淺議電力調度自動化網絡安全與實現

葉 蕓

海南電網公司三亞供電局，海南 三亞 572000

0 引言

隨著電力行業的飛速發展，電力系統的規模不斷擴大，電網的自動化水平也得到了不斷提高，電力系統的能量管理水平也在不斷深入發展。電力調度自動化系統中的數據類型越來越多，數據交換更加頻繁，系統一旦成為網絡黑客的攻擊對象，就可能導致大范圍的停電事故，造成極大的社會的影響和經濟損失。這就對電力調度自動化網絡的安全性、穩定性和可靠性提出了更高的要求。

1 電力調度自動化網絡安全的現狀

隨著網絡通信技術和計算機技術的飛速發展，電力調度自動化網絡系統和管理系統逐漸被廣泛使用，系統間的數據交換通過路由器或交換機進行實現。伴隨著因特網的飛速發展，電力調度自動化網絡的安全隱患逐漸增加。目前的電力調度自動化網絡已經采用了一些安全方面的措施，但是依然存在一些網絡不安全的現象。根據分析，主要有以下幾個方面的原因：

1）防火墻在配置過程中由于規則太多，很多用戶嫌麻煩，放棄使用；

2）電力調度自動化系統是分批建設的，系統缺乏統一的規劃，導致網絡結構混亂，很多安全裝置形同虛設；

3）電力調度自動化網絡設計和規劃沒有全面、系統的進行；

4）安全意識薄弱，安全管理不到位，系統管理人員的水平不高，系統操作人員的素質有待提高。

2 電力調度自動化網絡安全的實現

電力調度自動化系統作為一個動態發展的過程，本文認為應從以下5個方面實現電力調度自動化網絡的安全。

2.1 網絡安全的第一步——網絡架構

根據網絡安全防范體系設計的整體性和一致性原則，在電力調度自動化網絡建設的初期就要了解電力調度自動化的功能和各組成部分，全面考慮各部分的安全性，具體可以分為以下3個方面：

1）物理層安全分析與實現。物理層是整個網絡系統安全的前提，主要包括火災、地震等環境事故，人為操作失誤，設備被盜，電磁干擾，機房環境，報警系統和安全意識等。物理層的安全實現包括：調度自動化的機房要滿足國家標準；相對濕度控制在10%～75%；環境溫度控制在15℃～30℃；大氣壓力控制在86kPa～108kPa；機房地板采用靜電地板；機柜采用標準機柜；機房電源采用大功率延時電源；服務器采用雙機冗余；網線采用屏蔽雙絞線；對于無人值班的場所要采用視頻監視設備等；

2）系統層安全分析與實現。在網絡環境中，網絡系統的安全性依賴于系統中各個主機系統的安全性，而各個主機系統的安全又由其操作系統決定。例如目前廣泛使用的Vista、Windows、Linux操作系統由于存在很多隱患和諸多漏洞，計算機黑客很容易從“后門”進入系統，取得系統的控制權，從而影響系統的安全。對于操作系統的安全性可以選擇不從網絡上安裝、選擇NTFS格式分區、及時對系統打上補丁和安裝殺毒軟件等方式；

3）網絡層安全分析與實現。電力調度自動化系統的安全是建立在網絡系統安全之上的，因此網絡結構的安全是調度系統成功建立的基礎，對于網絡結構的安全來說，主要考慮網絡結構、路由和系統的優化，網絡結構應采用分層的體系結構。例如網絡拓撲結構主要考慮冗余鏈路，大型調度網絡采用雙網結構，數據采集通道留有2條～3條備用鏈路。

2.2 網絡應用層的實現——防火墻

防火強是提供信息安全、實現網絡安全的基礎設施，它能限制被保護的網絡和外部網絡直接的數據交換，可以作為不同網絡之間信息的出入口，在邏輯上防火墻是一個限制器，能有效的控制內部網絡和外部網絡之間的任何活動，從而保證內部網絡的安全。

根據物理特性，防火強分為硬件防火墻和軟件防火墻。硬件防火墻一般是通過網線連接外部網絡和內部服務器或企業內部網絡之間的設備。在電力系統調度自動化網絡中我們一般采用內嵌式硬件防火墻，例如東方電子DF-FW系列的防火墻，它是綜合了軟件和硬件防火墻的優點。對于地調以上規模或者大型的調度自動化網絡可以采用芯片硬件防火墻。

防火墻在電力調度自動化網絡中使用時主要有兩處，一處位于上下級調度專網，其主要任務是接收下級轉發過來的數據,然后把接收的數據再轉發給上級調度。另外一處是位于MIS網訪問SCADA網的Web服務器，其主要任務是允許MIS網計算機訪問Web服務器，而拒絕Web服務器訪問MIS網。兩處防火墻由于位置不同，提供的功能不同，因此其配置也各不相同。由于每個廠家的防火墻配置千差萬別，在具體使用時要根據調度自動化網絡的安全需要進行合理選擇。

2.3 網絡的維護和安全管理

電力調度自動化的網絡安全建設除了在設計上增加安全服務功能，完善安全保密措施外，還應該重視網絡的日常維護和安全管理，可以從以下幾個方面入手：

1）物理安全管理。物理安全管理主要包括防盜、防火、防雷擊、防靜電等；

2）網絡備份管理。進行網絡備份操作是為了盡可能快的恢復計算機系統所需要的信息和數據。備份不僅在網絡系統的硬件設備故障或人為操作失誤時起到保護作用，也能在入侵者非法攻擊系統時起到保護作用。電力調度自動化的歷史數據一般要保留一年到三年，目前的調度自動化軟件一般都帶有備份程序；

3）應用軟件安全管理。調度操作人員在使用調度軟件時要從安全的角度出發，合理規范的進行操作。例如，當操作員長時間離開操作屏幕時要注銷當前賬戶；系統的管理人員、操作人員、維護人員和監督人員設置不同的使用權限等。近幾年無人值班的發展日新月異，對于一體化的新系統如果機械采用傳統的登錄方式，將無法保證新形勢下網絡的安全性，因此可以采用指紋識別這一最安全快捷的認證形式；

4）使用殺毒軟件。伴隨著網絡病毒的猖獗，無論我們多少小心，仍然會碰到病毒的攻擊。因此一定要購買界面友好、查毒徹底和能實現遠程控制的殺毒軟件。這樣可以控制寫入服務器的客戶端，網管可以隨時殺毒，從而保證服務器的安全性和寫入數據的可靠性。

3 結論

電力調度自動化的網絡安全建設是一項復雜的、不斷發展變化的系統工程，因此我們要充分利用規劃、技術、管理、維護等多種手段來保障電力調度自動化的網絡安全。

[1]馬紅.電力調度自動化系統實用化應用[J].現代電子技術，2004(16).

[2]李巍.淺談電力調度自動化[J].油氣田地面工程，2004(9).