淺析配電自動化主站系統二次安防的設計

國網陜西省電力有限公司西安供電公司 賈望臻

1 引言

為有效提高配電自動化主站系統二次安全防護設計的科學性、合理性以及有效性，則應當深化計算機技術、網絡技術、電磁干擾技術等相關技術的應用，結合實際情況選擇具備針對性的技術對配電自動化主站系統進行優化，以此促進配電自動化主站系統的良好發展，高質量完成其二次安全防護設計工作。鑒于此，本文主要探析配電自動化主站系統二次安防設計。

2 配電自動化主站系統中存在的安全隱患

2.1 黑客程序與電腦病毒方面

黑客程序與電腦病毒方面。病毒、黑客程序、惡意代碼等相關軟件之所以能夠入侵配電自動化主站系統，其根本原因是配電自動化主站系統在實際運行期間并未結合實際情況在與外網相連的邊界處建立安全防護系統。配電自動化系統邏輯結構如圖1所示。

圖1 配電自動化系統邏輯結構

若配電自動化主站系統在沒有安全防護或安全防護工作不到位的情況下，病毒、惡意程序等相關軟件便會通過外網直接入侵到配電自動化主站系統相關的外部服務器中，在數據信息交互、傳輸、共享等相關行為下，此類惡意程序便會侵入至配電自動化主站系統的關鍵服務器、后臺數據庫中，不僅會對相關數據信息的安全性造成較大威脅，如惡意篡改、惡意讀取、非法拷貝等，嚴重時甚至會直接導致配電自動化主站系統完全崩潰或癱瘓。

此外，當配電自動化主站系統被計算機病毒感染后，還可能會基于網絡、局域網等相關渠道將計算機病毒擴散至配電自動化非主站系統中，進而造成大面積計算機病毒感染現象，導致整個配電網大規模停電，這樣不僅會導致配電相關單位受到十分嚴重的經濟損失，同時還會對相關設備造成較為嚴重的損害[1]。

通過對計算機病毒入侵配電自動化主站系統的全過程進行分析，可以發現主站系統在實際運行期間存在兩方面關于計算機病毒方面的安全隱患：一是并未采用科學合理的措施將配電自動化主站系統與其他非主站系統進行有效隔離，一旦主站系統或非主站系統中某系統或終端設備受到計算機病毒的攻擊，則會在短時間內擴散至其他系統中，進而造成大面積計算機病毒的感染情況；二是在配電自動化主站系統與外網之間并未建立行之有效的防火墻或其他安全措施，對配電自動化主站系統造成較為嚴重的安全隱患。

2.2 電磁干擾方面

配電自動化主站系統在實際運行期間，其內部及外部的相關電氣設備會在工作中產生較為明顯的電磁感應現象，從而形成特定的信號干擾源，此類信號干擾源的出現會導致正常信號受到較為嚴重的影響，部分干擾信號甚至會影響到配電自動化主站系統中的敏感部件，進而影響敏感部件的正常運行狀態，對配電自動化主站系統運行的安全性與穩定性造成較大隱患與風險[2]。與計算機病毒、黑客程序等隱患相比，雖然干擾信號對配電自動化主站系統的影響較輕，并不會導致配電自動化主站系統出現大面積的癱瘓或停電等，但此類干擾信號仍會對其造成一定程度的影響，不僅會對配電自動化主站系統的正常運行造成影響，同時也會對設備運行帶來較大的安全風險，因此需要加強對電磁干擾方面的重視，

3 配電自動化主站系統二次安防的設計分析

3.1 非法攻擊、計算機病毒等方面的安全防護措施

對于非法攻擊、計算機病毒等方面的安全防護措施方式有很多種，在現階段我國配電自動化主站系統的二次安防措施中，較為常見的防護手段分為報文加密、網絡安全協議、VPN 技術、安全分區等相關措施[3]。

安全分區也被稱作橫向隔離，即將配電自動化主站系統中的電力生產控制系統與其相關的信息管理系統進行有效分割，利用反向隔離裝置將兩個系統進行劃分，確保各個系統在實際運行期間具有較強的獨立性，從而有效避免配電自動化主站系統中的數據信息管理模塊受到非法攻擊、計算機病毒感染等。

對于VPN 技術而言，本質上是一種專用網絡或專屬信息傳輸渠道，利用VPN 技術將配電自動化主站系統的通信網絡進行加密，從而與外界網絡形成一層有效的隔離層，以此實現防止內部通信網絡與外部通信網絡直接連接，進而達到預防非法攻擊、計算機病毒的安防效果[4]。常用實現VPN 方式詳見表1。

表1 常用實現VPN 方式

網絡安全協議的主要功能是對外界相關數據信息進行安全認證，而報文加密則是在內部數據信息傳輸前，在信息頭部添加一段校驗包頭，接收端需要對校驗包頭進行針對性拆解與驗證，在驗證正確后方可讀取其內部數據信息。

