基于電力二次自動(dòng)化系統安全防護措施的探討論文

　　摘 要：新形勢下隨著(zhù)計算機網(wǎng)絡(luò )技術(shù)的不斷發(fā)展和普遍，就信息安全問(wèn)題的發(fā)展歷程來(lái)看，經(jīng)歷了從注重技術(shù)到注重管理的轉化，“三分技術(shù)、七分管理”成為安全策略設計的普遍共識。在電力二次系統的安全體系設計方面也是如此。包括調度自動(dòng)化、配網(wǎng)自動(dòng)化等在內的二次自動(dòng)化系統，安全性要求非常高。本文根據這方面的問(wèn)題進(jìn)行探討。

　　關(guān)鍵詞：電力系統 二次自動(dòng)化 系統防護

　　電力二次自動(dòng)化系統安全防護已經(jīng)成為人們關(guān)注的問(wèn)題，根據國家電網(wǎng)公司頒發(fā)的《全國電力二次系統安全防護總體方案》，調度自動(dòng)化、配電自動(dòng)化等實(shí)時(shí)性要求比較高的系統，都需要配置合適的、滿(mǎn)足要求的防護、隔離及檢測設備，并制定詳細的管理措施，以保證系統安全可靠的運行。

　　一、電力二次自動(dòng)化系統的現狀

　　電網(wǎng)公司二次自動(dòng)化系統包括：電網(wǎng)調度自動(dòng)化系統、變電站自動(dòng)化系統和電力信息系統三個(gè)方面：

　　1.電網(wǎng)調度自動(dòng)化系統用于數據采集和監控（SCADA）、存儲電網(wǎng)實(shí)時(shí)數據信息、發(fā)電控制與發(fā)電計劃、網(wǎng)絡(luò )分析等。在整個(gè)調度自動(dòng)化系統中，各個(gè)子系統是相互聯(lián)系、密不可分的，任何一個(gè)子系統出現問(wèn)題，原始數據將無(wú)法采集，就無(wú)法向服務(wù)器傳送有用的轉發(fā)信息，管理人員也無(wú)從了解電網(wǎng)的實(shí)時(shí)數據和原始信息。

　　2.變電站自動(dòng)化系統主要包括變電站綜合自動(dòng)化系統、自動(dòng)化分站系統、自動(dòng)化當地監控系統。目前變電站自動(dòng)化系統已經(jīng)廣泛應用于各級變電站，微機保護、網(wǎng)絡(luò )監控裝置自動(dòng)化程度高，運行狀態(tài)穩定，在實(shí)際運行中，大大提高了電網(wǎng)的自動(dòng)化水平和運行的可靠性�，F在相當的變電站已實(shí)現無(wú)人值班或少人值班，其在減人增效等方面發(fā)揮了積極的、至關(guān)重要的作用。

　　3.電力信息系統(MIS)分了很多的子系統，包括調度管理和辦公管理信息系統等和電力生產(chǎn)密切相關(guān)的計算機網(wǎng)絡(luò )系統，各部門(mén)運行各自對應的子系統來(lái)進(jìn)行日常的生產(chǎn)工作，反映日常生產(chǎn)管理的各個(gè)方面。由于數據庫的開(kāi)放，病毒可以通過(guò)內部局域網(wǎng)傳播到網(wǎng)內的任何一臺計算機上，并進(jìn)行破壞，從而讓一個(gè)子系統或多個(gè)子系統甚至整個(gè)MIS系統陷于癱瘓。

　　4.電力二次自動(dòng)化系統存在的主要安全問(wèn)題：

　�。�1）管理區和生產(chǎn)區存在雙向的數據交互；（2）缺乏加密、認證機制，沒(méi)有入侵檢測等預警機制；（3）沒(méi)有漏洞掃描和審計手段，接入存在安全隱患；（4）Ⅰ、Ⅱ區病毒代碼手動(dòng)更新難以及時(shí)，廠(chǎng)站端各種站、工控機防病毒管理困難；五、地、縣調系統結構復雜，數據交換缺乏規則。

