黄志伟

深圳供电局有限公司 广东深圳 518000

摘要：21世纪，网络在持续不断的发展过程中，而调度数据网络应用有较快发展，其中包括保护故障管理、故障录波远传、电量采集系统和调度实时系统等。为电力调度应用的效率、服务提升做出了极大的贡献，但也同样给电力调度带来了一定的风险。而电力调度数据网自身在整个电力系统运作过程中起到了极其重要的作用，而在当前城市化进程不断加快的情况下，供电需求对于网络的安全性提出了更高的要求。所以，本文结合多年在供电系统的工作经验，对电力调度数据网的维护和安全运行提出了一些建议和措施，旨在促进安全技术在电力调度数据网中的应用，以提高电力调度数据网的安全性供同行参考。

关键词：电力；调度；数据网；制度安全

1、引言

近年来，随着电力系统迅速发展，电力调度数据网在电力系统的广泛应用，电力调度数据网技术走向更高水平，保证了数据的安全性、环境的稳定性、业务的私密性。然而，电力二次系统的安全防护关系到整个电网的供电稳定和安全，对人们的生产生活有着重要的影响。如今网络安全问题愈演愈烈，对电力调度数据网的安全造成了很大的威胁。因此，必须应用相应的安全技术，对电力调度数据网的网络设备进行安全防护，保障电力调度数据网的平稳、安全运行。对此，本文对安全技术在电力调度数据网的应用进行了探讨，旨在为安全技术在电力调度数据网中的应用提供一些参考，这对于整个电力系统的发展来说，有着极其重要的作用。

2、影响电力调度数据网安全性的因素

当前，作为电力部门的专用网络，在网络安全方面，电力调度数据网主要负责电力调度的实时控制和承接在线生产业务。根据相关规定，电力调度数据网必须使用相对独立的网络设置组网，并在专用通道上运行。电力调度数据网必须与外部公共网络、电力企业其他数据网进行隔离，以保障其安全性。按照逻辑隔离，将电子调度网划分为非实时子网和实时子网两个部分，分别进行连接，并将其分为接入层、骨干层和核心层三个层次。电力调度数据网络结构如图1所示。

图1电力调度数据网结构示意图

对于目前来说，还有很多因素对电力调度数据网造成安全威胁，既有外部风险，也有电力系统的内部风险；既有网络风险，又有操作不当引起的风险。

2.1操作不当引起的安全隐患。

一般情况下，电力调度数据网是由专门人员进行管理的，因此在管理和操作的过程中也会存在一些安全隐患，对电力调度数据网造成威胁。特别是电力调度网的系统非常庞大，操作和管理起来有一定的困难。一些电力调度数据网的操作人员和管理人员安全意识薄弱，很多员工随意将账号信息告诉他人，在口令的选择上没有进行规范等，这些行为的背后都隐藏着安全隐患，一旦发生泄漏事件，则会给电力调度数据网带来很大的风险。

2.2非授权访问引起的安全隐患

非授权访问，顾名思义就是在使用计算机资源或网络资源之前，并没有得到相应的授权。非授权访问的类型有很多，例如越权访问信息、擅自扩大访问权限、绕过系统访问机制来访问网络资源等。非授权网络可以通过非法用户、违法操作、身份攻击、身份假冒和合法用户越权访问等方式进行。非授权访问是电力调度数据网安全性的直接威胁。

2.3数据破坏和信息泄露引起的安全隐患

业务数据被丢失或者泄露主要有：存储介质丢失或泄露、传输过程中的信息丢失或泄露、数据使用权被非法窃取、重要信息遭到删除或修改、应用系统设计时被插入了隐蔽通道或者后门。

2.4配置和操作错误引起的安全隐患

在配置和操作之前，没有详细研究网络结构和配置，没有深入了解网络设备的功能，在日常操作中没有严格按照安全操作规范进行操作，都会对电力调度数据网络的安全带来隐患。

2.5其他安全隐患

其他安全隐患主要是系统和网络中出现的多余服务和漏洞、网络病毒等对电力调度数据和网络数据进行攻击等，都有可能造成系统瘫痪。

3、安全技术在电力调度数据网中的应用

安全技术在电力调度数据网中的应用主要在于网络安全和应用接入安全两个方面。

3.1网络安全

网络安全的应用包括网络设备安全、虚拟局域网的划分、安全访问控制、恶意代码防范、加固审计策略、专用安全设备网络服务整合，等等。

3.1.1网络设备安全

网络设备的安全是整个电力调度数据网安全的前提，因此，必须加强网络设备的安全管理，提高网络设备的安全指数，主要要加强以下几方面的安全：①保障网络设备的物理安全。必须遵照相关规定和安全规范，保证机房的环境设计和建设安全、可靠，做好防火、防盗工作。机房必须能够防止电路的截获、防电磁辐射泄漏和防电磁干扰，能够为电力调度数据网提供静电接地和稳压电源。②保障网络设备的账号安全。完善用户管理机制，进行有效的分账管理，确实保障设备控制的安全。例如，可以设置分级保护功能口令，设置重要配置，防止低优先级用户对设备进行更改；设置高优先级模式的访问密码，限制网段的访问控制列表，对账户中不使用的用户名进行禁止，对账号中的弱口令进行重新设置、加密储存口令，等等。③保障网络设备的配置安全。对配置文件要进行定期保存，做好备份，定时对配置文件的完整性进行检查，对操作系统定期升级，以免系统漏洞而给电力调度数据网带来安全隐患。

3.1.2隔离VPN与虚拟局域网

VPN的传递和虚拟局域网的划分能够对电力调度数据网进行分隔，成为几个无法相互连通的子网网段。这对电力调度数据网的安全性也是一种保障。而通过BGP/MPLS，VPN 技术则可以在VPN内部进行数据传递和流量监控，对节点间的访问进行有效控制。

3.1.3防范恶意代码和控制安全访问

通过对访问控制中敏感数据的访问进行控制，能达到安全访问控制的目的。根据实际需要，可以使用VTY 类型线路，对TELNET 用户访问进行限制；还可以用SSH登陆方式来代替TELNET方式。控制简单网络网理协议流量，对访问列表进行控制或者对非授权用户访问SNMP进行限制等。

电力调度数据网的网络设备的智能性较高，可以对其IP源路由功能进行禁止，可以對病毒常用的网络端口可以进行屏蔽，甚至可以对非业务系统端口进行屏蔽；可以对路由的监控使用TCP keepalive服务或者TCP连接，对恶意代码进行防范。

3.1.4加固专用安全设备和审计策略

加固专用安全设备和审计策略主要是对网络的纵向边界进行加密认证或者加装硬件防火墙，对入侵检测系统进行管理，网络安全人员要对入侵检测系统的报警进行及时的处理。此外，安全事件发生后，要对用户的上网时间、地点和端口进行记录，对资料进行后期分析，并做好审计工作。

3.1.5主机系统安全防护。

随着电力技术的广泛应用，电力二次系统应对主机操作系统、数据库管理系统、通用应用服务等进行安全配置，以解决由于系统漏洞或不安全配置所引入的安全隐患。如按照国家信息安全等级保护的要求进行主机系统的安全防护，并采用及时更新经过测试的系统最新安全补丁、及时删除无用和长久不用的账号、采用12位以上数字字符混合口令、关闭非必须的服务、设置关键配置文件的访问权限、开启系统的日志审计功能、定期检查审核日志记录等措施。

3.2应用接入安全