電網調度自動化系統網絡安全研究

杜鵬龍

摘要：科學有序的電網調度是電網安全運行的基礎保障，變電站無人值班后，調度員分析電網運行情況依賴于調度自動化系統基礎數據，數據的準確性必須有可靠保障，系統安防工作是根據系統特點，按照電力系統安防要求，從系統安全性，實時性等層面出發，制定完善的安全防護策略，采用技術與管理措施，確保調度自動化系統及數據網絡的安全。

關鍵詞：電網調度自動化系統;數據網絡;安全防護

引言：

隨著電力行業信息化技術的深入發展?基于互聯網的跨地區、全行業系統內部信息網已逐步成型?計算機網絡目前已成為電力系統正常、高效運作中必不可少的基礎設施。信息技術的進步?使得計算機網絡已成為電網調度機構的主要技術支撐平臺?電力生產對計算機網絡的依賴日漸加深。企業綜合信息網的建設?將眾多的局域網緊密的連接起來?同時直接或間接地接入Internet及無法避免的數據交換和軟件共享?電網調度自動化系統網絡不再是孤立的系統?與外界的連接將越來越緊密?越來越多樣化。在這種情況下?解決好電網調度自動化系統網絡的安全問題?對維護正常的生產秩序行具有至關重要的意?保義障。

一、電網調度自動化系統存在的安全隱患

目前國內自動化系統存在的安全隱患主要包括系統建設初期忽略了安全問題，系統本身存在安全威脅，應用服務的訪問控制存在漏洞，內部往來用戶存在安全威脅。系統與生產管理系統DMIS未采取安全隔離措施，普遍采取通信工作站網關連接，采用通信方式存在受攻擊危險。自動化系統與其他生產管理系統互聯無隔離措施，系統與MIS系統連接未采取隔離措施，系統與遠動裝置網絡通信時，存在混用數據通信網現象，未實現調度數據網與電力數據通信網的安全隔離。缺乏對中啊喲數據的備份恢復系統，不能保證系統損壞時數據恢復，對網絡設備與部件未進行必要的冷熱備份，普遍未實施入侵檢測及網絡防病毒系統。操作系統存在安全漏洞，未及時進行系統安全補丁加固。WEB服務器未關閉不必要的通信協議，如Ftp協議等，防火墻安全策略設置不合理，防護對象變化時未及時調整。電網調度自動化系統數據采集錯誤造成調節電廠處理錯誤。應用服務訪問控制不嚴謹，一些應用程序以操作系統root權限運行，對系統安全運行造成隱患。遠程診斷的撥號MODEM處于接通狀態，易造成非授權用戶撥號進入調度自動化系統，黑客可通過安全漏洞攻擊系統，存在受病毒攻擊的危險。對電子郵件使用限制不嚴，存在破壞系統運行的危險。部分用戶安全意識淡薄，對系統安全造成威脅，用戶與維護人員口令簡單，用戶操作影響系統可靠運行，維護人員編程錯誤影響系統可靠運行。

二、電網調度自動化系統安防問題解決措施

2.1做好主機防護

電網調度自動化系統安全防護是二次系統安防的重點，應遵循網絡專用，縱向防護，聯合防護的安防總體策略，注重系統性原則與周期性原則，采取分步實施的辦法進行系統安防工作。綜合考慮自動化系統，及安全要求，提出自動化系統安防分階段實施方案。系統安防第一階段重點是主機防護，加強安全管理等，排除來自內部用戶的安全威脅。具體應完成主機安全防護，主要采取安全配置加強主機安全防護，合理設置系統權限，及時更新系統安全補丁，消除內核漏洞，停止向安全區III用戶提供瀏覽服務，隨網絡拓撲結構變化及時調整防火墻安全策略。斷開與互聯網連接，禁止利用電網調度自動化系統工作站進入互聯網，在與管理系統未進行有效隔離前，斷開與管理系統連接。嚴格系統管理員用戶名的管理，授權人員辭職后應刪除權限，嚴格控制管理系統的遠程維護對接口。加強對專業人員的培訓，健全運行管理的各項規章制度，提高系統的運維水平，加強安全審計管理，及時進行審計分析，對調度自動化系統的物理配置及信息流程有清晰的認識。

2.2調整結構

通過調整軟硬件結構，使安全區間與邊界網絡連接處簡單。SCADA/AGC功能是電網調度自動化系統的核心，應位于安全區I，擴展EMS功能可放在安全區II。Web功能是近幾年來為滿足調度管理用戶需要產生的，現有Web功能不能滿足安防要求，在未改變Web實現方式前，Web功能只能位于安全區I，只能為本區用戶服務。不能為同區上下級用戶服務，Web服務器在安全區I可在本區開通同一業務系統安全Web服務，僅允許安全區內系統想服務器傳送數據，禁止服務器向業務系統請求數據操作。自動化系統橫向邊界包括與調度管理系統的接口及與電力系統，水調自動化系統的接口。DMIS接口包括通過調度自動化系統通信機的串聯結構，可不考慮按防護問題，及通過通信網關實現數據的通信，禁止從DMIS向自動化系統發出數據請求，安全區II的通信網關與DIMS必須采用經認定核準的專用隔離裝置。

2.3現有系統改造開發

可適當安全改造現有調度自動化系統，增強SCADA應用服務器，建立安全Web服務器，將Web發布功能轉移到安全區II，可利用成熟安全技術采取數據備份與入侵檢測等安防措施。統一考慮調度自動化系統入侵檢測系統應與其他系統，選用網絡入侵檢測系統，在安全區I的縱橫向邊界部署探頭，區內不再部署IDS探頭。新系統開發增加安防要求在新建SCADA/AGC功能模塊中加入認證加密機制，改造已有的系統加入認證加密價值，實現控制命令的進程認證，實現操作人員基于數字證書的身份認證。對新開發關鍵應用系統，要求實現基于數字證書的身份認證，訪問控制，行為審計功能

總結：

綜上所述，針對當下電網調度自動化系統存在的問題，對電網調度自動化系統網絡安全進行了研究。根據現有主流網絡攻擊手段特征，對自動化系統的協議、模擬量、結構進行詳細地模型數據分析計算，并根據計算結果對網絡安全系數進行了優化。

參考文獻

[1]吳小華.電力技術在電力調度運行中的運用分析[J].電子元器件與信息技術，2019，3（11）：98-99+102.

[2]任莉.調度自動化系統及數據網絡安全防護[J].低碳世界，2016（31）：52-53.

[3]董團偉.西安供電分公司網絡和信息安全管理研究[D].華北電力大學（北京），2017.