杜鵬龍

摘要：科學(xué)有序的電網(wǎng)調(diào)度是電網(wǎng)安全運(yùn)行的基礎(chǔ)保障，變電站無(wú)人值班后，調(diào)度員分析電網(wǎng)運(yùn)行情況依賴于調(diào)度自動(dòng)化系統(tǒng)基礎(chǔ)數(shù)據(jù)，數(shù)據(jù)的準(zhǔn)確性必須有可靠保障，系統(tǒng)安防工作是根據(jù)系統(tǒng)特點(diǎn)，按照電力系統(tǒng)安防要求，從系統(tǒng)安全性，實(shí)時(shí)性等層面出發(fā)，制定完善的安全防護(hù)策略，采用技術(shù)與管理措施，確保調(diào)度自動(dòng)化系統(tǒng)及數(shù)據(jù)網(wǎng)絡(luò)的安全。

關(guān)鍵詞：電網(wǎng)調(diào)度自動(dòng)化系統(tǒng);數(shù)據(jù)網(wǎng)絡(luò);安全防護(hù)

引言：

隨著電力行業(yè)信息化技術(shù)的深入發(fā)展?基于互聯(lián)網(wǎng)的跨地區(qū)、全行業(yè)系統(tǒng)內(nèi)部信息網(wǎng)已逐步成型?計(jì)算機(jī)網(wǎng)絡(luò)目前已成為電力系統(tǒng)正常、高效運(yùn)作中必不可少的基礎(chǔ)設(shè)施。信息技術(shù)的進(jìn)步?使得計(jì)算機(jī)網(wǎng)絡(luò)已成為電網(wǎng)調(diào)度機(jī)構(gòu)的主要技術(shù)支撐平臺(tái)?電力生產(chǎn)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的依賴日漸加深。企業(yè)綜合信息網(wǎng)的建設(shè)?將眾多的局域網(wǎng)緊密的連接起來?同時(shí)直接或間接地接入Internet及無(wú)法避免的數(shù)據(jù)交換和軟件共享?電網(wǎng)調(diào)度自動(dòng)化系統(tǒng)網(wǎng)絡(luò)不再是孤立的系統(tǒng)?與外界的連接將越來越緊密?越來越多樣化。在這種情況下?解決好電網(wǎng)調(diào)度自動(dòng)化系統(tǒng)網(wǎng)絡(luò)的安全問題?對(duì)維護(hù)正常的生產(chǎn)秩序行具有至關(guān)重要的意?保義障。

一、電網(wǎng)調(diào)度自動(dòng)化系統(tǒng)存在的安全隱患

目前國(guó)內(nèi)自動(dòng)化系統(tǒng)存在的安全隱患主要包括系統(tǒng)建設(shè)初期忽略了安全問題，系統(tǒng)本身存在安全威脅，應(yīng)用服務(wù)的訪問控制存在漏洞，內(nèi)部往來用戶存在安全威脅。系統(tǒng)與生產(chǎn)管理系統(tǒng)DMIS未采取安全隔離措施，普遍采取通信工作站網(wǎng)關(guān)連接，采用通信方式存在受攻擊危險(xiǎn)。自動(dòng)化系統(tǒng)與其他生產(chǎn)管理系統(tǒng)互聯(lián)無(wú)隔離措施，系統(tǒng)與MIS系統(tǒng)連接未采取隔離措施，系統(tǒng)與遠(yuǎn)動(dòng)裝置網(wǎng)絡(luò)通信時(shí)，存在混用數(shù)據(jù)通信網(wǎng)現(xiàn)象，未實(shí)現(xiàn)調(diào)度數(shù)據(jù)網(wǎng)與電力數(shù)據(jù)通信網(wǎng)的安全隔離。缺乏對(duì)中啊喲數(shù)據(jù)的備份恢復(fù)系統(tǒng)，不能保證系統(tǒng)損壞時(shí)數(shù)據(jù)恢復(fù)，對(duì)網(wǎng)絡(luò)設(shè)備與部件未進(jìn)行必要的冷熱備份，普遍未實(shí)施入侵檢測(cè)及網(wǎng)絡(luò)防病毒系統(tǒng)。操作系統(tǒng)存在安全漏洞，未及時(shí)進(jìn)行系統(tǒng)安全補(bǔ)丁加固。WEB服務(wù)器未關(guān)閉不必要的通信協(xié)議，如Ftp協(xié)議等，防火墻安全策略設(shè)置不合理，防護(hù)對(duì)象變化時(shí)未及時(shí)調(diào)整。電網(wǎng)調(diào)度自動(dòng)化系統(tǒng)數(shù)據(jù)采集錯(cuò)誤造成調(diào)節(jié)電廠處理錯(cuò)誤。應(yīng)用服務(wù)訪問控制不嚴(yán)謹(jǐn)，一些應(yīng)用程序以操作系統(tǒng)root權(quán)限運(yùn)行，對(duì)系統(tǒng)安全運(yùn)行造成隱患。遠(yuǎn)程診斷的撥號(hào)MODEM處于接通狀態(tài)，易造成非授權(quán)用戶撥號(hào)進(jìn)入調(diào)度自動(dòng)化系統(tǒng)，黑客可通過安全漏洞攻擊系統(tǒng)，存在受病毒攻擊的危險(xiǎn)。對(duì)電子郵件使用限制不嚴(yán)，存在破壞系統(tǒng)運(yùn)行的危險(xiǎn)。部分用戶安全意識(shí)淡薄，對(duì)系統(tǒng)安全造成威脅，用戶與維護(hù)人員口令簡(jiǎn)單，用戶操作影響系統(tǒng)可靠運(yùn)行，維護(hù)人員編程錯(cuò)誤影響系統(tǒng)可靠運(yùn)行。

