电力二次系统主动安全防御策略及实现研究

电力二次系统主动安全防御策略及实现研究

邓虹康静

国网三门峡供电公司调控中心河南省三门峡市472000

摘要：近年来，我国经济水平不断提高，城市电网铺设规模逐步扩大，确保城市供配电的安全性和稳定性，成为当前电力企业需要迫切解决的问题。就电力二次系统主动安全防御工作而言，其整体安全性直接影响着电网运行过程中的数据和业务安全，因此，加强电力二次系统主动安全防御工作至关重要。本文主要就电力二次系统主动安全防御实现方式进行分析，并提出了电力二次系统主动安全防御策略，望对我国未来电力二次系统主动安全防御设计工作提供相应借鉴。

关键词：电力二次系统；主动安全防御；实现方式

1电力二次系统主动安全防御实现方式

1.1总体结构思路及设计

根据电力信息安全的特殊要求，基于数据保护和业务保护存在的矛盾，以平衡数据的保密性和完整性为目标，总体设计思路根据业密安全区和数密安全区构建适当的网络接口、安全连接方式以及通过电力调度数据网和电力综合信息网与下级单位网络的连接方式，并且基于网络检测模块和入侵防御系统构建一种主动安全防御方法，详见图1。

图1：主动安全防御系统实现方式

图示箭头所指方向代表数据流向，采用网络单向隔离装置实现数据从高业密区向低业密区的单向传输及从低数密区向高数密区的单向传输。该防护策略在原有的电力二次结构分区的基础上将整个电力二次系统包含的各种子系统按照数密和业密等级进行更加详细的划分，规划其数据流向，解决电力二次系统的业务保护和数据保护之间的矛盾。而在内外网之间设计检测防御模块以及加入IPS在原有被动防御的基础上通过对入侵行为的分析检测来更新特征信息库来达到一种联动的主动防御功能，有效地解决了电力二次系统中存在的数据和业务安全保护的矛盾，提高系统的检测辨识能力及整体防御功效。

1.2模块设计

首先，入侵特征信息获取模块，这部分包括第一检测防御模块及第二检测防御模块，其中第一检测防御模块设置于外网区域，与内外网间的防火墙处于并行的位置，其用于检测所有包括绕过防火墙进入内部网络的数据包，对来自外部网络的黑客病毒、黑客攻击实施诱捕，并分析其特性，提取检测特征来更新网络主动防御监控中心的规则数据库。第二检测防御模块设置于该电力企业的内网区域，与主干网络连接，通过诱捕来自内部网络的黑客病毒、黑客攻击实施，分析其特性，提取检测特征来更新该网络主动防御监控中心的规则数据库。其次，入侵特征信息使用模块，入侵特征信息使用模块包括网络主动防御监控中心与网络主动防御代理，网络主动防御监控中心部署在中心交换机上，要求能够和网络中所有网络主动防御代理通信，负责为安全管理员提供系统控制平台，接收来自检测防御模块的规则更新；网络主动防御代理直接连接运行于被监控网络，能同时并发、实时地对多个子网进行监控，接收由该网络主动防御监控中心传来的命令，回送运行结果。网络主动防御监控中心在发现有来自内外检测防御模块的新规则生成后，自动将该规则数据库中新策略下发到部署在不同子网内的网络主动防御代理，该网络主动防御代理接收并执行该网络主动防御监控中心制定的策略，完成网络数据包的捕获分析，详细记录网络状态产生日志，发现网络异常并产生告警，通过通信模块完成日志及告警上传至该网络主动防御监控中心。最后，入侵防御系统部署，IPS部署在内外网交界处以提高电力二次系统的主动安全防御能力。

2电力二次系统主动安全防御策略

2.1软件防火墙的设计

电力系统的软件化，使得网络上很多不法分子有机可乘，通过非法侵略、安装间谍软件等方法入侵电力二次系统，想要电力二次系统进行主动防御，务必要为系统软件安装防火墙设施，首先，重点保护变电站的工作系统，变电站是输送电压过程中最重要的一环。其次，重点监测配电站的工作系统与电厂的系统，防止这些重要场所被网络上的黑客进行侵袭，最终导致不明原因的电力大面积失灵。

