小議調度數據網安全的應用

黃志偉

深圳供電局有限公司 廣東深圳 518000

摘要：21世紀，網絡在持續不斷的發展過程中，而調度數據網絡應用有較快發展，其中包括保護故障管理、故障錄波遠傳、電量采集系統和調度實時系統等。為電力調度應用的效率、服務提升做出了極大的貢獻，但也同樣給電力調度帶來了一定的風險。而電力調度數據網自身在整個電力系統運作過程中起到了極其重要的作用，而在當前城市化進程不斷加快的情況下，供電需求對于網絡的安全性提出了更高的要求。所以，本文結合多年在供電系統的工作經驗，對電力調度數據網的維護和安全運行提出了一些建議和措施，旨在促進安全技術在電力調度數據網中的應用，以提高電力調度數據網的安全性供同行參考。

關鍵詞：電力；調度；數據網；制度安全

1、引言

近年來，隨著電力系統迅速發展，電力調度數據網在電力系統的廣泛應用，電力調度數據網技術走向更高水平，保證了數據的安全性、環境的穩定性、業務的私密性。然而，電力二次系統的安全防護關系到整個電網的供電穩定和安全，對人們的生產生活有著重要的影響。如今網絡安全問題愈演愈烈，對電力調度數據網的安全造成了很大的威脅。因此，必須應用相應的安全技術，對電力調度數據網的網絡設備進行安全防護，保障電力調度數據網的平穩、安全運行。對此，本文對安全技術在電力調度數據網的應用進行了探討，旨在為安全技術在電力調度數據網中的應用提供一些參考，這對于整個電力系統的發展來說，有著極其重要的作用。

2、影響電力調度數據網安全性的因素

當前，作為電力部門的專用網絡，在網絡安全方面，電力調度數據網主要負責電力調度的實時控制和承接在線生產業務。根據相關規定，電力調度數據網必須使用相對獨立的網絡設置組網，并在專用通道上運行。電力調度數據網必須與外部公共網絡、電力企業其他數據網進行隔離，以保障其安全性。按照邏輯隔離，將電子調度網劃分為非實時子網和實時子網兩個部分，分別進行連接，并將其分為接入層、骨干層和核心層三個層次。電力調度數據網絡結構如圖1所示。

圖1電力調度數據網結構示意圖

對于目前來說，還有很多因素對電力調度數據網造成安全威脅，既有外部風險，也有電力系統的內部風險；既有網絡風險，又有操作不當引起的風險。

2.1操作不當引起的安全隱患。

一般情況下，電力調度數據網是由專門人員進行管理的，因此在管理和操作的過程中也會存在一些安全隱患，對電力調度數據網造成威脅。特別是電力調度網的系統非常龐大，操作和管理起來有一定的困難。一些電力調度數據網的操作人員和管理人員安全意識薄弱，很多員工隨意將賬號信息告訴他人，在口令的選擇上沒有進行規范等，這些行為的背后都隱藏著安全隱患，一旦發生泄漏事件，則會給電力調度數據網帶來很大的風險。

2.2非授權訪問引起的安全隱患

非授權訪問，顧名思義就是在使用計算機資源或網絡資源之前，并沒有得到相應的授權。非授權訪問的類型有很多，例如越權訪問信息、擅自擴大訪問權限、繞過系統訪問機制來訪問網絡資源等。非授權網絡可以通過非法用戶、違法操作、身份攻擊、身份假冒和合法用戶越權訪問等方式進行。非授權訪問是電力調度數據網安全性的直接威脅。

2.3數據破壞和信息泄露引起的安全隱患

業務數據被丟失或者泄露主要有：存儲介質丟失或泄露、傳輸過程中的信息丟失或泄露、數據使用權被非法竊取、重要信息遭到刪除或修改、應用系統設計時被插入了隱蔽通道或者后門。

