論電力系統二次安全防護

張炳烽

摘 要：伴隨著計算機技術、互聯網技術的迅速發展，電力系統二次安全防護問題早已成為大眾關注的熱點。電力系統二次安全防護體系的構建過程中，要遵循“安全分區、網絡專用、橫向隔離、縱向認證”的總體策略，選擇正確的電力安全防護技術與防護設施，確保整個電力系統二次安全防護工作的順利開展。該文結合筆者多年工作經驗，對電力系統二次安全防護基本原則、防護現狀及相關防護技術措施進行論述。

關鍵詞：電力系統 二次安全防護 技術措施

中圖分類號：TM72 文獻標識碼：A 文章編號：1672-3791（2016）12（c）-0044-02

1 電力系統二次安全防護的基本原則

1.1 安全分區

電力系統二次安全防護中，安全分區作為結構的基礎，遵循內部原則，把電網企業、發電企業、供電企業等具體劃分成生產控制區和管理信息區兩部分內容，從生產控制區的角度來看，可將其分為控制區與非控制區。

1.2 專用網絡及構造

電力調度數據網作為專門的數據網絡，一般是為生產控制區供應相關服務的，并且承擔著電力實時監控及在線生產交易等一系列工作。在系統性原則的基礎上，安全區域外部邊界網絡與相連的安全區間要保持完全匹配狀態。

1.3 橫向隔離

在設置生產控制區和管理信息區中需經過國家相關部門的檢測與認證的橫向單向安全隔離裝置，并且，需把有訪問控制性能的網絡設備與防火墻設置在生長控制區的內部。

1.4 縱向加密認證

一般可通過，認證技術、加密技術、訪問技術等對數據實施遠方安全傳輸，對其進行邊界的安全防護。

2 電力系統二次安全防護現狀和技術

2.1 防護現狀

安全分析、網絡專用、橫向隔離、縱向認證是電力系統二次安全防護的四項主要措施。

2.1.1 安全分析與網絡專用

未能夠有效避免不安全因素的出現給電力系統造成不利影響，系統可通過安全分析的方式把電力系統做出分區。電力系統安全區的規劃標準需要按照各分區的具體業務、數據信息情況，把整個系統劃分成生產控制、管理兩大區域。其中，網絡專用要按照各分工的不同創建相對應的網絡專區，從而才能夠很好避免區域網絡數據間的互相影響。

2.1.2 橫向隔離與縱向認證

橫向隔離是對電力系統過程中的安全區域狀況做出正確隔離。經常使用到的隔離方式都是通過進行設備掌控的，把各區域進行隔離。縱向認證方面，電力系統要不斷提升訪問監控、用戶認證的警覺度，從而起到保護電力系統信息密碼的作用，加強系統的安全可靠性能。與此同時，以縱向認證的形式來保證電力系統數據信息的傳輸與安全監控。

2.2 安全防護技術

電力系統二次安全防護技術的運用過程當中，在各個安全規劃區可采取唯一的連接通道，這樣才能夠確保系統的安全。為各安全區啟用嚴密的防火墻程序，要對各系統信息進行嚴密性的管理，運用審核備案模式，設置網絡協議與安全證書，在確保電力系統信任的前提下開展相關操作。此外，對各安全區主機實施系統性管理，在二次安全防護過程中發生的實際操作、行為動作都會被完全登記下來，同時進行定期性的安全評估。

3 電力系統安全防護技術措施

3.1 電網調度自動化系統安全防護

3.1.1 物理安全

建設機房過程中需嚴格按照規定，不可在高層建筑物、地下室、用水設施下方或鄰近的位置進行建設，同時要采取相應的防雷擊、防靜電、防火、防盜等安全措施。

將機房溫濕度掌控在科學合理范圍，未對機房的溫濕度進行自動性有效調整，順義供電企業在自動化機房有專用空調的配置，從而確保了機房環境的恒溫濕度。與此同時，進行自動化機房值班報警系統的安裝，在機房的各個位置都有溫濕度報警器的安裝，電力系統在對機房溫濕度數據進行采集過程當中，只要有超出設定范圍的現象便會在第一時間以短信、電話等方式告知相關工作人員。此系統，可幫助自動化人員對機房內的溫濕度情況進行實時性掌控，第一時間發現機房環境中存在的問題，這對于電力系統的二次安全防護工作有著非常重要的現實意義。

