张炳烽

摘 要：伴随着计算机技术、互联网技术的迅速发展，电力系统二次安全防护问题早已成為大众关注的热点。电力系统二次安全防护体系的构建过程中，要遵循“安全分区、网络专用、横向隔离、纵向认证”的总体策略，选择正确的电力安全防护技术与防护设施，确保整个电力系统二次安全防护工作的顺利开展。该文结合笔者多年工作经验，对电力系统二次安全防护基本原则、防护现状及相关防护技术措施进行论述。

关键词：电力系统 二次安全防护 技术措施

中图分类号：TM72 文献标识码：A 文章编号：1672-3791（2016）12（c）-0044-02

1 电力系统二次安全防护的基本原则

1.1 安全分区

电力系统二次安全防护中，安全分区作为结构的基础，遵循内部原则，把电网企业、发电企业、供电企业等具体划分成生产控制区和管理信息区两部分内容，从生产控制区的角度来看，可将其分为控制区与非控制区。

1.2 专用网络及构造

电力调度数据网作为专门的数据网络，一般是为生产控制区供应相关服务的，并且承担着电力实时监控及在线生产交易等一系列工作。在系统性原则的基础上，安全区域外部边界网络与相连的安全区间要保持完全匹配状态。

1.3 横向隔离

在设置生产控制区和管理信息区中需经过国家相关部门的检测与认证的横向单向安全隔离装置，并且，需把有访问控制性能的网络设备与防火墙设置在生长控制区的内部。

1.4 纵向加密认证

一般可通过，认证技术、加密技术、访问技术等对数据实施远方安全传输，对其进行边界的安全防护。

2 电力系统二次安全防护现状和技术

2.1 防护现状

安全分析、网络专用、横向隔离、纵向认证是电力系统二次安全防护的四项主要措施。

2.1.1 安全分析与网络专用

未能够有效避免不安全因素的出现给电力系统造成不利影响，系统可通过安全分析的方式把电力系统做出分区。电力系统安全区的规划标准需要按照各分区的具体业务、数据信息情况，把整个系统划分成生产控制、管理两大区域。其中，网络专用要按照各分工的不同创建相对应的网络专区，从而才能够很好避免区域网络数据间的互相影响。

2.1.2 横向隔离与纵向认证

横向隔离是对电力系统过程中的安全区域状况做出正确隔离。经常使用到的隔离方式都是通过进行设备掌控的，把各区域进行隔离。纵向认证方面，电力系统要不断提升访问监控、用户认证的警觉度，从而起到保护电力系统信息密码的作用，加强系统的安全可靠性能。与此同时，以纵向认证的形式来保证电力系统数据信息的传输与安全监控。

2.2 安全防护技术

电力系统二次安全防护技术的运用过程当中，在各个安全规划区可采取唯一的连接通道，这样才能够确保系统的安全。为各安全区启用严密的防火墙程序，要对各系统信息进行严密性的管理，运用审核备案模式，设置网络协议与安全证书，在确保电力系统信任的前提下开展相关操作。此外，对各安全区主机实施系统性管理，在二次安全防护过程中发生的实际操作、行为动作都会被完全登记下来，同时进行定期性的安全评估。

3 电力系统安全防护技术措施

3.1 电网调度自动化系统安全防护

3.1.1 物理安全

建设机房过程中需严格按照规定，不可在高层建筑物、地下室、用水设施下方或邻近的位置进行建设，同时要采取相应的防雷击、防静电、防火、防盗等安全措施。

将机房温湿度掌控在科学合理范围，未对机房的温湿度进行自动性有效调整，顺义供电企业在自动化机房有专用空调的配置，从而确保了机房环境的恒温湿度。与此同时，进行自动化机房值班报警系统的安装，在机房的各个位置都有温湿度报警器的安装，电力系统在对机房温湿度数据进行采集过程当中，只要有超出设定范围的现象便会在第一时间以短信、电话等方式告知相关工作人员。此系统，可帮助自动化人员对机房内的温湿度情况进行实时性掌控，第一时间发现机房环境中存在的问题，这对于电力系统的二次安全防护工作有着非常重要的现实意义。

