淺談電力調(diào)度自動(dòng)化系統(tǒng)的安全防護(hù)

成立鵬 田大鵬

（1、青海省電力公司超高壓運(yùn)行檢修公司西寧變電檢修工區(qū)，青海 西寧 810003 2、青海省電力公司超高壓運(yùn)行檢修公司試驗(yàn)檢測(cè)中心，青海 西寧 810003）

隨著電網(wǎng)調(diào)度自動(dòng)化的發(fā)展，調(diào)度自動(dòng)化系統(tǒng)應(yīng)用越來(lái)越成熟，調(diào)度中心匯集了越來(lái)越多的系統(tǒng)。這些調(diào)度自動(dòng)化系統(tǒng)的良好、可靠、穩(wěn)定的運(yùn)行為電網(wǎng)安全、經(jīng)濟(jì)調(diào)度提供了堅(jiān)實(shí)的技術(shù)基礎(chǔ)。同時(shí)，這些系統(tǒng)及數(shù)據(jù)的可用性直接或間接地影響著電網(wǎng)調(diào)度。因此，電網(wǎng)調(diào)度的數(shù)據(jù)保護(hù)工作顯得非常重要，必須采取有效實(shí)用的相關(guān)數(shù)據(jù)保護(hù)技術(shù)，防范各種可能的數(shù)據(jù)災(zāi)害發(fā)生，以保障其關(guān)鍵應(yīng)用數(shù)據(jù)的高可用性及系統(tǒng)的高性能。

1 調(diào)度系統(tǒng)對(duì)安全防護(hù)的要求

近年來(lái)調(diào)度自動(dòng)化系統(tǒng)的內(nèi)涵有了較大的延伸，由原來(lái)單一的EMS系統(tǒng)擴(kuò)展為EMS、DMS、TMS、廠站自動(dòng)化、水調(diào)自動(dòng)化、雷電監(jiān)視、故障錄波遠(yuǎn)傳、遙測(cè)、電力市場(chǎng)技術(shù)支持系統(tǒng)和調(diào)度生產(chǎn)管理系統(tǒng)等。數(shù)據(jù)網(wǎng)絡(luò)是支持調(diào)度自動(dòng)化系統(tǒng)的重要技術(shù)平臺(tái)，實(shí)時(shí)性要求在秒級(jí)或數(shù)秒級(jí)，其中發(fā)電報(bào)價(jià)系統(tǒng)、市場(chǎng)信息發(fā)布等電力市場(chǎng)信息系統(tǒng)由于需要與公網(wǎng)連接，因而還要求做加密及隔離處理。

電力調(diào)度控制業(yè)務(wù)是電力系統(tǒng)的命脈，一定要與其他業(yè)務(wù)有效安全隔離。建立調(diào)度自動(dòng)化系統(tǒng)的安全防護(hù)體系，首先要制定安全防護(hù)策略。應(yīng)用系統(tǒng)的安全策略位于安全防范的最高一級(jí)，是系統(tǒng)安全的決定要素。如果在安全策略上出了問(wèn)題，將會(huì)給今后的應(yīng)用系統(tǒng)帶來(lái)安全隱患，從而使將來(lái)的安全建設(shè)處于十分被動(dòng)的局面。因此考慮調(diào)度自動(dòng)化系統(tǒng)的安全，應(yīng)首先從應(yīng)用系統(tǒng)的各個(gè)層面出發(fā)，制定完善的安全防護(hù)策略。

2 調(diào)度自動(dòng)化系統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)的安全防護(hù)

2.1 信息系統(tǒng)的安全分層理論

一個(gè)信息系統(tǒng)的安全主要包含五個(gè)層面，即物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全、人員管理。調(diào)度自動(dòng)化系統(tǒng)的安全防護(hù)體系應(yīng)包含上述五個(gè)層面的所有內(nèi)容。

物理安全主要包含主機(jī)硬件和物理線路的安全問(wèn)題，如自然災(zāi)害、硬件故障、盜用、偷竊等，由于此類(lèi)隱患而導(dǎo)致重要數(shù)據(jù)、口令及帳號(hào)丟失，稱為物理安全。

