關于電力調度數據安全問題的探究

朱濤

摘 要：文章在介紹電力調度數據安全重要性的基礎上，對電力調度數據網運行現狀以及當今廣泛應用的IP網絡技術安全狀況進行了深入研究，以此為基礎給出了基于IP技術的電力調度數據網絡安全方案，可為此方面的應用研究提供參考。

關鍵詞：電力調度；數據安全；IP技術

中圖書分類號：TM734 文獻標識碼：A 文章編號：1006-8937（2012）32-0108-02

在工業化高度發展的今天，電力產業無疑是流淌在國家日益強大軀體內的血液，是關系著工業建設和居民生活等國計民生方面的命脈。隨著我國經濟的快速發展，工業和居民用電量持續增長、用電負荷急劇增加、用電質量愈加嚴格，使得我國的電力供應經常處于緊張狀態，嚴重影響了國民經濟的發展。

按照電力工業的發展勢頭，在未來的很長一段時間內我國仍需要在電力局基礎設施和電力輸送領域加大投入，持續深化電力體制改革。基于此，我國就電力網絡的擴展和升級出臺了一系列的措施，包括廠網分離、國有電力資產重組、競價上網、設立電監會等，而國內的電力企業也積極響應，紛紛通過提升技術水平來力爭做好電力服務工作，提升自己的營運收入。

在所有的技術革新中，積極建設電力二次系統的電力調度通信網絡也是電力企業謀求發展的重點工作之一，目前我國的電力調度數據網正從傳統的電路交換向統一的包交換過渡，在技術、經驗方面還不是很成熟，再加之其在電網生產和運行中的重要作用，使得調度數據本身的安全性值得認真研究并提出全方位的解決措施。

1 電力調度數據網的現狀和發展

1.1 電力調度數據網概況

電力調度數據網絡（SPDnet）負責電力調度實時數據、生產管理數據、通信監測數據等電力生產實時信息的傳輸，在協調電力系統發、送、變、配、用電等方面作用重大。電力數據網絡的承載業務基于其最為基礎和核心的EMS/SCADA得到了很大范圍的拓展，業務系統的不斷發展對調度數據網絡提出了更高的要求，如何在同一數據網絡中互不影響的并行傳輸多個關鍵系統，并同時保證傳輸可靠和數據安全，成為電力調度數據網絡建設的重要課題。

1.2 電力調度數據網絡結構

我國的SPDnet網絡由上至下按照國家、地區、省、地市、縣等級分別對應建立工五級網絡，覆蓋各級調度中心和直調發電廠、變電站。目前國家及網絡已經建設完成投入使用，地區和省級網絡正加緊實施，少數地市甚至經濟發達縣區的建設也已經開始。

本文擬采用IP路由交換設備組成廣域網，采用IP over SDH的技術體制，各二級及以下網絡均采用相類似的方式分層組網，網絡對于IP路由和交換設備、相配套的安全系統技術要求如下：

①電力調度數據網的關鍵、重要環節需采用電信級別高的設備，關鍵部件如主控單元、總線、電源等應有冗余設置，業務處理板應支持熱插拔特性，可實現在線維護和升級。

②電力調度數據的傳輸應配合MPLS VPN技術和QOS技術，具備準確、實時、可靠的性能，另外還需具備高轉發和端到端轉發延遲功能。

③在進行不同業務系統數據的傳輸時，要根據業務類別及其重要程度進行有效隔離，通過建立安全分區進行有效的防護和管理，通過構建時間、空間、網絡三個層面的集成安全體系架構對外網、內網進行監測，實現網絡層、用戶層、業務層端到端的安全保護。

2 IP網絡的安全狀況分析

IP網絡以其技術開放、設置簡單、擴展功能強大和應用范圍已經成為現代網絡技術應用的核心，但其廣受歡迎的特點卻與電力調度數據保密性、安全性等要求相沖突。因此，如何使IP技術很好的融入到電力調度數據網絡當中，在實現高效、可靠傳輸的同時能夠保證數據安全顯得至關重要。

據統計，目前應用TCP/IP協議的網絡系統受到的主要威脅和攻擊方式有欺騙攻擊、否認服務、拒絕服務、數據截取和數據篡改等。基于此，IP網絡建立了較為完整的網絡安全方案，其中常用的安全工具有認證與簽權、防火墻、入侵檢測、隔離器等。

