电力调度数据网安全技术及有效应用

电力调度数据网安全技术及有效应用

丁茂桃

（国网四川省电力公司德阳供电公司四川省德阳市618000）

摘要：随着我国社会经济水平的不断提高，我国城市化、工业化建设进程逐步加快，工农业生产用电以及居民日常生活用电需求持续增加，在极大地促进了我国现代电力企业迅速发展的同时，也给电力调度运行的安全性和稳定性带来了巨大的挑战。现阶段，由于电力调度数据量较大，电力调度运行安全风险问题频繁发生，因此，为确保城市正常供电，加强电力调度数据网安全技术在电力调度运行中的有效应用至关重要。本文主要就电力调度数据网安全技术应用中普遍存在的问题，并提出了电力调度数据网安全技术的有效应用措施，望对未来电力调度数据网安全技术的应用与发展提供相应借鉴。

关键词：电力调度；数据网；安全技术；有效应用

1电力调度数据网安全技术应用中普遍存在的问题

1.1基础物理设施安全问题

设备物理安全是系统安全的基础，这方面的常见隐患主要包括机房防火、防水、电子门禁系统及关键业务系统的电磁屏蔽不完善，UPS电源的负载率过高，光端机设备、SDH设备、核心网络交换机、路由器等网络通信设备不满足冗余配置要求等，这都可能引发系统中某些设备的故障，甚至引起整个自动化系统的中断运行。

1.2体系结构安全问题

安全防护体系结构要求遵循“安全分区、网络专用、横向隔离、纵向认证”的总体原则，安防实际工作违反该原则的常见现象包括值班电脑接入无线网络、三四区系统跨区直连、横向边界正反向隔离装置配备不齐全、纵向加密装置和防火墙策略不完善等，这可能为通过低安全区系统向高安全区系统入侵提供途径，给调度生产控制业务带来了极大的隐患。

1.3系统本体安全问题

调度监控业务的正常开展最基本的还是要系统本体的安全稳定运行，而系统本体常见安全问题主要包括设备空闲网络端口未关闭、未采用国家有关部门检测认证的安全操作系统、生产控制大区未关闭E-Mail、Web和FTP等不必要的通用网络服务、使用弱口令和各类帐号权限不符合最小化分配原则等，这些问题对系统本体的安全运行会产生直接影响，可能会使得系统直接被控制或破坏。

2电力调度数据网安全技术的有效应用措施

2.1做好网络设备安全管理工作

网络设备的安全是整个电力调度数据网安全的前提，因此，必须加强网络设备的安全管理，提高网络设备的安全指数，主要要加强以下几方面的安全：第一，保障网络设备的物理安全。必须遵照相关规定和安全规范，保证机房的环境设计和建设安全、可靠，做好防火、防盗工作。机房必须能够防止电路的截获、防电磁辐射泄漏和防电磁干扰，能够为电力调度数据网提供静电接地和稳压电源。第二，保障网络设备的账号安全。完善用户管理机制，进行有效的分账管理，确实保障设备控制的安全。例如，可以设置分级保护功能口令，设置重要配置，防止低优先级用户对设备进行更改；设置高优先级模式的访问密码，限制网段的访问控制列表，对账户中不使用的用户名进行禁止，对账号中的弱口令进行重新设置、加密储存口令，等等。第三，保障网络设备的配置安全。对配置文件要进行定期保存，做好备份，定时对配置文件的完整性进行检查，对操作系统定期升级，以免系统漏洞而给电力调度数据网带来安全隐患。

2.2重视加强数据网逻辑隔离

2.2.1MPLSVPN

VPN是基于公网，利用隧道、加密等技术提供的虚拟专用网络。MPLS融合了IP路由技术灵活性和ATM交换技术简洁性优点。通过两大类VPN，确保2种不同业务间的设备无法获知对方的路由信息，从而把安全区I和安全区II逻辑隔离，保证每个区相对独立和安全可靠。

