基于電力二次自動化系統安全防護措施的探討論文

基于電力二次自動化系統安全防護措施的探討論文

　　摘 要：新形勢下隨著計算機網絡技術的不斷發展和普遍，就信息安全問題的發展歷程來看，經歷了從注重技術到注重管理的轉化，“三分技術、七分管理”成為安全策略設計的普遍共識。在電力二次系統的安全體系設計方面也是如此。包括調度自動化、配網自動化等在內的二次自動化系統，安全性要求非常高。本文根據這方面的問題進行探討。

　　關鍵詞：電力系統 二次自動化 系統防護

　　電力二次自動化系統安全防護已經成為人們關注的問題，根據國家電網公司頒發的《全國電力二次系統安全防護總體方案》，調度自動化、配電自動化等實時性要求比較高的系統，都需要配置合適的、滿足要求的防護、隔離及檢測設備，并制定詳細的管理措施，以保證系統安全可靠的運行。

　　一、電力二次自動化系統的現狀

　　電網公司二次自動化系統包括：電網調度自動化系統、變電站自動化系統和電力信息系統三個方面：

　　1.電網調度自動化系統用于數據采集和監控（SCADA）、存儲電網實時數據信息、發電控制與發電計劃、網絡分析等。在整個調度自動化系統中，各個子系統是相互聯系、密不可分的，任何一個子系統出現問題，原始數據將無法采集，就無法向服務器傳送有用的轉發信息，管理人員也無從了解電網的實時數據和原始信息。

　　2.變電站自動化系統主要包括變電站綜合自動化系統、自動化分站系統、自動化當地監控系統。目前變電站自動化系統已經廣泛應用于各級變電站，微機保護、網絡監控裝置自動化程度高，運行狀態穩定，在實際運行中，大大提高了電網的自動化水平和運行的可靠性�，F在相當的變電站已實現無人值班或少人值班，其在減人增效等方面發揮了積極的、至關重要的作用。

　　3.電力信息系統(MIS)分了很多的子系統，包括調度管理和辦公管理信息系統等和電力生產密切相關的計算機網絡系統，各部門運行各自對應的子系統來進行日常的生產工作，反映日常生產管理的各個方面。由于數據庫的開放，病毒可以通過內部局域網傳播到網內的任何一臺計算機上，并進行破壞，從而讓一個子系統或多個子系統甚至整個MIS系統陷于癱瘓。

　　4.電力二次自動化系統存在的主要安全問題：

　　（1）管理區和生產區存在雙向的數據交互；（2）缺乏加密、認證機制，沒有入侵檢測等預警機制；（3）沒有漏洞掃描和審計手段，接入存在安全隱患；（4）Ⅰ、Ⅱ區病毒代碼手動更新難以及時，廠站端各種站、工控機防病毒管理困難；五、地、縣調系統結構復雜，數據交換缺乏規則。

　　二、電力二次自動化系統安全防護主要目標

　　若干實證表明，當前最大的安全隱患不是來自控制系統本身，而是來自與之相連的外部網絡。目前對網絡的主要信息威脅主要來之于網絡駭客攻擊和計算機蠕蟲病毒。因此，電力二次系統安全防護工作的重點是抵御駭客、

　　病毒等通過各種形式對系統發起的惡意破壞和攻擊，使其能夠抵御集團式攻擊，重點保護電力實時閉環監控系統和調度數據網絡的安全，防止由此引起的電力系統故障。其安全防護目標是：第一，防止通過外部邊界發起的攻擊和侵入，尤其是防止由攻擊導致的一次系統的故障以及二次系統的崩潰；第二，防止未經授權用戶訪問系統或非法獲取信息的侵入以及重大的非法操作；第三，做到網絡專用，增加各分區邊界橫向安全物理隔離設備，縱向邏輯隔離設備以及數據的加密;第四，規范內部人員的工作行為、工作職責，提高公司調度中心的整體安全管理水平。

　　三、電力二次自動化系統安全防護措施

　　1.明確電力二次自動化系統安全防護的基本目標。建立電力二次系統安全防護體系，保障電力系統的安全穩定運行，同時抵御駭客、病毒、惡意代碼等通過各種形式對電力二次自動化系統發起的惡意破壞和攻擊，特別是能夠抵御集團式攻擊，以防止由此導致一次系統事故或大面積停電事故及二次系統的崩潰或癱瘓。

