电力调度数据网安全防护设计及实现

[摘 要]电力二次系统的安全防护关系到整个电网的供电稳定和安全，对人们的生产生活有着重要的影响。如今网络安全问题愈演愈烈，对电力调度数据网的安全造成了很大的威胁。因此，必须应用相应的安全技术，对电力调度数据网的网络设备进行安全防护，保障电力调度数据网的平稳、安全运行。

[关键词]电力调度；数据网安全；防护设计

中图分类号：F407.61 文献标识码：A 文章编号：1009-914X（2015）21-0261-01

随着各级网络技术的延伸与扩展，网络规模日趋庞大，技术成分更加复杂，电网调度在自身规划中的安全隐患与设计缺陷不断暴露，成为我国电网安全运行的重大阻碍。因此积极推动实现电力调度数据网安全技术升级改良成为电力系统安全调度的重点工作。

一、管理制度安全

管理制度是保证调度数据网运行安全和使用效率的基础，在控制网络运行期间应根据实际工作需要编制科学合理的管理制度，在保证安全稳定的前提下让数据网得到充分运用。制度安全是整个安全防护体系中最为关键的一环，需要顾及多项不同工作的安全保障制度，如：安全防护组织机构、人员管理制度、机房管理制度、网络设备管理制度、操作安全管理制度、值班登记制度等等，同时还要编制科学的防范体系，维持整个制度管理方案的正常执行，从而保证网络使用单位及部门之间协调工作。作为电力企业的网络维护人员，应参照调度数据网自身面临的诸多网络安全威胁，积极创建一套适合本地数据网络现状的安全防护体系，一般需涉及的内容包括制度安全、网络安全、应用安全等方面，并做好应急预案及演练工作，确保紧急情况下网络的安全稳定运行。

二、物理环境安全

物理安全主要指电力周边设施对电力调度数据网安全的影响，这是调度数据网络安全的前提。安全高效的物理环境可以保护数据网免受水灾、火灾等环境事故及个人操作事物的影响。物理环境主要包括基本的机房环境、电力调度场地及对应的供电设备安全。积极做好机房环境优化，设置必要的设备防盗防护体系，处理好日常的防雷、防静电等，在物理环境的优化上要根据具体数据网的特点进行合理布置。

三、网络运行安全

1.设备安全

电力调度系统的安全运行要立足于调度数据网内各项设备功能的发挥，只有在保障设备稳定运行的基础上才能保证系统正常运行。对网络设备的安全管理需从不同角度进行，一般采取的措施包括：

（1）账号安全。账号的存在是为了对网络访问者进行验证，避免非法者进入网络系统而造成损坏。保护账号安全主要应利用设备自身的用户管理机制来做好账号管理工作，对设备的安全运行进行有效控制。在主要网络设备上应对用户选择2种及以上组合鉴别技术进行身份验证，同时还应具有登陆失败处理功能，对身份验证失败的用户进行处理，并告警提示。

（2）配置安全。对电力数据网内的重要数据信息定期实行备份处理，并且对每一次关键设备上的配置修改都进行记录，这样才能保证设备档案信息的有效性。

（3）审计安全。根据《电力二次系统安全等级保护要求（试行）》，整个调度网络系统还应具备审计功能，可以对系统中的设备运行状况、网络流量、用户行为等进行日志记录，以供日后分析。

（4）维护安全。即平时要定期安排技术人员进行设备巡视，检查配置文件的完整性和无错误，并定期升级设备操作系统，防止由于系统漏洞造成的系统崩溃及安全问题。

2.结构安全

计算机网络的拓扑结构，是指计算机或设备与传输媒介形成的结点与线的物理构成模式。良好的网络结构可以大大提高网络的通信速度，并减轻网络通信负荷，保证主要网络设备在业务高峰期正常进行数据传输。保证调度数据网的结构安全可以从以下方面着手：

（1）使用冗余技术来设计网络拓扑结构，提供主要网络设备、通讯线路的硬件冗余；

（2）按照业务的重要性来指定带宽分配优先级别，从而保证在网络高峰期优先保障重要业务的带宽；

（3）对每个业务系统单独划分安全域，每个域的网络出口唯一；（4）做好维护工作，如绘制网络拓扑图、填写设备IP登记表等，并及时更新。

3.边界防护及访问控制

很多入侵者都是通过访问的途径非法控制网络，一般都是在数据传输期间进入网络内部盗取信息。要避免这一问题的出现，就需要在网络边界和访问控制2方面采取有效的防护措施，切实保障数据网络安全运行。具体可采用以下手段：