在預防攻擊的方法和經驗的積累中，IP技術還形成了自己全面的網絡安全策略，其中包括：廣域網中設置隔離、自治域及冗余備份；局域網按照功能和級別劃分，設置口令，加強維護、管理；操作系統中設置權限，記錄登錄信息，及時升級、彌補漏洞；通過磁盤、服務器和網絡進行數據備份。

3 電力調度數據安全整體解決方案

3.1 電力調度數據網安全策略

綜合考慮電力調度數據網的特點、功用以及易受攻擊的部位和所造成的威脅等情況，得出其安全策略為：調度網內部分層建立和部署安全體制，網內網外建立有效的隔離措施，關鍵點建立實時檢測與審計工具。以上策略覆蓋了電力調度數據網從低到高，由內至外，事前起到事后終的全部范圍，是全面解決方案的基本依據和核心所在，針對以上調度數據網的安全策略，本文以下內容分三個方面詳細介紹。

3.2 調度數據網內部安全方案

電力調度網可以在縱向范圍內看作分層管理的獨立專網，通過WAN連接各級調度LAN以及主機或終端設備。調度數據網內部安全主要包含物理安全、網絡安全、操作系統安全、應用安全和人員管理共5個層面的內容。

物理安全主要指預防自然災害、故障、失竊、數據丟失等造成硬件、線路等的損壞。目前，物理層面的通信主要采用SDH傳輸體制來實現復用段或通道的自愈保護，安全性方面主要注意各類生產調度數據的有效隔離。而MPLS VPN技術則是此方面應用的最好選擇，其體系結構如圖1所示。

交換路由器（LSR）作為基本組成單元構成MPLS網絡區域，LSR可位于MPLS域邊緣用于外聯亦可位于域內部用作內聯，其具體設備可以是路由器或Ethernet交換機。在電力調度數據傳輸時，可以根據其實時性要求是否嚴格進行劃分，并將其分別歸屬于兩個MPLS VPN（VPN1、VPN2）進行有效隔離。

由于廣域網覆蓋范圍較大、涉及的服務節點較多，所以應重點做好其安全防護。局域網作為各級調度機構的內部網絡，涉及最核心的應用服務和相關信息，是黑客攻擊的目標所在，安全防護的薄弱環節。在具體防護中可以應用以下方法：在網絡建設時做鏈路備份；建立與上級網絡的緊密聯系；優化路由及網絡結構，必要時設定TCP偵聽功能；分散應用所在的主機和物理地點，避免一損俱損；劃分區域，加強口令管理，形成操作制度；設置防火墻和病毒防護。

3.3 調度數據網內外隔離方案

在做好調度數據網內部安全之后，還需要關注其與電力信息管理系統中各級調度部橫向的連接，只有做好內部網和公共網物理隔離，才能真正保證調度數據的安全可靠。

本文中采用鏈式結構部署隔離器來實現調度數據網內外的隔離，其鏈式結構如圖2所示。該隔離裝置的引入可以過濾不安全的服務，禁止不安全協議進出，阻止源路由攻擊，并將以上類型攻擊的報文并通知網絡隔離裝置管理員。通過將所有的訪問都經過網絡隔離裝置，以便做好訪問日志記錄，并提供網絡使用情況的統計數據。當發生可疑動作時，網絡隔離裝置能進行適當的報警，并提供網絡是否受到監測和攻擊的詳細信息。

4 結 語

本文在對電力調度數據網運行現狀以及當今廣泛應用的IP網絡技術安全狀況進行分析的基礎上，給出了基于IP技術的電力調度數據網絡安全方案。高效、經濟的電力調度數據網安全方案意義重大，隨著網絡基礎設備、操作系統、數據庫、網絡隔離器等方面技術的發展，與之相關的網絡安全問題一定會得到更多的重視和研究。

參考文獻：

[1] 羅漢武，李昉，張棟.安全數據網的構建及其在河南電力調度數據網應用[J].電力自動化設備，2007，27（1）.

[2] 闕凌燕，陳利躍，黃斌.新一代數據保護技術在浙江電力調度管理信息系統中的應用[J].浙江電力，2010，29（2）.

[3] 李勁.應用電力調度數字證書技術保障電力生產數據安全[J].廣西電力，2007，30（4）.

[4] 張宣江，盧國良，孫燕萍，等.華北電力調度數據網網絡設計與應用[J].建筑結構，2008，36（2）.