網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)層面的安全。由于聯(lián)網(wǎng)計(jì)算機(jī)能被網(wǎng)上任何一臺(tái)主機(jī)攻擊，而網(wǎng)絡(luò)安全措施不到位導(dǎo)致的安全問(wèn)題。

系統(tǒng)安全是指主機(jī)操作系統(tǒng)層面的安全。包括系統(tǒng)存取授權(quán)設(shè)置、帳號(hào)口令設(shè)置、安全管理設(shè)置等安全問(wèn)題，如未授權(quán)存取、越權(quán)使用、泄密、用戶拒絕系統(tǒng)管理、損害系統(tǒng)的完整性等。應(yīng)用安全是指主機(jī)系統(tǒng)上應(yīng)用軟件層面的安全。

2.2 調(diào)度專用數(shù)據(jù)網(wǎng)絡(luò)的安全防護(hù)措施

調(diào)度專用數(shù)據(jù)網(wǎng)除了傳送EMS數(shù)據(jù)外，還傳送電能量計(jì)量計(jì)費(fèi)、水調(diào)自動(dòng)化、電力市場(chǎng)信息和調(diào)度生產(chǎn)信息（工作票和操作票、發(fā)電計(jì)劃和交易計(jì)劃、負(fù)荷預(yù)報(bào)、調(diào)度報(bào)表、運(yùn)行考核等）。應(yīng)根據(jù)各類(lèi)應(yīng)用的不同特點(diǎn)，采用不同的安全防護(hù)措施，如EMS等實(shí)時(shí)控制業(yè)務(wù)具有較高的優(yōu)先級(jí)，應(yīng)該優(yōu)先保證，生產(chǎn)信息的優(yōu)先級(jí)次之，而電力市場(chǎng)信息須進(jìn)行加密處理等。

采用調(diào)度專用網(wǎng)絡(luò)體制使數(shù)據(jù)網(wǎng)絡(luò)在網(wǎng)絡(luò)層的的安全得到最大程度的保證。但也不能保證100%的安全，對(duì)調(diào)度數(shù)據(jù)專用網(wǎng)絡(luò)還必須做到技術(shù)措施和管理制度雙管齊下，才有可能從根本上保障信息和控制系統(tǒng)的安全。

2.2.1 在管理制度方面，要做到

（1）對(duì)全網(wǎng)實(shí)施監(jiān)管，所有與電力調(diào)度數(shù)據(jù)網(wǎng)連接的節(jié)點(diǎn)都必須在有效的管理范圍內(nèi)，保障安全的系統(tǒng)性和全局性。

（2）加強(qiáng)人員管理，建立一支高素質(zhì)的網(wǎng)絡(luò)管理隊(duì)伍，防止來(lái)自內(nèi)部的攻擊、越權(quán)、誤用及泄密。

（3）加強(qiáng)運(yùn)行管理，建立健全運(yùn)行管理及安全規(guī)章制度，建立安全聯(lián)防制度，將網(wǎng)絡(luò)及系統(tǒng)安全作為經(jīng)常性的工作。

（4）聘請(qǐng)網(wǎng)絡(luò)安全顧問(wèn)，跟蹤網(wǎng)絡(luò)安全技術(shù)。

2.2.2 在技術(shù)措施方面，要做到

一是在網(wǎng)絡(luò)傳輸層，為了保證數(shù)據(jù)網(wǎng)絡(luò)的安全，又能向外傳輸必要的數(shù)據(jù)，必須堅(jiān)持調(diào)度控制系統(tǒng)與調(diào)度生產(chǎn)系統(tǒng)之間、調(diào)度生產(chǎn)管理系統(tǒng)與企業(yè)辦公自動(dòng)化系統(tǒng)（OA/MIS）之間有效安全隔離，它們之間的信息傳輸只能采用單向傳輸?shù)姆绞?。常采用的措施包括防火墻、專用網(wǎng)關(guān)（單向門(mén)）、網(wǎng)段選擇器等進(jìn)行有效隔離。另外在調(diào)度數(shù)據(jù)專用網(wǎng)絡(luò)的廣域網(wǎng)和局域網(wǎng)上，根據(jù)不同的業(yè)務(wù)系統(tǒng)，還可采取以下技術(shù)手段：

