(蒲石河抽水蓄能有限公司，遼寧 丹東 118000)

0 引言

基于社會經(jīng)濟(jì)的發(fā)展，以及信息技術(shù)的革新，電力系統(tǒng)的信息化、自動化水平不斷的提升，電力二次系統(tǒng)也逐漸得到了完善。在電力系統(tǒng)的運行過程中，電力二次系統(tǒng)則是影響其安全平穩(wěn)運行的重要因素，對于電廠與電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)絡(luò)信息的安全傳輸具有重要的影響。電力二次系統(tǒng)的安全防護(hù)工作主要是通過技術(shù)手段和管理措施，實現(xiàn)電力系統(tǒng)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全傳輸，在數(shù)據(jù)傳輸?shù)倪^程中保證電氣量和監(jiān)控實時數(shù)據(jù)不受攻擊，保障各種電氣設(shè)備的安全運行。因此，做好電力二次系統(tǒng)的安全防護(hù)工作，能夠有效保證電力系統(tǒng)安全平穩(wěn)運行。

1 現(xiàn)階段電力二次系統(tǒng)安全防護(hù)體系概述

在現(xiàn)階段電力二次系統(tǒng)安全防護(hù)工作中，供電局是依據(jù)電監(jiān)會《電力二次系統(tǒng)安全防護(hù)規(guī)定》的要求，實現(xiàn)“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的電力調(diào)度數(shù)據(jù)網(wǎng)，將電力二次系統(tǒng)劃分為生產(chǎn)控制大區(qū)和信息管理大區(qū)，如圖1。首先，生產(chǎn)控制大區(qū)分為控制區(qū)和非控制區(qū)，將應(yīng)用軟件系統(tǒng)、數(shù)據(jù)采集系統(tǒng)等控制電網(wǎng)且對數(shù)據(jù)傳輸實時性要求高的系統(tǒng)分到控制區(qū)，將電能量計量系統(tǒng)、調(diào)度員培訓(xùn)仿真系統(tǒng)等不直接控制電網(wǎng)、對于信息傳輸時效性要求不高的系統(tǒng)劃分到非控制區(qū)，在控制區(qū)和非控制區(qū)之間安裝防火墻、配置訪問策略來保護(hù)控制區(qū)。其次，管理信息大區(qū)則分為生產(chǎn)管理區(qū)和辦公管理區(qū)。生產(chǎn)管理區(qū)主要是電力調(diào)度生產(chǎn)管理信息系統(tǒng)，辦公管理區(qū)則是安全生產(chǎn)管理系統(tǒng)和企業(yè)資源計劃系統(tǒng)等。在電力系統(tǒng)二次系統(tǒng)安保防護(hù)體系中，管理信息大區(qū)與生產(chǎn)控制大區(qū)的連接處則是重點防范對象，需要安裝物理隔離裝置，才能保證信息數(shù)據(jù)傳輸?shù)陌踩浴?/p>

圖1電力二次安全防護(hù)體系圖

2 電力二次系統(tǒng)安全防護(hù)體系中存在的隱患

2.1 安全防護(hù)措施不完善

在當(dāng)前電力二次安全防護(hù)體系中，防火墻對輸出和輸入的信息數(shù)據(jù)依據(jù)預(yù)先設(shè)定的規(guī)則進(jìn)行匹配，符合規(guī)則的放行，發(fā)揮其訪問控制的作用，成為網(wǎng)絡(luò)安全的第一道防線。但是，防火墻職能對進(jìn)出安全區(qū)的數(shù)據(jù)進(jìn)行分析，對安全區(qū)內(nèi)部的情況發(fā)揮不到作用。另外，防火墻自身具有一定的局限性，只能防御網(wǎng)絡(luò)層以下的攻擊，對更高層次的攻擊則不能進(jìn)行預(yù)判。此外，盡管一些供電單位在控制區(qū)和非控制區(qū)安裝了防火墻，但對于防火墻的安全策略沒有仔細(xì)落實，不能有效發(fā)揮其防護(hù)作用，在這種情況下，防火墻安不安裝并沒有多大的意義。

2.2 數(shù)據(jù)備份方式單一

在當(dāng)前電力二次安全防護(hù)系統(tǒng)的安全管理措施中，主要是以防火墻和物理隔離裝置為核心，在一定程度上改善了網(wǎng)絡(luò)上的安全問題。但是，由于網(wǎng)絡(luò)安全防護(hù)技術(shù)一般落后于黑客的攻擊技術(shù)，導(dǎo)致其不能有效解決網(wǎng)絡(luò)安全問題，為保證系統(tǒng)受攻擊后將損失降到最小，則需要做好數(shù)據(jù)備份，但若是數(shù)據(jù)備份方式過于單一，則這條安全防線可靠性并不高。

