(yīng)對人為破壞和黑客攻擊方面，我們采取了網(wǎng)絡(luò)分段的方法，主要是將我們的電力調(diào)動自動化網(wǎng)絡(luò)與其他不相關(guān)的網(wǎng)絡(luò)資源進行隔離從而達到防止非法破壞的目的。對于目前電力調(diào)動自動化局域網(wǎng)采用以交換機為中心、路由器為邊界的網(wǎng)絡(luò)格局來講，我們應(yīng)該重點控制中心交換機的控制功能來實現(xiàn)對整個電力調(diào)動自動化局域網(wǎng)的控制。交換機、路由器作為整個局域網(wǎng)的中心一定是黑客們首要攻擊的對象，要先從系統(tǒng)自身漏洞、管理的終端、傳入終端等方面來保護交換機以及路由器的安全。從管理終端來講，我們首先要保護的就是網(wǎng)絡(luò)防火墻內(nèi)部——網(wǎng)絡(luò)主機的操作系統(tǒng)的的安全。首先應(yīng)該對整個主機的文件進行備份，如果突然的遭受襲擊導(dǎo)致主機文件的缺失，我們可以利用備份補齊。其次我們要經(jīng)常性的進行主機的安全檢查以及漏洞的修補，這樣可以極大的避免人為的利用漏洞進行攻擊。最后，我們要建立包括入侵檢測、防毒軟件、應(yīng)急處理機構(gòu)為一體的反應(yīng)措施，一旦入侵檢測系統(tǒng)發(fā)現(xiàn)異常情況，我們要進入應(yīng)急狀態(tài)，并且啟用防毒軟件，如果防毒軟件無法解決該問題那么我們就要啟動應(yīng)急處理模式（使用備用主機、備用線路等）。從傳入終端來講，我們要保護整個中樞系統(tǒng)的安全，那么就要從防火墻入手，防火墻技術(shù)主要分為三大類：“包過濾”、“應(yīng)用”和“狀態(tài)檢測”，這三大類是整個防火墻系統(tǒng)的基礎(chǔ)。包過濾技術(shù)是最早使用的一種工作在OSI模型中的網(wǎng)絡(luò)層上的技術(shù)，它的工作原理就是對TCP／IP協(xié)議的數(shù)據(jù)報文進出的通道作為監(jiān)視對象，它要對通道內(nèi)進出數(shù)據(jù)的具體信息進行監(jiān)視并與事先設(shè)定好的過濾規(guī)則進行對比，如果某種數(shù)據(jù)的信息符合“過濾”的規(guī)則，那么這個信息就會被扔掉。但是這種防火墻技術(shù)存在缺陷，如果出現(xiàn)設(shè)計人員意料之外的有害信息，那么防火墻將不會對其進行過濾。這時，應(yīng)用技術(shù)出現(xiàn)了，應(yīng)用技術(shù)的防火墻徹底隔斷內(nèi)網(wǎng)與外網(wǎng)的直接通信，內(nèi)網(wǎng)用戶對外網(wǎng)的訪問變成防火墻對外網(wǎng)的訪問，然后再由防火墻轉(zhuǎn)發(fā)給內(nèi)網(wǎng)用戶。所有通信都必須經(jīng)應(yīng)用層軟件轉(zhuǎn)發(fā)，訪問者任何時候都不能與服務(wù)器建立直接的TCP連接，應(yīng)用層的協(xié)議會話過程必須符合的安全策略要求。應(yīng)用網(wǎng)關(guān)的優(yōu)點是可以檢查應(yīng)用層、傳輸層和網(wǎng)絡(luò)層的協(xié)議特征，對數(shù)據(jù)包的檢測能力比較強。但是較難配置。狀態(tài)檢測技術(shù)相當于進化版的包過濾技術(shù)，狀態(tài)檢測技術(shù)對每個傳輸數(shù)據(jù)的信息都進行了完美的檢測，對數(shù)據(jù)的信息進行深層次的檢測并保存，如果下一次的傳輸數(shù)據(jù)的信息不符合記錄的信息，那么該數(shù)據(jù)將會被放棄。

3.2　維護管理要及時與妥當

對于網(wǎng)絡(luò)的維護要引起相關(guān)單位的重視，要聘請專業(yè)的維護人員24小時監(jiān)視整個網(wǎng)絡(luò)的狀況，如果出現(xiàn)問題，要立即進行維修。在平常的時候，也要定期的對整個網(wǎng)絡(luò)系統(tǒng)進行維護，否則極易出現(xiàn)故障引起不必要的損失。

3.3　對不可抗力要做好應(yīng)對措施

當出現(xiàn)有不可抗力狀況（臺風(fēng)、海嘯、地震等）引起的電力調(diào)動自動化的癱瘓時，我們要做好應(yīng)急措施，例如啟用被動電網(wǎng)、緊急搶修等等，不要自亂陣腳。

4　結(jié)語

電力調(diào)動自動化網(wǎng)絡(luò)安全防護系統(tǒng)的研究不僅關(guān)系到民生問題，甚至在國家的層面上也非常的重要，在很多的軍事領(lǐng)域、國防領(lǐng)域都要用到電，當我國與其他國家發(fā)生沖突時很可能會遭受其他國家在網(wǎng)絡(luò)上的攻擊，其中不拋去攻擊我國電力調(diào)動自動化網(wǎng)絡(luò)系統(tǒng)的可能，因此我們要確實做好電力調(diào)動自動化網(wǎng)絡(luò)安全防護系統(tǒng)的相關(guān)工作，為我們的經(jīng)濟建設(shè)、國家安全貢獻力量。

參考文獻

［1］高卓,羅毅,涂光瑜．變電站的計算機網(wǎng)絡(luò)安全分析[J]．電力系統(tǒng)自動化,2002,26(1)．

篇4

電力系統(tǒng)在國民經(jīng)濟中的影響與日俱增，人們的日常生活已經(jīng)與電力緊密相連，任何一處的電力系統(tǒng)的發(fā)生不穩(wěn)定現(xiàn)象都將對該范圍人們的生產(chǎn)生活產(chǎn)生重大的影響。伴隨著信息技術(shù)的出現(xiàn)，電力監(jiān)控系統(tǒng)逐步轉(zhuǎn)化為分布式監(jiān)控，每部分地區(qū)發(fā)生電力系統(tǒng)的不安全、不穩(wěn)定現(xiàn)象，都能通過該系統(tǒng)進行監(jiān)控，進而在最短時間內(nèi)解決問題。隨著電網(wǎng)規(guī)模的擴大、電力需求度的急速增長，各行業(yè)對電力系統(tǒng)的各方要求越來越高。信息技術(shù)的出現(xiàn)可以很好地對電網(wǎng)整體情形進行高效地控制，相比以往的配人值守等方式，準確性與安全性得到了很大的提高。利于信息技術(shù)可以把電力系統(tǒng)中分布遙遠的發(fā)電廠、調(diào)度中心以及變電站等子系統(tǒng)緊密有序地聯(lián)系起來，使電力系統(tǒng)的整體性更加穩(wěn)定。信息化程度的深化，可以將電力中的調(diào)度業(yè)務(wù)和市場業(yè)務(wù)升級到因特網(wǎng)層面上，使業(yè)務(wù)處理顯得更加靈活有序。然而，信息化技術(shù)的深入在充分提高電力效率、保持系統(tǒng)性能穩(wěn)定等作出巨大貢獻的同時，也對電網(wǎng)的系統(tǒng)網(wǎng)絡(luò)安全產(chǎn)生了一定的影響。因此，本文以電力信息系統(tǒng)中的網(wǎng)絡(luò)與信息安全防護為對象，全面分析電力信息系統(tǒng)安全風(fēng)險及需求，提出了電力信息系統(tǒng)安全防護方案和改進措施。

2電力信息系統(tǒng)安全體系現(xiàn)狀

電力系統(tǒng)是一個與社會穩(wěn)定、人民生活息息相關(guān)的復(fù)雜體系，保證期安全、穩(wěn)定地運行是保證國民經(jīng)濟正常運行的基礎(chǔ)。做好安全防護工作的內(nèi)容通常包括以下幾個方面，例如信息安全管理策略的運行、信息安全體系總體框架的建立、信息安全技術(shù)方案的研究及實施、總系統(tǒng)下的各有關(guān)子系統(tǒng)的安全故障排除等方面。2003年，電力信息網(wǎng)絡(luò)的安全運行被國家電網(wǎng)正式納入電力安全生產(chǎn)管理范疇，電力系統(tǒng)信息安全同時也被國家科技部列入國家信息安全示范工程之一，可見電力系統(tǒng)的網(wǎng)絡(luò)安全問題也由此被相關(guān)部門所重視。2008年是電力系統(tǒng)經(jīng)受了重重考驗的時期，例如年初的雨雪冰凍災(zāi)害、5月發(fā)生了汶川大地震、8月舉辦了北京奧運會和殘奧會等等。即使我國加大了在電網(wǎng)的現(xiàn)代化建設(shè)中引入信息化技術(shù)，但我國對電力系統(tǒng)安全性的研究相對而言尚處于發(fā)展探索階段。電力系統(tǒng)的信息化現(xiàn)狀主要體現(xiàn)在以下幾個方面：

2.1初步完成了信息化基礎(chǔ)設(shè)施建設(shè)

信息技術(shù)在電力系統(tǒng)中廣泛應(yīng)用的背景下，我國初步完成了信息化電力系統(tǒng)的基礎(chǔ)設(shè)施建設(shè)，同時，電力系統(tǒng)的各個子系統(tǒng)的管理水平得到了很大的提高，包括發(fā)電生產(chǎn)管理信息化水平、電網(wǎng)管理水平、企業(yè)管理水平等。電力信息基礎(chǔ)設(shè)施的廣泛建設(shè)，使得信息技術(shù)得到了飛速發(fā)展。以電力通信網(wǎng)為基礎(chǔ)的調(diào)度數(shù)據(jù)網(wǎng)絡(luò)系統(tǒng)、信息網(wǎng)絡(luò)系統(tǒng)等已經(jīng)初步形成，為電力的高效管理奠定了堅實的基礎(chǔ)。信息技術(shù)的深入發(fā)展使得電力通信網(wǎng)已發(fā)展成為集光纖、衛(wèi)星、數(shù)字微波等手段為一體的電力信息網(wǎng)絡(luò)系統(tǒng)，覆蓋了包括發(fā)電、輸電、配電等多個環(huán)節(jié)。

2.2獨立自主地堅持了創(chuàng)新之路

縱觀國內(nèi)外電力系統(tǒng)信息化的發(fā)展歷史，可以發(fā)現(xiàn)我國的電力系統(tǒng)信息化水平已經(jīng)處于高速發(fā)展階段。通過技術(shù)引進和自主開發(fā)，配電系統(tǒng)自動化領(lǐng)域總體達到國際先進水平，一些國際領(lǐng)先的、獨立的研究的能源管理系統(tǒng)和其他關(guān)鍵控制系統(tǒng)已在電力電網(wǎng)調(diào)度系統(tǒng)中得到了廣泛地應(yīng)用。其中，SG186等多個應(yīng)用系統(tǒng)平臺、電力信息安全專用裝置在開發(fā)完成之后，已經(jīng)投入到實際運行當中，產(chǎn)生了巨大的經(jīng)濟效益。由此可見，我國在電力行業(yè)信息產(chǎn)業(yè)道路上取得了豐碩的成果。

