地区电网控制中心二次系统安全防护策略分析

摘要：随着电网自动化、计算机网络及通信技术的飞速发展，电力二次系统的安全防护也变得更加重要和严峻。为保障地区电力二次系统免受各种形式的恶意破坏和攻击，防止二次系统的崩溃或瘫痪，以及可能导致的大面积停电或电网事故，设计了地区电力调度控制中心二次系统安全防护体系。在对电力二次系统安全防护体系构建和安全区域的划分作了简要的叙述之后，着重介绍了电力二次系统的防护体系构建以及二次系统安全防护设备的部署和实施，通过建立安全有效的二次系统安全防护体系，保障了地区电网的安全运行。同时，由于二次系统安全防护工程是一个长期的动态工程，安全防护体系要在实施过程中根据生产实际需要不断加以修正和完善。

关键词：电力二次系统;安全防护体系;安全区;措施

中图分类号：TM727 文献标识码：A 文章编号：1007-0079（2014）33-0180-02

随着电网自动化、计算机网络及通信技术的飞速发展，电力系统自动化、信息化水平迅速提高。同时，电力调度系统的业务也不断丰富，很多系统存在着相互之间的数据业务交换，这些对系统的网络安全问题提出了更高的要求，电力二次系统的安全防护也变得更加重要和严峻起来。[1]为此，针对调度系统二次安全防护，相继出台了原国家电监会第5号令《电力二次系统安全防护规定》以及《电力二次系统安全防护总体方案》等指导性文件从政策和技术的层面明确了电力调度部门信息安全建设的具体措施。

为保障地区电网安全、稳定运行，抵御黑客、病毒、恶意代码等通过各种形式对电力二次系统发起的恶意破坏和攻击，特别是能够抵御集团式攻击，防止由此导致一次系统事故或大面积停电事故及二次系统的崩溃或瘫痪，依据相关政策文件，结合地区电网实际情况，设计和制定了地区调度控制中心二次系统安全防护方案。

一、电力二次系统安全防护体系

1.二次系统安全防护的相关原则

电力调度二次系统安全防护包括调度端、变电站内及纵向安全防护，按照国家电力监管委员会《电力二次系统安全防护规定》，电力二次系统安全防护的总体原则为“安全分区、网络专用、横向隔离、纵向认证”。安全防护主要针对网络系统和基于网络的电力生产控制系统，重点强化边界防护，提高内部安全防护能力，保证电力生产控制系统及重要数据的安全，同时有效抵御外部的恶意攻击，防止发生电力二次系统安全事件或由此导致的一次系统事故、大面积停电事故，达到保障电网安全稳定运行的目的。[2，3]

“安全分区”是电力二次系统安全防护体系的结构基础，原则上划分为生产控制大区和管理信息大区。生产控制大区可以分为控制区（又称安全区I）和非控制区（又称安全区II），管理信息大区可以分为生产管理区（又称安全区III）和管理信息区（又称安全区IV）;“网络专用”，是指生产大区的数据网络必须使用专网――电力调度数据网，其中电力调度数据网划分为逻辑隔离的实时子网和非实时子网，分别连接控制区和非控制区;“横向隔离”，是指在控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置，隔离强度应接近或达到物理隔离;“纵向认证”是指采用认证、加密、访问控制等技术措施实现数据的远方安全传输以及纵向边界的安全防护。对于重点防护的调度控制中心、发电厂、变电站在生产控制大区与广域网的纵向连接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施，实现双向身份认证、数据加密和访问控制。[4，5]

电力二次系统安全防护的基本原则是，系统中安全等级较高的系统不受安全等级较低系统的影响。电力监控系统的安全等级高于电力管理信息系统及办公自动化系统，各电力监控系统必须具备可靠的自身安全防护措施，不得与安全等级较低的系统直接连接。

2.二次系统中安全区的划分

从横向角度看，为强化安全区的隔离，采用不同强度的网络安全设备，使得各安全区中的业务系统得到有效保护。安全区I与安全区II之间采用硬件防火墙进行隔离;生产控制大区与管理信息大区之间采用电力专用隔离装置进行隔离，并且限制数据业务的流向;从安全区I、安全区II去往安全区III单向传输信息必须采用正向隔离装置，由安全区III去往安全区I、安全区II的单向传输信息必须采用反向隔离装置。安全区III与安全区IV之间采用硬件防火墙进行隔离。[6]

