淺析電力二次系統安全防護技術的應用

羅青青+陳葆超

摘 要 電力系統安全可靠穩定地運行，除了需要一次設備良好的運行狀況之外，還需要二次系統安全地運行來配合。本文主要介紹電力二次系統安全防護中五種主要設備和防護的技術原理，即交換機、路由器、硬件防火墻、橫向隔離裝置和縱向加密認證裝置的技術原理，并闡述各設備在電力專用領域的安全技術。

關鍵詞 電力二次系統；安全防護；電網安全；信息安全

中圖分類號 TM77 文獻標識碼 A 文章編號 1674-6708（2016）172-0283-02

目前，電力二次系統的信息安全與電網調度和控制系統等安全運行分不開，如何搭建安全可靠的電力二次安全防護系統，確保電網安全穩定運行，已成為迫在眉睫的問題。隨著網絡建設的快速發展，電力二次系統網絡運行環境的安全性嚴重不足。在2003年的美加大停電中，蠕蟲病毒阻礙了加拿大安大略省從停電事故中恢

復正常供電的進度[ 1 ]。

電力二次系統是電網安全穩定運行的前提，如果沒有二次系統的保障，一次系統無保護運行將很容易造成系統性崩潰。因此，必須要防止病毒和黑客威脅電力二次系統數據網絡，減少電力系統安全事故[ 2 ]。

1 交換機技術

交換機工作在數據鏈路層，管理和共享多個計算機以及網絡設備，其特點是對網絡進行以微分段的方式進行數據通信[3]。交換機解決了兩個相鄰節點之間的通信問題，實現了鄰節點鏈路上無差錯、準確無誤、高效快速的傳輸協議數據幀[4]。

如今已有能夠支持各種局域網多層的路由技術，實現了數據快速和準確轉發。多層交換技術具有性價比高、易于擴展等優點，成為主要的發展趨勢。交換機在數據幀交換中的核心集成電路設計、硬件體系結構設計、虛擬局域網技術等方面都會有所改進。從整體來看，交換機是向更快、更可靠、帶寬更大的方向發展。

2 路由器技術

不同的網段或網絡可以通過路由器連接Internet中各局域網的廣域網的設備，從而構成一個更大的網絡。它能夠根據網絡情況自動選擇和設定路由，以最佳路徑將數據包轉發出去。

如圖1所示，在TCP/IP網絡中路由器是最主要的聯網設備。IP路由協議中使用的度量有：跳數、帶寬、負載、延遲和開銷。未來路由器的設計和發展方向將趨向于高安全性、高可靠性、高性能和智能化4個方面。

3 硬件防火墻技術

硬件防火墻作為一種重要的網絡安全設備，主要用于實現網絡地址轉換、過濾規則配置等，其技術還在不斷地發展進步[ 5 ]。為了提高防火墻的性和穩定性，一些防火墻廠商通過專用的集成電路或者網絡處理芯片來實現防火墻的核心功能。由于采用了專門的硬件處理平臺，防火墻的處理能力得到了很大的提高，降低了因為防火墻檢測而導致的網絡延時。在功能上，防火墻在保留其核心功能的基礎上，增加了地址轉換、虛擬專用網絡、Qos、入侵檢測和病毒防御等完善網絡安全管理的功能，從而構建了一套以防火墻為核心的完全防御系統[ 6 ]。以防火墻為核心的安全防御系統是一個智能化的操作平臺，能夠準備地發現并及時阻擋入侵的發生和中止病毒的擴散等。

隨著電子商務的蓬勃發展，作為其支撐的寬帶和應用數據中心均對防火墻性能提出了更高要求，導致對高速防火墻的大量需求。高速防火墻是指那些吞吐量和處理速度非常優異的千兆防火墻。為了實現比普通防火墻更高的要求，高速防火墻采用了專用集成電路（ASIC）技術、集群技術的分布式技術。

4 橫向隔離技術

電力二次系統實現電網的實時監控、在線穩定控制預決策、繼保信息管理、電量采集、在線生產交易等業務。由于關系到電力生產安全、社會生活穩定等重大問題，電力二次系統再長期的建設過程中，都要求與企業綜合業務網和物流網進行隔離。但是信息管理系統與互聯網連接，并與電力二次系統信息共享必然會引入外部安全威脅。而防火墻等在線防護技術采用邏輯隔離的方法，不能提供較高強度的安全。所以這種軟隔離方法難以滿足電力部門的高安全需求，必須采用一種能夠提供高強度安全的技術，在保護電力二次統內部安全的同時，提供較好的數據交換功能。

網絡隔離技術就是將網絡與網絡之間的連接分離，然而網絡隔離后便不能實現數據信息共享的功能。網絡隔離與數據交換本來就是一對矛盾，而網絡隔離技術就是為了解決這一對矛盾，為涉密網絡提供一種安全交換方式而發展起來的[ 7 ]。由于涉密網絡近乎苛刻的安全性要求，網絡隔離技術的設計思想與傳統的網絡防御技術有了較大的區別。

根據電力網絡應用的特殊要求，廠商研發出了電力專用橫向隔離裝置。橫向隔離裝置使用網絡安全技術和隔離交換技術，在內外網間斷開OSI七層網絡協議，實現了非網絡數據的交換。為了解決計算機信息共享的問題，設計了基于TCP/IP模型的網絡體系結構，它很好地解決了不同網絡之間的兼容性問題，實現了網絡間的互聯互通。

5 縱向加密認證技術

縱向加密認證裝置負責保障網絡內數據的安全傳輸，其設計及使用的原理涉及密碼學和網絡安全。縱向加密認證裝置采用“統一協調，分級管理”，通過各級裝置管理系統對不同廠商的設備進行統一管理。

除縱向加密認證裝置外，“縱向認證”的實現還涉及調度證書服務系統和裝置管理系統。裝置管理系統位于電力調度中心，是對所轄多廠商的裝置進行統一管理的計算機系統[8]。

6 結論

綜上所述，本文主要介紹了交換機、路由器、硬件防火墻、橫向隔離裝置和縱向加密認證裝置等電力二次系統安全防護中五種主要安全防護和網絡設備的技術原理，并闡述各設備在電力專用領域的安全技術。事實證明，電力二次安全防護在電力系統的正常運行中發揮著不可替代的作用，其不僅保障了電力系統二次信息傳遞的安全，為電力系統的正常運行營造了可靠安全的運行環境，還提高了電力系統二次信息傳遞的準確性和快速性，保證電力系統運行的安全性和可靠性，從而保證國民經濟持續快速的增長。

參考文獻

[1]天石.停電后蠕蟲病毒使加拿大電力系統恢復受阻[EB/OL].[2011-10-18].http：//news.sina.com.cn/o/2003-08-20/1004600489s.shtml.

[2]鄒春明，鄭志千，劉智勇，等.電力二次安全防護技術在工業控制系統中的應用[J].電網技術，2013，37（11）：3227-3232.

[3]黎連業，王安，向東明.交換機及其應用技術[M].北京：清華大學出版社，2004.

[4]陳玉平.電力調度自動化二次系統安全防護初探[J].自動化技術與應用，2009，28（8）：132-134.

[5]李勁.論述廣西電力二次系統安全防護技術原則[J].廣西電力，2005，28（4）：18-21.

[6]黎連業，張維，向東明.防火墻及其應用技術[M].北京：清華大學出版社，2004.

[7]賀文華，陳志剛.網絡安全隔離GAP技術研究[J].科學技術與工程，2007，7（9）：1948-1952.

[8]馬國紅，方慶軍.電力二次系統縱向安全防護體系的建設[J].電力信息化，2008，6（2）：32-34.