2.3信息安全技術(shù)取得了重大突破

由于電力系統(tǒng)逐步升級為自動化管理，信息在處理過程容易發(fā)生偏差，造成各種損失，因此，我國在信息安全方面加大了投入。經(jīng)過多年的研究探索，電力信息安全取得了很大的進展，主要體現(xiàn)在以下幾個方面：(1)基本完成了第一批電力企業(yè)信息系統(tǒng)的安全防護工作。(2)開展了以網(wǎng)絡(luò)安全為主的電力行業(yè)信息安全的基礎(chǔ)性工作。(3)初步建立了有關(guān)電力行業(yè)信息安全的法律法規(guī)，使信息安全逐漸變得合法化、規(guī)范化。(4)建立了電力行業(yè)網(wǎng)絡(luò)與信息安全的管理制度，完善了信息安全責(zé)任體制。

3電力系統(tǒng)信息安全的有關(guān)防護方案

由于信息系統(tǒng)安全是一個復(fù)雜的系統(tǒng)工程，且電力處于國民經(jīng)濟產(chǎn)業(yè)中的重要位置，更應(yīng)系統(tǒng)地、全面地進行分析和把握，從全局角度加以設(shè)計和實施。按照安全風(fēng)險類別及安全建設(shè)原則，電力信息系統(tǒng)的安全防護方案大致可分為以下幾個方面：數(shù)據(jù)安全、系統(tǒng)安全、網(wǎng)絡(luò)安全、物理安全等四個方面。

3.1數(shù)據(jù)安全

數(shù)據(jù)安全的核心工作是做好數(shù)據(jù)的安全存儲、信息鑒定、安全傳輸?shù)热矫鎯?nèi)容。信息安全存儲是要保證企業(yè)業(yè)務(wù)安全運行的關(guān)鍵，日常生活中最安全、最有效的方法就是采用數(shù)據(jù)備份，一旦發(fā)生操作系統(tǒng)癱瘓、或者數(shù)據(jù)庫系統(tǒng)的數(shù)據(jù)丟失等情形，備份的數(shù)據(jù)可以及時彌補。數(shù)據(jù)在傳輸過程中容易發(fā)生被非法竊取、篡改等威脅，信息鑒定技術(shù)可以保證數(shù)據(jù)完整。由于電力系統(tǒng)在國民經(jīng)濟生活中起著重要作用，因而其傳輸?shù)亩际侵匾畔?，實際操作中可以結(jié)合傳輸加密技術(shù)實現(xiàn)數(shù)據(jù)的機密性。最后，信息傳輸安全主要指的是為了保護數(shù)據(jù)信息傳輸過程的安全。

3.2系統(tǒng)安全

系統(tǒng)安全方案設(shè)計中主要包括安全評估、病毒防護、操作系統(tǒng)安全等三方面內(nèi)容：(1)安全評估是為了減輕因系統(tǒng)的安全漏洞而導(dǎo)致的黑客攻擊，安全評估系統(tǒng)可以有效地對系統(tǒng)進行掃描，搜索并修補安全漏洞，增強系統(tǒng)對網(wǎng)絡(luò)攻擊的防護能力。(2)病毒防護必須通過防病毒系統(tǒng)來實現(xiàn)。一個完整的防毒系統(tǒng)應(yīng)該包含從網(wǎng)絡(luò)、服務(wù)器、應(yīng)用平臺到桌面的多級結(jié)構(gòu)，此種體系下才能有效地防治病毒，從而保證整個體系范圍內(nèi)病毒防護體系的有效性和完整性。(3)由于操作系統(tǒng)是整個安全系統(tǒng)的核心控制部位，因此要應(yīng)該行之有效地進行防護，盡量采用安全性較高的操作系統(tǒng)，關(guān)閉存在安全隱患的程序和文件，嚴格限制用戶使用權(quán)限，及時修補系統(tǒng)安全漏洞。

3.3網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全方案設(shè)計中應(yīng)該主要注意安全檢測和網(wǎng)絡(luò)結(jié)構(gòu)安全兩個方面：(1)作為防火墻的合理補充，安全檢測須在內(nèi)部核心部位配備入侵檢測系統(tǒng)，以對抗來自系統(tǒng)系統(tǒng)內(nèi)部和外部透過防火墻的各種攻擊，在入侵檢測系統(tǒng)和防火墻的共同作用下，可有效地減小系統(tǒng)的損害程度。(2)網(wǎng)絡(luò)結(jié)構(gòu)布局的合理布置也影響著網(wǎng)絡(luò)的安全性。對于電力系統(tǒng)內(nèi)部的各種聯(lián)系，例如辦公網(wǎng)絡(luò)、業(yè)務(wù)網(wǎng)絡(luò)和外單位互聯(lián)網(wǎng)等接口之間應(yīng)該設(shè)置保密程序，避免安全系數(shù)較低的其他網(wǎng)絡(luò)對其構(gòu)成威脅。

3.4物理安全

一般意義上的物理安全主要指的是環(huán)境安全、設(shè)備安全、媒介安全等三個方面：(1)應(yīng)注意環(huán)境安全保護，以確保電力系統(tǒng)的信息設(shè)備不因環(huán)境問題而出現(xiàn)故障。(2)加強設(shè)備的安全保護，防止發(fā)生設(shè)備被盜、損毀現(xiàn)象，也要限制設(shè)備防護人員的數(shù)量，限制設(shè)備出現(xiàn)損毀的客觀條件。(3)媒介安全方案的設(shè)計主要是加強場地基礎(chǔ)設(shè)施建設(shè)，嚴格制止信息通過輻射、線路截獲等方式造成泄露。

4電力系統(tǒng)信息化過程中的安全防護措施

4.1加強安全管理

除了電力網(wǎng)絡(luò)系統(tǒng)自身的不穩(wěn)定因素外，內(nèi)部的人為因素也占有很大比例。因此，加強內(nèi)部的安全管理可減少人為風(fēng)險的產(chǎn)生。具體措施如下：(1)適時進行安全教育。安全知識和相關(guān)技能的教育是企業(yè)安全生產(chǎn)的保證，各個從業(yè)人員須了解并嚴格執(zhí)行企業(yè)安全策略，并且防止重技術(shù)輕管理的傾向，加強對人員的管理和培訓(xùn)，否則無法建立一個真正安全的網(wǎng)絡(luò)信息系統(tǒng)。(2)建立安全管理制度。電力行業(yè)中，管理的各方面主要包括人員管理、機房管理、設(shè)備管理、技術(shù)資料管理、操作管理、應(yīng)急事件管理、開發(fā)與維護管理等。(3)完善安全技術(shù)規(guī)范。主要包括信息維護、數(shù)據(jù)保護、軟件安全開發(fā)、數(shù)據(jù)備份規(guī)范等，保證后續(xù)電力信息系統(tǒng)的開發(fā)安全。(4)建立安全保證體系。其中明確各有關(guān)部門的工作職責(zé)，包括落實責(zé)任制，實行信息安全責(zé)任追究制度。

4.2加強防護措施

基于電力系統(tǒng)信息技術(shù)的防護措施應(yīng)立足于風(fēng)險可能發(fā)生的部位。主要包括以下幾個方面：(1)加強數(shù)據(jù)防御，即保證數(shù)據(jù)在存儲、使用過程中的完整性，同時也要保證系統(tǒng)出現(xiàn)意外故障時數(shù)據(jù)依然能夠及時恢復(fù)。(2)完善系統(tǒng)自身物理防御，包括主機防御和邊界防御，主要指的是對系統(tǒng)漏洞進行掃描、對主機加固，利用防火墻等安全設(shè)備來保護網(wǎng)絡(luò)入口點等。(3)增強應(yīng)用防御，因為應(yīng)用程序中完整的應(yīng)用開發(fā)安全規(guī)范可以實時控制應(yīng)用程序的各種功能，在此基礎(chǔ)上生產(chǎn)的產(chǎn)品可消除已知安全漏洞，因而風(fēng)險最低。以上幾項措施的核心技術(shù)體現(xiàn)在以下幾點：(1)物理隔離。主要用于電力信息網(wǎng)不同區(qū)之間的隔離，由于其隱蔽性，使得該系統(tǒng)不易遭受攻擊。(2)數(shù)據(jù)備份。電力企業(yè)的數(shù)據(jù)需經(jīng)常進行備份，建立企業(yè)數(shù)據(jù)備份中心，制定詳盡的應(yīng)用數(shù)據(jù)備份預(yù)案，從而保證信息系統(tǒng)的可用性和可靠性。(3)網(wǎng)絡(luò)防火墻。防火墻是用于將信任網(wǎng)絡(luò)與非信任網(wǎng)絡(luò)隔離的一種技術(shù)，它可以阻斷攻擊破壞行為，分權(quán)限合理享用信息資源。

5結(jié)束語

篇5

關(guān)鍵詞：調(diào)度自動化 網(wǎng)絡(luò)安全 二次防護

中圖分類號：TP29 文獻標識碼：A 文章編號：1007-9416（2012）09-0181-02

1、引言

電力工業(yè)是關(guān)系國計民生的重要基礎(chǔ)產(chǎn)業(yè)和公用事業(yè)，電力系統(tǒng)安全穩(wěn)定運行和電力可靠供應(yīng)直接關(guān)系到國民經(jīng)濟發(fā)展和人民生命財產(chǎn)安全，關(guān)系到國家安全和社會穩(wěn)定?，F(xiàn)代電力系統(tǒng)生產(chǎn)運行高度依賴于計算機、通信和控制技術(shù)，電力監(jiān)控系統(tǒng)、電力通信及數(shù)據(jù)網(wǎng)絡(luò)等電力二次系統(tǒng)已經(jīng)成為電網(wǎng)運行控制不可須臾或缺的重要組成部分。

2、發(fā)電廠調(diào)度自動化系統(tǒng)概述

調(diào)度自動化系統(tǒng)是在對全系統(tǒng)運行信息進行采集分析的科學(xué)基礎(chǔ)上，運用現(xiàn)代自動化技術(shù)和可靠的通信系統(tǒng)，由計算機監(jiān)控作出綜觀全局的明智判斷和控制決策。包括遠動裝置和調(diào)度主站系統(tǒng)，是用來監(jiān)控整個電網(wǎng)運行狀態(tài)的。調(diào)度自動化系統(tǒng)是電網(wǎng)調(diào)度和電網(wǎng)運行管理必不可少的技術(shù)手段，是電力系統(tǒng)重要基礎(chǔ)設(shè)施之一，關(guān)系到電網(wǎng)安全穩(wěn)定運行。發(fā)電廠調(diào)度自動化系統(tǒng)作為電力監(jiān)控系統(tǒng)的重要組成部分，其安全問題一直受到國家有關(guān)部門的重點關(guān)注。

3、電力二次系統(tǒng)安全防護工作開展情況

2002年，原國家經(jīng)貿(mào)委第30號令《電網(wǎng)和電廠計算機監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護規(guī)定》，提出了電網(wǎng)和電廠計算機監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護的基本原則，即“電力系統(tǒng)中，安全等級較高的系統(tǒng)不受安全等級較低系統(tǒng)的影響”，明確要求要實現(xiàn)兩個隔離：電力監(jiān)控系統(tǒng)與辦公自動化系統(tǒng)或其他信息系統(tǒng)之間以網(wǎng)絡(luò)方式互聯(lián)時，必須采用經(jīng)國家有關(guān)部門認證的專用、可靠的安全隔離設(shè)施；電力調(diào)度數(shù)據(jù)網(wǎng)應(yīng)在物理層面上與公用信息網(wǎng)絡(luò)安全隔離。電監(jiān)會成立以后，在充分總結(jié)以往工作的基礎(chǔ)上，明確提出了“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認證”的二次系統(tǒng)安全防護總體策略，使電力行業(yè)二次系統(tǒng)安全防護工作進入了實質(zhì)建設(shè)階段。

