電力調度自動化安全防護問題探析

摘要：目前，電力調度二次系統的安全強度已達到國家安全戰略的標準，防護的主要方向是黑客、病毒等的攻擊和破壞。要著重保護實時監控系統，以及電力調度的數據資料庫的安全，使其達到國家對電力基礎設施中電力調度系統的防護保障要求。對于現階段自動化安全系統存在的問題，要從物理、系統和網絡三個層面來進行電力調度自動化的安全防護強化。

關鍵詞：電力調度；自動化；安全防護

作者簡介：張紅丹（1971-），女，河北滄州人，國網冀北電力有限公司承德供電公司，工程師。（河北 承德 067000）

中圖分類號：TM73 文獻標識碼：A 文章編號：1007-0079（2013）33-0211-02

在數字網絡科技的背景下，以高效、便利的手段維護電力系統安全，提高電力系統的工作效率，促進基礎電力事業的發展，是必然趨勢。電力調度自動化的安全建設是一個動態的過程，一方面倚賴于不斷成熟與完善的技術，同時又要基于各種安全產品的集成能力來應對可能發生的各種攻擊和入侵。電力調度自動化安全系統建設又是個繁雜的工程，要在觀念上加以更新和轉變，要規劃步驟、完善管理、強化技術以實現多因素的結合，才能使安全防護成為可持續發展的過程。電力調度網絡還要在發展過程中，不斷地升級技術和系統，完善運行與管理，如通過強化調度、監控操作工作人員的安全防御意識，提升其專業技能、專業知識。因此，電力調度自動化安全防護是個復雜的工程，本文主要針對安全防護網絡中存在的弊端和缺陷，從技術與管理兩個方面探討建設與完善電力調度自動化的安全防護。

一、自動化安全防護的范圍、目標和原則

1.自動化安全防護的范圍、目標

在電力調度安全防護范圍中，二次安全防護系統包含了監控網和數據網。主要包括電力監控、MIS、調度自動化、配電網自動化、變電站自動化、調度數據、專用撥號、內部局域網等。

自動化安全防護的重點目標是有力抵御病毒和黑客的破壞、進攻，保障電力調度的安全。基于國調安全的防護標準，控制網絡使其只和等級相同的安全控制體系匹配，如通過電力局域網或者是專用數據網絡，使其完成與各個數據網絡的聯系。[1]對各個控制自動化系統與辦公自動化系統采取有效的監控措施，如技術成熟的防火墻、網關及切換配置的應用，使用專用的安全防御隔離技術，讓內部的控制系統與外部民用互聯網實施專用隔離等。

2.自動化安全防護原則

自動化安全防護要全面遵循八個原則，每條缺一不可，這是為防止自動化防護系統可能出現的漏洞和弊端，及其給運行造成的危害。第一，系統化原則：防護系統是個整體，不僅動態化而且繁雜，必須要保證整個系統的完整。第二，簡單化原則：運行過程和手段必須簡單化，以方便操作。第三，連續統一原則：監控系統和管理系統必須要連續化，保證系統實行的準確性，保證電力調度正常和安全。第四，風險和代價關聯原則：安全系統若存在不足，就有一定的操作和運行風險，并將由此造成安全方面的損失。第五，實用和先進并存的原則：利用科技完善系統以增強實用性。第六，突出重點：重點突出系統核心的控制系統部分，以此擴大到全面防護。第七，分層管理：分層管理和操作，強化系統部門職能，分步驟進行安全防護。第八，分工明確：明確電力安全系統工作人員的職責分工。[2]

二、網絡架構奠定網絡安全基礎

1.物理層安全防護

網絡的物理安全是指對地震與水災、火災等自然災害，電路和磁場故障，人工操作的失誤和設備故障，電力設備線路截斷等威脅的應對。同時還包括可用性高的硬件設施、雙機繁復的電路設計、機房操作環境、預警設備、安全防護意識等。由此可見，物理層的安全防護是整個電力調度網絡的安全基礎。[3]

環境安全：電力調度自動化系統的機房等要完全達到國家標準。如機房的地板必須要防靜電，溫度和濕度須控制在合理范疇之內，同時，大氣壓強也要符合要求。設備安全：對于大功率的延時性電源設備、標準式機柜、冗余服務器，UNIX服務器和集控站，須隨時注意設備的安全環境，并對其進行多通道的數據采集，以便故障出現時自動排查解除。需要特別注意的是，電力網絡運行狀況要定期檢查，特別是UPS電源，須保證電源正常工作。傳輸介質：電力調度受電磁干擾較重，特別是對于集控站的影響較重，所以采用屏蔽雙絞線的網線，令RJ45頭與屏蔽RJ45匹配。對于RJ45插頭的制作，注意不要把露出的雙絞線部分暴露在RJ45插頭之外。使用監視設備，變電站集中使用監視系統，視頻監控是可靠的電力安全防護系統之一，其對電力安全運行的外圍環境和操作環境實施實時的視頻監控。這里需要說明的是雙機共享磁盤陣列技術可行，但是花費大且運行操作不便，并不實用。[4]

