调度自动化系统二次安全防护加固的方案

【摘 要】文章分析了调度自动化系统安全防护的实际意义，提出了采用二次加固的适当措施。

【关键词】调度自动化 二次安全防护 方案

【中图分类号】 V242.3+1【文献标识码】 A【文章编号】1672-5158（2013）07-0031-01

县级电网调度自动化系统主要面向生产控制大区，业务集中在SCADA方面，同时又与信息管理大区进行定向业务连接。东宁县级调度自动化于2011年7月至11月建设和调试，随着调度数据网的建成及监控、调度一体化模式的推广，过去较单一的调度独立网络日益丰富，二次安全防护问题日益突出。笔者作为建设项目的主持人，就县级调度二次防护系统加固提出了几点措施和建议。

1. 二次安防部署现状

按照《全国电力二次系统安全防护总体方案》，根据电力二次系统的特点、目前状况和安全要求，整个二次系统分为四个安全工作区（一区）：实时控制区、非控制生产区（二区）、生产管理区（三区）、管理信息区（四区）。县调业务主要在分布一、二、三区。

1.1系统硬件平台现状

作为成熟的电网管理平台，EMS系统既担负着电网实时监测、控制、SOE、数据路库、处理等任务，也为调度人员集成了电压无功优化管理、PAS（状态分析、负荷预测、调度员潮流分析）等功能，且必须为整合DMIS系统提供支撑。同时，系统必须为电力客户和有关部门提供实现浏览的Web服务。

EMS系统独立组网于安全一、二区，DMIS支持软件位于安全三区，而Web服务器做为连接MIS网的主要设备位于安全四区。根据主站电网，EMS系统主站系统图，实际情况是，调度人员使用的DMIS支撑软件与调度工作站集成与调度一、二区共同使用，Web服务器在四区间未经过有效的物理隔离措施直接与一、二区相联使用防毒软件是保障调度自动化系统日常安全的重要手段，升级病毒库往往会带来隐患，因此专用病毒库升级服务器的配备被提上日程。

1.2 系统软件平台现状

县级电网的EMS系统较多采用基于Windows/Linux混合平台的EMS管理系统，实现一体化平台、网络、数据库、图形、报表构成支撑平台的一体化，SCADA、PAS、电能量、DMIS等构成应用功能一体化。

EMS系统的网络结构中，服务器、工作站、Web、前置系统等设备均以总线结构连接两层交换机。单位时间内数据交换流量过大、机器负荷过重，容易造成设备间数据通信故障，情况严重的甚至可以导致服务器判断网络故障超时，导致自动关闭主程序。同时，经过同一网段进行交换，也增加系统全面感染病毒的可能。

2.县调二次防护系统加固措施实践

操作系统的安全、数据库的安全、网络安全、系统权限论证、病毒防范措施与专业责任管理构成电网管理系统安全性的各环节。结合现状，安全区一内的调度实时业务系统、五级调度数据网业务系统，安全区二内的电能量系统，安全区三内的DMIS系统，信息披露Web系统及安全区四间加固措施应用成为二次安全防护工作进一步完善的重点。

2.1 基于数据单向迁移的横向隔离措施

根据“安全分区、网络专用、横向隔离、纵向认证”原则，EMS系统需面向MIS网络用户实时电网信息，通过一台基于Linux操作系统的Web服务器，以数据单向迁移的形式由调度网络将数据镜像于Web服务器，并由Web服务器生成满足浏览要求的Web页面，供信息管理大区的业务用户调用。

镜像生成数据、数据单向迁移能够部分的消除数据信息传输过程中遭受病毒、HACKER共计概率。Linux特性，使其较Windows系统更为安全、可靠。然而，由于Wen服务器在身份认证和权限管理方面没有有效措施，同时当Linux系统中的SAMBA服务使Web服务器在直接面向与INTERNET互联的MIS网络时，为HACKER攻击和病毒入侵提供了漏洞或者端口。

由此，软、硬件结合的有效安全隔离措施必须被采用，以保证网络数据共享的同时，实施对非法信息的隔离。现有Web服务器完全置于安全三区，通过专用电力物理隔离设备实现一、三区的数据共享。