　　二、電力二次自動(dòng)化系統安全防護主要目標

　　若干實(shí)證表明，當前最大的安全隱患不是來(lái)自控制系統本身，而是來(lái)自與之相連的外部網(wǎng)絡(luò )。目前對網(wǎng)絡(luò )的主要信息威脅主要來(lái)之于網(wǎng)絡(luò )駭客攻擊和計算機蠕蟲(chóng)病毒。因此，電力二次系統安全防護工作的重點(diǎn)是抵御駭客、

　　病毒等通過(guò)各種形式對系統發(fā)起的惡意破壞和攻擊，使其能夠抵御集團式攻擊，重點(diǎn)保護電力實(shí)時(shí)閉環(huán)監控系統和調度數據網(wǎng)絡(luò )的安全，防止由此引起的電力系統故障。其安全防護目標是：第一，防止通過(guò)外部邊界發(fā)起的攻擊和侵入，尤其是防止由攻擊導致的一次系統的故障以及二次系統的崩潰；第二，防止未經(jīng)授權用戶(hù)訪(fǎng)問(wèn)系統或非法獲取信息的侵入以及重大的非法操作；第三，做到網(wǎng)絡(luò )專(zhuān)用，增加各分區邊界橫向安全物理隔離設備，縱向邏輯隔離設備以及數據的加密;第四，規范內部人員的工作行為、工作職責，提高公司調度中心的整體安全管理水平。

　　三、電力二次自動(dòng)化系統安全防護措施

　　1.明確電力二次自動(dòng)化系統安全防護的基本目標。建立電力二次系統安全防護體系，保障電力系統的安全穩定運行，同時(shí)抵御駭客、病毒、惡意代碼等通過(guò)各種形式對電力二次自動(dòng)化系統發(fā)起的惡意破壞和攻擊，特別是能夠抵御集團式攻擊，以防止由此導致一次系統事故或大面積停電事故及二次系統的崩潰或癱瘓。

　　2.制定電力二次自動(dòng)化系統安全防護的基本原則。根據《電網(wǎng)與電廠(chǎng)計算機監控系統及調度數據網(wǎng)絡(luò )安全防護規定》，電力二次自動(dòng)化系統的安全防護應具有以下原則：在電力二次自動(dòng)化系統中，安全等級較高的系統不受安全等級較低系統的影響。電力監控系統的安全等級高于電力管理信息系統及辦公自動(dòng)化系統，各電力監控系統必須具備可靠性高的自身安全防護設施，不得與安全等級低的系統直接相聯(lián)。

　　3.擬定電力二次自動(dòng)化系統安全防護的安全分區。發(fā)電企業(yè)、電網(wǎng)企業(yè)、供電企業(yè)內部基于計算機和網(wǎng)絡(luò )技術(shù)的業(yè)務(wù)系統，原則上可劃分為生產(chǎn)控制大區和管理信息大區。生產(chǎn)控制大區可以分為控制區(安全區I)和非控制區(安全區Ⅱ)；管理信息大區內部在不影響生產(chǎn)控制大區安全的前提下，可以根據各企業(yè)不同安全要求劃分生產(chǎn)管理區（安全區III）和管理信息區（安全區IV）。不同的安全區確定不同的安全防護要求，從而決定不同的安全等級和防護水平，阻斷非法訪(fǎng)問(wèn)、操作和病毒侵害。

　　安全區I，即實(shí)時(shí)控制區，主要由配電自動(dòng)化系統、變電站自動(dòng)化系統、調度員中心EMS系統和廣域相量測量系統等系統構成，是安全保護的重點(diǎn)與核心，凡是實(shí)時(shí)監控系統或具有實(shí)時(shí)監控功能的系統其監控功能部分均應屬于安全I區。其為電力生產(chǎn)的重要環(huán)節、安全防護的重點(diǎn)與核心，能夠直接實(shí)現對二次系統運行的實(shí)時(shí)監控，具有縱向使用電力調度數據網(wǎng)絡(luò )或專(zhuān)用通道的典型特征。

