電力調度自動化二次系統安全防護研究

文/袁正華，國網河南省電力公司漯河供電公司

1 引言

近些年來，電力系統的業務不斷擴增，電網調度系統的安全引起了人們的關注。其中，電力二次系統是由各級電力監控系統、電力調度數據網絡、電力數據通信網絡、電網管理信息系統、電廠管理信息系統及電力通信系統等構成的復雜系統，信息技術的發展使得二次自動系統也得到了長久的發展，其安全防護研究具有重要意義。

2 電力調度自動化二次系統安全防護概述

電力二次系統安全防護工作的重點是通過有效的技術手段和管理措施保護電力實時閉環監控系統及調度數據網絡的安全，總體目標是建立健全的電網電力二次系統安全防護體系，在統一的安全策略下使重點保護的系統免受黑客、病毒、惡意代碼等侵害，特別是能夠抵御來自外部有組織的團體、擁有豐富資源的威脅源發起的惡意攻擊，能夠減輕嚴重自然災害造成的資源損害，在系統遭到損害后，能夠迅速恢復絕大部分功能，防止電力二次系統的安全事件引發或導致電力一次系統事故或大面積停電事故，保障電網安全穩定運行。

3 電力二次系統安全需求分析

對于電力二次系統而言，其安全防護為一個系統的工程，根據“木桶原理”，其總體防護水平取決于系統中最薄弱的環節。經過對電力企業的電力二次系統深入地調研、分析后發現，目前，電力二次系統面臨的安全風險主要包括信息泄漏、非法使用、攔截、旁路控制、竊聽等；主要由以下原因引起：①電力系統采用的防火墻和入侵檢測技術等存在著一定缺陷或不足，被動防御或漏報誤報率高；②系統之間信息交換缺乏加密及認證機制、入侵檢測等預警機制、漏洞掃描和審計手段，接入存在安全隱患；③基本手動更新病毒庫，缺乏實時性，導致各廠、站端及工控機房管理困難；④安全防護目標、策略和體系不健全，所采取的安全措施幾乎都基于被動防護；⑤管理區與生產區的數據雙向交互，各級調度系統結構復雜，數據交互缺乏規則性，很難對系統及數據進行統一的安全防護、動態管理和應急處理。

4 電力二次自動化系統的安全防護策略

通過加強安全防護設備的安裝與安全防護策略的制定，保證防護措施到位、系統可靠運行，保護網絡、數據的安全，也為系統維護人員能夠及時發現、診斷、決策和快速處理系統故障提供了良好的應用環境，對提高電網調度二次系統的運行和管理水平，保證二次系統的安全性、可靠性起到了重要作用。

4.1 制定完整的安全管理規定

電力調度系統中最大的安全風險來自于與其相連的其他網絡，必須建立一種科學、合理的管理模式，進而有效抵御黑客以及病毒的破壞，最終保護電力實時閉環監控系統，阻止有網絡病毒攻擊所帶來的系統崩潰現象，保證電力系統的穩定運行。

4.2 進行邏輯橫向隔離

根據電力二次系統安全防護的“安全分區、網絡專用、橫向隔離、縱向認證”原則，可將其劃分為安全等級由高到低的Ⅰ～Ⅳ4個安全區，并有針對性地采取不同的安全措施。其中，安全區Ⅰ為實時控制區,Ⅱ為非控制生產區，Ⅲ為生產管理區，Ⅳ為管理信息區。其中，實時控制區是一個重要的防護環節，其能夠實現對一次系統運行的監控，而在非控制生產區有調度員模擬以及仿真DTS系統。另外，對于非控制生產區的電量采集計量系統以及生產管理區應采用實時隔離網關。

4.3 縱向防護

對于數據的遠距離傳輸及邊界的安全防護采用各種加密控制手段來集現。對于安全區Ⅰ和安全區Ⅱ內部的縱向通信，主要是認證，通常是采用IP加密的裝置之間的認證來完成的，主要的方式是通就對網絡層的雙向的身份認證、數據的加密及訪問權限的控制等。

4.4 權限控制

在實時控制的系統中，應通過設置權限來對系統中的運行節點、工作組及其進程進行控制。根據節點的不同權限設置，確立控制各級訪問的權限，包括：圖形、數據庫、WEB等。通過上述權限的控制，增加多重防護措施，可初步控制非法用戶的侵入。

4.5 提升預防病毒的措施

可以將病毒服務器建立在安全區中，這樣服務器可以利用Linu x系統作為操作平臺，適當添加預防病毒的軟件系統，運用KDF系統中文件管理作用處理收取病毒特征庫問題，利用此平臺進行殺毒操作之后，再經過物理分離工具提供的總線連接中EMS網絡裝置，從而系統設施病毒庫可以實現安全防毒升級。除此之外，還要將E MS提供的I/O設置與服務器隔開，防止出現系統障礙與崩潰。

4.6 網絡備份

網絡備份是在數據范圍較大和存在時間限制的情況下，對電力系統軟件運行中的系統進行準確記錄和恢復的防護功能。安全系統中的分割系統是指從數據所在的系統復制到另外一個獨立的數據儲存系統。在電力系統中，網絡備份分為場點內備份、場點外備份和系統備份。網絡備份在電力調度自動化安全防護中所發揮的作用在于：在遭遇事故時，其作為安全系統硬件設備的安全防范措施，能有效限制訪問和抵御黑客攻擊，從而確保數據庫的安全和完整，且能為數據的備份和恢復奠定基礎。通常情況下，歷史操作數據能儲存1～3年，且要按月份進行備份。其備份內容是參數和改動后參數的實時備份，需對Unix和NT配備相對應的備份系統。

5 結語

綜上所迷，電力調度的自動化防護設計與計算機工程密切相關，完成系統的防護工程，不僅要防止黑客的入侵，保障系統的安全性，更要保障系統之間暢通的共享及互換信息。二次自動化系統是一個長久、動態的過程，需要多重防護技術手段來確保二次系統的安全，形成有效合理的二次系統安全防護體系。同時，還需要建立完善的安全管理體系，加強安全意識，將安全工作納入到日常管理工作中，使技術和管理相輔相成，保證二次系統的安全穩定運行。