　　2.制定電力二次自動化系統安全防護的基本原則。根據《電網與電廠計算機監控系統及調度數據網絡安全防護規定》，電力二次自動化系統的安全防護應具有以下原則：在電力二次自動化系統中，安全等級較高的系統不受安全等級較低系統的影響。電力監控系統的安全等級高于電力管理信息系統及辦公自動化系統，各電力監控系統必須具備可靠性高的自身安全防護設施，不得與安全等級低的系統直接相聯。

　　3.擬定電力二次自動化系統安全防護的安全分區。發電企業、電網企業、供電企業內部基于計算機和網絡技術的業務系統，原則上可劃分為生產控制大區和管理信息大區。生產控制大區可以分為控制區(安全區I)和非控制區(安全區Ⅱ)；管理信息大區內部在不影響生產控制大區安全的前提下，可以根據各企業不同安全要求劃分生產管理區（安全區III）和管理信息區（安全區IV）。不同的安全區確定不同的安全防護要求，從而決定不同的安全等級和防護水平，阻斷非法訪問、操作和病毒侵害。

　　安全區I，即實時控制區，主要由配電自動化系統、變電站自動化系統、調度員中心EMS系統和廣域相量測量系統等系統構成，是安全保護的重點與核心，凡是實時監控系統或具有實時監控功能的系統其監控功能部分均應屬于安全I區。其為電力生產的重要環節、安全防護的重點與核心，能夠直接實現對二次系統運行的實時監控，具有縱向使用電力調度數據網絡或專用通道的典型特征。

　　安全區II，即非實時控制區，主要由負荷控制系統、水調自動化系統、電能量計量系統等部分組成，不具備控制功能的生產業務系統，或者系統中不進行控制的部分均屬于安全Ⅱ區。其所實現的功能為電力生產的必要環節，可在線運行，但不具備控制功能。安全區III，即生產管理區，主要由EMS資料平臺、氣象信息接入、生產管理系統、報表系統(日報、旬報、月報、年報)和信息翻覽WEB服務器等部分組成。本安全區內的生產系統采取安全防護措施后可以提供WEB服務。該區的外部通信邊界為電力數據通信網(SPTnet)。安全區IV，即管理信息區，主要由管理信息系統、辦公管理信息系統和客戶服務系統組成，該區的外部通信邊界為SPTnet及IN-TERNER，所有辦公PC應部署正版軟件和網絡防病毒措施，及時進行更新。

　　4.二次系統安全防護的策略。要根據管理信息大區安全要求，在管理信息大區應當統一部署防火墻、IDS入侵檢測系統和惡意代碼防護系統等通用安全防護設施。要按照生產控制大區與管理信息大區之間的安全要求，在生產控制大區與管理信息大區之間必須設置經國家指定部門檢測認證的電力專用橫向單向安全隔離裝置，同時隔離強度應接近或達到物理隔離。要根據生產控制大區內部的安全區之間的安全防護要求，在控制區與非控制區之間應采用國產硬件防火墻，具有訪問控制功能的設備或相當功能的設施進行邏輯隔離，以禁止安全風險高的通用網絡服務穿越該邊界。要依照在生產控制大區與廣域網的縱向交接處安全防護要求，在生產控制大區與廣域網的縱向交接處應當設置經過國家指定部門檢測認證的電力專用縱向加密認證裝置或者加密認證網關及相應設施，實現雙向身份認證、數據加密和訪問控制。

　　四、結語

　　隨著經濟社會發展對電力依賴度的不斷提高，電力二次自動化系統安全的要求越來越高，加強電力二次自動化系統的安全防護，對確保電力安全運營、用戶用電安全具有十分重要的現實意義。

　　參考文獻：

　　[1]李志杰,牛玉臣,閻明波.調度自動化二次系統安全防護體系[J].電工技術,2006,(12).

　　[2]張曉陽.電力行業二次安全防護解決方案[J].信息安全與通信保密,2008,(8).

【基于電力二次自動化系統安全防護措施的探討論文】相關文章：

電力自動化的探討分析08-04

變電站二次系統安全防護設計06-26

電力自動化通信網安全與解決措施論文08-10

電力自動化通信網安全與處理措施論文06-01

探討電力自動化的技術與發展10-02

探討工業建筑施工安全技術及防護措施10-17

電網調度自動化系統通信網絡防護措施研究的論文10-16

探討供電企業中電力營銷的管理措施08-01

探討計算機網絡雷電防護措施08-16

航空電子設備維修防護措施論文08-18