浅谈电力二次系统安全防护

浅谈电力二次系统安全防护

王鹏

（国网宁夏电力公司固原供电公司宁夏756000）

摘要：随着电力系统自动化程度的快速提升，电网已成为网络攻击的重要目标。电力二次系统存在安全漏洞（结构、技术、管理等）容易受到黑客、敌对势力的攻击，造成一次系统事故，所以电力系统二次安全防护重要性日益凸显。结合电力二次系统安全防护的现状，探究其安全防护措施，提升电力二次系统安全防护水平意义重大。

关键词：电力二次系统；安全防护；问题

1电力二次系统安全防护的意义

电力是我国国民经济的基础产业，关系到千家万户，关系到国家安定的大局，决不允许出现大的电力系统事故。网络安全是一个关系国家安全和主权、社会的稳定、民族文化的继承和发扬的重要问题。其重要性，正随着全球信息化步伐的加快而变到越来越重要。电力二次系统安全防护的重点是确保电力实时闭环监控系统及调度数据网络的安全。电力二次系统安全防护的目标是抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击，特别是能够抵御集团式攻击，防止由此导致一次系统事故或大面积停电事故，及二次系统的崩溃或瘫痪。

2电力二次系统安全防护存在的问题

在实际工作中，为了有效的提高电力二次系统安全防护水平，结合电力二次系统安全运行工作的现状，针对其存在的安全防护问题进行深入的分析，并积极的引进先进的技术，才能从根本上确保电力二次系统安全防护工作不存在严重的安全隐患问题。当前，电力二次系统安全防护工作中，主要问题在于对日益发展的信和网络技及认识不足、对网络安全重视不够。

随着通信技术和网络技术的发展，接入国家电力调度数据网的电力控制系统越来越多。特别是随着电力改革的推进和电力市场的建立，要求在调度中心、电厂、用户等之间进行的数据交换也越来越频繁。电力一次设备的改善使得其可控性能满足闭环的要求。电厂、变电站减人增效，大量采用远方控制，对电力控制系统和数据网络的安全性、可靠性、实时性提出了新的严峻挑战。因特网和Internet技术已得到广泛使用，E-mail、Web和PC的应用也日益普及，但同时病毒和黑客也日益猖獗。目前有一些调度中心、发电厂、变电站在规划、设计、建设控制系统和数据网络时，对网络安全问题重视不够，使得具有实时远方控制功能的监控系统，在没有进行有效安全隔离的情况下与当地的MIS系统或其他数据网络互连，构成了对电网安全运行的严重隐患。

3电力二次系统安全防护方案

目前，为了有效的确保电力二次系统安全防护工作的顺利进行，国网公司制定《电力二次系统安全防护规定》、《电力二次系统安全防护总体方案》等有关规定，针对防范黑客、恶意代码等对电力二次系统的攻击问题、电力系统事故的发生问题，进一步加强电力二次系统安全防护体系，用以保障电力系统的安全稳定运行，促进社会经济的发展。

3.1电力二次系统安全防护原则

电力二次系统安全防护要遵循系统性原则，简单性原则；实时、连续、安全相统一的原则，需求、风险、代价相平衡的原则，实用与先进相结合的原则，方便与安全相统一的原则，全面防护、突出重点的原则，分层分区、强化边界的原则，整体规划、分步实施的原则，责任到人，分级管理，联合防护的原则。

3.2电力二次系统安全防护策略

电力二次系统安全防护遵循“安全分区、网络专用、横向隔离、纵向认证”十六字策略。安全分区：根据系统中业务的重要性和对一次系统的影响程度进行分区，所有系统都必须置于相应的安全区内；对实时控制系统等关键业务采用认证、加密等技术实施重点保护。网络专用：建立调度专用数据网络，实现与其它数据网络物理隔离。并以技术手段在专网上形成多个相互逻辑隔离的子网，以保障上下级各安全区的纵向互联仅在相同安全区进行，避免安全区纵向交叉。横向隔离：采用不同强度的安全隔离设备使各安全区中的业务系统得到有效保护，关键是将实时监控系统与办公自动化系统等实行有效安全隔离，隔离强度应接近或达到物理隔离。纵向认证：采用认证、加密、访问控制等手段实现数据的远方安全传输以及纵向边界的安全防护。