2005年以來，電力行業(yè)按照《電力二次系統(tǒng)安全防護規(guī)定》（電監(jiān)會5號令）及相關(guān)配套文件要求，從規(guī)章制度、組織體系、資金保障、人員管理及分區(qū)防御、網(wǎng)絡(luò)安全、數(shù)據(jù)防護等方面開展了一系列富有成效的工作，初步建立了覆蓋全行業(yè)的二次系統(tǒng)安全防護體系，防護能力顯著提高。隨著網(wǎng)絡(luò)安全威脅的日趨嚴重和升級，二次系統(tǒng)安全防護工作所面臨的安全形勢更加嚴峻。

4、調(diào)度自動化系統(tǒng)二次防護的主要策略

電力二次系統(tǒng)安全防護方案根據(jù)電力系統(tǒng)的特點及各相關(guān)業(yè)務(wù)系統(tǒng)的重要程序、數(shù)據(jù)流程、目前狀況和安全要求，將整個電力二次系統(tǒng)分為四個安全區(qū)：Ⅰ實時控制區(qū)、Ⅱ非控制生產(chǎn)區(qū)、Ⅲ生產(chǎn)管理區(qū)、Ⅲ管理信息區(qū)。

4.1 理順關(guān)系，合理整合接入業(yè)務(wù)

（1）調(diào)度自動化系統(tǒng)的橫向業(yè)務(wù)包括：第一、與辦公區(qū)域的生產(chǎn)管理信息系統(tǒng)（MIS）的接口。傳統(tǒng)的訪問方式是通過通信網(wǎng)關(guān)或WEB服務(wù)器實現(xiàn)數(shù)據(jù)的通信。若想達到橫向安全防護的目標，位于安全區(qū)Ⅱ的通信網(wǎng)關(guān)或WEB服務(wù)器與位于安全區(qū)Ⅲ的MIS系統(tǒng)之間必須采用經(jīng)有關(guān)部門認定核準的專用隔離裝置，使MIS系統(tǒng)的用戶終端僅可以通過專用隔離裝置瀏覽WEB服務(wù)器上的調(diào)度自動化信息，禁止其MIS系統(tǒng)向調(diào)度自動化系統(tǒng)發(fā)出數(shù)據(jù)請求。第二、與電能量計量系統(tǒng)、競價上網(wǎng)系統(tǒng)的接口。為使這些位于安全區(qū)Ⅱ的系統(tǒng)能夠安全可靠地實現(xiàn)數(shù)據(jù)業(yè)務(wù)的傳輸，就要求調(diào)度自動化系統(tǒng)與這些系統(tǒng)之間增加硬件防火墻。

（2）調(diào)度自動化系統(tǒng)的縱向業(yè)務(wù)包括：第一、專線通道。通過專線通道和特定的通信協(xié)議實現(xiàn)廠站RTU裝置與調(diào)度主站EMS系統(tǒng)間的通信。這類接口暫不考慮安全問題。第二、網(wǎng)絡(luò)通信接口。通過通信網(wǎng)關(guān)實現(xiàn)廠站與調(diào)度主站間的通信。為確保處理安全區(qū)Ⅰ的各系統(tǒng)能夠安全可靠地實現(xiàn)數(shù)據(jù)業(yè)務(wù)的傳輸，就要求調(diào)度自動化系統(tǒng)與這些系統(tǒng)之間加設(shè)縱向加密認證裝置，再經(jīng)電力通信數(shù)據(jù)網(wǎng)絡(luò)（SPTnet）進行通信。第三、遠程維護接口。系統(tǒng)維護人員或開發(fā)商可以通過撥號方式進行系統(tǒng)維護和故障處理。應(yīng)加強口令的嚴格管理，在未采取安全防護措施前，不得開通通過撥號服務(wù)器接人遠程局域網(wǎng)的服務(wù)。

4.2 分區(qū)隔離，實施安全防護和加密認證

（1）縱向加密認證：在縱向傳輸防護方面，發(fā)電廠調(diào)度自動化系統(tǒng)依據(jù)傳輸業(yè)務(wù)的實時性和重要性進行分類傳輸保護。遠動裝置RTU采集數(shù)據(jù)、脫硫數(shù)據(jù)、同步相量采集裝置PMU采集數(shù)據(jù)、電壓自動控制系統(tǒng)AVC采集數(shù)據(jù)作為Ⅰ實時控制區(qū)數(shù)據(jù)直接接入?yún)^(qū)內(nèi)專用交換機，并通過縱向認證裝置接入路由器。電量信息、保護信息子站數(shù)據(jù)等作為Ⅱ非控制生產(chǎn)區(qū)數(shù)據(jù)業(yè)務(wù)直接接入?yún)^(qū)內(nèi)專用交換機，經(jīng)防火墻連接至路由器。

各業(yè)務(wù)系統(tǒng)均直接通過專用交換機實現(xiàn)與上級調(diào)度部門的相應(yīng)業(yè)務(wù)實現(xiàn)對口通信。為實現(xiàn)對不同安全區(qū)域的業(yè)務(wù)隔離，調(diào)度數(shù)據(jù)網(wǎng)通過縱向認證裝置和防火墻實現(xiàn)對Ⅰ區(qū)和Ⅱ區(qū)的安全隔離，兩個區(qū)域之間的業(yè)務(wù)不能通過網(wǎng)絡(luò)彼此通信。從而減少數(shù)據(jù)傳輸?shù)闹虚g環(huán)節(jié)，縮短了傳輸時間，有效地兼顧了二次系統(tǒng)對安全防護強度和數(shù)據(jù)傳輸實時性的要求。

工作票申請系統(tǒng)、報價系統(tǒng)作為發(fā)電廠的Ⅱ區(qū)業(yè)務(wù)接入相應(yīng)的電力信息專網(wǎng)。以發(fā)電廠工作票申請系統(tǒng)為例，由于電力網(wǎng)調(diào)度生產(chǎn)信息網(wǎng)為電力內(nèi)網(wǎng)，終端用戶接入網(wǎng)內(nèi)時需要進行安全加固和安全隔離。也就是要做到內(nèi)外網(wǎng)物理隔離，專機專用，同時增加網(wǎng)絡(luò)防火墻解決安全隔離的作用。每個用戶終端需要安裝上級電力調(diào)度部門簽發(fā)的電力調(diào)度系統(tǒng)設(shè)備數(shù)字證書，以保證電廠能及時、安全的獲取調(diào)度生產(chǎn)管理信息。

（2）橫向單向隔離：橫向傳輸防護方面，發(fā)電廠調(diào)度自動化系統(tǒng)主要是微機監(jiān)測及發(fā)電負荷調(diào)度系統(tǒng)與安全區(qū)Ⅲ的廠信息系統(tǒng)之間的安全防護。一般加設(shè)橫向單向安全隔離裝置實現(xiàn)安全防護和隔離目的。生產(chǎn)區(qū)域的實時信息經(jīng)過該物理隔離裝置單向傳輸給WEB服務(wù)器，且不接受來自外網(wǎng)的WEB服務(wù)器上任何信息和操作。辦公區(qū)域的工作站也只能通過外網(wǎng)的WEB服務(wù)器瀏覽生產(chǎn)區(qū)域的實時信息，從而有效保護內(nèi)網(wǎng)的服務(wù)器和相關(guān)子系統(tǒng)設(shè)備，實現(xiàn)生產(chǎn)控制大區(qū)與管理信息大區(qū)之間的高強度的物理隔離，更好地保障電力生產(chǎn)監(jiān)控系統(tǒng)的安全穩(wěn)定運行。

4.3 軟件的安全防護功能

（1）分組用戶管理權(quán)限：計算機在網(wǎng)絡(luò)中的應(yīng)用，存在兩種身份：一種是作為本地計算機，用戶可以對本地的計算機資源進行管理和使用；另一種是作為網(wǎng)絡(luò)中的一份子。高級的操作系統(tǒng)，都支持多用戶模式，可以給使用同一臺計算機的不同人員分配不同的帳戶，并在本地分配不同的權(quán)限。對于調(diào)度自動化系統(tǒng)所有后臺服務(wù)器，應(yīng)全部實行分級用戶權(quán)限進行管理。

（2）設(shè)定高強度口令密碼：生活在信息時代的今天，在電力企業(yè)的網(wǎng)絡(luò)環(huán)境里，密碼顯得尤為重要。調(diào)度自動化系統(tǒng)所有后臺維護及操作平臺，均設(shè)有高強度口令密碼。只有擁有口令密碼的專業(yè)技術(shù)人員方能有權(quán)登錄，并進行相關(guān)安全操作。網(wǎng)絡(luò)管理人員應(yīng)具有強烈的安全防護意識，設(shè)置以字母、數(shù)字、符號相互組合，且長度大于8位的口令密碼，并定期更換，可以有效地防止被黑客破解與攻擊，保護電力企業(yè)內(nèi)部的調(diào)度自動化系統(tǒng)安全穩(wěn)定，尤為重要。

（3）規(guī)范執(zhí)行制度：調(diào)度自動化專業(yè)應(yīng)有明確制度規(guī)定，定期進行系統(tǒng)數(shù)據(jù)異地存儲及備份。日常操作時，必須使用專用的移動存儲設(shè)備，任何人員均不得使用來歷不明的移動存儲設(shè)備。

5、結(jié)語

計算機網(wǎng)絡(luò)安全是電力生產(chǎn)安全密不可分的一部分。除了依據(jù)國家規(guī)定建立可靠的網(wǎng)絡(luò)安全技術(shù)構(gòu)成的安全防護體系外，還必須建立健全完善的網(wǎng)絡(luò)安全管理制度，形成技術(shù)和管理雙管齊下的態(tài)勢，以確保網(wǎng)絡(luò)安全這一最終目的的逐步實現(xiàn)。同時，調(diào)度自動化安全防護是一個長期的、動態(tài)的工作過程。在隨著人員、技術(shù)、外界風(fēng)險不斷變化發(fā)展，以及調(diào)度自動化系統(tǒng)應(yīng)用與開發(fā)環(huán)境的不斷變化發(fā)展，安全目標與防護措施也隨之不斷發(fā)展和變化。調(diào)度自動化系統(tǒng)的安全管理需要及時跟進并應(yīng)用新技術(shù)，定期進行風(fēng)險評估、加強管理，才能保障電力行業(yè)調(diào)度安全穩(wěn)定、可靠地長周期運行。

參考文獻

篇6

【關(guān)鍵詞】潘口水電站;安全防護;防護技術(shù)專用設(shè)備

潘口電站安裝2臺單機容量為250MW的混流式水輪發(fā)電機機組。以發(fā)電為主，兼有防洪、旅游，養(yǎng)殖等綜合效益。電站于2013年12月完工，主要承擔(dān)電網(wǎng)調(diào)峰、調(diào)頻和事故負荷備用等。

一、方案總則

潘口電站電力二次系統(tǒng)安全防護，目的是規(guī)范和統(tǒng)一電網(wǎng)和電廠計算機監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護的規(guī)劃、實施和監(jiān)管，以防范對電網(wǎng)和電廠計算機監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)的攻擊侵害及由此引起的電力系統(tǒng)故事，保障電力系統(tǒng)的安全、穩(wěn)定、經(jīng)濟運行。

