馮蘭

摘 要：自第3次科技革命后，計(jì)算機(jī)越來越多地進(jìn)入人們的生活中以后，人們的生活可謂是發(fā)生了翻天覆地的變化。經(jīng)過這么多年計(jì)算機(jī)技術(shù)的發(fā)展，也出現(xiàn)了不少的問題，其中，電力二次體統(tǒng)的安全防護(hù)體系運(yùn)行就是很重要的一個(gè)，因?yàn)殡娏Χ蜗到y(tǒng)安全防護(hù)體系運(yùn)行它直接影響著計(jì)算機(jī)互聯(lián)網(wǎng)技術(shù)的發(fā)展。因此，有關(guān)部門就此專門制定了電力二次系統(tǒng)安全防護(hù)體系的設(shè)計(jì)方案以確保它能夠安全運(yùn)行，能夠有力地支撐計(jì)算機(jī)技術(shù)行業(yè)的發(fā)展。

關(guān)鍵詞：計(jì)算機(jī)技術(shù)；電力二次系統(tǒng)；安全防護(hù)體系

0 引言

隨著計(jì)算機(jī)技術(shù)的發(fā)展給人們的生活帶來了越來越多的便利，計(jì)算機(jī)在人們的日常生活中扮演的角色也越來越重要，甚至可以說人們生活的很多方面已經(jīng)離不開它了。那么，要想支撐計(jì)算機(jī)技術(shù)能夠在一個(gè)安全、可靠、穩(wěn)定的環(huán)境下發(fā)展，電力二次系統(tǒng)的安全防護(hù)就不可或缺，指定相應(yīng)的防護(hù)體系設(shè)計(jì)是必要，本文就電力二次系統(tǒng)的介紹、可能存在的問題以及電力二次系統(tǒng)安全防護(hù)體系運(yùn)行維護(hù)方面做了一些簡單的分析。

1 電力二次系統(tǒng)有關(guān)介紹

電力二次系統(tǒng)指的是指在電網(wǎng)與電廠的生產(chǎn)過程中直接相關(guān)的電力監(jiān)控系統(tǒng)、電力通信及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)，這3個(gè)部分也是組成電力二次系統(tǒng)的主要部分。

電力二次系統(tǒng)主要可以分為生產(chǎn)控制大區(qū)和管理信息大區(qū)兩個(gè)大區(qū)，這兩個(gè)大區(qū)各自分工，分別負(fù)責(zé)不同的區(qū)域和任務(wù)，共同維護(hù)電力二次系統(tǒng)的運(yùn)行。生產(chǎn)控制大區(qū)由兩個(gè)安全區(qū)組成，根據(jù)對(duì)傳輸數(shù)據(jù)實(shí)效性需求大小的區(qū)分將不同的系統(tǒng)分別放入這兩個(gè)安全區(qū)。管理信息大區(qū)同樣也是由兩個(gè)不同的安全區(qū)組成，一般情況下，這2個(gè)安全區(qū)分別為電力調(diào)度管理系統(tǒng)和電網(wǎng)生產(chǎn)管理系統(tǒng)與企業(yè)資源計(jì)劃系統(tǒng)。

根據(jù)相關(guān)要求，在生產(chǎn)控制大區(qū)和管理信息大區(qū)之間必須設(shè)置電力專用的橫向單向安全隔離裝置，在這兩個(gè)大區(qū)之間還應(yīng)該安裝可以控制訪問權(quán)限的裝置或者防火墻或者有類似功能的設(shè)備裝置。

2 電力二次系統(tǒng)主要存在問題

在電力二次系統(tǒng)的運(yùn)行中，常常會(huì)遇到各種各樣的問題，其中主要有以下幾個(gè)方面：硬件設(shè)備、應(yīng)用層、內(nèi)外部網(wǎng)絡(luò)、操作系統(tǒng)與網(wǎng)絡(luò)防護(hù)等其他的一些安全隱患。

正是由于這些安全隱患問題的存在，因此我們需要建設(shè)完善的電力二次系統(tǒng)安全防護(hù)體系，電力二次系統(tǒng)安全防護(hù)主要是為了阻止或抵抗病毒、黑客或惡意代碼等各種不同形式對(duì)系統(tǒng)發(fā)起的惡意破壞和攻擊，安全防護(hù)的重點(diǎn)是確保電力實(shí)時(shí)閉環(huán)監(jiān)測系統(tǒng)和電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全。

3 電力二次系統(tǒng)安全防護(hù)體系

3.1 安全防護(hù)體系需要考慮的問題

制定一個(gè)電力二次系統(tǒng)安全防護(hù)體系方案需要考慮以下幾個(gè)方面的問題：（1）建立電力二次系統(tǒng)安全防護(hù)體系的基本目標(biāo)是什么；（2）建立電力二次系統(tǒng)安全防護(hù)體系要遵守哪些基本原則；（3）劃分電力二次系統(tǒng)安全防護(hù)體系的安全分區(qū)。