2.3 系統(tǒng)安全管理依賴技術(shù)

盡管應(yīng)用先進(jìn)的技術(shù)能夠提升電力二次系統(tǒng)的安全防護(hù)能力和防護(hù)水平，但是技術(shù)防護(hù)措施并不是唯一提升電力二次系統(tǒng)防護(hù)能力的措施。對于供電企業(yè)來說，完善的電力二次系統(tǒng)防護(hù)體系是指技術(shù)、制度、人員、管理等方面在內(nèi)的安全體系，缺一不可，否則將會嚴(yán)重降低電力二次系統(tǒng)的安全防護(hù)能力。

2.4 防病毒系統(tǒng)缺乏有效性

在電力二次系統(tǒng)中部署防病毒體系，能夠通過自動化管理手段，升級病毒代碼和掃描引擎。但是在二次系統(tǒng)內(nèi)不能連接因特網(wǎng)，導(dǎo)致防病毒中心的病毒代碼無法升級，也不能實現(xiàn)客戶端升級。一些供電單位存在管理者或者技術(shù)人員忽視病毒傳播的危害和多樣性，并沒有在二次系統(tǒng)與辦公系統(tǒng)之間采用科學(xué)的安全隔離措施，導(dǎo)致病毒在兩個系統(tǒng)之間來回傳播和擴(kuò)散，病毒具有極強(qiáng)的破壞性、隱蔽性和極快的傳播速度，嚴(yán)重威脅二次系統(tǒng)的穩(wěn)定運行。

2.5 外防重于內(nèi)防

在電力二次系統(tǒng)安全防護(hù)體系中，各類安全設(shè)備一般是限制外網(wǎng)來保護(hù)內(nèi)網(wǎng)，對外網(wǎng)接入進(jìn)行保護(hù)，但是在實際的運行中，電力單位系統(tǒng)的攻擊一般來自外網(wǎng)，對內(nèi)網(wǎng)造成不同程度的損害。

3 電力二次系統(tǒng)安全防護(hù)體系的安全防護(hù)策略

3.1 防火墻防護(hù)措施

在電力二次系統(tǒng)運行中，防火墻軟件與硬件構(gòu)成了第一道安全防線，是非常重要的保護(hù)設(shè)備。防火墻一般部署在內(nèi)外部網(wǎng)絡(luò)的邊緣，具有過濾數(shù)據(jù)、驗證身份、掃描病毒等功能，電力二次系統(tǒng)一般采用硬件防火墻+軟件防毒軟件的安全防護(hù)模式，來保障系統(tǒng)平穩(wěn)安全運行。在當(dāng)前階段，應(yīng)用較為廣泛的防火墻類型為包過濾防火墻，其主要依據(jù)端口號、協(xié)議類型、目標(biāo)地址、源地地址等內(nèi)容對數(shù)據(jù)信息進(jìn)行核判，將滿足防火墻規(guī)則的數(shù)據(jù)輸送到目的地，不滿足防火墻規(guī)則的數(shù)據(jù)則被丟棄。在現(xiàn)階段，包過濾防火墻應(yīng)用程序包括兩種，一是動態(tài)包過濾防火墻，能夠有效追蹤每一個電力二次系統(tǒng)建立的連接，依據(jù)實際情況實時修改防火墻過濾規(guī)則；二是靜態(tài)過濾防火墻，能夠依據(jù)定義好的過濾規(guī)則分析相關(guān)的數(shù)據(jù)包。在二次防護(hù)系統(tǒng)做好防火墻保護(hù)措施，能夠有效提升電力二次系統(tǒng)的安全防護(hù)水平。

3.2 安裝入侵檢測或防護(hù)系統(tǒng)

入侵檢測系統(tǒng)指的是通過旁路監(jiān)聽方式不斷接收網(wǎng)絡(luò)數(shù)據(jù)，并判斷其是否存在攻擊性，能夠通過多種手段向管理員報警。入侵檢測系統(tǒng)作為網(wǎng)絡(luò)安全的第二道防線，則是防火墻的必要補(bǔ)充，構(gòu)成完整的網(wǎng)絡(luò)安全解決方案。因此，在電力二次系統(tǒng)生產(chǎn)控制大區(qū)的控制區(qū)和非控制區(qū)的交界處和內(nèi)部，可以分別部署若干個IDS探頭，能夠有效地對兩個區(qū)域的惡意攻擊行為進(jìn)行監(jiān)控。另外，由于入侵檢測系統(tǒng)是一種被動的檢測系統(tǒng)，在被攻擊前很難預(yù)先發(fā)出警報，不能有效地阻擋攻擊。所以需要在控制區(qū)和非控制區(qū)之間應(yīng)用入侵防護(hù)系統(tǒng)，預(yù)先對入侵活動和攻擊型網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行攔截，避免對電力二次系統(tǒng)造成損失。