2.2.2VLAN

VLAN是虚拟局域网。把一个交换机上的以太网口虚拟出若干子网，这样即使连在同一个交换机上，若不在同一个虚拟局域网内，一个设备也无法访问别的设备。从而达到把一个交换机上不同设备、系统间逻辑隔离的目的。电力调度数据网II区核心交换机CIS-CO3550同时连接多个系统，为了使系统之间相互不访问对方，保证各系统相对安全、稳定，就是采用这样的技术。

2.3重视数据网的访问控制

安全访问控制重点是通过访问控制列表做到敏感数据的有效安全访问。可以根据需要配置VTY类型线路的呼入呼出来限制TELNET用户访问，或者禁用TELNET方式，启用SSH方式登录设备。此外还可以考虑对简单网络网理协议流量进行访问控制列表控制，限制非授权用户通过SNMP访问设备。对于智能性较高的网络设备(如路由器和防火墙)，可以禁止IP源路由功能，并且屏蔽病毒常用的网络端口甚至是所有大于1024的非业务系统用端口，启用TCPkeep-alives服务以监控进入路由器或者从路由器输出的TCP连接。

2.4应用接入安全

Web认证、MAC地址认证和802.1x认证是电力调度数据网常用的集中终端授权访问控制的方法。Web认证的方式比较便捷，无需安装相应的软件，但其认证系统存在较大的安全隐患，容易出现网络堵塞，因此，安全性能一般。MAC地址认证比较简单、有效，但需要对所有用户的MAC地址进行记录，因此不适合用户较多和移动终端的情况，且其维护和配置都相对复杂。802.1x认证是一种认证策略，其具有逻辑端口和物理端口的双重性质，能够对认证端口进行辨别，除了802.1x的广播报文和认证协议，不允许其他端口通过。在实际应用过程中，可以根据电力调度数据网的实际情况来选择合适的认证方式，实现电力调度数据网的应用接入安全。

2.5加固专用安全设备和审计策略

加固专用安全设备和审计策略主要是对网络的纵向边界进行加密认证或者加装硬件防火墙，对入侵检测系统进行管理，网络安全人员要对入侵检测系统的报警进行及时的处理。此外，安全事件发生后，要对用户的上网时间、地点和端口进行记录，对资料进行后期分析，并做好审计工作。

2.6加强对网络日常维护的安全管理

在电力调度自动化调配过程中，电力企业要加强对网络的日常维护工作，提高对网络的安全管理水平，以充分确保系统网络的安全。对网络的维护通常包括：对网络系统物理安全方面的安全维护，对网络数据信息的有效维护，对网络软件的安全维护。在网络维护过程中，要积极使用杀毒软件，提高对网络病毒的清理能力，从而有效确保网络的安全运行。

2.7严格执行电力二次安全防护策略

根据系统中的业务的重要性和对一次系统的影响程度进行分区，重点保护实时控制系统以及生产业务系统。所有系统都必须置于相应的安全区内，对于安全区的隔离要采用各类强度的隔离装置使核心系统得到有效保护。在专用通道上建立电力调度专用数据网络，实现与其他网络的物理隔离，并通过采用MPLS-VPN或IPSEC-VPN在专网上形成多个相互逻辑隔离的VPN，实现多层的保护，采用认证、加密手段实现数据的远方安全传输。

结束语

综上所述，要想确保电力调度数据网安全技术应用的有效性，电力企业实际经营与发展过程中务必要率先做好网络设备安全管理工作，重视加强数据网逻辑隔离和数据网的访问控制，并积极应用接入安全，加固专用安全设备和审计策略，全面加强对网络日常维护的安全管理，严格执行电力二次安全防护策略，只有这样才能够从根本上提高电力调度数据网运行的安全性和稳定性，从而进一步促进电力企业长期稳定地发展。

参考文献

[1]冯炜.简析电力调度数据网安全技术及其应用[J].科技经济导刊,2017(3).

[2]赵巍.电力调度数据网安全防护设计探讨[J].网络安全技术与应用,2017(11):90-90.

[3]胡鑫,陈信,江海敏.电力调度数据网网络安全防护技术研究[J].自动化技术与应用,2018(5).