潘口電站電力二次系統(tǒng)是由業(yè)務(wù)系統(tǒng)、調(diào)度數(shù)據(jù)網(wǎng)絡(luò)（SPDnet）和電力數(shù)據(jù)通信網(wǎng)絡(luò)（SPInet）構(gòu)成。方案確定潘口電站電力二次系統(tǒng)的安全區(qū)的劃分原則，各安全區(qū)之間在橫向及縱向上的防護原則，嚴格執(zhí)行“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認證”的規(guī)定，并指導(dǎo)相關(guān)單位實施。

二、安全防護總體策略

1.安全分區(qū)

根據(jù)系統(tǒng)中業(yè)務(wù)的重要性和對一次系統(tǒng)的影響程度進行分區(qū)，所有系統(tǒng)都必須置于相應(yīng)的安全區(qū)內(nèi)。對實時控制系統(tǒng)等關(guān)鍵業(yè)務(wù)采用認證、加密技術(shù)，重點保護生產(chǎn)控制以及直接生產(chǎn)電力的系統(tǒng)。

2.網(wǎng)絡(luò)專用

建立調(diào)度專用數(shù)據(jù)網(wǎng)絡(luò)，實現(xiàn)與其他數(shù)據(jù)網(wǎng)絡(luò)物理隔離，并以技術(shù)手段在專網(wǎng)上形成多個相互邏輯隔離的子網(wǎng)，以保障上下級各安全區(qū)的縱向互聯(lián)僅在相同安全區(qū)進行，避免安全區(qū)縱向交叉。電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)與電力數(shù)據(jù)通信網(wǎng)實現(xiàn)安全隔離，并通過采用MPLS-VPN在（SPDnet）和（SPInet）分別形成多個相互邏輯隔離的VPN，實現(xiàn)多層次的保護。

3.橫向隔離

將實時監(jiān)控系統(tǒng)與辦公自動化系統(tǒng)等實行有效安全隔離，隔離強度應(yīng)接近或達到物理隔離，使不同強度的安全隔離設(shè)備在各安全區(qū)中的業(yè)務(wù)系統(tǒng)得到有效保護。

4.縱向認證、防護

采用認證、加密、訪問控制等手段實現(xiàn)資料的遠方安全傳輸以及縱向邊界的安全防護。安全區(qū)Ⅰ、Ⅱ的縱向邊界部署IP認證加密裝置;安全區(qū)Ⅲ、Ⅳ的縱向邊界部署硬件防火墻。

三、安全區(qū)的劃分

根據(jù)潘口水利樞紐電力二次系統(tǒng)的特點和安全要求，整個二次系統(tǒng)分為4個安全工作區(qū)：第1區(qū)為實時控制區(qū)，第2區(qū)為非控制業(yè)務(wù)區(qū)，第3區(qū)為生產(chǎn)管理區(qū)，第4區(qū)為管理信息區(qū)。

1.安全區(qū)I是實時控制區(qū)，是安全保護的核心。凡是具有實時監(jiān)控功能的系統(tǒng)或其中的監(jiān)控功能部分均應(yīng)屬于安全區(qū)Ⅰ。如調(diào)度的SCADA（AGC/AVC）系統(tǒng)、功角實時監(jiān)測系統(tǒng)（PMU）以及電站監(jiān)控系統(tǒng)等，其面向的使用者為調(diào)度員和運行操作人員，數(shù)據(jù)實時性為秒級，外部的通信均經(jīng)由SPDnet的實時VPN。

2.安全區(qū)Ⅱ是非控制業(yè)務(wù)區(qū)。不是直接進行控制但和生產(chǎn)控制有很大關(guān)系，短時間中斷就會影響電力生產(chǎn)的系統(tǒng)均屬于安全區(qū)Ⅱ。安全區(qū)Ⅱ的典型系統(tǒng)包括電能量計費系統(tǒng)、故障信息管理系統(tǒng)等。其面向的使用者為運行方式、運行計劃工作人員及發(fā)電側(cè)電力市場交易員等。數(shù)據(jù)的實時性是分級、小時級、日、月甚至年。該區(qū)的外部通信為邊界為SPDnet的非實時VPN。

3.安全區(qū)Ⅲ是生產(chǎn)管理區(qū)。該區(qū)為進行生產(chǎn)管理的系統(tǒng)，典型的系統(tǒng)為電廠生產(chǎn)管理信息等。該區(qū)中公共數(shù)據(jù)庫內(nèi)的數(shù)據(jù)可供運行管理工作人員進行Web瀏覽。該區(qū)的外部通信邊界為電力數(shù)據(jù)通信網(wǎng)SPInet。

4.安全區(qū)Ⅳ是辦公管理系統(tǒng)。包括辦公自動化系統(tǒng)或辦公管理信息系統(tǒng)。該區(qū)的外部通信邊界為SPInet或因特網(wǎng)。

四、二次防護技術(shù)專用設(shè)備

1.專用安全隔離裝置：分為正向型和反向型。從安全區(qū)Ⅰ、Ⅱ往安全區(qū)Ⅲ必須采用正向安全隔離裝置單向傳輸信息;由安全區(qū)Ⅲ往安全區(qū)Ⅱ甚至安全區(qū)Ⅰ的單向數(shù)據(jù)傳輸必須經(jīng)反向安全隔離裝置。反向安全隔離裝置采取簽名認證和資料過濾措施，僅允許純文本資料通過，并嚴格進行病毒、木馬等惡意代碼的查殺。

2.橫向安全隔離裝置（反向）：用于從安全區(qū)Ⅲ到安全區(qū)Ⅰ/Ⅱ單向傳遞資料，是安全區(qū)Ⅲ到安全區(qū)Ⅰ/Ⅱ的唯一資料傳遞途徑。橫向安全隔離裝置（反向）集中接收安全區(qū)Ⅲ發(fā)向安全區(qū)Ⅰ/Ⅱ的資料，進行簽名驗證、內(nèi)容過濾、有效性檢查等處理后，轉(zhuǎn)發(fā)給安全區(qū)Ⅰ/Ⅱ內(nèi)部的接收程序。

3.縱向加密認證裝置：用于安全區(qū)Ⅰ/Ⅱ的廣域網(wǎng)邊界防護。加密認證網(wǎng)關(guān)，加密認證網(wǎng)關(guān)除具有加密認證裝置的全部功能外，還應(yīng)具有應(yīng)用層內(nèi)容的識別功能。其作用一是為本地安全區(qū)Ⅰ/Ⅱ提供一個網(wǎng)絡(luò)屏障，具有類似包過濾防火墻的功能;作用二是為網(wǎng)關(guān)機之間的廣域網(wǎng)通信提供認證與加密功能，實現(xiàn)數(shù)據(jù)傳輸?shù)臋C密性、完整性保護。

五、網(wǎng)絡(luò)專用

1.調(diào)度數(shù)據(jù)網(wǎng)

調(diào)度數(shù)據(jù)網(wǎng)必須建立在IP+SDH的基礎(chǔ)上，嚴格MPLS VPN的劃分。通過MPLS VPN劃分將調(diào)度數(shù)據(jù)網(wǎng)分成VPN1和VPN2。因此，在縱向上安全區(qū)Ⅰ的數(shù)據(jù)傳輸和交換通過VPN1來完成，安全區(qū)Ⅱ的數(shù)據(jù)傳輸和交換通過VPN2來完成。

2.安全區(qū)Ⅲ網(wǎng)絡(luò)（調(diào)度生產(chǎn)管理OMS網(wǎng)絡(luò)）

安全區(qū)Ⅲ網(wǎng)絡(luò)主要是在縱向上各級調(diào)度部門傳輸調(diào)度生產(chǎn)管理信息，屬于管理信息大區(qū)，它與安全區(qū)Ⅳ網(wǎng)絡(luò)之間主要通過防火墻隔離。

3.安全區(qū)之間的橫向隔離及縱向保護

在各安全區(qū)之間均選擇適當安全強度的隔離裝置。具有隔離裝置的選擇不僅需要考慮網(wǎng)絡(luò)安全的要求，還需要考慮帶寬及實時性的要求。安全區(qū)之間隔離裝置必須有是國產(chǎn)并經(jīng)過國家或電力系統(tǒng)有關(guān)部門認證。

安全區(qū)Ⅰ與Ⅱ之間的隔離要求采用硬件防火墻，可使安全區(qū)之間邏輯隔離。禁止跨越安全區(qū)Ⅰ/Ⅱ與安全區(qū)Ⅲ/Ⅳ的非數(shù)據(jù)應(yīng)用穿透。由安全區(qū)Ⅲ/Ⅳ向Ⅰ/Ⅱ單向數(shù)據(jù)傳輸必須經(jīng)安全數(shù)據(jù)過濾網(wǎng)關(guān)串接物理隔離裝置。

同一安全區(qū)間縱向防護與隔離。同一安全區(qū)間縱向聯(lián)絡(luò)使用VPN網(wǎng)絡(luò)進行連接。安全區(qū)Ⅰ/Ⅱ分別使用SPDnet的實時VPN1與非實時VPN2。安全區(qū)Ⅲ/Ⅳ分別使用SPInet的VPN。

六、防病毒措施

防止病毒關(guān)系到整個系統(tǒng)的安全，防病毒軟件要求覆蓋所有服務(wù)器及客戶端，對關(guān)鍵服務(wù)器實時查毒，對于客戶端定期查毒，制定查毒策略，并備有查殺記錄。病毒防護是調(diào)度系統(tǒng)與網(wǎng)絡(luò)必需的安全措施。病毒的防護應(yīng)該覆蓋安全區(qū)Ⅰ、Ⅱ、Ⅲ的主機與工作站，特別在安全區(qū)Ⅰ、Ⅱ要建立獨立的防病毒中心，病毒特征碼要求必須以離線的方式及時更新。安全區(qū)Ⅲ的防病毒中心原則上可以和安全區(qū)Ⅳ的防病毒中心共用。

七、結(jié)語

篇7

【關(guān)鍵詞】計算機網(wǎng)絡(luò)電力系統(tǒng)應(yīng)用應(yīng)用現(xiàn)狀安全防護

中圖分類號：F470.6 文獻標識碼：A 文章編號：

【引言】隨著計算機網(wǎng)絡(luò)技術(shù)在電力系統(tǒng)中的應(yīng)用范圍的擴大，電力信息化的不斷深入，計算機系統(tǒng)在電力系統(tǒng)中已從簡單的數(shù)據(jù)計算為主發(fā)展庫處理、實時控制和信息管理等應(yīng)用的領(lǐng)域，并在電能電量計費系統(tǒng)、電力營銷系統(tǒng)、電力ISP業(yè)務(wù)、經(jīng)營財務(wù)系統(tǒng)、人力資源系統(tǒng)中得到廣泛的應(yīng)用。在電力系統(tǒng)內(nèi)，它已經(jīng)成為各項工作必不可少的基礎(chǔ)條件，各單位各部門之間現(xiàn)存的計算機網(wǎng)絡(luò)硬件設(shè)備與操作系統(tǒng)千差萬別應(yīng)用水平也差不齊，因此，在計算機網(wǎng)絡(luò)覆蓋全球，計算機技術(shù)迅猛發(fā)展到今天，討論和研究電力心態(tài)計算機的應(yīng)用以及安全性則顯得尤為重要。