首先，確定基本目標(biāo)，也就是建立電力二次系統(tǒng)安全防護(hù)體系主要是為了什么？主要的功能作用是什么，通過上文分析我們知道電力二次系統(tǒng)安全防護(hù)體系主要是為了阻止或抵抗病毒、黑客或惡意代碼等各種不同形式對(duì)系統(tǒng)發(fā)起的惡意破壞和攻擊，其中安全防護(hù)的重點(diǎn)是確保電力實(shí)時(shí)閉環(huán)監(jiān)測系統(tǒng)和電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全。

其次，我們需要注意的是建立這個(gè)安全防護(hù)體系時(shí)需要遵循的基本原則有哪些。根據(jù)國家相關(guān)文件的要求，在電力二次安全防護(hù)系統(tǒng)中，安全等級(jí)高的系統(tǒng)不能夠被安全等級(jí)低的系統(tǒng)所影響。并且，電力監(jiān)控系統(tǒng)的安全等級(jí)需要比電力管理信息系統(tǒng)高，各電力監(jiān)控系統(tǒng)必須自身擁有安全可靠且安全等級(jí)高可靠性較強(qiáng)的安全防護(hù)設(shè)施，且不能夠直接與安全等級(jí)與可靠性低的系統(tǒng)相聯(lián)。

最后，我們需要?jiǎng)澐蛛娏Χ蜗到y(tǒng)安全防護(hù)體系的安全分區(qū)。原則上，基于計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的內(nèi)部系統(tǒng)一般可以分為生產(chǎn)控制和管理信息兩個(gè)大區(qū)，其中生產(chǎn)控制大區(qū)又包含了控制區(qū)和非控制區(qū)這兩個(gè)安全區(qū)，管理信息大區(qū)在不使生產(chǎn)控制大區(qū)受影響的情況下又分為了生產(chǎn)管理區(qū)和管理信息區(qū)這兩個(gè)安全區(qū)。

3.2 安全防護(hù)體系的總體方案

電力二次系統(tǒng)安全防護(hù)體系的方案主要包括橫向隔離和縱向認(rèn)證。

其中，橫向隔離是使各個(gè)安全區(qū)相互獨(dú)立，互不干擾，當(dāng)其中某一區(qū)域受到病毒或惡意代碼等攻擊時(shí)能夠保證其他安全區(qū)安全無虞不受影響。橫向隔離的關(guān)鍵技術(shù)是實(shí)時(shí)數(shù)據(jù)傳輸專用物理隔離設(shè)備，配置LINUX內(nèi)核，取消所有網(wǎng)絡(luò)功能，采用非INTEL指令系統(tǒng)微處理器，其中非網(wǎng)絡(luò)方式部分的內(nèi)部通信支持安全島。單向數(shù)據(jù)通信控制單向聯(lián)接控制，防止穿透性TCP連接，應(yīng)用層解析，支持身份驗(yàn)證，支持應(yīng)用層特殊標(biāo)識(shí)，并且具有靈活方便的管理界面。

隔離設(shè)備主要有正向型網(wǎng)絡(luò)安全隔離設(shè)備和反向型網(wǎng)絡(luò)安全隔離設(shè)備，正向型主要采用軟、硬結(jié)合的安全措施，軟件上采用的是綜合過濾、應(yīng)用代理技術(shù)實(shí)現(xiàn)鏈路層、控制訪問和網(wǎng)絡(luò)層與應(yīng)用層的隔離，硬件上面采用的是雙嵌入式的計(jì)算機(jī)結(jié)構(gòu)。反向型隔離設(shè)備通過文件發(fā)送軟件來實(shí)現(xiàn)傳輸，并且在傳輸?shù)倪^程中進(jìn)行身份驗(yàn)證，只有通過檢查的報(bào)文才能夠進(jìn)入內(nèi)網(wǎng)，來確保網(wǎng)絡(luò)系統(tǒng)的安全性可靠性。

縱向認(rèn)證的防護(hù)措施指通過加密、認(rèn)證和控制訪問等方法來完成數(shù)據(jù)的遠(yuǎn)程傳輸，縱向認(rèn)證的主要安全防護(hù)技術(shù)和產(chǎn)品包括網(wǎng)絡(luò)數(shù)據(jù)、備份與恢復(fù)、惡意代碼防范、防火墻、主機(jī)加固、入侵檢測、電力調(diào)度數(shù)字證書、電力專用橫向隔離裝置、縱向認(rèn)證加密裝置和加密認(rèn)證網(wǎng)關(guān)、遠(yuǎn)程撥號(hào)訪問、安全審計(jì)和安全掃描等。