3.3电力二次系统安全防护方案的实施步骤

第一阶段是理清流程，修补漏洞。需要对本地系统的物理配置、连接关系，以及信息流程有明晰的认识，必须有业务系统的详细的物理连线图及数据流图。第二阶段是调整结构，清理边界。按照安全防护方案，做好相应的安全区规划，将各类系统置于对应的安全区内，并增加必要的设备，对各类应用系统和网络设备的配置进行相应的修改。第三阶段及第四阶段部署横向隔离装置和纵向防护措施。可分阶段逐步实现。第五阶段部署认证机制。在各类专用装置和与认证机制有关的CA、RA已建立的条件下部署认证机制。第六阶段为现系统改造和新系统开发。要求二次系统各研究、生产单位按照方案的要求研制新系统，并对现有系统进行改造。

4电力二次系统安全防护技术措施

4.1专用安全隔离装置

电力专用安全隔离装置作为安全区I/II与安全区III的必备边界，要求具有最高的安全防护强度，是安全区I/II横向防护的要点。对隔离装置的安全保障要求为采用非INTEL指令系统（及兼容）的微处理器；精简的、安全的、固化的操作系统；不存在设计与实现上的安全漏洞；能够抵御对Ⅰ/Ⅱ区的部分DoS攻击及其他已知的网络攻击。

4.2IP认证加密装置

IP认证加密装置用于安全区I/II的广域网边界保护。为通信网关间的广域网通信提供具有认证与加密功能的VPN，实现数据传输的机密性、完整性保护。其主要功能为支持定向认证加密；对传输的数据通过数据签名与加密进行数据机密性、完整性保护。具有基于IP、传输协议、应用端口号的综合报文过滤与访问控制功能；具有选择加密方向以及对被加密报文进行报文长度或其它被设置特征的选择加密和解密功能。

4.3备份与恢复

数据与系统的备份，对关键应用的数据与应用系统进行备份，确保数据损坏、系统崩溃情况下快速恢复数据与系统的可用性。设备的备用，对关键主机设备、网络的设备与部件进行相应的热备份与冷备份，避免单点故障影响系统可靠性。异地容灾的实现，对实时控制系统、电力市场交易系统，在具备条件的前提下进行异地的数据与系统备份，提供系统级容灾功能，保证在规模灾难情况下，保持系统业务的连续性。

4.4主机防护

对主机的安全配置，通过合理地设置系统配置、服务、权限，减少安全弱点。禁止不必要的应用，作为调度业务系统的专用主机或者工作站，严格管理系统及应用软件的安装与使用。及时更新安全补丁，通过及时更新系统安全补丁，消除系统内核漏洞与后门。进行主机主机加固，安装主机加固软件，强制进行权限分配，保证对系统的资源（包括数据与进程）的访问符合定义的主机安全策略，防止主机权限被滥用。

结语

综上所述，电力二次系统安全防护，是电力系统重要部分，是我国实现电力系统全面智能发展的基础。结合电力二次系统安全防护现状，积极的探究电力二次系统安全防护措施，提升电力二次系统安全防护水平，将有效促进电力系统安全、稳定运行。因此，在实际工作中，应积极的探究电力技术，不断的提高电力二次系统安全防护水平，促进社会经济的快速发展。

参考文献

[1]王朝琴.电力调度自动化二次系统安全防护研究[J].通讯世界,2014,(23).

[2]黄睦奇.电力二次系统安全防护策略研究[J].黑龙江科技信息,2014,(36).