探讨电力调度数据网安全及防护

摘要：电力调度是电力系统内部的一个组织机构即电力调度机构。也就是电网的发电、供电、用电运行组织、指挥、指导和协调中心。电力调度机构是电网运行组织、指挥、指导和协调机构。本文主要从电力调度当前网络环境和电力二次系统特点，结合相关安全防护理论，提出了电力调度数据网二次系统安全防护原则。

关键词：电力调度； 数据网；安全防护；安全

前言：

近几年电力市场开放以来，在调度中心、监控中心、变电站、电厂、用户之间进行的数据交换也越来越频繁，系统组网也越来越复杂，不同安全级别的系统越来越多，这势必会引起黑客、病毒、恶意代码等通过各种不同的形式对系统发起恶意破坏和攻击，从而导致一次系统事故或大面积停电事故，及二次系统的崩溃或瘫痪。所以确保电力调度数据网的安全、稳定、可靠，建立调度数据网的安全防护措施，具有非常重要的意义。

1. 防护原则

电力二次系统安全防护方案根据电力系统的特点及各相关业务系统的重要程度、数据流程、现前状况和安全要求，将整个电力二次系统分为四个安全区：I实时控制区、II非控制生产区、III生产管理区、VI管理信息区。其中安全区I的安全等级最高，安全区II次之，其余依次类推。调度自动化系统属于I区。

电力二次系统安全防护的基本原则：电力系统中，安全等级较高的系统不受安全等级较低系统的影响。所以对以下两个方面要求：

设备方面：

(1)各区纵向之间具有防火墙和加密装置。

(2)不同区之间数据交换具有物理隔离。

(3)同一区不同设备之间具有逻辑隔离。

业务方面：

(1)正常情况下，保证I区系统安全可靠，I区业务稳定运行；保证II区关键业务不中断；保证III、IV区业务相对稳定。

(2)异常情况下，保证不影响I区，尽量不影响II区，减少对Ⅲ、IV影响。

(3)网络在严重情况下，I区具有很强，Ⅱ区具有较强，Ⅲ、Ⅳ 具有一定的灾难恢复能力，保证重要数据不丢失。2 网络现状

某市电力调度数据网属于SPDnet的四级网络，是省电力调度数据网的一个分支，该市调CISCO7513路由器为于电力调度数据网骨干层接入点。目前，该市电力调度数据网共有8个节点，每个县为一接点，是两层网络，市到县为一层，县到变电站为一层。局直变电站经T64汇聚后和CISCO7513相连，各个县情况类似。目前到各个变电站、电厂带宽基本上都为2Mbit/s。

3. 防护策略

电力调度数据网遵循“安全分区、网络专用、横向隔离、纵向防护”的策略，并从其安全性、可行性、实时性、保密性，以及应用系统的各个层面出发，形成了较好的安全防护体系。

3.1 逻辑隔离

3.1.1 MPLS VPN

VPN(Virtual Private Network)是基于公网，利用隧道、加密等技术提供的虚拟专用网络。MPLS(Multi-Protocol Label Swtich，多协议标签交换)融合了IP路由技术灵活性和ATM交换技术简洁性优点。通过两大类VPN(安全区I与安全区II)，确保2种不同业务间的设备无法获知对方的路由信息，从而把安全区I和安全区II逻辑隔离，保证每个区相对独立和安全可靠。

3.1.2 VLAN

VLAN(英文)是虚拟局域网。把一个交换机上的以太网口虚拟出若干子网，这样即使连在同一个交换机上，若不在同一个虚拟局域网内，一个设备也无法访问别的设备。从而达到把一个交换机上不同设备、系统间逻辑隔离的目的。

电力调度数据网II区核心交换机CIS-CO3550同时连接多个系统(电能计量系统、负荷预计系统等)，为了使系统之间相互不访问对方，保证各系统相对安全、稳定，就是采用这样的技术。

3.2 物理隔离

这里所谈的物理隔离就是指物理隔离装置。目前，SPDnet网络中应用的主要有两种，按照数据传输方向，分为正向物理隔离装置和反向物理隔离装置。物理隔离装置主要特点是使内、外网在物理层隔离。一般情况下，实际的数据和服务都放在内网，外网只是一个应用系统，外网访问内网时，隔离装置都有严格的规则，只有被允许，才有内网进程向外网发起连接，能够屏蔽网络协议攻击、内容检查和过滤。因而即使外网被入侵，内网也不会有任何破坏。物理隔离装置，应用在安全性要求特别高的场合。

电力调度数据网隔离装置具体部署如图1所示。在I、II区和III、IV区之间分别安装正、反向隔离装置各两套，为冗余配置。正方向上：I区OPEN3000数据库和III区其WEB数据库同步；II电能计量系统PBS2000数据库和III区其WEB数据库同步，并以纯文本方式，实时向III区线损系统发送数据。反方向上，III区电能计量系统PBS2000 WEB数据库和II区PBS2000数据库同步。

电力调度数据网

图1 数据网分区示意图

3.3 访问控制

安全访问控制重点是通过访问控制列表做到敏感数据的有效安全访问。可以根据需要配置VTY类型线路的呼入呼出来限制TELNET用户访问，或者禁用TELNET方式，启用SSH方式登录设备。此外还可以考虑对简单网络网理协议(simple network managementprotocol，SNMP)流量进行访问控制列表(access control list，ACL)控制，限制非授权用户通过SNMP访问设备。对于智能性较高的网络设备(如路由器和防火墙)，可以禁止IP源路由功能，并且屏蔽病毒常用的网络端口甚至是所有大于1024的非业务系统用端口，启用TCP keep-alives服务以监控进入路由器或者从路由器输出的TCP连接。

3.4 病毒查杀

由于病毒的隐蔽性、随机性、快速性和破坏性，因而病毒查杀在二次安防中是必不可少的环节。该市调度数据网在安全I、II区分别部署了两台WINDOWS操作系统的瑞星病毒服务器，采用服务器客户机架构，人工定期导入病毒库服务器更新文件。能够实时保护网络中基于不同操作系统的服务器、工作站，防止各种引导型病毒、文件型病毒、宏病毒、传播速度极快且破坏性很大的蠕虫病毒等进入网络，阻止恶意的Java，ActiveX小程序等攻击系统。

3.5 灾难恢复

由于硬件损坏等不可抗拒灾难的不可预测性，因而对重要服务器或工作站，都要具有备用服务器和工作站，备有必须的应用软件，若有故障停运必须具备自动切换功能，可保证工作站在最短时间内顶替运行。另外，重要系统数据库定期备份，对灾难恢复也非常有助，如OPEN3000系统：所有采集遥测量历史数据、地区历史电量、地区历史总加负荷、遥信变位保护告警及SOE等要定期备份。

4. 结束语

以上阐述的电力调度数据网安全防护主要是从技术角度，当然还很肤浅、很不全面，如最近电力专用纵向加密装置的运用，需要部署全网统一的网络防病毒体系等。我们强调安全防护技术重要性的同时，更不能忽略了管理，管理和技术的安全措施是相辅相成，缺一不可。如：建立一支高素质的网络维护员队伍；加强运行管理，建立健全运行管理及安全规章制度，建立安全联防制度；将网络及系统安全作为经常性的工作来抓等。只有这样，技术和管理双管齐下，才能确保电力调度数据网的相对安全。