3.1.2 網絡結構安全

根據國家電力監管委員會令第5號《電力二次系統安全防護規定》和原國家經貿委令第30號《電網和電廠計算機監控系統及調度數據網絡安全防護規定》，電力二次系統安全防護總體策略為“安全分析、網絡專用、橫向隔離、縱向認證”。

3.1.3 安全審計和入侵防范

順義供電公司現在生產控制區內進行了網絡安全審計系統的安裝，利用調度自動化系統對核心交換機的數據、應用服務器、數據庫日志中的相關數據進行采集，同時做出關聯性的淺析，做到對網絡安全情況的整體性監控，促使電力系統的相關數據信息得到強有力的安全保障。與此同時，進行入侵檢測系統的科學合理性布置，對網絡周邊的情況進行實時監控，其中，較為常見的攻擊行為有：強力攻擊、木馬后門攻擊、端口掃描、網絡蠕蟲攻擊等。

3.1.4 防病毒系統

在電力系統二次安全防護中，網絡病毒系統是非常關鍵的構成內容，每級系統中心都能夠獨立運行，同時對本級網絡的客戶端、服務端等進行科學系統化管理，同時把該區域中的病毒相關情況進行詳細統計報至一級系統中心管理人。一級中心可將監控和管理二級系統中心的客戶端聚集在一起。

3.1.5 訪問控制

第一，在網絡邊界進行防火墻、橫向隔離裝置、縱向加密認證裝置的布置，同時按照具體業務需求進行訪問控制策略的設置，唯有進行服務端口的開放，將通用協議、撥號、VPN服務器禁止使用，才能夠使得二次網絡訪問得到成功有效掌控；第二，核心網絡設施與主機進行了超時斷開功能的設置，從而杜絕了非法訪問的發生；第三，對網絡管理員、操作系統管理員、數據庫管理員、應用管理員與普通用戶進行訪問權限的設置，做到系統用戶的權限分離。

3.1.6 身份鑒別

第一，針對網絡設備已登錄的用戶，可進行該地CONSOLE登錄密碼的設置；針對登錄操作系統、數據庫、應用系統的用戶，可通過用戶名+口令的方法對其身份進行鑒別，不可有多人共用相同賬號現象的存在，其中口令需在滿足基本要求的前提下進行階段性的更改；第二，登錄失敗處理功能的設置可相應采取結束會話、限制非法登錄次數、自動退出等措施，對同用戶的失敗登錄次數作出相應限制。

3.1.7 數據備份與恢復

第一，重要網絡設備、通信線路、數據處理系統的硬件冗余，確保電力系統的可用價值達到最佳狀態；第二，具有該地數據備份與數據恢復的功能，可將數據平均每日備份一次，為預防備份數據發生丟失情況，通常建議做雙重備份；第三，具有備份異地數據的功能，通過通信網絡能夠把重要的數據信息在特定時間段成批傳輸至備用場地當中。

3.2 變電站自動化系統安全防護

在當前的順義供電公司當中，仍然是以傳統變電站為主，變電站在監控和數據采集系統方面都是互相獨立的個體，是由生產廠家所專門提供的，為此，變電站的專業性、獨立性是確保二次安全的有利條件，為此，在電力系統的二次安全防護工作中可對調度自動化系統進行分析和相關參考。

4 結語

電力系統二次安全防護工作主要是要做到對外攻擊的系統性預防措施，針對系統中存在的不安全因素、不安全信息數據進行隔離或過濾，做好整個電力系統內部信息的完整保密工作。在電力系統二次安全防護工作當中要盡可能運用先進的電子信息技術，從而可確保電力系統信息的基本安全，同時還需企業內部信息管理人員進行嚴密性的經管，為此，企業內部工作人員專業技能與綜合素質的高低也會給最終電力系統二次安全防護的實際成效有著直接性影響。作為一名電力工作人員，唯有不斷提高自身專業技能、具備強烈的責任意識、全身心投入到自己的工作當中，才能夠為電力系統的安全防護貢獻出自己的一份力量。

參考文獻

[1] 徐力.中山電力二次系統安全防護的應用研究[D].廣州：華南理工大學，2011.

[2] 章政海.電廠二次系統安全防護總體設計研究[J].電力信息化，2013，11（1）：107-110.

[3] 曹茂升，高伏英.電網調度自動化主站運行[M].北京：中國電力出版社，2011.