综述电力二次自动化系统安全防护设计

摘要：计算机以及互联网技术的飞速发展给电力二次系统的安全防护提出了更高的要求。为此，国家电力监管委员会制定并颁布了《全国电力二次系统安全防护总体方案》，用以保障电力二次系统的安全稳定运行。文章分析了影响电力二次系统安全的若干因素，结合当前的技术手段，就如何加强电力二次系统的安全性提出了防护策略。

关键词：智能电网；自愈控制；电力免疫系统

中图分类号： U665.12 文献标识码： A

0 引言

计算机及互联网技术在日常生活和工作中得到了广泛的应用和发展，在关系到社稷民生的电力系统中，更是不可或缺的一部分。随着科技的日益进步，黑客及恶意代码对互联网和个人电脑的危害愈来愈深，同时也威胁着电力系统。因此，《全国电力二次系统安全防护总体方案》的出台无疑为有效地保障电力二次系统的安全提供了可靠的指导思想。

要保证现代电力系统能够安全稳定、高效可靠的运行，一个高效、可靠、复杂的计算机基础网络是不可或缺的，那么在面对黑客或恶意代码的攻击时，其安全问题就相应地被摆到了重要位置。根据“总体方案”的要求，无论是实时性要求高的调度自动化、配网自动化等二次自动化系统，还是实时性要求低的电能量计量、故障信息等系统，都要配置满足相应要求的设备，并制定详细的管理细则，用以保障系统安全地运行。

1 电力二次自动化系统安全隐患分析

1.1 电力二次系统

全国电力二次系统是指由各级电力监控和调度数据网络（SPDnet）以及各级电网管理系统（MIS）、电厂管理信息系统、电力通信系统及电力数据通信网络（SPTnet）等构成的极其复杂的巨大系统。二次系统划分为生产控制大区和管理信息大区。生产控制大区划分为安全区Ⅰ（控制区）和安全区Ⅱ（非控制区）。把监控与数据采集系统（SCADA）和应用软件系统（PAS）等可以控制电网并且对数据传输实时性要求较高的系统划分到安全区Ⅰ，把不直接控制电网或实时性要求不高的电能量计量系统（TMR）和调度员培训系统（DTS）等划分到安全区Ⅱ。管理信息大区又分为安全区Ⅲ（生产管理区）和安全区Ⅳ（办公管理区）。安全区Ⅲ主要是电力调度管理系统（OMS），安全区Ⅳ主要是电网生产管理系统（GPMS）和企业资源计划系统（ERP）等。

1.2 相关硬件设备的安全威胁

电脑机房、网络设备、通信线路、安全设备等相关设备和线路的安全管理是保证二次自动化系统能够安全稳定运行的前提。但这些设备都面临着自然灾害、人为灾害（操作失误、被盗、断电、恶意破坏等）或辐射导致的威胁，如若出现这种情况，会给用户造成极大损失。

1.3 相关网络防护和操作系统的安全威胁

通常在安全区Ⅰ和安全区Ⅱ之间加装防火墙，对其预先设定的策略进行匹配，可以控制进出网络的信息流向和信息包，这是网络的第一道防线。但由于防火墙自身的局限性，无法对数据包及上层的内容进行核查，并且对待内部主动发起的攻击一般无法阻止。防火墙本身就是一个OS，也有其硬件系统和软件，因此依然有着不足，所以其本身也可能受到攻击并出现软、硬件方面的故障。计算机的操作系统（Windows系统、Unix系统、Linux系统等）日趋稳定和高效，但是缺省安装的操作系统会产生很多漏洞，对二次系统的安全运行产生极大威胁。

1.4 应用层的安全威胁

应用层的安全通常依赖于网络平台、操作系统、数据库的安全，但是应用系统相当复杂，如没有妥善解决其安全问题，这些安全漏洞或是不合理的配置都可能导致整个网络系统的安全性下降。

1.5 内外部网络的安全威胁

系统管理员如安全配置不当造成安全漏洞，内部人员若违规操作，将自己的账号随意借与他人或与别人共享都会为网络安全带来威胁。内部人员自身的恶意攻击是整个网络面临的最大威胁。一种是主动攻击，选择性地破坏信息；一种是被动攻击，在不影响整个网络正常工作的前提下，截获、盗取或是破译信息。不管是主动攻击还是被动攻击，都会对整个计算机网络造成极大危害。

由于生产和工作的需要，若内部网络与外部网络进行连接，如果缺少隔离措施，内部网络的安全漏洞很容易受到外部入侵者的利用，造成系统拒绝服务，或者信息被窃取或篡改的风险。

电力二次系统安全防护的目标是抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击，特别是能够抵御集团式攻击，防止由此导致一次系统事故或大面积停电事故及二次系统的崩溃或瘫痪。在电力二次自动化系统的运行过程中，可能会出现很多导致其无法正常运行的威胁，因此，在二次系统的安全防护设计过程中，必须坚持以下原则，即：安全分区、网络专用、横向隔离、纵向认证，保障电力监控系统和电力调度数据网络的安全。

