电网调度系统二次安全防护策略分析

2018-08-23张菁袁文

中国设备工程 2018年16期

张菁，袁文

（国网湖北省电力有限公司检修公司，湖北武汉 430050）

城市化进程的加快，电力企业在其中扮演着重要的角色，业务的增加和科技的进步，促进电网调度系统的完善与发展，AVG系统和PAS系统的应用，使电力调度数据网对电网调度系统的安全有了更高的要求，加强电网调度系统二次安全防护工作显得尤为重要，应根据实际情况选择积极有效的对策。

1 电网调度中心二次系统的安全区分

一般情况下，根据电力业务的重要性，电网调度系统二次安全区划分为生产控制大区和管理信息大区两个部分，这两个大区之间不可以使用网络协议直接进行信息交流，必须装设物理隔离装置。生产控制大区又分为安全防护I区（实时控制区）和安全防护II区（非控制区），当二者之间存在数据交流时也必须采用隔离措施，当前应用最广泛的就是防火墙装置。安全防护I区在电力生产中最为重要，完成电力系统中SCADA监视、控制等核心业务，使用的也是一级专用通道。而安全防护II区虽然不具备控制功能，但也在电力数据调度网中在线运行，主要运行保护信息、行波测距等系统，与I区之间的功能模块方面联系十分紧密，对实时性有着较高的要求。电网调度系统二次安全区分中，管理信息大区中有生产管理区和信息管理区。生产管理区可以实现电力企业的电力生产，不具有控制功能，也不具有在线运行的功能。信息管理区指的是对于电力企业运行中所有信息的管理，必须保证信息真实性和信息的时效性，无论是信息管理区还是生产管理区，对于管理信息大区而言都是缺一不可的。

2 电网调度中心二次系统的影响因素

电网调度系统二次系统中，影响因素如下。

（1）设备因素，传统的电网调度系统网络结构比较落后，且安全防护功能比较薄弱，在过去的系统运行中缺少硬件设备的协助，安全防护工作管理较为宽松，无法高度保证电网调度系统二次安全防护可以成功实现。2016年9月杭州召开G20峰会，电力问题成为峰会召开前夕最重要的问题，电网调度系统二次安全防护也受到了前所未有的关注高度，电力企业对此非常重视，无论是硬件的安装补充，还是设备的使用与管理，从外部到内部都对电网调度系统二次安全防护提出了严格的要求，电网调度系统可以实时准确检测到每一个端口和定位到每一个IP地址，从而保证在G20峰会召开期间最大程度上的电力安全，为峰会的顺利召开提供强有力的保障。

（2）人为因素，电力企业中电网调度系统二次安全防护除了硬件设备以外，更多的是调度值班人员和系统维护人员的操作，调度值班人员在工作过程中必须保持良好的工作态度，严格按照相关标准和规定操作，避免产生疲劳感和懈怠感。电网调度系统二次安全防护的维护工作是一项需要具备专门技能水平的工作，系统维护人员不仅需要有扎实的理论基础，还要有丰富的工作经验和较高的实践能力，当应对电力突发情况，维护人员必须保持冷静的思维判断能力，在第一时间内赶到现场进行系统维护的时候要有一定应变能力，这也是影响电网调度系统二次安全防护和专业管理的人为因素。

3 电网调度系统二次安全防护的有效策略分析

3.1 制定完整的安全管理规定

电网调度系统二次安全防护中，必须包含系统的可靠运行，网络状态良好和信息数据的安全，调度值班人员和系统维护人员协调合作，在第一时间内发现电网调度系统存在的缺陷和故障，并尽自己最大的努力予以解决，从而保证电网调度系统二次安全防护工作顺利开展。首先，建议制定完备的安全管理规定，电网调度系统二次安全防护中，造成安全隐患的往往不是电网调度系统的自身因素，而是来自于其他相连的网络，因此，科学有效的管理模式尤为重要。高质量、高效率的管理模式可以有效抵御病毒的侵害和黑客的袭击，保护电力实时闭环监控系统，防止网络因为黑客袭击或者病毒侵害而造成的系统崩溃。建立完善的安全等级分责制和设备责任制。建立完善的巡视制度。

