关于电力自动化系统网络安全的几点思考

摘 要：随着我国电力建设事业的不断发展，对于电力自动化系统网络安全的要求也在不断提高。为此，文章从实现电力自动化系统网络安全维护与管理的途径入手，从电力自动化系统的网络构造、防火墙、杀毒软件以及虚拟局域网等方面来分析如何实现电力自动化系统的网络安全，并论证了实现电力自动化系统网络安全的重要意义。

关键词：电力自动化；网络；安全

中图分类号：TM76 文献标识码：A 文章编号：1006-8937（2013）06-0091-02

变电站的电力自动化是一个利用微机技术来重新组合变电站控制设备、测量设备、信号设备等设备功能，使其系统结构得到优化，并对变电站进行监视、控制和测量的自动化系统。电力自动化系统通过集成传统变电站各个分离的自动专装置设备集，来实现监视、记录、分析、统计、制表等变电站的运行管理功能。而随着我国经济的发展，信息网络技术水平在不断的提高，电力系统的规模也在不断的扩大，这就为电力自动化系统带来了更多更大的工作量，同时也对系统的实用化水平和安全性能提出了更高的要求。虽然建立相关质量规范和客户服务标准在一定程度上提高的电力自动化系统的可靠性和安全性，但是作为一个具有开放性的网络信息系统，电力自动化系统很自然也必然会存在着一些潜在的，或者是明显的安全问题，这些安全威胁自电力自动化系统产生到运行的整个生命周期内都会一直存在。因此，必须重视电力自动化系统的网络安全问题。

1 电力自动化系统的概述

电力自动化系统是一个具有开放性的网络信息系统，因此，在系统建立的初期就必须要考虑到其网络的安全问题，并根据基本的网络安全防范原则做出相应的防范规划。电力自动化系统主要包括了PAS功能、DTS功能、SCADA功能、WEB服务以及系统接口等功能，而随着我国电力建设事业的发展，电力自动化系统的规模也在不断扩大，其应用也在逐渐增多，这就为电力自动化系统的网络安全带来了更大的隐患。虽然很多地方的系统管理都认识到这点，并且都采取了相应、必要的系统网络安全防范措施，但这并没有完全解决电力自动化系统的网络安全问题。主要原因有以下几点：

①由于系统的防火墙规则比较多，用户觉得太麻烦，因此就直接关闭了系统防火墙，造成电力自动化系统防护体系比较薄弱。

②电力自动化系统的建立，特别是电力调度自动化系统的建立，是需要逐步分批进行建设的，而不是一下子就能完成的，其在建设规划的时候不可避免会存在规划不一致的问题，从而使得电力自动化系统的安全设置失去了本应该发挥的作用。

③电力自动化系统网络安全的设计缺乏整体性和系统性，其安全防护的覆盖率不够全面；④部分电力自动化系统管理人员的安全管理意识比较薄弱，操作水平也偏低，还需要进一步加强。

2 关于电力自动化系统网络安全的几点思考

2.1 网络构架

根据相关的网络安全防范规范，在规划建设电力自动化系统的网络构架是应该注意以下几个方面的安全问题。

2.1.1 注意物理层面的安全

物理层面的安全是电力自动化系统的安全设计的一个重要的前提，对于地震、台风等自然灾害，以及人为的电磁干扰、操作失误、设备遭窃等这些安全因素，都属于电力自动化系统安全管理体系在物理层面的重点。因此，要实现电力自动化系统网络安全，首先就要注意系统的物理层面安全，对于系统的各个设备的选择安装、基础设施的建设等都要符合相应的规定标准；对于机房的环境，要将其湿度控制在10%～75%之间，同时采用静电地板；对于服务器的网线，要使用屏蔽双绞线，而且要使用双机冗余的服务器。

2.1.2 注意系统层面的安全

电力自动化系统的网络安全，主要是在于如何有效保障各个主机系统的安全，而要保障主机系统的安全，就要注意系统层面和操作系统的安全问题。对于目前的主机体统来说，比较常见的主机系统有Windows、Linux以及Vista等操作系统，这些系统或多或少都存在一些系统漏洞和安全方面的隐患，容易被黑客或者木马病毒等入侵，从而给电力自动化系统的网络系统带来严重的安全问题。因此，我们在选择安装主机的操作系统的时候，可以利用NTFS格式来进行主机的分区，同时要及时更新系统的漏洞补丁，安装杀毒软件等，从而最大程度上避免系统被病毒木马或者黑客入侵，保障主机系统安全，保障电力自动化系统的网络安全。