（1）網(wǎng)絡(luò)安全訪問(wèn)控制技術(shù)。通過(guò)對(duì)特定網(wǎng)段和服務(wù)建立訪問(wèn)控制體系，可以將絕大多數(shù)攻擊阻止在到達(dá)攻擊目標(biāo)之前?？蓪?shí)施的安全措施有：防火墻、VPN設(shè)備、VLAN劃分、訪問(wèn)控制列表、用戶授權(quán)管理、TCP同步攻擊攔截、路由欺騙防范、實(shí)時(shí)入侵檢測(cè)技術(shù)等。

（2）加密通信技術(shù)。該措施主要用于防止重要或敏感信息被泄密或篡改。該項(xiàng)技術(shù)的核心是加密算法。其加密方法主要有：對(duì)稱型加密、不對(duì)稱型加密、不可逆加密等。

（3）身份認(rèn)證技術(shù)。該項(xiàng)技術(shù)廣泛用于廣域網(wǎng)、局域網(wǎng)、拔號(hào)網(wǎng)絡(luò)等網(wǎng)絡(luò)結(jié)構(gòu)。用于網(wǎng)絡(luò)設(shè)備和遠(yuǎn)程用戶的身份認(rèn)證，防止非授權(quán)使用網(wǎng)絡(luò)資源。

（4）備份和恢復(fù)技術(shù)。對(duì)于網(wǎng)絡(luò)關(guān)鍵資源如路由器、交換機(jī)等做到雙機(jī)備份，以便出現(xiàn)故障時(shí)能及時(shí)恢復(fù)。

二是在系統(tǒng)和應(yīng)用層面，包括計(jì)算機(jī)防病毒技術(shù)、采用安全的操作系統(tǒng)（達(dá)B2級(jí)）、應(yīng)用系統(tǒng)的關(guān)鍵軟硬件及關(guān)鍵數(shù)據(jù)的熱備份和冷備份等。防病毒技術(shù)和備份措施是通常采用的傳統(tǒng)安全技術(shù)，而安全的操作系統(tǒng)是一個(gè)新的發(fā)展趨勢(shì)。

3 結(jié)束語(yǔ)

電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)是調(diào)度自動(dòng)化系統(tǒng)的支撐平臺(tái)，網(wǎng)絡(luò)安全是系統(tǒng)安全的保障，專用數(shù)據(jù)網(wǎng)絡(luò)是整體安全防護(hù)體系的基礎(chǔ)，專網(wǎng)體現(xiàn)在網(wǎng)絡(luò)互聯(lián)、網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)用戶的可管性和可控性。目前，國(guó)際上正在制定相應(yīng)的自動(dòng)化系統(tǒng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，國(guó)內(nèi)也開(kāi)始進(jìn)行相關(guān)課題的研究，對(duì)于調(diào)度自動(dòng)化系統(tǒng)及數(shù)據(jù)網(wǎng)絡(luò)的安全防護(hù)措施，首先應(yīng)在網(wǎng)絡(luò)技術(shù)體制方面，采用光纖+SDH+IP的數(shù)據(jù)專網(wǎng)模式，在全系統(tǒng)實(shí)現(xiàn)電力調(diào)度專用數(shù)據(jù)網(wǎng)絡(luò)與其它公用信息網(wǎng)絡(luò)、電力生產(chǎn)控制系統(tǒng)與辦公自動(dòng)化系統(tǒng)等的安全隔離，同時(shí)在調(diào)度專用數(shù)據(jù)網(wǎng)及各相關(guān)應(yīng)用系統(tǒng)上采取必要的安全防護(hù)技術(shù)手段，建立嚴(yán)密的安全管理措施，以確保電力調(diào)度系統(tǒng)和電力系統(tǒng)的安全。

[1]陸延昌.電力安全風(fēng)險(xiǎn)和工作重點(diǎn)[J].江蘇電機(jī)工 程，2004，(5).

[2]辛耀中等.電力系統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)技術(shù)體制分析[J].電力系統(tǒng)自動(dòng)化，2000年11月.