3.2 进行逻辑横向隔离

若想加强电网调度系统二次安全防护工作，可以选择进行逻辑横向隔离的方法，由于实时控制区是整个电力生产中的重要环节，关系到安全防护工作，因此系统监控工作尤为重要。非控制生产区一般会安排调度人员进行模拟，或者采用仿真DTS系统进行安全防护，实时控制区与非控制生产区之间最好使用防火墙装置加以防护。如果电网调度系统在运行的时候，有黑客或者不法分子企图穿越防火墙进行入侵，这个时候防火墙就会起到它的作用对系统防护。防火墙的设置需要与实时控制区和非控制生产区的性能符合，二者与管理信息区不会直接联系，有关部门认定和审核的时候会采用安全隔离装置。装置有正向型和反向型之分，信息以单向传输的方式，从实时控制区和非控制生产去向安全隔离装置中传输，有效的保证了电网调度系统二次安全防护的顺利实施。500kV自动化二次安防配置可以采用横向隔离的方式，在生产控制大区和管理信息大区之间设置了电力专用横向安全隔离装置，并且采用防火墙和带访问控制功能的网络设备实现了逻辑隔离。

3.3 进行安全纵向认证

电网调度系统二次安全防护中，安全纵向认证工作十分关键，调度数据网是为了实现电力调度中心和变电站之间的科学调度，使用相关技术，从物理的角度上可以有效将电力企业数据和公共信息网络进行隔离，使信息得以有效保护。安全纵向认证中，SDH技术是其中一种，SDH技术也叫同步数字体系，是不同速度的数位信号的传输提供相应等级的信息结构，包括复用方法和映射方法，以及相关的同步方法组成的一个技术体制。SDH技术是一种将复接、线路传输及交换功能融为一体、并由统一网管系统操作的综合信息传送网络，是美国贝尔通信技术研究所提出来的同步光网络。该技术的支持下，实现了对网络的科学有效管理，对业务进行实时监控，对网络进行动态维护，对不同的厂商设备进行互通，有效提高了电力企业网络资源的利用效率，保护网络和电力内部网络的安全，降低管理的成本和维护的费用，系统更加灵活高效，因此SDH技术现如今已经被广泛应用于电网调度系统二次安全防护工作中。500kV自动化二次安防配置中，调度中心与厂站在控制区与调度数据网采用纵向加密认证措施，为上级和下级控制系统之间的调度数据网通信提供了双向身份认证、数据加密以及访问控制的服务。

3.4 确保检测系统的安全性

任何一项系统从建立到维护，需要经过不断的检测，才能使其安全性能有所保证，电网调度系统的二次安全维护工作也是一样，电网系统也需要进行检测。因此，建议选择较为先进的入侵检测系统，电网调度系统的设计和配置中会存在各种问题，且随着运行状态的改变而改变，因此，检测过程中如果发现了异常现象应立即重视，同时入侵检测系统也可以检测出计算机网络中存在违反安全规定的行为，如果检测过程中发现了类似行为，应立即拦截。建议选择使用IDS系统，并且将该系统与非控制生产区连接，实现提供记录流的信息，对系统的引擎进行结果分析，检测结果中如果存在问题应立即分析，找出问题存在的原因，并加以解决，从而确保电网调度系统二次安全防护的有效实施。电网调度系统二次安全防护中，生产控制区禁止各种方式与互联网进行连接，拨号功能在被限制，但是维护工作需要拨号功能，因此维护工作需要被严格控制与管理，用到的时候才开启拨号功能，并且人员需要进行登记，记录自己的使用人姓名、使用时间，以及相关工作记录。生产控制区中，需要加强对PC机等设备的网络安全管理，系统维护人员将其接入的时候先对病毒进行检测，如果存在病毒立即开启杀毒装置，并及时下载安装补丁，每一次工作都需要进行记录，并且可以采用安全加固操作系统。常见的安全加固系统有Linux系统和Unix操作系统，在系统的支持下，电网调度系统二次安全防护工作更加有技术保障。