2.系統層安全防護

在電力安全網絡中，網絡的安全程度立足于其內部各系統的安全程度，但操作系統的安全程度是由主機系統的安全程度所決定的，可靠的操作系統可以帶來可靠的網絡安全。但目前國外大的網絡公司已經壟斷了主機的操作系統，他們研發的操作系統軟件原代碼均不公開，同時這些使用廣泛的操作系統軟件在安全防護方面難免有一些漏洞和弊端。黑客通過這些漏洞及弊端能攻破系統的防護層，完成對系統的內部操作，如控制系統、取得計算機內部的處理程序資料和電力安全運行的計算數據等。但在計算機軟件操作系統上，電力企業沒有選擇的余地，只能在現有的操作系統里選擇。在大型機控上選用可行性高的Unix操作系統，其余部分選用Windows系統。原因是，Unix比Windows的操作安全性能更高，Unix操作起來更簡單、專用性更強。且Unix系統安全防護能實現環環相扣，系統中的控制臺、口令、文件系統三者的安全程度都相對更可靠。

3.網絡層安全防護

網絡系統是全系統安全的基石。對于網絡結構的構建，主要從結構、路由和系統的優化著手。在建設網絡結構過程中，要基于環境、設備的實際情況，同時考慮遠程聯控，對數據量大小的估計，系統維護管理、系統應用的便利性以及業務定位等因素。技術成熟的結構要具備開放、標準、可靠、先進和實用等特點，要具有科學的結構化設計，在現有資源的條件下，以便捷的經營管理、較高的安全防護系數保障整個體系的安全。現實中，網絡安全防護結構多以分層的安全結構形式和便捷的維護管理方式，服務于網絡安全防護和電力系統的良好運行。

三、網絡維護和安全管理

1.應用軟件管理

在電力調度方面，工作人員在操作調度應用軟件時，要從安全意識出發，認識到科學運用安全自動化應用軟件的重要性。首先是權限分級，在系統軟件操作流程中各個模塊的工作人員有：系統管理人員、軟件維護人員、系統操作人員和監督人員，他們各司其職、互不干預。其中，系統管理人員在軟件管理中具備最高的管理權限，擁有設置其余人員工作賬號的權力，掌管更改密碼和設置軟件使用功能的權限。同時，監督人員不僅可以擁有操作員的職能，還可以對操作員的工作進行監督。最后是遙控安全，現階段的自動化軟件基本都具有安全遙控的功能，既可以雙人操作，也可以雙機操作，但是如果軟件參數錯誤和軟件防護措施不到位，會導致電力故障經常發生，造成一定的人員和財務損失。

2.網絡備份

網絡備份是在限制時間和數據范圍極大的情況下，準確記錄數據和恢復軟件運行過程中的系統信息。在安全系統的兩個分割的系統中，從一個數據所在系統復制到另一個獨立的數據儲存系統。網絡備份的種類分為三類：場點內、場點外和系統備份。網絡備份的作用有：作為安全系統硬件設備在遭遇天災或人為事故時的安全防范措施，可限制訪問權限和防止互聯網的黑客攻擊，保證數據庫的完整和安全，最后也為數據的備份和恢復提供了前提和依靠。在電力調度自動化安全防御系統中，歷史操作數據一般應該保存一至三年，同時要按月來備份。備份內容是各類參數及對改動后參數的及時備份，對應NT和Unix配備兩套對應的備份系統。

3.黑客攻擊和殺毒軟件

病毒程序變得越來越隱蔽和具有攻擊性，在日常電力調度運行工作中，需要編寫維護服務器單機系統安全的防護程序，以保證數據錄入的安全性和服務器運行的安全性。電力企業在電力調度中要選擇合適、權威的殺毒軟件，展開定時殺毒，必要時間歇性不定期檢查殺毒軟件。殺毒軟件屬于內部防護手段，而黑客則屬于外部隱患。為防止黑客攻擊，要發揮服務器的安全防護措施，利用各種安全策略，使其達到安全防護的目的，盡量只占用電力安全網絡系統的最小資源，阻攔黑客進行系統攻擊，保護電力調配系統的安全。

四、結語

在電力企業中，電力調配的安全并不是絕對的，絕對性的安全是不可能存在的，只能是相對的、動態的安全。在安全防護系統中，有很多環節，各環節之中要遵守的細節也很多，每一部分都存在相當程度的漏洞和弊端，且每一部分又有其獨特的職能。在電力調度過程中，自動化安全防護漏洞與弊端的解決應對要有一整套的縝密規劃，以降低系統安全風險和避免人、財、物的損失。同時，運用合理科學的運營機制，以保證電力調配的安全性，規避安全風險，使其在自動化安全防護發生故障和障礙時，可以贏得充分的時間，以挽回損失，方便重新建設。

參考文獻：

[1]蔡立軍，李立明，凌民.計算機網絡安全技術[M].北京：中國水利水電出版社，2005：28-237.

[2]高卓，羅毅，涂光瑜.變電站的計算機網絡安全分析[J].電力系統自動化，2002，26（1）：53-57.

[3]張千里，陳光英.網絡安全信技術[M].北京：人民郵電出版社，2003：23-47.

[4]袁津生，吳硯農.計算機網絡安全基礎[J].北京：人民郵電出版社，2003：23-35.