二、電網(wǎng)調(diào)度自動(dòng)化系統(tǒng)安防問題解決措施

2.1做好主機(jī)防護(hù)

電網(wǎng)調(diào)度自動(dòng)化系統(tǒng)安全防護(hù)是二次系統(tǒng)安防的重點(diǎn)，應(yīng)遵循網(wǎng)絡(luò)專用，縱向防護(hù)，聯(lián)合防護(hù)的安防總體策略，注重系統(tǒng)性原則與周期性原則，采取分步實(shí)施的辦法進(jìn)行系統(tǒng)安防工作。綜合考慮自動(dòng)化系統(tǒng)，及安全要求，提出自動(dòng)化系統(tǒng)安防分階段實(shí)施方案。系統(tǒng)安防第一階段重點(diǎn)是主機(jī)防護(hù)，加強(qiáng)安全管理等，排除來自內(nèi)部用戶的安全威脅。具體應(yīng)完成主機(jī)安全防護(hù)，主要采取安全配置加強(qiáng)主機(jī)安全防護(hù)，合理設(shè)置系統(tǒng)權(quán)限，及時(shí)更新系統(tǒng)安全補(bǔ)丁，消除內(nèi)核漏洞，停止向安全區(qū)III用戶提供瀏覽服務(wù)，隨網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)變化及時(shí)調(diào)整防火墻安全策略。斷開與互聯(lián)網(wǎng)連接，禁止利用電網(wǎng)調(diào)度自動(dòng)化系統(tǒng)工作站進(jìn)入互聯(lián)網(wǎng)，在與管理系統(tǒng)未進(jìn)行有效隔離前，斷開與管理系統(tǒng)連接。嚴(yán)格系統(tǒng)管理員用戶名的管理，授權(quán)人員辭職后應(yīng)刪除權(quán)限，嚴(yán)格控制管理系統(tǒng)的遠(yuǎn)程維護(hù)對(duì)接口。加強(qiáng)對(duì)專業(yè)人員的培訓(xùn)，健全運(yùn)行管理的各項(xiàng)規(guī)章制度，提高系統(tǒng)的運(yùn)維水平，加強(qiáng)安全審計(jì)管理，及時(shí)進(jìn)行審計(jì)分析，對(duì)調(diào)度自動(dòng)化系統(tǒng)的物理配置及信息流程有清晰的認(rèn)識(shí)。

2.2調(diào)整結(jié)構(gòu)