網絡安全協議與報文加密會被應用于配電自動化主站系統與調度自動化系統的信息傳輸過程中，從而對其傳輸的數據信息進行加密，實現預防非法攻擊、計算機病毒、惡意讀取、惡意篡改等行為，切實保障了配電自動化主站系統在實際運行期間的安全性、穩定性。需要注意的是，隨著科技的不斷發展，目前黑客的滲透手段、入侵手段層出不窮。黑客、不法分子等人員會利用木馬病毒入侵至配電自動化系統，而后利用篡改報文頭部技術對報文進行遠程遙控，如復制報文、更改報文權限并滲透至主站系統中等，從而實現入侵配電自動化主站系統的目的[5]。

為有效應對此類入侵、滲透行為，則需要將身份驗證措施與報文加密手段結合應用，將報文加密算法與身份驗證算法安裝在配電網終端邊界、配電自動化主站系統邊界，所謂邊界是指終端設備與外部網絡相連接的位置，以此有效避免配電自動化主站系統與相關終端設備進行數據信息交互、共享期間所存在的黑客入侵、計算機病毒等因素。

此外，相關部門還應當結合實際情況基于TCP/IP 協議、MAC 地址認證、IP 地址認證、防火墻等相關措施加強相關數據信息在傳輸與共享期間的安全性。在配電自動化主站系統的運行期間，數據信息傳輸行為必不可少，通過大量數據信息傳輸行為，能夠切實提高配電自動化主站系統的運行效率。因此需要利用多樣化手段從多角度、多層次對非法攻擊、計算機病毒等因素進行防護，以此有效保持配電自動化主站系統的運行穩定性與安全性。

3.2 電磁干擾方面的安全防護措施

配電自動化主站若在運行期間，其元件、線路之間產生電磁干擾，會導致處于電磁干擾區域內的相關電氣設備運行性能受到影響，在長時間的電磁干擾環境下會大幅降低相關電氣設備或敏感元器件的使用壽命，對配電相關部門造成一定程度的經濟損失。

為有效防止電磁干擾現象對配電自動化主站系統的影響，切實提高主站系統中相關電氣設備或元器件在運行期間的安全性、穩定性以及有效性，應結合實際情況積極利用濾波、屏蔽、接地等相關措施有效提高主站系統中敏感元器件或相關電氣設備的抗電磁干擾能力。單獨利用屏蔽技術則無法徹底解決電磁干擾現象或大幅降低電磁干擾對相關設備所造成的負面影響，因此需要相關技術人員結合實際情況將濾波技術與屏蔽技術結合應用，以此有效預防電磁干擾對配電自動化主站系統中相關電氣設備或敏感元器件所造成的影響。

需要注意的是，相關技術人員應當深化濾波技術的應用，對于濾波技術而言，其能夠有效斷開電磁干擾沿信號通道、電源線之間的路徑，實現增強主站系統線路的抗電磁干擾能力，并消除設備運行期間的耦合與干擾源，確保配電自動化主站系統的線路不受電磁干擾影響。

3.3 強化防雷措施

對于配電自動化主站系統而言，需要相關技術人員結合實際情況加強其防雷性能，需要基于維護、建筑結構、地理位置、氣候條件等相關因素制定防雷措施，以此確保防雷措施在實際應用期間具有較強針對性與科學性。另外，還應當制定行之有效的配電自動化主站系統操作制度并嚴格落實，從而在一定程度上提高配電自動化主站系統的操作規范性，有效提高其運行期間的安全性和穩定性。

為進一步提高防雷措施在應用期間的效果與性能，相關單位應當根據配電部門的防雷標準與相關技術人員的防雷經驗對防雷措施進行二次優化，結合實際情況深化過電壓、分流等相關技術的應用，以此有效解決配電線路故障、信號線路故障等相關問題，切實加強對配電自動化主站系統的保護。

3.4 加強權限管理

為有效提高相關工作人員操作配電自動化主站系統的規范性、標準性，有效落實崗位責任制度，實現當出現相關問題時能夠及時追溯到具體責任人的效果，則需要結合實際情況為不同崗位人員配備具有針對性的操作權限并建立專屬數據庫，數據庫主要功能為記錄各個人員的操作痕跡、操作時長等因素，以此實現對配電自動化主站系統的安全防護效果。需要注意的是，利用多樣化的角色權限能夠在一定程度上避免相關工作人員的失誤。

例如，結合實際情況指定WEB 瀏覽崗位權限、自動化維護崗位權限、調控崗位權限等。WEB 瀏覽崗位權限包括查看配電自動化主站系統線路運行狀態、線路遙信、線路遙測等，但無法對數據庫內容、警告窗口信息進行相關操作；自動化維護崗位權限主要包括對配電自動化主站系統中相關模塊的維護，如圖形編輯、文本更改、數據庫升級等；調控崗位權限能夠對開關三遙信息、系統應用層界面等進行操作。

4 結語

在配電自動化主站系統的二次安全防護設計中，不僅需要考慮到非法攻擊、計算機病毒等相關因素，同時也需要提高對電磁干擾方面的重視，以此實現基于全方位、多角度提高配電自動化主站系統運行安全性與穩定性。同時還可以從加強權限管理力度、強化防雷措施等方面，對其二次安全防護措施進行有效完善，從而保障配電自動化主站系統的健康運行。