安全区I中的业务系统或其功能模块的典型特征为：是电力生产的重要环节，直接实现对电力一次系统的实时监控，纵向使用电力调度数据网络或专用通道，是安全防护的重点与核心。典型业务系统包括能量管理系统、广域相量测量系统、配电自动化系统、变电站自动化系统等。

安全区II中的业务系统或其功能模块的典型特征为：是电力生产的必要环节，在线运行但不具备控制功能，使用电力调度数据网络，与控制区中的业务系统或其功能模块联系紧密。典型业务系统包括调度员培训模拟系统、水库调度自动化系统、电能量计量系统等。

安全区III中的业务系统或其功能模块的典型特征为：实现电力生产的管理功能，但不具备控制功能，不在线运行，可不使用电力调度数据网络，与调度控制中心工作人员桌面终端直接相关，与安全区IV的办公自动化系统关系密切。

安全区IV中的业务系统或其功能模块的典型特征为：实现电力信息管理和办公自动化功能，使用电力数据通信网络，业务系统的访问界面主要为桌面终端，包括办公自动化系统和管理信息系统等。[6]

二、地区电力二次系统安全防护体系

1.二次系统现有业务

某地调现有自动化系统包括：南瑞OPEN2000调度自动化系统、南瑞OPEN3000调度自动化系统、北京煜邦电能量计量采集系统、北京殷图变电站图像监控系统、电力调度运行管理系统（OMS）等。

其中，南瑞OPEN2000调度自动化系统SCADA部分于2000年7月投入运行，该系统在电网调度、运方、负荷预测等方面发挥着重要的作用。南瑞OPEN3000自动化系统是于2010年6月正式投入运行，实现了对地区电网的可靠运行控制，保证了地区电网监视、控制手段的完好，确保了地区电网的安全、稳定运行。北京煜邦电能量采集系统主要实现地调所有无人值班变电站的电能量信息、瞬时量信息的采集功能，完成变电站电能量数据的采集与处理、母线平衡计算、报表统计、线损统计分析等。北京殷图变电站图像监控系统实现了无人值班变电站空间范围内的建筑安全、防火、防盗，保障了站内输变电设备的正常运行，并在事故时保持与主站的图像通信。电力调度运行管理系统（OMS）涵盖了电网调度、运方、继保、自动化等各专业，是地调管理与生产的重要组成部分。

其中，OPEN2000调度自动化系统、OPEN3000调度自动化系统、电能量计量采集系统、变电站图像监控系统等均为独立建设的自动化系统，同时均开通了Web浏览业务。

2.二次系统安全防护的实施

依据电力二次系统安全防护方案，结合地区电网实际情况，电力二次系统划分为三个安全区。安全区I为内网，安全区III、安全区IV为外网，内网和外网之间通过电力二次系统专用安全隔离装置保证了内网和外网之间的安全程度很高的可控通信。

安全区I的网络边界通过电力通信专用网与三级数据网进行通信。安全区I的数据通过汇聚交换机和安全隔离装置实现与安全区III实时Web的通信。

安全区III的网络边界通过电力通信专用网与三级数据网进行通信，同时通过防火墙过滤与安全区IV的通信，安全区III的主要业务是电力市场模拟系统、开放了Web浏览业务的各系统等。安全区IV直接面向广域网，通过防火墙过滤与安全区III的通信，主要业务包括信息通信中心OA系统。

电力二次系统安全防护的实施选用的相关主要网络设备包括：

（1）安全隔离装置。通过部署安全隔离装置保证安全区I的网络安全性，使得整个二次系统网络的规划完全符合电力二次系统安全防护方案的部署要求，保证电力二次系统的安全性。

（2）华为网络交换机。为适应对电力二次系统的安全分区的改造，在安全区I布置了一台二层交换机，在安全区III布置了一台三层核心交换机，通过部署这两台交换机起到了分区隔离、专网专用的作用。同时，也是将安全区III和安全区IV划分清楚的重要措施。