2.1.3 注意网络层面的安全

网络层面的安全也是实现电力自动化系统网络安全的一个重要保障，这是电力自动化系统的安全基础。因此，要重视对于网络结构、系统结构以及路由器的优化工作，对于网络的结构体系，要尽可能使用分层的结构，鲤鱼可以考虑冗余链路作为网络的拓扑结构，而如果电力调度网络的规模比较大，则使用双网结构最为合适。

2.2 杀毒软件

杀毒软件对于电力自动化系统的网络安全具有很好的保障作用，通过在系统中安装防护杀毒软件，在病毒的进出口处设置好系统防护，从而可以避免木马病毒对系统文档、电子文件、电子邮件等的破坏、盗窃或者串改。通过对硬盘、光盘、软盘以及网络、文件、邮件和单利服务器等进行检测查杀，从而实现对电力自动化系统的全面保护，同时还要及时更新杀毒软件以及病毒库，以避免网络新病毒成为病毒查杀的“漏网之鱼”。

2.3 系统防火墙

系统的防火墙是电力自动化系统网络安全工作的一个重点，它是保障系统网络安全的一个最基础的设施，能够过滤限制系统内部和系统外部网络之间的信息数据交换和传输。从逻辑上来说，系统防火墙是一个网络信息数据进出系统“门口”的控制器，可以有效控制系统内部以及系统外部网络之间的所有活动，对于保证电力自动化系统网络的安全具有非常重要的意义。因此，用户不能因为怕麻烦而关闭系统的防火墙。系统防火墙有两种形式，一种是硬件防火墙，另一种是软件防火墙。而在电力自动化系统中，使用比较普遍的是内嵌式硬件防火墙，例如东方电子的DF—FW系列防火墙，而对于一些大规模的电力自动化系统，往往还会使用到芯片硬件防火墙。系统防火墙在电力自动化系统的网络安全中主要有两个作用：一是作用于电力调度自动化系统中，通过接受下级传来的信息数据，然后再转发到上级，实现上下级专网的调度。二是在MIS网对SCADA网Web服务器进行访问时，防火墙可以拒绝Web服务器对于MIS网的访问，但允许MIS网对Web服务器进行访问，也即是允许单向的访问。在这两个方面中，系统防火墙各自发挥了调度和限制的作用，这些功能需要用户在开启防火墙时进行设置选择，才能使系统防火墙为用户的需求而工作和服务。

2.4 入侵检测系统

入侵检测系统简称IDS，主要是对系统的操作系统以及网络系统中存在的比较可疑的行为进行检查，并会对此做出及时的反应和处理，例如将行为记录下来，然后及时通知网络的管理员，或者切断可疑行为的入侵来源，从而避免系统被破坏，以保障电力自动化系统的网络安全。而目前，有许多的研究机构都在大力研究开发IDS，以实现其在不同系统平台之间的应用。IDS包括两种入侵检测方法，一是以规则为检测基准，又称滥用检测；另一种是以行为为检测基准；又称异常检测。我国目前使用的大多是东软入侵检测系统，东软入侵检测系统通过和东软防火墙互相陪护，从而很好地实现了电力自动化系统网络安全的实时性、主动性、动态性安全防护。

3 结 语

电力自动化系统的网络安全是一个复杂、系统、综合性的安全工作，它涉及到较多较复杂的区域，包括了系统的平台、各种物理设备以及许多的应用程序等，而对于电力自动化系统的各个区域的安全防护手段和方法也并不完全相同，甚至可以说是完全不同，这就大大增加了电力自动化系统网络安全工作的复杂程度。因此，除了要提高系统的安全防护技术，我们还要重视对系统的日常维护以及管理，以便及时发现安全隐患及时解决，从而最大限度保证电力自动化系统网络的安全，使电力自动化系统可以安全运行并实现其社会和经济效益。

参考文献：

[1] 王保义.电力信息系统信息安全关键技术的研究[D].北京：华北电力大学，2009.

[2] 张千里，陈光英.网络安全信息技术[M].北京：人民邮电出版社，2008.

[3] 邱茵.电力自动化系统运行中的数据分析及处理[J].城市建设与商业网点，2009，（21）.

[4] 张莘茸.探讨电力自动化系统的网络安全[J].科技咨询，2011，（2）.

[5] 吴国威.数字化变电站中信息处理及网络信息安全分析[A].2006中国电力系统保护与控制学术研讨会论文集[C].北京：《中国学术期刊（光盘版）》电子杂志社，2006.

[6] 冯德满，姜凤兰，李凤平，等.有效解决网络安全的对策[J].赤峰学院学报（自然科学版），2008，（8）.

[7] 于林娜.数字化变电站电力自动化技术特点、应用及发展[J].中国新技术新产品，2011，（16）.

作者简介：李宜恒（1990-）男，贵州贵阳人，武汉华中文华学院机械与电气工程学部。