淺談電力調度自動化系統的安全防護

成立鵬 田大鵬

（1、青海省電力公司超高壓運行檢修公司西寧變電檢修工區，青海 西寧 810003 2、青海省電力公司超高壓運行檢修公司試驗檢測中心，青海 西寧 810003）

隨著電網調度自動化的發展，調度自動化系統應用越來越成熟，調度中心匯集了越來越多的系統。這些調度自動化系統的良好、可靠、穩定的運行為電網安全、經濟調度提供了堅實的技術基礎。同時，這些系統及數據的可用性直接或間接地影響著電網調度。因此，電網調度的數據保護工作顯得非常重要，必須采取有效實用的相關數據保護技術，防范各種可能的數據災害發生，以保障其關鍵應用數據的高可用性及系統的高性能。

1 調度系統對安全防護的要求

近年來調度自動化系統的內涵有了較大的延伸，由原來單一的EMS系統擴展為EMS、DMS、TMS、廠站自動化、水調自動化、雷電監視、故障錄波遠傳、遙測、電力市場技術支持系統和調度生產管理系統等。數據網絡是支持調度自動化系統的重要技術平臺，實時性要求在秒級或數秒級，其中發電報價系統、市場信息發布等電力市場信息系統由于需要與公網連接，因而還要求做加密及隔離處理。

電力調度控制業務是電力系統的命脈，一定要與其他業務有效安全隔離。建立調度自動化系統的安全防護體系，首先要制定安全防護策略。應用系統的安全策略位于安全防范的最高一級，是系統安全的決定要素。如果在安全策略上出了問題，將會給今后的應用系統帶來安全隱患，從而使將來的安全建設處于十分被動的局面。因此考慮調度自動化系統的安全，應首先從應用系統的各個層面出發，制定完善的安全防護策略。

2 調度自動化系統數據網絡的安全防護

2.1 信息系統的安全分層理論

一個信息系統的安全主要包含五個層面，即物理安全、網絡安全、系統安全、應用安全、人員管理。調度自動化系統的安全防護體系應包含上述五個層面的所有內容。

物理安全主要包含主機硬件和物理線路的安全問題，如自然災害、硬件故障、盜用、偷竊等，由于此類隱患而導致重要數據、口令及帳號丟失，稱為物理安全。

網絡安全是指網絡層面的安全。由于聯網計算機能被網上任何一臺主機攻擊，而網絡安全措施不到位導致的安全問題。

系統安全是指主機操作系統層面的安全。包括系統存取授權設置、帳號口令設置、安全管理設置等安全問題，如未授權存取、越權使用、泄密、用戶拒絕系統管理、損害系統的完整性等。應用安全是指主機系統上應用軟件層面的安全。

2.2 調度專用數據網絡的安全防護措施

調度專用數據網除了傳送EMS數據外，還傳送電能量計量計費、水調自動化、電力市場信息和調度生產信息（工作票和操作票、發電計劃和交易計劃、負荷預報、調度報表、運行考核等）。應根據各類應用的不同特點，采用不同的安全防護措施，如EMS等實時控制業務具有較高的優先級，應該優先保證，生產信息的優先級次之，而電力市場信息須進行加密處理等。

采用調度專用網絡體制使數據網絡在網絡層的的安全得到最大程度的保證。但也不能保證100%的安全，對調度數據專用網絡還必須做到技術措施和管理制度雙管齊下，才有可能從根本上保障信息和控制系統的安全。

2.2.1 在管理制度方面，要做到

（1）對全網實施監管，所有與電力調度數據網連接的節點都必須在有效的管理范圍內，保障安全的系統性和全局性。

（2）加強人員管理，建立一支高素質的網絡管理隊伍，防止來自內部的攻擊、越權、誤用及泄密。

（3）加強運行管理，建立健全運行管理及安全規章制度，建立安全聯防制度，將網絡及系統安全作為經常性的工作。

（4）聘請網絡安全顧問，跟蹤網絡安全技術。

2.2.2 在技術措施方面，要做到

一是在網絡傳輸層，為了保證數據網絡的安全，又能向外傳輸必要的數據，必須堅持調度控制系統與調度生產系統之間、調度生產管理系統與企業辦公自動化系統（OA/MIS）之間有效安全隔離，它們之間的信息傳輸只能采用單向傳輸的方式。常采用的措施包括防火墻、專用網關（單向門）、網段選擇器等進行有效隔離。另外在調度數據專用網絡的廣域網和局域網上，根據不同的業務系統，還可采取以下技術手段：

（1）網絡安全訪問控制技術。通過對特定網段和服務建立訪問控制體系，可以將絕大多數攻擊阻止在到達攻擊目標之前。可實施的安全措施有：防火墻、VPN設備、VLAN劃分、訪問控制列表、用戶授權管理、TCP同步攻擊攔截、路由欺騙防范、實時入侵檢測技術等。

（2）加密通信技術。該措施主要用于防止重要或敏感信息被泄密或篡改。該項技術的核心是加密算法。其加密方法主要有：對稱型加密、不對稱型加密、不可逆加密等。

（3）身份認證技術。該項技術廣泛用于廣域網、局域網、拔號網絡等網絡結構。用于網絡設備和遠程用戶的身份認證，防止非授權使用網絡資源。

（4）備份和恢復技術。對于網絡關鍵資源如路由器、交換機等做到雙機備份，以便出現故障時能及時恢復。

二是在系統和應用層面，包括計算機防病毒技術、采用安全的操作系統（達B2級）、應用系統的關鍵軟硬件及關鍵數據的熱備份和冷備份等。防病毒技術和備份措施是通常采用的傳統安全技術，而安全的操作系統是一個新的發展趨勢。

3 結束語

電力調度數據網絡是調度自動化系統的支撐平臺，網絡安全是系統安全的保障，專用數據網絡是整體安全防護體系的基礎，專網體現在網絡互聯、網絡邊界、網絡用戶的可管性和可控性。目前，國際上正在制定相應的自動化系統網絡安全標準，國內也開始進行相關課題的研究，對于調度自動化系統及數據網絡的安全防護措施，首先應在網絡技術體制方面，采用光纖+SDH+IP的數據專網模式，在全系統實現電力調度專用數據網絡與其它公用信息網絡、電力生產控制系統與辦公自動化系統等的安全隔離，同時在調度專用數據網及各相關應用系統上采取必要的安全防護技術手段，建立嚴密的安全管理措施，以確保電力調度系統和電力系統的安全。

[1]陸延昌.電力安全風險和工作重點[J].江蘇電機工 程，2004，(5).

[2]辛耀中等.電力系統數據網絡技術體制分析[J].電力系統自動化，2000年11月.