（3）天融信防火墙。通过在安全区III、安全区IV之间部署国产防火墙，起到报文过滤的作用，保证安全区III的相对安全性。

（4）瑞星企业防病毒套件。为了进一步保证安全区III的安全稳定运行，在安全区III安装瑞星企业防病毒软件，增加安全区III的防病毒的能力。

3.二次系统安全防护设备的部署

正向隔离装置涉及到的业务为安全区I内EMS系统的实时通信、报表同步和负荷预测文本传输。其中EMS系统运行在主备网络结构上，主要的通信通过A网进行，实时通信和报表同步通过同一条链路实现。为了完成EMS系统的应用改造，通过在安全区I的华为S3025C二层交换机上划分一个单独的VLAN与正向隔离装置内网口的通信;外网直接接入安全区III的核心交换机华为S6502的专用于安全隔离装置的VLAN接口上。对于安全区I与安全区III的通信，安全区I的华为S3025C交换机与安全隔离装置相连的方式为普通二层交换机的连接方式，而安全区III与安全隔离装置外网的连接是基于路由的模式，需要配置MAC绑定和ARP报文通信。

反向隔离装置涉及到的业务为：安全区IV负荷预测计划信息文本反向传入安全区I内的EMS工作站。对于安全区I与安全区IV的通信，安全区I华为S3025C交换机与安全隔离装置相连的方式，相当于普通二层交换机的连接方式，而安全区IV与安全隔离装置外网的连接是基于路由的模式，需要配置MAC绑定和ARP报文通信。

在不改变安全区IV的网络通信环境，维持现有的工作状况下，将相关的系统划分到安全III区，接入到华为S6502网络核心交换机，基于不影响安全区IV原有网络通信环境的原则，防火墙运行在路由模式下应用地址转换规则，可以将安全区III和安全区IV的网段完全划分开来。

三、二次系统安全防护的有效措施

病毒防护是实时系统与数据网络的安全措施之一，病毒的防护应该覆盖所有安全区I、III、IV的主机与工作站。安全区I的病毒特征码要求必须以离线的方式及时更新。

主机安全防护主要的方式包括：安全配置、安全补丁和安全主机加固。安装主机加固软件，强制访问符合定义的主机安全策略，防止主机权限被滥用。通过及时更新系统安全补丁，消除系统内核漏洞与后门。

通过合理设置系统配置、服务、权限，减少安全弱点。禁止不必要的应用，作为调度业务系统的专用主机或者工作站，严格管理系统及应用软件的安装与使用。定期对关键应用的数据与应用系统进行备份，确保数据损坏及系统崩溃情况下快速恢复数据与系统的可用性。[4]

纵向安全防护体系的建设，可以完善电力二次系统的安全防护体系，避免出现安全防护中的“木桶现象”。纵向加密认证是安全防护核心的纵向防线，其具体实现是通过专用的电力加密认证网关来实现，目的是通过采用认证、加密、访问控制等技术措施实现数据的远方安全传输以及纵向边界的安全防护[7]。

四、结语

地区电力调度控制中心电力二次系统的安全运行是地区电网安全运行的重要保证，根据电力调度控制中心电力二次系统的实际情况，严格按照“安全分区、网络专用、横向隔离、纵向认证”的电力二次系统安全防护总体原则，设计、制订并实施了地区电力调度控制中心二次系统安全防护方案，就二次系统安全防护设备的部署以及防护方案的具体实施进行了详细的叙述，结合行之有效的各种措施，有力保障了电力二次系统的安全运行。

同时，鉴于电力二次系统安全防护工程是一个长期的动态工程，二次系统的安全防护体系要在实施过程中根据生产实际需要不断加以修正和完善，以满足政策和文件中对电力二次系统安全防护所要求的系统性原则和螺旋上升的周期性原则。

参考文献：

[1]谢善益，梁智强.电力二次系统安全防护设备技术[M].北京：中国电力出版社，2012.

[2]陈霖.浅谈地区电网二次系统的安全防护[J].江西电力，2005，

29（3）：10-12.

[3]张建庭，朱辉强.电力二次系统安全防护体系建设要点浅析[J].信息通信，2012，（6）：279.

[4]周小燕，杨宏宇，崔恒志，等.地区电力调度中心二次系统安全防护[J].江苏电机工程，2005，24（2）：50-52.

[5]臧琦，邹倩，郭娟莉，等.电网调度自动化二次系统安全防护实践[J].电子设计工程，2011，19（20）：47-49.

[6]林虹.地调自动化系统EMS应用软件在吉安电网调度中的运用[J].江西电力，2003，26（1）：27-30.

[7]马国红，方庆军.电力二次系统纵向安全防护体系的建设[J].电力信息化，2008，6（2）：32-34.