2.4配置和操作錯誤引起的安全隱患

在配置和操作之前，沒有詳細研究網絡結構和配置，沒有深入了解網絡設備的功能，在日常操作中沒有嚴格按照安全操作規范進行操作，都會對電力調度數據網絡的安全帶來隱患。

2.5其他安全隱患

其他安全隱患主要是系統和網絡中出現的多余服務和漏洞、網絡病毒等對電力調度數據和網絡數據進行攻擊等，都有可能造成系統癱瘓。

3、安全技術在電力調度數據網中的應用

安全技術在電力調度數據網中的應用主要在于網絡安全和應用接入安全兩個方面。

3.1網絡安全

網絡安全的應用包括網絡設備安全、虛擬局域網的劃分、安全訪問控制、惡意代碼防范、加固審計策略、專用安全設備網絡服務整合，等等。

3.1.1網絡設備安全

網絡設備的安全是整個電力調度數據網安全的前提，因此，必須加強網絡設備的安全管理，提高網絡設備的安全指數，主要要加強以下幾方面的安全：①保障網絡設備的物理安全。必須遵照相關規定和安全規范，保證機房的環境設計和建設安全、可靠，做好防火、防盜工作。機房必須能夠防止電路的截獲、防電磁輻射泄漏和防電磁干擾，能夠為電力調度數據網提供靜電接地和穩壓電源。②保障網絡設備的賬號安全。完善用戶管理機制，進行有效的分賬管理，確實保障設備控制的安全。例如，可以設置分級保護功能口令，設置重要配置，防止低優先級用戶對設備進行更改；設置高優先級模式的訪問密碼，限制網段的訪問控制列表，對賬戶中不使用的用戶名進行禁止，對賬號中的弱口令進行重新設置、加密儲存口令，等等。③保障網絡設備的配置安全。對配置文件要進行定期保存，做好備份，定時對配置文件的完整性進行檢查，對操作系統定期升級，以免系統漏洞而給電力調度數據網帶來安全隱患。

3.1.2隔離VPN與虛擬局域網

VPN的傳遞和虛擬局域網的劃分能夠對電力調度數據網進行分隔，成為幾個無法相互連通的子網網段。這對電力調度數據網的安全性也是一種保障。而通過BGP/MPLS，VPN 技術則可以在VPN內部進行數據傳遞和流量監控，對節點間的訪問進行有效控制。

3.1.3防范惡意代碼和控制安全訪問

通過對訪問控制中敏感數據的訪問進行控制，能達到安全訪問控制的目的。根據實際需要，可以使用VTY 類型線路，對TELNET 用戶訪問進行限制；還可以用SSH登陸方式來代替TELNET方式。控制簡單網絡網理協議流量，對訪問列表進行控制或者對非授權用戶訪問SNMP進行限制等。

電力調度數據網的網絡設備的智能性較高，可以對其IP源路由功能進行禁止，可以對病毒常用的網絡端口可以進行屏蔽，甚至可以對非業務系統端口進行屏蔽；可以對路由的監控使用TCP keepalive服務或者TCP連接，對惡意代碼進行防范。

3.1.4加固專用安全設備和審計策略

加固專用安全設備和審計策略主要是對網絡的縱向邊界進行加密認證或者加裝硬件防火墻，對入侵檢測系統進行管理，網絡安全人員要對入侵檢測系統的報警進行及時的處理。此外，安全事件發生后，要對用戶的上網時間、地點和端口進行記錄，對資料進行后期分析，并做好審計工作。

3.1.5主機系統安全防護。

隨著電力技術的廣泛應用，電力二次系統應對主機操作系統、數據庫管理系統、通用應用服務等進行安全配置，以解決由于系統漏洞或不安全配置所引入的安全隱患。如按照國家信息安全等級保護的要求進行主機系統的安全防護，并采用及時更新經過測試的系統最新安全補丁、及時刪除無用和長久不用的賬號、采用12位以上數字字符混合口令、關閉非必須的服務、設置關鍵配置文件的訪問權限、開啟系統的日志審計功能、定期檢查審核日志記錄等措施。

3.2應用接入安全