一. 技術(shù)是安全的主體，管理是安全的靈魂

安全是一個相對的概念，計算機及信息網(wǎng)絡(luò)系統(tǒng)和計算機應(yīng)用實時控制系統(tǒng)的作用主要是使企業(yè)高效運作，優(yōu)化運行，可根據(jù)實際需要，確定合理的信息安全措施。要妥善處理好安全與運行質(zhì)量性能的關(guān)系，規(guī)范、標準、合理的安全措施可提高系統(tǒng)的運行效果，電力系統(tǒng)信息安全是一個系統(tǒng)的、全局的管理問題，我們應(yīng)該用系統(tǒng)工程的觀點、法，分析信息的安全及具體措施：

1.1要加強信息人員的安全教育，保持信息人員特別是網(wǎng)絡(luò)管理人員和安全管理人員的相對穩(wěn)定，防止網(wǎng)路機密泄露，特別是注意人員調(diào)離時的網(wǎng)絡(luò)機密的泄露。

1.2對各類密碼要妥善管理，杜絕默認密碼，出廠密碼，無密碼，不要使用容易猜測的密碼。密碼要及時更新，特別是有人員調(diào)離時密碼一定要更新。

1.3技術(shù)管理，主要是指各種網(wǎng)絡(luò)設(shè)備，網(wǎng)絡(luò)安全設(shè)備的安全策略，如防火墻、物理隔離設(shè)備、入侵檢測設(shè)備、路由器的安全策略要切合實際。

1.4數(shù)據(jù)的備份策略要合理，備份要及時，備份介質(zhì)保管要安全，要注意備份介質(zhì)的異地保存。

1.5加強信息設(shè)備的物理安全，注意服務(wù)器、計算機、交換機、路由器、存儲介質(zhì)等設(shè)備的防火、防盜、防水、防潮、防塵、防靜電等。

1.6注意信息介質(zhì)的安全管理，備份的介質(zhì)要防止丟失和被盜。報廢的介質(zhì)要及時清除和銷毀，特別要注意送出修理的設(shè)備上存儲的信息的安全。

二.計算機網(wǎng)絡(luò)在電力系統(tǒng)中的應(yīng)用及現(xiàn)狀

2.1 計算機網(wǎng)絡(luò)在電力系統(tǒng)應(yīng)用的意義

電力系統(tǒng)的領(lǐng)導(dǎo)能通過計算機網(wǎng)絡(luò)在企業(yè)本部的辦公室中了解分散在全國各地項目部的財務(wù)報表、工程進度、工程質(zhì)量、工程中存在的問題；在企業(yè)本部的會議室中拿出從計算機網(wǎng)絡(luò)中得到的分散在全國各地項目部的資料，與其他領(lǐng)導(dǎo)進行研究，商量出解決問題的辦法。

電力建沒的性質(zhì)決定了電力企業(yè)要使用計算機網(wǎng)絡(luò)，它能將分散的建設(shè)工地連接成一個整體，能將分散的人員連接成一個整體并能將時宅縮小。利用汁算機網(wǎng)絡(luò)，企業(yè)可發(fā)揮企業(yè)中每一個員工的積極性，是企業(yè)與每個員上聯(lián)系的平臺。領(lǐng)導(dǎo)的決策要依賴企業(yè)員工直接提供的素材，計算機網(wǎng)絡(luò)能將企業(yè)員T提供的大量素材直接送到領(lǐng)導(dǎo)那里以供決策。計算機網(wǎng)絡(luò)的應(yīng)用為電力建設(shè)企業(yè)提供了現(xiàn)代化的管理手段，電力建設(shè)企業(yè)經(jīng)濟效益的取得離不開計算機網(wǎng)絡(luò)在電力施工企業(yè)中的廣泛應(yīng)用。

2.2計算機網(wǎng)絡(luò)在電力系統(tǒng)應(yīng)用的現(xiàn)狀

通過計算機網(wǎng)絡(luò)可以使電力系統(tǒng)的工作效率提高了。管理范圍擴大了，工作人員的辦事能力增強了．但計算機系統(tǒng)網(wǎng)絡(luò)安全問題也隨之變得更加嚴重了。例如：通過電子郵件感染病毒．電力系統(tǒng)管理網(wǎng)絡(luò)互聯(lián)接口的防火墻只配置了包過濾規(guī)則．提供的安全保證很低。容易受到基于IP欺騙的攻擊，泄露企業(yè)機密．有些局域網(wǎng)沒有進行虛擬網(wǎng)絡(luò)VIAN劃分和管理，造成網(wǎng)絡(luò)阻塞，使工作效率減低；絕大多數(shù)操作系統(tǒng)是非正版軟件，或網(wǎng)j二下載免費軟件，不能夠做到及時補丁系統(tǒng)，造成系統(tǒng)漏洞，給攻擊者留下木馬后門；絕大多數(shù)工作站沒有關(guān)閉不必要的通訊端，使得計算機易受遠程攻擊病毒可以長驅(qū)直入等。

三.計算機網(wǎng)絡(luò)在電力系統(tǒng)安全防護措施

只有將有效的安全管理實踐自始至終貫徹落實于信息安全當中，網(wǎng)絡(luò)安全的長期性和穩(wěn)定性才能有所保證，技術(shù)防護分析以下幾點是：

3.1網(wǎng)絡(luò)防火墻：防火墻是企業(yè)局域網(wǎng)到外網(wǎng)的唯一出口，所有的訪問都將通過防火墻進行，不允許任何饒過防火墻的連接。D M Z區(qū)放置了企業(yè)對外提供各項服務(wù)的服務(wù)器，既能夠保證提供正常的服務(wù)，又能夠有效地保護服務(wù)器不受攻擊。設(shè)置防火墻的訪問策略，遵循“缺省全部關(guān)閉，按需求開通的原則”，拒絕除明確許可證外的任何服務(wù)。

3.2物理隔離裝置：主要用于電力信息網(wǎng)的不同區(qū)之間的隔離，物理隔離裝置實際上是專用的防火墻，由于其不公開性，使得更難被黑客攻擊。

入侵檢測系統(tǒng)：部署先進的分布式入侵檢測構(gòu)架，最大限度地、全天候地實施監(jiān)控，提供企業(yè)級的安全檢測手段。在事后分析的時候，可以清楚地界定責(zé)任人和責(zé)任時間，為網(wǎng)絡(luò)管理人員提供強有力的保障。入侵檢測系統(tǒng)采用攻擊防衛(wèi)技術(shù)，具有高可靠性、高識別率、規(guī)則更新迅速等特點。

3.3網(wǎng)絡(luò)隱患掃描系統(tǒng)：網(wǎng)絡(luò)隱患掃描系統(tǒng)能夠掃描網(wǎng)絡(luò)范圍內(nèi)的所有支持TCP／IP協(xié)議的設(shè)備，掃描的對象包括掃描多種操作系統(tǒng)，掃描網(wǎng)絡(luò)設(shè)備包括：服務(wù)器、工作站、防火墻、路由器、路由交換機等。在進行掃描時，可以從網(wǎng)絡(luò)中不同的位置對網(wǎng)絡(luò)設(shè)備進行掃描。

掃描結(jié)束后生成詳細的安全評估報告，采用報表和圖形的形式對掃描結(jié)果進行分析，可以方便直觀地對用戶進行安全性能評估和檢查。

3.4網(wǎng)絡(luò)防病毒：為保護電力信息網(wǎng)絡(luò)受病毒侵害，保證網(wǎng)絡(luò)系統(tǒng)中信息的可用性，應(yīng)構(gòu)建從主機到服務(wù)器的完善的防病毒體系。以服務(wù)器作為網(wǎng)絡(luò)的核心，對整個網(wǎng)絡(luò)部署查、殺毒，服務(wù)器通過Internet從免疫中心實時獲取最新的病毒碼信息，及時更新病毒代碼庫。同時，選擇的網(wǎng)絡(luò)防病毒軟件應(yīng)能夠適應(yīng)各種系統(tǒng)平臺、各種數(shù)據(jù)庫平臺、各種應(yīng)用軟件。

3.5數(shù)據(jù)加密及傳輸安全：通過文件加密、信息摘要和訪問控制等安全措施，來實現(xiàn)文件存儲和傳輸?shù)谋Ｃ芎屯暾砸?，實現(xiàn)對文件訪問的控制。對通信安全，采用數(shù)據(jù)加密，信息摘要和數(shù)字簽名等安全措施對通信過程中的信息進行保護，實現(xiàn)數(shù)據(jù)在通信中的保密、完整和不可抵賴性安全要求。對遠程接入安全，通過VPN技術(shù)，提高實時的信息傳播中的保密性和安全性。

3.6數(shù)據(jù)備份：對于企業(yè)來說，最珍貴的是存儲在存儲介質(zhì)中的數(shù)據(jù)信息。數(shù)據(jù)備份和容錯方案是必不可少的，必須建立集中和分散相結(jié)合的數(shù)據(jù)備份設(shè)施及切合實際的數(shù)據(jù)備份策略。

3.7數(shù)據(jù)庫安全：通過數(shù)據(jù)存儲加密、完整性檢驗和訪問控制來保證數(shù)據(jù)庫數(shù)據(jù)的機密和完整性，并實現(xiàn)數(shù)據(jù)庫數(shù)據(jù)的訪問安全。

。

【結(jié)束語】

電力企業(yè)網(wǎng)絡(luò)安全是一個很嚴肅的話題，它是電力企業(yè)各種部門之間工作的紐帶算機網(wǎng)絡(luò)在電力系統(tǒng)中安全應(yīng)用是全局的管理問題，網(wǎng)絡(luò)上的任何一個漏洞，都會導(dǎo)致全網(wǎng)的安全問題，應(yīng)該用系統(tǒng)工程的觀點、方法，分析網(wǎng)絡(luò)的安全及具體措施使用，計算機系統(tǒng)在供電電力上的應(yīng)用將和企業(yè)的效益有著越來越密切的關(guān)系, 將成為電力企業(yè)的生命線, 這些都需要整個電力供電企業(yè)的員工共同的努力，推動電力供電系統(tǒng)的計算機應(yīng)用進一步發(fā)展、逐步的完善，計算機網(wǎng)絡(luò)安全只有這樣才能真正做到整個電力系統(tǒng)的安全保障。

參考文獻：

【1】馬緒.關(guān)于在陜西電力系統(tǒng)中應(yīng)用的探討[J].華中電力,2006(04).

【2】徐嚴軍，淺談電力行業(yè)網(wǎng)絡(luò)安全解決方案[J].價值工程，2010，29（27）：165.

篇8

關(guān)鍵詞 二次系統(tǒng)；網(wǎng)絡(luò)；安全防護；預(yù)案

中圖分類號TP39 文獻標識碼A 文章編號 1674-6708（2010）33-0228-02

Region Scheduling Data Network Security Assessment and Emergency System

CAO Jianfeng

AbstractSecondary power system in accordance with the national security of the relevant requirements of the Fuzhou region of the second grid system to assess network security, in view of the Fuzhou region of the second grid system issues of network security defense research, practice, and to identify areas of Fuzhou, the second grid weak point of the safety of the system, and scientific solutions. For the safety assessment report to study the formulation of security policy, the implementation of pilot programs and practice, and then test it again to build and improve the regional power network security defense system to system, and summed up the defense system the formation of the standard model.