2.2依据安全等级分区域进行

对于安全分区这一方法主要分为两个部分。第一部分，是根据数据的密集性与业务的密集性进行划分，主要原因是数据工作与业务工作的调度相反，业务中，数据传输要根据非密集向密集程度进行传输，而在数据中，所要传输的数据信息与业务密集性恰恰相反，要将密集性的数据向非密集性数据进行传输，这样才能够保证整个系统的正确运行。因此，将此二者进行分区域进行是十分必要的，除了数据与业务的密集性分区之外，还要进行第二部分分区，将不同的数据根据种类进行分区，需要隐秘保存与上传的数据再同一片安全区域，务必要要正确的确立数据的隐秘性，根据正确分区域运行，有效的保障数据传输的安全性。

2.3远程传输系统的安全加固

以往电力系统传输数据普遍通过计算机数字媒体网络相连，数据传输的安全得不到保障，因此，实际工作中务必要构建远程连接系统，所要传输的数据通过远程的拨号连接进行传输，并根据远程拨号的传输形式进行安全保障，在原有拨号系统的基础上改进新型的拨号形式，从路径上对数据传输的安全进行保障，通过全面的监控与制动，能够有效的监护数据的传输，保证了传输过去的数据是正确又安全的。同时，还可以在基本方面进行阻断病毒等间谍软件的入侵，使得电力二次系统更加坚固并且安全，数据传输过程中，可以建立一条专属于工作人员与传输工作者的道路，建立相应的安全通道，只有通过正确的验证，才能够进行接下来的工作，这样可以在原有的安全基础上，更加保障数据的安全。

2.4预防不可抗力因素

电力是我们生活中不能缺少一部分，但是自然界中不可抗力因素过多，例如：雷电、风暴等自然现象，更严重的还有地震、洪水、泥石流等自然灾害。在发生这些不可抗力因素时，电力成为了更加重要的需要，因此，要良好的对抗自然界中的不可抗力因素也成为电力二次系统主动安全防护的一大策略要点。例如在雷电天气中，由雷引发的电力的强大是我们无法估计的，这样的电力对我们电力系统中的数据传输有着很强大的制约与损坏。实际工作中，电力企业务必要切实的做到在雷雨天气时还能够确保电力系统能够正常运行，安装相应的避雷措施与抗压设施。要在最基本的设施中建立防雷墙，要对这些自然因素产生足够高的重视。并且为此建立一系列的工作流程，不仅要加大日常的维护，还要时刻进行检查，出现差错

时要立刻进行修正，防止一点点的失误影响了整片的区域网流程。在设立正确的防护设施时，也要将整个网络系统的电路进行改变，为了更好的运行，尽量不要用各线路串连相接的形式，否则一个部分失灵会造成正片系统的瘫痪。而且，在改变电压、电流问题时，电流如何正确的分担成为了整个工作较为重要的一点，要将电流依照物理因素进行分担，这样能够有效的防止不必要的损失。

结束语

电力二次系统的安全性和稳定性，直接影响着电力一次系统的正常运行，因此，电力企业务必要加强提高实际工作中电力二次系统的安全防御意识。实际工作中，电力工作人员务必要全面结合企业实际业务需求，从业务和数据两方面出发，对二次系统安全分区的基础上，增加其安全防御模块设计，进而有效防御黑客、病毒的袭击，以从根本上保证电网系统的运行安全，从而促进电力企业长期稳定地发展。

参考文献

[1]张建平,徐艳华,苏燕.电力二次系统主动安全防御策略及实现[J].科技创新与应用,2016(36):259.

[2]李成勋,贾明峰,田成良.电力二次系统安全风险与主动安全防御的实现方式[J].农村电气化,2016(09):62.

[3]冯兆红,贾铁军.电力二次系统主动安全防御策略及实现[J].电气自动化,2015,37(01):81-82+114.