從管理信息大區(qū)安全的需求上來說，防火墻和入侵檢測IDS的設(shè)置是是非常必要的。首先，防火墻可以設(shè)置在生產(chǎn)控制大區(qū)的兩個(gè)安全區(qū)之間，實(shí)現(xiàn)這兩個(gè)區(qū)域的邏輯隔離，另外，入侵檢測IDS的設(shè)置能夠增加調(diào)度業(yè)務(wù)的可靠性。國家對(duì)于生產(chǎn)控制大區(qū)和管理信息大區(qū)的安全性有著很高的要求，因此設(shè)置電力專用單向橫向安全隔離裝置是必須的，國產(chǎn)的硬件防火墻是一個(gè)很好的選擇，它能夠隔離禁止安全風(fēng)險(xiǎn)高的信息穿越通過系統(tǒng)，確保系統(tǒng)的安全、可靠運(yùn)行，并且通過加密認(rèn)證設(shè)施 來加強(qiáng)安全性。

另外，主機(jī)防護(hù)、計(jì)算機(jī)系統(tǒng)本地訪問控制和關(guān)鍵應(yīng)用系統(tǒng)服務(wù)器訪問控制也是比較重要的技術(shù)。主機(jī)保護(hù)主要靠安全配置、安全補(bǔ)丁、主機(jī)加固和應(yīng)用目標(biāo)4部分組成，它們通過合理地設(shè)置系統(tǒng)配置、權(quán)限等，加強(qiáng)安全，消除系統(tǒng)內(nèi)核漏洞與后門，防止主機(jī)權(quán)限被濫用。訪問控制主要是通過調(diào)度系統(tǒng)內(nèi)部關(guān)鍵應(yīng)用，增強(qiáng)身份認(rèn)證、控制訪問、授權(quán)、安全通信和行為審計(jì)等方面的安全性。當(dāng)然，除了以上這些之外，還有其他措施，比如一些應(yīng)用系統(tǒng)合理設(shè)置權(quán)限等。

3.3 建立完善的安全管理制度

俗話說得好，三分靠技術(shù)七分靠管理，因此，在制定了系統(tǒng)的電力二次系統(tǒng)安全防護(hù)措施之后，還應(yīng)該建立完善的安全管理制度來加強(qiáng)運(yùn)行管理。主要可以從以下幾個(gè)方面來考慮，首先，在人員的應(yīng)用上要建立一定的規(guī)章制度，確保人員管理要到位，其次，對(duì)于權(quán)限管理和訪問控制管理也要有一定的加強(qiáng)措施，最后，在設(shè)備以及子系統(tǒng)的維護(hù)管理、惡意代碼的防護(hù)、數(shù)據(jù)及系統(tǒng)的備份管理方面也要注意加強(qiáng)，還應(yīng)該制定一些應(yīng)急預(yù)案措施以防止突發(fā)事件的發(fā)生。只有做了足夠的充分的準(zhǔn)備措施，在一些故障或者突發(fā)事件到來時(shí)我們才不會(huì)慌張，因此，平時(shí)的管理工作不容忽視且必須要做好做到位。

4 結(jié)語

電力二次系統(tǒng)安全防護(hù)系統(tǒng)不僅是計(jì)算機(jī)技術(shù)良好發(fā)展的支撐，同時(shí)也是電力系統(tǒng)安全運(yùn)行的保障。電力二次系統(tǒng)安全防護(hù)工作不是一時(shí)的，它需要長期的工作運(yùn)行，并且安全防護(hù)體系也不是一成不變的，它的設(shè)計(jì)方案需要隨著時(shí)代科技環(huán)境的發(fā)展變化而變化發(fā)展，只有與時(shí)俱進(jìn)跟上時(shí)代技術(shù)發(fā)展的步伐了，才能夠不被淘汰，更好地支撐計(jì)算機(jī)技術(shù)的發(fā)展。也許前進(jìn)的過程中會(huì)受到阻礙，但是相信我們的技術(shù)人員一定能夠排除萬難，繼續(xù)為電力二次系統(tǒng)安全防護(hù)體系事業(yè)錦上添花，加上濃墨重彩的一筆。

參考文獻(xiàn)

[1]李勁.論述廣西電力二次系統(tǒng)安全防護(hù)技術(shù)原則[J].廣西電力，2005，28（4）：18-21.

[2]李志杰，牛玉臣，閻明波.調(diào)度自動(dòng)化二次系統(tǒng)安全防護(hù)體系[J].電工技術(shù)，2006，（12）：24-26.

[3]張曉陽，方磊.電力行業(yè)二次安全防護(hù)解決方案[J].信息安全與通信保密，2008，（8）：42-43.

（作者單位：國網(wǎng)四川省電力公司南充供電公司）