KeyWordSecondary system；networking；security

0 引言

電力監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)作為電力系統(tǒng)的重要基礎(chǔ)設(shè)施，不僅與電力系統(tǒng)生產(chǎn)、經(jīng)營和服務(wù)相關(guān)，而且與電網(wǎng)調(diào)度、與控制系統(tǒng)的安全運行緊密關(guān)聯(lián)，是電力系統(tǒng)安全的重要組成部分。電力生產(chǎn)直接關(guān)系到國計民生，其安全問題一直是國家有關(guān)部門關(guān)注的重點之一。

隨著通信技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展，接入電力調(diào)度數(shù)據(jù)網(wǎng)的電力控制系統(tǒng)越來越多。電力系統(tǒng)一次設(shè)備的改善，其可控性已滿足閉環(huán)的要求。隨著變電集控所模式的建立、變電站減人增效，大量采用遠方控制，這對電力控制系統(tǒng)和數(shù)據(jù)網(wǎng)絡(luò)的安全性、可靠性、實時性提出了新的嚴峻挑戰(zhàn)。而另一方面，Internet技術(shù)和因特網(wǎng)已得到廣泛使用，使得病毒和黑客也日益猖獗。目前有一些調(diào)度中心、發(fā)電廠、變電站在規(guī)劃、設(shè)計、建設(shè)控制系統(tǒng)和數(shù)據(jù)網(wǎng)絡(luò)時，對網(wǎng)絡(luò)安全問題重視不夠，構(gòu)成了對電網(wǎng)安全運行的嚴重隱患。除此之外，還存在黑客在調(diào)度數(shù)據(jù)網(wǎng)中采用“搭接”的手段對傳輸?shù)碾娏刂菩畔⑦M行“竊聽”和“篡改”，進而對電力一次設(shè)備進行非法破壞性操作的威脅。因此電力監(jiān)控系統(tǒng)和數(shù)據(jù)網(wǎng)絡(luò)系統(tǒng)的安全性和可靠性已成為一個非常緊迫的問題。

1福州地區(qū)電網(wǎng)二次系統(tǒng)網(wǎng)絡(luò)安全評估概述

1.1 概況

福州地調(diào)二次系統(tǒng)安全評估包括：二次系統(tǒng)資產(chǎn)評估、網(wǎng)絡(luò)與業(yè)務(wù)構(gòu)架評估、節(jié)點間通信關(guān)系分析、二次系統(tǒng)威脅評估、現(xiàn)有防護措施評估、主機安全性評估、網(wǎng)絡(luò)系統(tǒng)評估、安全管理評估、業(yè)務(wù)系統(tǒng)安全評估、二次系統(tǒng)風(fēng)險計算和分析、安全建議等評估內(nèi)容，評估之后針對系統(tǒng)的薄弱點進行安全加固，并制定《福州局電力調(diào)度自動化系統(tǒng)應(yīng)急預(yù)案體系》，提高調(diào)度自動化系統(tǒng)運行的可靠性，安全性，有效預(yù)防和正確、快速處置電力調(diào)度自動化系統(tǒng)癱瘓事件，不斷提高福州電網(wǎng)預(yù)防和控制調(diào)度自動化事件的能力，最大限度地減少其影響和損失，保障電網(wǎng)的安全運行。安全評估的實施基本流程如圖1所示。

1.2 網(wǎng)絡(luò)安全評估的過程

1.2.1資產(chǎn)調(diào)查

資產(chǎn)調(diào)查作為信息收集的一個關(guān)鍵步驟，是開始安全評估工作的第一步，也是安全加固工作的基礎(chǔ)，其主要目的是準確全面的獲得被評估系統(tǒng)的信息資產(chǎn)清單。

因此，在進行評估項目實施時，我們很重視資產(chǎn)調(diào)查的過程和方法，以期收集到準確、全面的信息資產(chǎn)清單。對于每一個資產(chǎn)來說，都需要比較準確的收集各項屬性，因此我們計劃整個資產(chǎn)調(diào)查過程如下，以確保我們的資產(chǎn)調(diào)查目標的實現(xiàn)。

1.2.2采用了正向測試與逆向滲透相結(jié)合的漏洞深度檢測方法

在本項目中，安全掃描主要是通過評估工具以本地掃描的方式對評估范圍內(nèi)的系統(tǒng)和網(wǎng)絡(luò)進行安全掃描，從內(nèi)網(wǎng)和外網(wǎng)兩個角度來查找網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備、服務(wù)器主機、數(shù)據(jù)和用戶賬號/口令等安全對象目標存在的安全風(fēng)險、漏洞和威脅。應(yīng)用正向測試與逆向滲透相結(jié)合的漏洞深度檢測方法，對電力二次系統(tǒng)主機信息安全進行分析。

1.2.3采用了遠程漏洞掃描與本地主機自動化腳本檢測相結(jié)合的脆弱性獲取方法

滲透測試主要依據(jù)安全專家已經(jīng)掌握的安全漏洞，模擬黑客的攻擊方法對系統(tǒng)和網(wǎng)絡(luò)進行非破壞性質(zhì)的攻擊性測試。所有的測試將在授權(quán)和監(jiān)督下進行。滲透測試和工具掃描可以很好的互相補充。工具掃描具有很好的效率和速度，但是存在一定的誤報率，不能發(fā)現(xiàn)高層次、復(fù)雜的安全問題；滲透測試需要投入的人力資源較大、對測試者的專業(yè)技能要求很高（滲透測試報告的價值直接依賴于測試者的專業(yè)機能），但是非常準確，可以發(fā)現(xiàn)邏輯性更強、更深層次的弱點。

1.2.險計算和分析

信息安全風(fēng)險評估的風(fēng)險計算部分主要以業(yè)務(wù)系統(tǒng)作為風(fēng)險計算和分析的對象，以福州電業(yè)局本部為例，本次對福州電業(yè)局SCADA系統(tǒng)、電能量采集系統(tǒng)、OMS系統(tǒng)和DMIS網(wǎng)站共4個業(yè)務(wù)系統(tǒng)進行了評估和測試，各個業(yè)務(wù)系統(tǒng)的信息資產(chǎn)價值、威脅發(fā)生可能性和脆弱性嚴重程度的進行賦值，并通過風(fēng)險計算，得出風(fēng)險計算結(jié)果，確定各個系統(tǒng)的危險程度，找到業(yè)務(wù)系統(tǒng)的安全薄弱點。

1.2.5安全建議

根據(jù)計算出來的安全結(jié)果，通過管理和技術(shù)等兩方面來加強網(wǎng)絡(luò)設(shè)備和安全設(shè)備的安全性，對訪問重要設(shè)備的用戶應(yīng)遵循一定規(guī)章制度，對網(wǎng)絡(luò)配置的更改、權(quán)限的分配要及時進行記錄備份歸檔。

對重要業(yè)務(wù)系統(tǒng)和服務(wù)器進行定期的漏洞病毒掃描，對掃描結(jié)果進行分析記錄并歸檔。對新系統(tǒng)上線前應(yīng)進行掃描和加固，對掃描的日志及時進行安全審計并歸檔。

對網(wǎng)絡(luò)運行日志、操作系統(tǒng)運行日志、數(shù)據(jù)庫運行日志、業(yè)務(wù)系統(tǒng)運行日志進行定期的安全審計并提交安全審計記錄和報告，對報告中的非法行為應(yīng)及時報告并處理。

對于網(wǎng)絡(luò)設(shè)備和安全設(shè)備的配置日志應(yīng)另存儲在日志服務(wù)器中，而非存儲在本地路由器或是交換機上，并定期的進行備份歸檔。對于日志的種類應(yīng)當包括所有用戶對網(wǎng)絡(luò)設(shè)備和安全設(shè)備的查看、更改等。

本文為全文原貌 未安裝PDF瀏覽器用戶請先下載安裝 原版全文

2地區(qū)電網(wǎng)自動化系統(tǒng)整體應(yīng)急預(yù)案體系建設(shè)

2.1應(yīng)急預(yù)案體系的出現(xiàn)

現(xiàn)階段地區(qū)調(diào)度自動化各系統(tǒng)聯(lián)系緊密，單個系統(tǒng)的故障將連鎖影響多個其他系統(tǒng)運行，電力調(diào)度數(shù)據(jù)網(wǎng)建設(shè)向縣調(diào)及110kV變電站延伸，接入系統(tǒng)種類日趨復(fù)雜，二次安全防護木桶效應(yīng)日趨明顯。由于系統(tǒng)風(fēng)險主要來自于病毒及相關(guān)聯(lián)系統(tǒng)的故障，故障類型復(fù)雜并存在觸發(fā)或并況，應(yīng)急預(yù)案的思路逐步擺脫了自動化單個系統(tǒng)預(yù)案的思路，慢慢向以自動化二次整體應(yīng)急預(yù)案體系進行轉(zhuǎn)變。該思路面對系統(tǒng)出現(xiàn)嚴重故障時，整體地考慮恢復(fù)手段及措施，隔離故障區(qū)域，屏蔽受影響系統(tǒng)的部分功能，將日常人工或自動備份的硬件及軟件快速導(dǎo)入故障設(shè)備，恢復(fù)系統(tǒng)。在日常備份及演練過程中，綜合考慮各系統(tǒng)間的互補能力和約束條件，并切合地調(diào)實際，高效率低成本地實現(xiàn)該預(yù)案體系。該體系重視系統(tǒng)整體恢復(fù)的效率和日常投入成本的二維標準，兼收并蓄各種技術(shù)手段和管理手段的優(yōu)勢。

2.2 應(yīng)急預(yù)案體系的特點

該預(yù)案體系適應(yīng)自動化系統(tǒng)日益聯(lián)系緊密的特點，擺脫之前針對某一系統(tǒng)制定預(yù)案的思路，采用“整體考慮，互為備用,分散管理,集中恢復(fù)”總體思路，避免出現(xiàn)系統(tǒng)孤島，綜合考慮，兼顧各個系統(tǒng)及全面事故預(yù)想，具有兼容性強，各子系統(tǒng)預(yù)案操作性強，入門要求低，恢復(fù)手段有效快速，投資成本低，日常維護工作量少，實用化推廣價值高的特點。

預(yù)案體系總體框架圖各子預(yù)案關(guān)聯(lián)關(guān)系圖

2.3 預(yù)案體系各個子預(yù)案之間的關(guān)系

2.3.1共存關(guān)系

各預(yù)案體系間存在互相引用，互為補充關(guān)系。簡化了對預(yù)案編寫的復(fù)雜程度，將復(fù)雜的系統(tǒng)問題轉(zhuǎn)化成為多個專項問題來解決。

集控系統(tǒng)資源成為EMS預(yù)案中的備用設(shè)備，將整體自動化系統(tǒng)一體化考慮，互為備用，充分利用資源，降低預(yù)案成本。

2.3.2互斥關(guān)系

預(yù)案體系中的電源子預(yù)案和其他預(yù)案間存在互斥關(guān)系，當涉及到整體電源異常時，就要考慮犧牲小系統(tǒng)，保全大系統(tǒng)的整體

3 結(jié)論

本項目對地區(qū)電網(wǎng)二次系統(tǒng)網(wǎng)絡(luò)安全防御體系開展了專題研究與實踐，研究結(jié)果有效提高了地區(qū)電網(wǎng)二次系統(tǒng)網(wǎng)絡(luò)的安全防御能力，對網(wǎng)省調(diào)度中心乃地市電業(yè)局的二次系統(tǒng)安全建設(shè)都起到了重要的指導(dǎo)意義。項目根據(jù)研究結(jié)果構(gòu)建了調(diào)度自動化應(yīng)急預(yù)案體系以及與之相配套開發(fā)的快速備份恢復(fù)系統(tǒng)，投資少，效益高，為電網(wǎng)的安全可靠運行提供堅強的技術(shù)支撐。該項目的開展促進了調(diào)度中心對現(xiàn)有二次系統(tǒng)安全現(xiàn)狀和存在的各種安全風(fēng)險有了深入的了解 ，確保調(diào)度中心對二次系統(tǒng)中存在的各種安全風(fēng)險采取相應(yīng)的網(wǎng)絡(luò)安全手段和部署選用必要的安全產(chǎn)品 ，對今后全省乃至全國地區(qū)電網(wǎng)二次系統(tǒng)網(wǎng)絡(luò)安全建設(shè)具有重要的指導(dǎo)意義。

參考文獻

[1]張王俊，唐躍中，顧立新.上海電網(wǎng)調(diào)度二次系統(tǒng)安全防護策略分析.電網(wǎng)技術(shù)，2004(18).

