关于电力调度自动化二次安防方案研究

关于电力调度自动化二次安防方案研究

林洁

（国网江西省电力公司宜春供电分公司336000）

摘要：21世纪是信息科技时代，随着计算机技术和网络技术的不断发展，目前，计算机技术已经广泛应用在各个领域。电力调度给人们的生活带来的便利，为了进一步促进电力调度的服务和安全，应该在电力调度系统安全防护中积极引入计算机技术。电力调度系统的安全防护十分关键，一旦黑客进行恶意攻击，电力系统就会面临瘫痪，这会给居民的生活带来极大的干扰。因此本文主要通过分析我国电力调度自动化二次系统安全防护现状，从而探究关于促进电力调度自动化二次系统的安全防护方案。

关键词：电力调度自动化二次系统安全防护

1电力调度自动化二次系统现状

电力调度自动化二次系统由多个子系统组成，每个子系统之间都有着密不可分的联系，它们对原始数据和信息都起着采集、监控和管理的作用。其中主要的三个子系统分别为自动化系统，变电站系统以及信息数据系统，自动化系统更偏向于对信息数据进行采集、整合和管理，变电站系统则倾向于对各个站点的电力系统进行自动化实时监控，目前，各级变电站都广泛应用了自动化监控系统，其自动化程度和监控安全程度都较高，在很大程度上促进了电力系统的稳定和安全。由于目前电力系统的信息数据库是开放的，导致病毒一旦侵入到一台计算机就可以传播到整个电力系统，从而造成电网全盘瘫痪的现象。其安全隐患主要有两个方面，第一，生产区和管理区没有建立防火墙，存在着数据双向交叉的隐患。第二，安全防护区不仅缺少加密认证机制，还缺少漏洞扫描和安全审计机制，这给病毒入侵制造了绝佳的机会。

此外调度数据网也可能存在安全隐患既，其隐患可能存在于网络自身，也可能来自不当的管理和使用；网络威胁既可能来自电力系统的内部，也可能来自外部。内部攻击通常来自员工、管理员以及错误的配置等，外部攻击主要来自恶意组织和个人。从技术细节来讲，目前常见的安全问题主要有：1）意识风险）非授权访问2）信息泄露或数据破坏3）误操作及配置错误4）网络和系统软件的漏洞和多余服务5）网络病毒和木马。

2电力调度自动化系统二次安全防护方案设计

2.1制定完善的安全防护管理规定，进行安全防护

电力调度自动化系统的安全风险来自于网络中，所以必须要建立完善的安全管理规定，实现对电力调度系统的闭环监控，避免外界攻击使电力调度系统出现崩溃现象。在建立安全防护规定时，需要建立安全分级责任制，明确安全管理人员的相关职责，了解系统安全防护的重点。使各个管理人员可以强化对电力监控系统的管理，也能够积极的进行电力安全防护系统的定期巡查，及时发现电力调度自动化系统中存在的安全隐患。其安全防护重点如图1所示。

拨号安全防护可以实现电力调度自动化系统的远程防护，拨号安全防护系统建立在电力调度自动化系统的内部，与电力调度自动化系统的局域网连接，可以对远程接入用户的身份信息进行识别，并对接入用户的系统操作进行记录，如果接入用户存在威胁调度安全的异常行为，拨号安全防护可以及时切断与接入用户的连接，保证电力调度自动化系统的安全运行。

2.2对电力调度自动化系统进行横向逻辑隔离，安装隔离装置

在进行二次安全防护时，需要对电力调度自动化系统进行安全分区，遵循安全防护的原则对电力系统进行横向逻辑隔离，将整个电力系统分成若干个不同安全等级的分区，每个安全分区负责不同的功能。例如一分区负责电力调度的实时控制，二分区负责电力系统的电力生产，三分区负责电力调度管理，四分区负责对电力调度信息的监管。所有的安全分区中都设有DTS仿真系统，而且将各个分区利用防火墙技术进行隔离，使各个分区的联系需要经过审核管理。避免了电力系统单独分区产生故障而影响整个电力系统的现象。

安全隔离装置分为正向装置和反向装置，所有电力调度信息都需要经过安全隔离装置进行传输，而且安全隔离装置只允许调度信息的单向传输，避免有人对电力信息进行恶意窃取。安全隔离装置通过签名认证和数据过滤的方法对传输数据中的病毒、木马进行查杀和删除，并且每个安全隔离区内都配有专门的应用网关（如图2所示）。

2.3专用安全设备

网络纵向边界是网络流量的必经之地，也是各种网络攻击的突破口。在网络纵向边界上，在路由器和接入交换机之间部署电力专用纵向加密认证装置或硬件防火墙是一种行之有效安全防御措施。通过对纵向加密认证装置和硬件防火墙进行严密的策略配置，可以阻挡绝大多数外来攻击、病毒和恶意代码。还可以通过对纵向加密认证装置和硬件防火墙日志服务的配置来发现异常流量和恶意攻击等网络威胁。

纵向加密认证装置和硬件防火墙好像是门卫，而入侵检测系统就像是部署在关键位置上的摄像头，它可以根据网络结构的特点和关键应用的位置，有选择地在特定位置进行部署，从而发现网络边界和网络内部的异常现象并及时报警，招唤网络安全人员前来处理。

2.4加强病毒预防措施实现对电力调度自动化信息的网络备份

电力调度自动化系统数据库和病毒库的更新是由管理人员手动更新的，所以数据库和病毒库的更新实时性比较差，加强病毒防护措施可以在电力调度自动化系统中添加病毒处理软件，利用该软件对入侵病毒特征进行收集，收集完成的病毒数据通过I/O设置与电力调度系统进行隔离，避免系统出现崩溃现象。网络备份可以将电力调度信息备份到单独的储存系统中，当电力调度自动化系统遭到非法人员的破坏时，可以利用网络备份数据恢复到破坏之前的状态，保证了电力调度数据库的完整性。其他防护包括入侵检测系统、数字证书认证系统和主机防护系统。入侵检测系统可以对未授权的用户接入进行检测，如果未授权的用户接入到电力调度区域的关键网段可以发出警报，并对其异常行为进行监督和限制。所有的拨号接入用户全部拥有数字认证证书，使接入用户的身份信息更加明确，保证了调度系统接入用户数据传输的可靠性。电力调度自动化系统的主机防护可以对接入主机通信线路的权限进行限制，禁止接入通信线路进行不必要的操作，并对部分线路的权限进行强制分配，提高了电力调度系统主机运行的安全性。

3结论

在电力企业中，电路调度自动化并不是出于绝对安全状态，所以要制定二次安全防护方案，对电力调度自动化进行二次安全防护，以便有效降低电力调度系统的安全风险，避免电力企业在电力调度过程中出现损失。通过对电力调度自动化系统二次安全防护需求进行分析，研究具体的安全防护策略，制定具体的二次安全防护方案，希望可以有效保证电力调度自动化的安全性。

参考文献

[1]臧琦,邹婧,郭娟莉,等.电网调度自动化二次系统安全防护实践[J].电子设计工程,2011,19(20):47-49.

[2]张红丹.电力调度自动化安全防护问题探析[J].中国电力教育,2013(33):211-212.