3.1.2 网络结构安全

根据国家电力监管委员会令第5号《电力二次系统安全防护规定》和原国家经贸委令第30号《电网和电厂计算机监控系统及调度数据网络安全防护规定》，电力二次系统安全防护总体策略为“安全分析、网络专用、横向隔离、纵向认证”。

3.1.3 安全审计和入侵防范

顺义供电公司现在生产控制区内进行了网络安全审计系统的安装，利用调度自动化系统对核心交换机的数据、应用服务器、数据库日志中的相关数据进行采集，同时做出关联性的浅析，做到对网络安全情况的整体性监控，促使电力系统的相关数据信息得到强有力的安全保障。与此同时，进行入侵检测系统的科学合理性布置，对网络周边的情况进行实时监控，其中，较为常见的攻击行为有：强力攻击、木马后门攻击、端口扫描、网络蠕虫攻击等。

3.1.4 防病毒系统

在电力系统二次安全防护中，网络病毒系统是非常关键的构成内容，每级系统中心都能够独立运行，同时对本级网络的客户端、服务端等进行科学系统化管理，同时把该区域中的病毒相关情况进行详细统计报至一级系统中心管理人。一级中心可将监控和管理二级系统中心的客户端聚集在一起。

3.1.5 访问控制

第一，在网络边界进行防火墙、横向隔离装置、纵向加密认证装置的布置，同时按照具体业务需求进行访问控制策略的设置，唯有进行服务端口的开放，将通用协议、拨号、VPN服务器禁止使用，才能够使得二次网络访问得到成功有效掌控；第二，核心网络设施与主机进行了超时断开功能的设置，从而杜绝了非法访问的发生；第三，对网络管理员、操作系统管理员、数据库管理员、应用管理员与普通用户进行访问权限的设置，做到系统用户的权限分离。

3.1.6 身份鉴别

第一，針对网络设备已登录的用户，可进行该地CONSOLE登录密码的设置；针对登录操作系统、数据库、应用系统的用户，可通过用户名+口令的方法对其身份进行鉴别，不可有多人共用相同账号现象的存在，其中口令需在满足基本要求的前提下进行阶段性的更改；第二，登录失败处理功能的设置可相应采取结束会话、限制非法登录次数、自动退出等措施，对同用户的失败登录次数作出相应限制。

3.1.7 数据备份与恢复

第一，重要网络设备、通信线路、数据处理系统的硬件冗余，确保电力系统的可用价值达到最佳状态；第二，具有该地数据备份与数据恢复的功能，可将数据平均每日备份一次，为预防备份数据发生丢失情况，通常建议做双重备份；第三，具有备份异地数据的功能，通过通信网络能够把重要的数据信息在特定时间段成批传输至备用场地当中。

3.2 变电站自动化系统安全防护

在当前的顺义供电公司当中，仍然是以传统变电站为主，变电站在监控和数据采集系统方面都是互相独立的个体，是由生产厂家所专门提供的，为此，变电站的专业性、独立性是确保二次安全的有利条件，为此，在电力系统的二次安全防护工作中可对调度自动化系统进行分析和相关参考。

4 结语

电力系统二次安全防护工作主要是要做到对外攻击的系统性预防措施，针对系统中存在的不安全因素、不安全信息数据进行隔离或过滤，做好整个电力系统内部信息的完整保密工作。在电力系统二次安全防护工作当中要尽可能运用先进的电子信息技术，从而可确保电力系统信息的基本安全，同时还需企业内部信息管理人员进行严密性的经管，为此，企业内部工作人员专业技能与综合素质的高低也会给最终电力系统二次安全防护的实际成效有着直接性影响。作为一名电力工作人员，唯有不断提高自身专业技能、具备强烈的责任意识、全身心投入到自己的工作当中，才能够为电力系统的安全防护贡献出自己的一份力量。

参考文献

[1] 徐力.中山电力二次系统安全防护的应用研究[D].广州：华南理工大学，2011.

[2] 章政海.电厂二次系统安全防护总体设计研究[J].电力信息化，2013，11（1）：107-110.

[3] 曹茂升，高伏英.电网调度自动化主站运行[M].北京：中国电力出版社，2011.