通過調(diào)整軟硬件結(jié)構(gòu)，使安全區(qū)間與邊界網(wǎng)絡(luò)連接處簡(jiǎn)單。SCADA/AGC功能是電網(wǎng)調(diào)度自動(dòng)化系統(tǒng)的核心，應(yīng)位于安全區(qū)I，擴(kuò)展EMS功能可放在安全區(qū)II。Web功能是近幾年來為滿足調(diào)度管理用戶需要產(chǎn)生的，現(xiàn)有Web功能不能滿足安防要求，在未改變Web實(shí)現(xiàn)方式前，Web功能只能位于安全區(qū)I，只能為本區(qū)用戶服務(wù)。不能為同區(qū)上下級(jí)用戶服務(wù)，Web服務(wù)器在安全區(qū)I可在本區(qū)開通同一業(yè)務(wù)系統(tǒng)安全Web服務(wù)，僅允許安全區(qū)內(nèi)系統(tǒng)想服務(wù)器傳送數(shù)據(jù)，禁止服務(wù)器向業(yè)務(wù)系統(tǒng)請(qǐng)求數(shù)據(jù)操作。自動(dòng)化系統(tǒng)橫向邊界包括與調(diào)度管理系統(tǒng)的接口及與電力系統(tǒng)，水調(diào)自動(dòng)化系統(tǒng)的接口。DMIS接口包括通過調(diào)度自動(dòng)化系統(tǒng)通信機(jī)的串聯(lián)結(jié)構(gòu)，可不考慮按防護(hù)問題，及通過通信網(wǎng)關(guān)實(shí)現(xiàn)數(shù)據(jù)的通信，禁止從DMIS向自動(dòng)化系統(tǒng)發(fā)出數(shù)據(jù)請(qǐng)求，安全區(qū)II的通信網(wǎng)關(guān)與DIMS必須采用經(jīng)認(rèn)定核準(zhǔn)的專用隔離裝置。

2.3現(xiàn)有系統(tǒng)改造開發(fā)

可適當(dāng)安全改造現(xiàn)有調(diào)度自動(dòng)化系統(tǒng)，增強(qiáng)SCADA應(yīng)用服務(wù)器，建立安全Web服務(wù)器，將Web發(fā)布功能轉(zhuǎn)移到安全區(qū)II，可利用成熟安全技術(shù)采取數(shù)據(jù)備份與入侵檢測(cè)等安防措施。統(tǒng)一考慮調(diào)度自動(dòng)化系統(tǒng)入侵檢測(cè)系統(tǒng)應(yīng)與其他系統(tǒng)，選用網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，在安全區(qū)I的縱橫向邊界部署探頭，區(qū)內(nèi)不再部署IDS探頭。新系統(tǒng)開發(fā)增加安防要求在新建SCADA/AGC功能模塊中加入認(rèn)證加密機(jī)制，改造已有的系統(tǒng)加入認(rèn)證加密價(jià)值，實(shí)現(xiàn)控制命令的進(jìn)程認(rèn)證，實(shí)現(xiàn)操作人員基于數(shù)字證書的身份認(rèn)證。對(duì)新開發(fā)關(guān)鍵應(yīng)用系統(tǒng)，要求實(shí)現(xiàn)基于數(shù)字證書的身份認(rèn)證，訪問控制，行為審計(jì)功能

總結(jié)：

綜上所述，針對(duì)當(dāng)下電網(wǎng)調(diào)度自動(dòng)化系統(tǒng)存在的問題，對(duì)電網(wǎng)調(diào)度自動(dòng)化系統(tǒng)網(wǎng)絡(luò)安全進(jìn)行了研究。根據(jù)現(xiàn)有主流網(wǎng)絡(luò)攻擊手段特征，對(duì)自動(dòng)化系統(tǒng)的協(xié)議、模擬量、結(jié)構(gòu)進(jìn)行詳細(xì)地模型數(shù)據(jù)分析計(jì)算，并根據(jù)計(jì)算結(jié)果對(duì)網(wǎng)絡(luò)安全系數(shù)進(jìn)行了優(yōu)化。

參考文獻(xiàn)

[1]吳小華.電力技術(shù)在電力調(diào)度運(yùn)行中的運(yùn)用分析[J].電子元器件與信息技術(shù)，2019，3（11）：98-99+102.

[2]任莉.調(diào)度自動(dòng)化系統(tǒng)及數(shù)據(jù)網(wǎng)絡(luò)安全防護(hù)[J].低碳世界，2016（31）：52-53.

[3]董團(tuán)偉.西安供電分公司網(wǎng)絡(luò)和信息安全管理研究[D].華北電力大學(xué)（北京），2017.