3.3 應(yīng)用數(shù)據(jù)備份技術(shù)

基于電力系統(tǒng)調(diào)度自動化系統(tǒng)的發(fā)展，更多的系統(tǒng)集中到調(diào)度中心，則需要對其進(jìn)行數(shù)據(jù)備份，才能保證信息數(shù)據(jù)的安全性。因此，電力單位需要應(yīng)用數(shù)據(jù)備份技術(shù)，通過多元化的數(shù)據(jù)備份方式，增強(qiáng)數(shù)據(jù)備份的可靠性。在應(yīng)用程序服務(wù)器備份時，在不影響系統(tǒng)正常操作的基礎(chǔ)上，可以依據(jù)應(yīng)用程序服務(wù)器文件系統(tǒng)穩(wěn)定性的特點，延長備份周期，使用主機(jī)的備份方式快速備份整個系統(tǒng)。在進(jìn)行備份時，也可以使用數(shù)字庫服務(wù)器進(jìn)行快速備份，有效避免因工作人員手動安裝造成的不必要安全隱患。還可以對系統(tǒng)的操作系統(tǒng)和應(yīng)用系統(tǒng)進(jìn)行備份，便于在整個系統(tǒng)癱瘓后，也能夠盡快地將系統(tǒng)恢復(fù)到可用的狀態(tài)，有效避免了重裝系統(tǒng)、重新配置應(yīng)用系統(tǒng)帶來的不便。

3.4 部署防病毒系統(tǒng)

在電力二次系統(tǒng)中部署多層次、全方位的網(wǎng)絡(luò)防病毒體系，能夠?qū)崿F(xiàn)對所有服務(wù)器和工作站進(jìn)行監(jiān)控篩選。另外，需要設(shè)置大面積的保護(hù)系統(tǒng)實現(xiàn)對生產(chǎn)控制區(qū)的防護(hù)，依據(jù)相關(guān)標(biāo)準(zhǔn)，定期對病毒代碼進(jìn)行更新，有效杜絕惡意網(wǎng)址的連接，增強(qiáng)電力二次系統(tǒng)防護(hù)系統(tǒng)的防護(hù)能力。

3.5 強(qiáng)化企業(yè)內(nèi)部的安全網(wǎng)絡(luò)工作

電力企業(yè)要增強(qiáng)安全防護(hù)意識，自上至下推動電力二次系統(tǒng)安全防護(hù)工作的開展，保證各個部門嚴(yán)格遵守二次系統(tǒng)防護(hù)方案落實工作，在企業(yè)內(nèi)部做好電力二次系統(tǒng)安全制度的宣傳工作，不斷增強(qiáng)工作人員的安全意識，并對員工進(jìn)行相應(yīng)培訓(xùn)，提升工作人員的業(yè)務(wù)能力和責(zé)任感。

3.6 開展防護(hù)系統(tǒng)風(fēng)險評估工作

電力企業(yè)管理部門需要定期對電力二次系統(tǒng)的防護(hù)體系進(jìn)行安全性風(fēng)險評估，在評估過程中盡量保證專業(yè)性的細(xì)致檢查，對各項安全措施進(jìn)行全面的檢查，有效落實相應(yīng)的管理制度，才能保證真正發(fā)現(xiàn)電力二次系統(tǒng)中存在的安全隱患，并制定出合理的解決方案，對其進(jìn)行整改和完善。

4 結(jié)語

電力二次系統(tǒng)需要結(jié)合多種防護(hù)技術(shù)，才能形成完整的電力二次系統(tǒng)安全防護(hù)體系，增強(qiáng)電力系統(tǒng)運行的平穩(wěn)性和安全性。但是，僅僅依靠技術(shù)構(gòu)成的安全防護(hù)體系是不夠的，還需要優(yōu)化完善電力系統(tǒng)的安全管理機(jī)制，在技術(shù)與管理的有效結(jié)合中，才能有效保證電力二次系統(tǒng)運行安全。因此，在電力系統(tǒng)運行過程中，一定要做好電力二次系統(tǒng)的安全防護(hù)措施，保證電廠與電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)絡(luò)中的信息數(shù)據(jù)安全傳輸，獲得更大的經(jīng)濟(jì)效益和社會效益。