2 电力二次自动化系统的安全防护策略

2.1 分区防护及安全区的隔离

根据系统中业务的重要性和对一次系统的影响程度进行分区，重点保护电力实时控制以及重要生产业务系统。所有系统都必须置于相应的安全区内，纳入统一的安全防护方案，不符合安全防护总体方案要求的系统必须整改。安全区Ⅰ与安全区Ⅱ之间采用逻辑隔离，通过双链路连接互为备份，每条链路上都需要部署一台防火墙，并要求两台防火墙之间能够同步流量和会话信息，互相作为备份。禁止跨越安全区Ⅰ与安全区Ⅱ的e-mail、web、telnet、rlogin。安全区Ⅰ、Ⅱ与安全区Ⅲ、Ⅳ之间隔离水平必须接近物理隔离，禁止跨越安全区Ⅰ、Ⅱ与安全区Ⅲ、Ⅳ的非数据应用穿透。隔离设备采用专用网络安全隔离设备，且必须满足以下条件：具有物理隔离能力的硬件结构，保证了内部网络和外部网络的物理隔离。软、硬件结合的数据流向控制，通过安全策略实现软控制，通过物理开关实现硬控制，Socket连接方向的控制，IP与MAC地址绑定。同一安全区内纵向联络使用 VP N网络进行连接。

2.2 纵向防护

采用认证、加密、访问控制等手段实现数据的远方安全传输以及向边界的安全防护。安全区Ⅰ、Ⅱ内部的纵向通信过程，主要考虑是两个系统之间的认证，建议采用IP认证加密装置之间的认证来实现，集中在以下方式：IP认证加密装置之间支持基于数字证书的认证，支持定向认证加密；对传输的数据通过数据签名与加密进行数据机密性、完整性保护；支持透明工作方式与网关工作方式；具有基于IP、传输协议、应用端口号的综合报文过滤与访问控制功能；实现装置之间智能协调，动态调整安全策略；具有NAT功能。

2.3 网络隔离

通过采用MPLS—VPN或IPsec—VPN在专网上形成相互逻辑隔离的多个VPN，达到在专用通道上建立调度专用数据网络实现与其他数据网络物理隔离的目的。用以保障各安全区的纵向互联仅在相同安全区进行，避免安全区纵向交叉。另外，若非绝对必要不可使用SNMP、DHCP以及Web管理等服务。如果使用远程访问，虽然可以方便系统的远程维护，实现厂家在线技术支持，但是通过INTERNET的访问，系统必将暴露无疑，这为攻击提供了访问端口，部分病毒很可能趁机入侵系统，导致严重后果。

2.4 提高网络操作系统的可靠性

操作系统应选用运行稳定，且具有完善的访问控制和系统设计的操作系统。最好选用应用量少的版本。不论选用何种操作系统，均应及时安装最新的补丁程序，提高操作系统的安全性和稳定性。

2.5 严格的防病毒措施

电脑病毒的演变速度超乎想象，虽然杀毒软件会定期升级病毒库，但是基于安全区Ⅰ的自动化系统，不可能直接远程升级特征库代码。传统的方法是由维护人员定期使用移动介质把下载好的病毒代码手动更新到防病毒中心。但无论是采取移动设备还是通过网络连接的方式更新病毒库，都会将系统暂时暴露在安全防护体系之外。因此，设置一立的病毒升级服务器可以解决此问题。病毒服务器可以设置于安全区Ⅲ，该服务器可以采用Linux系统为操作平台（KDE平台），并加装防病毒软件，利用KDE系统的文件管理功能处理获取的病毒特征库文件，经过本机杀毒后，再经过物理隔离设备提供给总线结构连接的EMS网络各设备，从而实现系统设备病毒库的安全升级。另外，必须将EMS提供的I/O设备与服务器断开，杜绝出现系统崩溃等故障。

2.6 其他安全防护策略

在二次系统的建设和维护过程中，应严格按照相关规定执行。从多方面加强管理，规范流程。在系统建成竣工后，应修改密码，改变防火墙策略，关闭为厂家提供的通道。在后期维护中，尽量在厂家的指导下进行维护工作，对于确实解决不了的问题，可建立远程维护通道，操作完成后应及时关闭远程维护通道。

电力企业成立专门的二次系统安全防护领导小组，负责组织管理和具体工作。制定完善的二次系统安全防护制度，加强制度的宣传，提高员工的安全防护意识，并定期举行员工培训，使二次系统安全防护的重要性深入人心。做好重要系统软件、数据的备份，确保在数据缺失、系统崩溃等恶劣情况下能够快速回复数据和系统。

管理部门应定期对二次系统安全体系进行安全性风险评估，或在发生重大变动后重新进行评价。评价工作包括检查相应的安全措施、管理制度是否建立健全；防火墙、入侵保护装置、物理隔离装置、防病毒系统的安全策略是否合理；数据备份是否完整、可靠。根据评估检查中找出的安全隐患，及时制定出有效的整改措施。

3 结论

电力二次自动化系统的安全防护与计算机网络安全密不可分，完成这样的一个系统工程，不仅要防止黑客的非法入侵，以保障系统的安全性，更要保证系统之间能够畅通地进行共享与交互。二次系统的安全防护是一个长期的、动态的过程，为确保二次系统的安全，需要多种防护技术结合，形成完整有效的二次系统安全防护体系。同时，还要建立健全并完善安全管理制度，加强员工的安全意识，将安全工作纳入到日常管理工作中，使技术和管理相辅相成，保证二次系统的安全稳定运行。

参考文献：

[1] 李冀．电力二次自动化系统安全防护设计[J] ．安徽电气工程职业技术学院学报，2007，12（03）：127．

[2] 黄晟．电力网及发电厂二次系统的安全防护[J] ．安徽电力科技信息，2005，（06）8-11．