[2]王治華.安全運營中心及其在調(diào)度中心二次系統(tǒng)中的應(yīng)用.電力系統(tǒng)自動化，2007(22).

[3]陳文斌.電力二次系統(tǒng)網(wǎng)絡(luò)與信息安全技術(shù)研究.電工技術(shù)，2008(11).

[4]民，辛耀中，向力，盧長燕，鄒國輝，彭清卿.調(diào)度自動化系統(tǒng)及數(shù)據(jù)網(wǎng)絡(luò)的安全防護.電力系統(tǒng)自動化，2001(21).

[5]葛?；?，盧瀟，周振宇.網(wǎng)絡(luò)安全管理平臺中的數(shù)據(jù)融合技術(shù) .電力系統(tǒng)自動化，2004(24).

[6]胡炎，辛耀中.韓英鐸 二次系統(tǒng)安全體系結(jié)構(gòu)化設(shè)計方法.電工技術(shù)，2003(21).

[7]程碧祥，電力調(diào)度自動化系統(tǒng)中物理隔離技術(shù)的研究與應(yīng)用.電工技術(shù)，2008(1).

篇9

關(guān)鍵詞：電力調(diào)度；調(diào)度安全；安全運行；安全監(jiān)控

引言

隨著社會科技的高速發(fā)展，根據(jù)我國電網(wǎng)的發(fā)展和高壓電網(wǎng)的建設(shè)，加上電力自動化水平的不斷提高，我國將建造一個規(guī)模最大、電壓等級最高、結(jié)構(gòu)最為復(fù)雜的特大型電網(wǎng)。近年來，各種電壓設(shè)施的排查、看管采用互聯(lián)網(wǎng)代替，實現(xiàn)了少人或者無人值班的狀況，調(diào)度自動化系統(tǒng)目前正處于電力生產(chǎn)的安全考核項目中，對其安全可靠性提出了更高的要求。在電力系統(tǒng)運行中，讓電網(wǎng)安全運行、經(jīng)濟運行和穩(wěn)定運行是每個調(diào)度員應(yīng)具備的能力。在電網(wǎng)運行中，電網(wǎng)安全和穩(wěn)定運行是尤其重要的，如果電力調(diào)度員發(fā)生判斷、調(diào)度等失誤所引起誤操作的話，若不及時處理，不僅會影響其穩(wěn)定性還很有可能會造成重大事故，這將會對整個行業(yè)及社會帶來重大的影響。

1 電力調(diào)度安全運行監(jiān)控管理的意義

電力系統(tǒng)內(nèi)部結(jié)構(gòu)較為繁瑣，當系統(tǒng)處于運行狀態(tài)時，極易受不同因素的制約，易引發(fā)安全事故，嚴重影響了電力調(diào)度運行過程。一方面，企業(yè)在生產(chǎn)操作階段，所用電量非常大，電力負荷上下起伏明顯，嚴重增加了運行管理難度，使安全事故發(fā)生率升高。另一方面，設(shè)備風(fēng)險?；谛颅h(huán)境下，電力技術(shù)發(fā)展水平較快，大量先進設(shè)備和技術(shù)被應(yīng)用于電力系統(tǒng)內(nèi)部，這些設(shè)備較大程度體現(xiàn)了電力系統(tǒng)的智能化、現(xiàn)代化特征，但由于受到運行環(huán)境及條件的制約，加之電力調(diào)度運行操作與管理人員對這些設(shè)備的操作和運行路線熟練程度上還需強化。另外，若設(shè)備未能按時進行檢測與檢修，都將增加設(shè)備安全問題，最終給電力系統(tǒng)運行埋下安全隱患。自動化機械設(shè)備在不同領(lǐng)域應(yīng)用頻繁，特別是電力行業(yè)，此種新型工作技巧不但要求電力調(diào)度人員具備豐富的專業(yè)知識，同時還要擁有高強度技能水平，從而提高操縱標準性。電力調(diào)度運行模式的蛻變在很大程度上證實了電力調(diào)度工作在當前社會發(fā)展中的深遠意義和價值。

2 電力調(diào)度安全運行監(jiān)控管理存在的問題

2.1 安全防護體系不完善

在電力調(diào)度系統(tǒng)運行中會受到安全威脅，主要來自物理層面威脅和計算機故障兩個方面。物理層面上的威脅通常是來自主機硬件和線路連接，如果硬件遭到損壞則會使部分重要數(shù)據(jù)丟失，給系統(tǒng)帶來較大的安全隱患。計算機長期處于聯(lián)網(wǎng)狀態(tài)，可能會受到網(wǎng)上任意一臺計算機的攻擊，倘若網(wǎng)絡(luò)安全防護不到位，將會受到病毒、黑客的侵蝕，導(dǎo)致計算機發(fā)生故障，發(fā)生安全問題。系統(tǒng)安全還會影響到主機操作方面的安全，如若出現(xiàn)沒有經(jīng)過授權(quán)就能夠使用賬號和口令、損害系統(tǒng)完整性和用戶拒絕系統(tǒng)管理等行為，必定會給電力調(diào)度系統(tǒng)造成嚴重安全問題。

2.2 電力基礎(chǔ)設(shè)施安全性不足

在目前電力系統(tǒng)電力調(diào)度自動化的運行過程中，存在普遍的電力基礎(chǔ)設(shè)施安全性不足的問題，電力基礎(chǔ)設(shè)施是支撐整個電力信息網(wǎng)絡(luò)安全運行的基礎(chǔ)，所處的工作環(huán)境較惡劣，常常會在自然條件下受到暴風(fēng)、雷電等因素的影響發(fā)生性能上的改變，除此之外，電力基礎(chǔ)設(shè)施也會受到外部人為因素的影響。電力信息網(wǎng)絡(luò)安全在電力基礎(chǔ)設(shè)施被破壞時會出現(xiàn)網(wǎng)絡(luò)故障，造成電力信息傳輸數(shù)據(jù)的丟失、準確性不足等問題。

2.3 對網(wǎng)絡(luò)安全進行管理時，管理舉措不到位

這里所描述的網(wǎng)絡(luò)安全性主要是指管理級別的安全，一些電力公司的安全管理措施不足并且管理力度不到位，在使用和管理內(nèi)網(wǎng)以及互聯(lián)網(wǎng)得時候缺少強度不足的網(wǎng)絡(luò)分區(qū)以及隔離，加上不完善的網(wǎng)絡(luò)安全管理措施，增大了其安全性問題出現(xiàn)的可能性，具體體現(xiàn)在以下情形，當外人使用非法手段攻擊調(diào)度下的自動化時，如果沒有有效的防御辦法，則就非常容易造成使整個電力調(diào)度自動化網(wǎng)絡(luò)系統(tǒng)的運行癱瘓。

3 電力調(diào)度安全運行監(jiān)控管理策略

3.1 構(gòu)建安全防護體系

第一，從操作管理開始著手，對管理人員進行分類與分級，同時，設(shè)置登錄與操作權(quán)限?？梢愿鶕?jù)系統(tǒng)使用權(quán)限來確定不同用戶的使用范圍，這需要在設(shè)計系統(tǒng)時，對用戶制定使用和管理準則，對不是系統(tǒng)維護的人員屏蔽部分功能，使核心數(shù)據(jù)獲得相應(yīng)保護，防止因為一些錯誤操作導(dǎo)致不必要安全事故的發(fā)生。第二，重視確保主系統(tǒng)的功能和故障診斷。自動調(diào)度系統(tǒng)，其功能是通過不同網(wǎng)絡(luò)服務(wù)器來完成，在對系統(tǒng)進行建設(shè)、調(diào)試、運行時務(wù)必要重視對不同服務(wù)器指標的監(jiān)控，將此當成依據(jù)對系統(tǒng)進行實地實時監(jiān)控。另外，要科學(xué)設(shè)計系統(tǒng)的故障診斷功能，使其可以及時播報錯誤。第三，注意計算機的防護。調(diào)度系統(tǒng)功能的使用主要是憑借計算機，任何計算機都會因為外在的攻擊和病毒對系統(tǒng)造成影響，因此必須要做好計算機硬件的防護工作，增強防火墻和檢測功能。還要定期對系統(tǒng)進行檢查，便于及時發(fā)現(xiàn)問題及時解決，避免發(fā)生嚴重的安全事故。

3.2 基礎(chǔ)設(shè)施安全管理

根據(jù)電力企業(yè)的運行和發(fā)展特點，應(yīng)對電力基礎(chǔ)設(shè)施加強安全管控，結(jié)合不同的基礎(chǔ)設(shè)施分布情況，做好不同供電公司和發(fā)電廠數(shù)據(jù)的備份工作，以此為根據(jù)制定切實可行的應(yīng)急方案。根據(jù)電力企業(yè)的生產(chǎn)運行情況和電力系統(tǒng)的運行情況，按照不同的安全等級劃分基礎(chǔ)設(shè)施，在此基礎(chǔ)上改進和完善安全控制措施。從基礎(chǔ)設(shè)施和網(wǎng)絡(luò)層面2 個方面為著手點，加強電力信息的安全管理。全方位監(jiān)控各個基礎(chǔ)設(shè)施，充分應(yīng)用現(xiàn)代化計算機網(wǎng)絡(luò)信息技術(shù)手段，當出現(xiàn)故障時第一時間發(fā)現(xiàn)和診斷出故障發(fā)生的原因，應(yīng)用應(yīng)急方案優(yōu)先處理故障，對基礎(chǔ)設(shè)施進行優(yōu)化，提高信息的安全性。

3.3 對運行的管理和安全制度規(guī)章進行完整的健全

對運營管理和安全性的規(guī)章制度進行完善是網(wǎng)絡(luò)系統(tǒng)安全的保證。電力公司除了構(gòu)建一整套完善的安全規(guī)則和法規(guī)外，還需要對網(wǎng)絡(luò)安全進行專業(yè)性的測試，并一定時間內(nèi)評估網(wǎng)絡(luò)安全性全是否牢靠。電力公司應(yīng)該建立電力SCADA系統(tǒng)并調(diào)用數(shù)據(jù)網(wǎng)絡(luò)安全防護專職安全技術(shù)員工，并實施安全責(zé)任制。擁有完美的安全性管理保護措施可以極大降低網(wǎng)絡(luò)安全事件的可能性。

3.4 完善優(yōu)化監(jiān)控運行系統(tǒng)