　　安全區II，即非實(shí)時(shí)控制區，主要由負荷控制系統、水調自動(dòng)化系統、電能量計量系統等部分組成，不具備控制功能的生產(chǎn)業(yè)務(wù)系統，或者系統中不進(jìn)行控制的部分均屬于安全Ⅱ區。其所實(shí)現的功能為電力生產(chǎn)的必要環(huán)節，可在線(xiàn)運行，但不具備控制功能。安全區III，即生產(chǎn)管理區，主要由EMS資料平臺、氣象信息接入、生產(chǎn)管理系統、報表系統(日報、旬報、月報、年報)和信息翻覽WEB服務(wù)器等部分組成。本安全區內的生產(chǎn)系統采取安全防護措施后可以提供WEB服務(wù)。該區的外部通信邊界為電力數據通信網(wǎng)(SPTnet)。安全區IV，即管理信息區，主要由管理信息系統、辦公管理信息系統和客戶(hù)服務(wù)系統組成，該區的外部通信邊界為SPTnet及IN-TERNER，所有辦公PC應部署正版軟件和網(wǎng)絡(luò )防病毒措施，及時(shí)進(jìn)行更新。

　　4.二次系統安全防護的策略。要根據管理信息大區安全要求，在管理信息大區應當統一部署防火墻、IDS入侵檢測系統和惡意代碼防護系統等通用安全防護設施。要按照生產(chǎn)控制大區與管理信息大區之間的安全要求，在生產(chǎn)控制大區與管理信息大區之間必須設置經(jīng)國家指定部門(mén)檢測認證的電力專(zhuān)用橫向單向安全隔離裝置，同時(shí)隔離強度應接近或達到物理隔離。要根據生產(chǎn)控制大區內部的安全區之間的安全防護要求，在控制區與非控制區之間應采用國產(chǎn)硬件防火墻，具有訪(fǎng)問(wèn)控制功能的設備或相當功能的設施進(jìn)行邏輯隔離，以禁止安全風(fēng)險高的通用網(wǎng)絡(luò )服務(wù)穿越該邊界。要依照在生產(chǎn)控制大區與廣域網(wǎng)的縱向交接處安全防護要求，在生產(chǎn)控制大區與廣域網(wǎng)的縱向交接處應當設置經(jīng)過(guò)國家指定部門(mén)檢測認證的電力專(zhuān)用縱向加密認證裝置或者加密認證網(wǎng)關(guān)及相應設施，實(shí)現雙向身份認證、數據加密和訪(fǎng)問(wèn)控制。

　　四、結語(yǔ)

　　隨著(zhù)經(jīng)濟社會(huì )發(fā)展對電力依賴(lài)度的不斷提高，電力二次自動(dòng)化系統安全的要求越來(lái)越高，加強電力二次自動(dòng)化系統的安全防護，對確保電力安全運營(yíng)、用戶(hù)用電安全具有十分重要的現實(shí)意義。

　　參考文獻：

　　[1]李志杰,牛玉臣,閻明波.調度自動(dòng)化二次系統安全防護體系[J].電工技術(shù),2006,(12).

　　[2]張曉陽(yáng).電力行業(yè)二次安全防護解決方案[J].信息安全與通信保密,2008,(8).

【基于電力二次自動(dòng)化系統安全防護措施的探討論文】相關(guān)文章：

電力自動(dòng)化的探討分析08-04

變電站二次系統安全防護設計06-26

電力自動(dòng)化通信網(wǎng)安全與解決措施論文08-10

電力自動(dòng)化通信網(wǎng)安全與處理措施論文06-01

探討電力自動(dòng)化的技術(shù)與發(fā)展10-02

探討工業(yè)建筑施工安全技術(shù)及防護措施10-17

電網(wǎng)調度自動(dòng)化系統通信網(wǎng)絡(luò )防護措施研究的論文10-16

探討供電企業(yè)中電力營(yíng)銷(xiāo)的管理措施08-01

探討計算機網(wǎng)絡(luò )雷電防護措施08-16

航空電子設備維修防護措施論文08-18