（1）严格按照“安全分区、网络专用”的原则，合理对本区调度数据网络进行规划，根据系统中业务的重要性和对一次系统的影响程度进行分区，将系统分为实时控制区、非控制生产区、生产管理区和管理信息区，重点保护生产控制以及直接进行电力生产的系统，保证电力调度数据网与其他网络实现安全隔离，并通过采用MPLSVPN或IPsecVPN在调度数据网内部分别形成多个相互逻辑隔离的VPN，以实现多层次的保护。

（2）根据“横向隔离、纵向认证”的原则，在网络中部署必要的安全防护设备。电力系统常用的网络安全设备有防病毒服务器、防火墙、入侵检测系统、横向隔离装置及纵向认证装置等，配合路由器、交换机等网络设备自有的安全服务，可用于各安全区内部及网络边界防护。由于电力二次系统网络在运行时必须要经过网络边界，这就为各项非法入侵提供了可趁之机，因此可在网络边界路由器、交换机上开启ACL访问控制，配合防火墙上严密的访问控制策略，并结合防病毒服务器、横向隔离装置或纵向加密装置对二次系统实施有效的安全防护。该防护方案基本可以抵制常见的外来攻击、病毒和恶意代码，而入侵检测系统则是这一方案的核心，它可以在运行设备出现异常状况时及时采取紧急处理措施，并警示网络技术人员处理。

（3）实现VLAN和VPN隔离。使用VLAN和VPN隔离技术可以将整个网络在逻辑上划分为不同大小的逻辑子网，每个子网之间无法直接通信，这样既可以减小网络广播风暴的影响，也可以对网络上不同的业务之间进行隔离，从而提高系统的安全稳定性。

而VPN内部的流量和数据传递则需通过路由器、三层交换机等三层网络设备，采用BGP/MPLSVPN技术进行处理，这样就可以满足对网络节点之间控制的需要。

（4）优化网络服务。网络服务可以为数据传输运行提供保证，避免数据信息的破坏受损，关闭网络设备中不安全和不必要的服务能及时控制非法入侵行为。为了提高网络服务性能，还可根据自身实际情况，选择性禁用设备的HTTP、FTP、TELNET、SMTP、POP3等服务，或对其设定访问控制，关闭多余的服务。对于必须要用到的服务，则应记录在案，并部署必要的审计设备进行监视，一旦发现异常立即进行处理。同时，还可选择MD5方式对路由更新源的合法性进行验证处理，进一步提高系统安全水平。

四、系统安全管理技术分析

电力调度数据网本身具有网络系统的复杂性，只有积极做好网络系统的安全管理才能实现电力的合理调度。系统管理工作涉及项目繁多，涉及主要的设备采购及软件开发、工程建设、系统备案等多个方面。在进行系统安全管理时要积极做好核心设备的采购、自行或外包软件开发过程中的安全管理、设置必要的访问限制、安全日志及安全口令、漏洞扫描，为系统及软件的升级与维护保驾护航。

五、应用接入安全技术分析

在电力调度的数据网安全技术中，应用接入安全是不可忽视的重要组成部分。目前由于电力二次系统设备厂家繁多，目前国家没有明确统一的指导性标准可供遵循，导致生产厂家的应用接入标准不一，无形之中为安全管理工作带来诸多不便。因此在优化电力调度数据网安全系统时，可以依据调度数据网本身的运行需求，从二次系统业务的规范接入、通信信息的完整性及剩余信息的保护等方面着手，制定出切实可行的安全防护机制，从根本上保障电力调度数据网络的安全稳定。

结束语

电力调度数据网的安全性，对电力企业供电的稳定和人民的用电安全都有着重要的作用。因此，相关的法律法规对于电力调度数据网的网络提出了很高的要求。要保障电力调度数据网在复杂的网络环境中的安全，就需要积极应用安全技术，以减少各种安全隐患，提高电力调度数据网的自动化水平和安全性能，保障其平稳、安全运行。

参考文献

[1] 王晓英.电力调度数据网安全防护设计及实现[J].信息安全与通信保密，2012.

[2] 胡娟.电力调度数据网结构特性分析[J].中国电机工程学报，2009.