通過前文對不同運行狀態(tài)下監(jiān)控系統(tǒng)工作內(nèi)容的分析可知，電力調(diào)度監(jiān)控系統(tǒng)要根據(jù)實際情況展開合適的監(jiān)督控制工作。正常工作狀態(tài)下，要在工作的同時，降低電網(wǎng)負荷，避免出現(xiàn)資源浪費;經(jīng)濟工作狀態(tài)下，需要加強報警措施，以提高系統(tǒng)的穩(wěn)定可靠性;故障運行狀態(tài)下，則要幫助工作人員全面了解事故發(fā)生原因，進而及時有效的解決其中發(fā)生的問題。比如，在正常狀態(tài)下，遵循超前原則優(yōu)化電網(wǎng)監(jiān)控系統(tǒng)，重點檢測無功率，避免電力資源出現(xiàn)不必要的浪費。而在經(jīng)濟狀態(tài)改下，設(shè)置不同等級的報警體系，按照事件緊急情況設(shè)置不同的報警體系，提高電力調(diào)度監(jiān)控運行的針對性和細致性，讓監(jiān)控人員可以有針對性的采取措施。事故發(fā)生后，監(jiān)控運行系統(tǒng)要充分發(fā)揮出自身的輔助作用，記錄故障信息，開啟報警系統(tǒng)實現(xiàn)調(diào)度監(jiān)控一體化，從而縮短故障處理時間，提高處理效率，盡可能降低電力企業(yè)遭受的損失。

結(jié)語

綜上所述，新時期電力事業(yè)發(fā)展下要想保證電力調(diào)度的安全性、穩(wěn)定性，則必須需要做到及時地防范工作，平日多培養(yǎng)電力調(diào)度員的安全信念、警惕性、應(yīng)對突發(fā)狀況的心理素質(zhì)，培養(yǎng)他們有分辨潛在問題和判斷的能力，強化電力調(diào)度生產(chǎn)監(jiān)控，并做好網(wǎng)絡(luò)安全防護，以完善優(yōu)化監(jiān)控運行系統(tǒng)，以提高電力調(diào)度的整體水平。

參考文獻

[1]崔清華.電力調(diào)度運行中的安全措施分析[J].集成電路應(yīng)用，2020，37(04):86-87.

篇10

【關(guān)鍵詞】安全隔離技術(shù)；電力信息網(wǎng)絡(luò)；網(wǎng)絡(luò)安全防護；技術(shù)應(yīng)用

隨著電力行業(yè)信息化建設(shè)的不斷深入，電力信息網(wǎng)絡(luò)得到快速發(fā)展與完善，而網(wǎng)絡(luò)在為電力生產(chǎn)、經(jīng)營等提供優(yōu)質(zhì)服務(wù)的同時，也面臨著不同程度的安全問題，而由這些安全問題引發(fā)的風(fēng)險，正成為限制電力基礎(chǔ)設(shè)施建設(shè)的主要因素。因此，探討有效的網(wǎng)絡(luò)安全防護技術(shù)，提高網(wǎng)絡(luò)綜合安全防護水平至關(guān)重要。

1電力信息網(wǎng)絡(luò)的安全現(xiàn)狀及防護要求

1.1安全現(xiàn)狀

（1）網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜，幾乎承載電力系統(tǒng)全部信息業(yè)務(wù)，各業(yè)務(wù)均設(shè)置在網(wǎng)絡(luò)當中，易形成安全漏洞。（2）互聯(lián)網(wǎng)數(shù)據(jù)基本都要通過信息網(wǎng)絡(luò)，如果信息網(wǎng)絡(luò)遭到攻擊，則調(diào)度網(wǎng)與各個數(shù)據(jù)將直接面臨巨大的威脅，缺少綜合防護體系。（3）業(yè)務(wù)人員所用PC終端直接設(shè)置在網(wǎng)絡(luò)中，部分業(yè)務(wù)人員技能水平有待提升，或安全意識不足而產(chǎn)生錯誤、不規(guī)范操作，進而威脅網(wǎng)絡(luò)安全[1]。（4）重要數(shù)據(jù)沒有得到有效的機密性保護。因數(shù)據(jù)實現(xiàn)集成化，不同業(yè)務(wù)系統(tǒng)的大部分數(shù)據(jù)都存儲在幾個固定數(shù)據(jù)庫當中，又由于這些數(shù)據(jù)庫缺乏有效安全保障，并且不同企業(yè)所采用的安全措施有著明顯的強度差異，因此會造成很大的安全漏洞。

1.2防護要求

雖然現(xiàn)階段電力信息網(wǎng)絡(luò)應(yīng)用了眾多防護措施，但在數(shù)據(jù)庫等方面依然存在安全隱患。網(wǎng)絡(luò)安全滿足木桶效應(yīng)，薄弱環(huán)節(jié)的安全保障強度決定了網(wǎng)絡(luò)整體防護水平，若安全防護技術(shù)與管理措施未能形成健全的體系，留有薄弱環(huán)節(jié)，將大幅降低網(wǎng)絡(luò)的整體防護水平。因此，必須構(gòu)建動態(tài)化電力信息網(wǎng)絡(luò)安全防護體系，以此拉近每個環(huán)節(jié)的安全保障強度，真正提高網(wǎng)絡(luò)整體防護水平，避免信息泄露和丟失等現(xiàn)象的發(fā)生。

2安全隔離技術(shù)

2.1通用網(wǎng)閘

通用網(wǎng)閘類安全隔離技術(shù)是指利用兩個處理系統(tǒng)和安全等級有明顯差別的信息網(wǎng)絡(luò)進行連接，系統(tǒng)數(shù)據(jù)交換通過設(shè)立專用協(xié)議完成。在數(shù)據(jù)庫安全防護方面，該技術(shù)主要以內(nèi)網(wǎng)數(shù)據(jù)庫與外網(wǎng)數(shù)據(jù)庫相同步的方法為主。目前，通用網(wǎng)閘類安全隔離技術(shù)在數(shù)據(jù)庫安全防護中應(yīng)用的經(jīng)典做法是在客戶端和服務(wù)器之間進行部署，分析http協(xié)議，對數(shù)據(jù)庫施加安全隔離，并實現(xiàn)細粒度控制。

2.2數(shù)據(jù)庫審計

數(shù)據(jù)庫審計指的對DBA（DatabaseAdministrator，數(shù)據(jù)庫管理員）操作進行記錄，揭示數(shù)據(jù)庫實際安全狀態(tài)，主要在將協(xié)議解析作為基礎(chǔ)的總體技術(shù)路線中應(yīng)用，可實現(xiàn)數(shù)據(jù)庫日志全記錄，并依照用戶意愿采取旁路模式對記錄、行為等進行分析。

2.3數(shù)據(jù)庫隔離

相比國外發(fā)達國家，我國針對數(shù)據(jù)庫安全的產(chǎn)品研發(fā)起步較晚，發(fā)展相對滯后，技術(shù)層面主要依賴國外先進技術(shù)，缺乏自主產(chǎn)品。此外，數(shù)據(jù)庫隔離類技術(shù)與產(chǎn)品的規(guī)范、標準尚未統(tǒng)一，想要進一步壯大該技術(shù)，還需大力發(fā)展其安全測評方案。目前，數(shù)據(jù)庫隔離類技術(shù)與產(chǎn)品的科研中心主要放在數(shù)據(jù)庫應(yīng)用中間件。

3電力信息網(wǎng)絡(luò)中安全隔離技術(shù)的應(yīng)用設(shè)計與實現(xiàn)

3.1設(shè)計網(wǎng)絡(luò)安全隔離器

因隔離器設(shè)置于網(wǎng)絡(luò)的內(nèi)外邊界，所以隔離器要具備類似普通防火墻的防護作用來實行主機訪問控制與保護。在電力信息網(wǎng)絡(luò)中，其業(yè)務(wù)系統(tǒng)主機有基本固定的端口與IP地址，可將其作為基本元素實現(xiàn)訪問控制。隔離器并非一個普通防火墻那樣簡單，除主機的訪問控制以外，還要確保數(shù)據(jù)庫安全，因此還要實現(xiàn)數(shù)據(jù)庫控制與保護。統(tǒng)計表明，SQLInjection是現(xiàn)階段數(shù)據(jù)庫遭到的主要攻擊方式，為使數(shù)據(jù)庫避免遭到這一攻擊，可在應(yīng)用層還原SQL（StructuredQueryLanguage，結(jié)構(gòu)化查詢語言），并對其實施深入的解析與過濾。根據(jù)上述內(nèi)容，電力信息網(wǎng)絡(luò)的安全隔離器應(yīng)從多個角度入手實現(xiàn)綜合性與立體化的安全防護，提高網(wǎng)絡(luò)每個層次的安全性，構(gòu)建圖1所示的防護與數(shù)據(jù)處理程序。

3.2實現(xiàn)網(wǎng)絡(luò)安全隔離

如前所述，安全隔離器是一個將網(wǎng)絡(luò)通信協(xié)議作為主要分析對象的安全防護設(shè)備，它的實現(xiàn)本質(zhì)上是以通信流為基礎(chǔ)的分層與解析，其實現(xiàn)步驟為：（1）對目的端口、IP地址、協(xié)議域等實施組合，形成數(shù)據(jù)包的過濾規(guī)則，對數(shù)據(jù)包與信息流向進行控制，防止內(nèi)網(wǎng)遭到攻擊，限制外網(wǎng)對內(nèi)網(wǎng)的訪問。（2）在報文發(fā)送至應(yīng)用層以后，應(yīng)對其實施協(xié)議化處理，對地址解析協(xié)議等報文進行分析與過濾，以此構(gòu)建協(xié)議處理功能模塊。（3）功能模塊需涉及傳輸控制協(xié)議數(shù)據(jù)流重組，并在該模塊內(nèi)可對協(xié)議進行可靠解析。（4）在對協(xié)議棧實施了有效還原之后，從中提取并分析數(shù)據(jù)庫的協(xié)議報文，以協(xié)議關(guān)鍵字段為依據(jù)對TNS工具控制進行識別，最終獲取SQL語句。（5）利用結(jié)構(gòu)化查詢語言過濾模塊對所得SQL語句進行分析，在格式化處理的前提下，采用搜索算法與規(guī)則庫等過濾SQL語句，最后根據(jù)反饋結(jié)果明確是否需要進行傳遞[2]。以安全隔離技術(shù)為核心設(shè)計的網(wǎng)絡(luò)安全隔離裝置，通過國家網(wǎng)絡(luò)安全部門分析、驗證，其不僅具備防火墻等普通網(wǎng)絡(luò)安全防護工具的全部功能，而且還能提供面向數(shù)據(jù)庫應(yīng)用層的安全防護與訪問控制等功能，實際安全防護強度遠遠超出了其它防護工具，具有良好的應(yīng)用與推廣價值，可為電力信息網(wǎng)絡(luò)提供可靠的安全保障。

4結(jié)束語

綜上所述，目前電力信息網(wǎng)絡(luò)安全現(xiàn)狀不容樂觀，存在較多安全漏洞，對網(wǎng)絡(luò)安全提出了很高的要求。作為直接面對新型網(wǎng)絡(luò)攻擊手段的安全隔離技術(shù)在電力信息網(wǎng)絡(luò)有著良好的應(yīng)用前景，通過對安全隔離器的優(yōu)化設(shè)計與實現(xiàn)，能起到大幅提升網(wǎng)絡(luò)安全防護水平的作用，真正實現(xiàn)從整體角度保障網(wǎng)絡(luò)信息安全的目標。

參考文獻

[1]劉曉翠，王晨臣，閆娟，張曉宇.安全隔離技術(shù)在電力信息網(wǎng)絡(luò)安全防護中的應(yīng)用[J].通訊世界，2016（24）：190~191.