變電站二次系統安全防護設計

變電站二次系統安全防護設計

　　摘要：本文針對當前變電站二次系統網絡安全問題進行了深入的分析和探討，并提出了相應的安全防護設計方案。

　　關鍵詞：變電站 安全防護 二次系統

　　一、變電站二次系統存在的安全風險

　　由于近些年電子計算機技術發展迅速，英特網、環球網和電子郵件等開始被人們廣泛使用，網絡病毒憑借這些平臺開始大肆傳播。計算機病毒會破壞計算機數據或功能，導致計算機不能正常使用，并且還可以進行自我恢復，具有極強的復制性、破壞性和傳染性。美國微軟公司曾經發布了一條安全報告，網絡罪犯把中國的電腦用戶當作最主要的侵害目標。而且在近一段時間，我國病毒侵害事件的發生率正逐步增長，給我國帶來了巨大的經濟損失。

　　在現階段，變電站二次系統病毒主要是借助網絡、U盤、局域網等來進行傳播，設計安全防護方案時最重要的就是預防，并且能夠使病毒攻擊的可能性得到最大限度的降低。其中，最主要的風險包括：第一，網絡入侵者通過發送非法控制的命令，進而使電力系統出現事故，更甚者會造成系統瓦解;第二，未經授權就使用電力監控系統的網絡資源或者計算機，導致負載過重，進而使系統出現故障;第三，將大量數據發送給通信網關或者電力調度數據網，進而使監控系統或者網絡癱瘓。

　　二、變電站二次系統安全防護設計

　　2.1 總體防護策略

　　變電站二次系統集控“五防”，其在設計安全防護措施時，必須要全國電力二次系統的防護策略：“安全分區，網絡專用;縱向認證，橫向隔離”。

　　2.2 劃分安全區

　　綜合分析變電站二次系統的特點，明確各項數據的流程，弄清楚當前的實際狀況，同時分析各項安全要求，把變電站店里二次系統劃分成三個安全區：其中，安全Ⅰ區是實施控制區，安全Ⅱ區是非控制生產區，Ⅲ區是生產管理區。安全區不一樣，那么安全防護要求也會存在區別，防護水平及安全等級也會不一樣。Ⅰ區具有最高的安全等級，Ⅱ區次之，剩下的以此類推。

　　在實時控制區中，安全區Ⅰ中的業務系統或功能模塊可對電站進行實時監控，這也是其最顯著的特征，在電力生產中發揮著無可取代的作用，系統通過調動數據網絡和專用信道來實時在線運行。

　　在非控制生產區中，安全區Ⅱ中的業務系統或功能模塊在電力生產中發揮著必要作用，但是不可實現對電力生產的控制，這是其最顯著的特征。系統通過調度數據網絡實現在線運行，且緊密聯系著安全區Ⅰ中的業務系統或功能模塊。

　　在生產管理區，安全區Ⅲ中的業務系統或功能模塊可對電力生產進行管理，但無法控制電力生產，同時也不進行在線運行，其運行也無需在電力調度數據網絡的支持下進行，而是直接關聯著調度中心或控制中心工作人員的桌面終端，同時緊密連著著安全區Ⅳ的辦公自動化系統。

　　2.3 安全區之間橫向隔離要求

　　(1)應對安全區Ⅰ與安全區Ⅱ進行邏輯隔離，隔離設備選用的硬件防火墻或相當設備必須是通過有關部門檢查核準的，對于E-mail、Web、Telnet、Rlogin等服務，應明令禁止，明確規定不能通過安全區之間的隔離設備。

　　(2)安全區Ⅰ、安全區Ⅱ與安全區Ⅳ要隔離開來，禁止發生直接聯系。安全區Ⅰ、安全區Ⅱ與安全區Ⅲ之間也需要用電力專用單向安全隔離裝置進行隔離，且選用的裝置必須是得到國家有關部門認證的。

　　(3)對于E-mail、Web、Telnet、Rlogin等網絡服務以及以B/S或C/S方式的數據訪問功能，應明令禁止，明確規定不能通過專用安全隔離裝置。專用安全隔離裝置中只能單向安全傳輸純數據。

　　2.4 縱向安全防護要求

　　(1)電力調度數據網用于連接安全區Ⅰ、安全區Ⅱ，電力企業數據網用于連接安全區Ⅲ和安全區Ⅳ。

　　(2)需對電力調度數據網進行進一步的劃分，分別為邏輯隔離的實時子網和非實時子網，其中，實時子網與實時控制區連接，非實時子網與非控制生產區連接。

　　三、具體實施方案

　　3.1 加裝硬件防火墻

　　在安全區之間進行防火墻的部署，以將兩個區域的邏輯隔離、訪問控制以及報文過濾等功能充分發揮出來。其中，基于業務流量的IP地址、協議、方向以及應用端口號的報文過濾是主要的防火墻安全策略。所以，在集控“五防”項目中，“五防”服務器端(縱向)和綜合自動化后臺中通訊依靠網絡實現的“五防”子站，都進行了硬件防火墻的設置，以實現子站之間的隔離。

　　3.2 二次系統安全加固

　　以集控“五防”變電站二次系統安全防護方案為基準，進一步加固賬號口令、網絡服務、數據訪問控制、審計策略等。

　　加固賬號口令，具體操作內容包括，對賬戶權限進行重新配置，將多余用戶及時刪除，禁止使用Guest賬號，進一步完善各項安全設置(設置內容包括用戶口令、口令策略以及自動屏保鎖定)，禁止系統進行自動登錄。以實現“五防”機的嚴格管理和安全登錄使用。

　　加固網絡服務，具體操作方法為：將無用服務、無關網絡連接、遠程桌面全部關閉，并禁止再行打開，進行訪問控制策略設置，禁止匿名用戶連接和默認共享。以使網絡的安全運行得到充分保障，避免出現數據泄露或惡意破壞現象的發生。

　　加固數據訪問控制，具體操作內容包括：對特定執行文件的權限進行限制，禁止文件共享，避免文件完全控制。

　　加固審計策略，進行系統審核策略的更新配置，并根據實際情況對日志大小進行調整，此外還需進行進一步的統一安全審計。

　　3.3 加裝網絡版殺毒軟件

　　以集控“五防”變電站二次系統安全防護方案為基準，進行網絡版防病毒軟件的安裝。在更新病毒特征碼時，注意是要在離線的情況下進行更新，此外，更新要及時。此外，凡是集控“五防”二次系統涉及到的服務器和子站，都要進行瑞興電力企業專用版殺毒軟件的安裝，此外，定期在一級服務器中對病毒庫進行升級，以使維護的頻次和工作量得到有效減少。

　　參考文獻：

　　[1]潘路.電力二次系統網絡信息安全防護的設計與實現[D].華南理工大學，2014.

　　[2]李濤，楊桂丹.智能變電站二次安全防護系統設計與應用研究[J].電氣應用，2013，01：26-29+68.

　　[3]楊西銀，楊軍，謝正寧，劉偉明.變電站二次系統安全防護建設[J].寧夏電力，2012，06：13-16.

【變電站二次系統安全防護設計】相關文章：

變電站二次設備狀態檢修問題旆討03-18

變電站接地網優化設計03-06

如何做好變電站二次繼保改造工程03-07

探討如何做好變電站二次繼保改造工程03-07

深圳燃氣管線的腐蝕與防護設計03-19

慶元中學教學樓雷電防護設計03-14

計算機聯鎖系統安全可靠設計淺析03-28

變電站綜合自動化系統優化設計11-21

生物植被防護技術在公路邊坡防護中的應用03-07