2.2 基于认证加密技术的纵向防护措施

安全一、二区内部的纵向通信过程，主要考虑是两个系统之间的认证，建议采用IP认证加密装置之间的认证来实现，集中爱以下方面：IP认证加密装置之间支持基于数据证书的认证，支持定向认证加密；对传输的数据通过数据签名与加密进行数据机加密性、完整性保护；支持透明工作方式与网关工作方式；具有基于IP、传输协议、应用端口号的综合报文过滤与访问功能；实现装置之间智能协调，动态调整安全策略；具有NAT功能。

2.3 系统的网络访问控制措施

拓扑网络中，数据传输与信息交互的控制是需要网络各节点全面控制支持的，因此我们有必要确保网络各环节处于可控、在控状态中，可以利用以下手段实现加强口令管理：字符数较少的弱口令或默认口令常常会被无关人员记忆，也容易被HACKER破译。同时，由于EMS系统负担了远控、数据备份等重要任务，一旦被别由用人的热盗用口令，肆意删除数据或者使用其他功能，企业损失将无法估计。

禁用不必要服务：关闭某些网络设备出厂缺省设置，如Finger、bootpServer等服务，另外，在路由器上，对于SNMP、DHCP以及Web管理服务等，只有绝对必要的时候才可使用这些服务。

禁止使用远程访问：使用远程访问客户端，可以方便系统的远程维护，实现厂家在建技术支持。但是，通过INTERNET的访问控制，必然将系统暴露，为攻击提供访问端口，部分病毒也可以伪装成TXT等格式，入侵系统。

2.4 数据库管理与安全审计措施

EMS系统拥有丰富的数据资源、数据库的安全管理成为系统二次防护的重要组成。数据资源主要分布在牵制系统的服务器、EMS系统主服务器、Web服务器、VQC、PAS、DMIS系统站的PC工作站、电能量系统的服务器中。处于安全一、二区 的EMS系统各组成设备在物理防护下，面临的威胁主要来自于人的因素。因此我们必须采取以下措施：分解系统维护人员、调度操作人员、设备巡视人员职责，并在EMS的人机交互环节设置体现出来，将人员分组赋予不同的权限范围，并实现口令管理，同时在系统中用LOG.TXT记录人员访问操作信息。严格口令管理制度，严禁无关人员使用工作人员口令、权限，并健全相关处罚措施。

2.5 防病毒措施

利用防病毒软件是系统遏制病毒入侵、防范病毒危害的重要手段。病毒是不断发展、衍变的，厂家由此定期会通过INTERNET升级病毒特征库，基于安全一区的自动化系统，不可能直接远程升级特征库代码。传统的方法主要利用设备提供的光盘驱动器、软盘驱动器、USB输入口等设备直接将拷贝下的病毒升级程序迁入系统设备中。中间无论是采取移动设备还是通过网络连接的方式实际上都将系统暂时暴露系统安全防护体系之外。

有鉴于此，可以设置一立的病毒升级服务器解决这个问题。病毒服务器可以设置与安全三区，该服务器采用Linux系统为操作平台（KDE）平台并加装防病毒特征库文件，利用KDE系统的文件管理功能处理获取的病毒特征库文件，经过本机杀毒后，经过物理隔离设备提高给总线结构连接的EMS网络各设备，从而实现系统设备病毒库的安全升级。

2.6 制度管理措施

调度责任单位成立专门的二次系统安全防护领导小组和工作小组，负责本单位的二次系统安全防护的组织管理和具体工作。禁止高安全区域系统的设备安装或放置在低安全等级区域。不同安全区域等级的系统网络不得通过在同一网络交换机中划分VLAN方式实现。做好防病毒措施，安装防火墙并定期升级病毒更新代码。

2.7 其他加固措施

作为辅助措施，备份与恢复、入侵检测IDS、安全“蜜罐”、应用程序安全、安全评估技术等手段，可视县调系统工程实际进行配置，进一步完善二次系统分区分界防护。

随着智能电网技术的应用，二次安全防护投入逐步加大，智能化的安全防护措施，将成为加固系统的趋势。