电力系统二次安全防护的重要性

电力系统二次安全防护的重要性

贾少波

华电新疆发电有限公司乌鲁木齐分公司

摘要：现今，伴随着计算机技术、互联网技术的迅速发展,电力系统的智能化与便捷化，电力系统的局域网与互联网的信息交互越发频繁，电力系统二次安全防护问题也已成为大众关注的热点。随之电力系统二次安全防护体系的安全构建也成为专业人员的焦点。

关键词:电力系统；二次安全防护；技术措施

1、电力系统二次安全防护的背景

电力二次系统存在安全漏泂(结构、技术、管理等)容易受到黑客、敌对势力的攻击,造成一次系统事故。而电力是我国国民经济的基础产业,关系到千家万户,关系到国家安定的大局,决不允许出现大的电力系统事故。

2、电力系统二次防护事故案例及其危害

2000年10月13日二滩电站收到外网信号突然甩出力89万千瓦。

2001年10月1日全国146套故障录波器出现时间逻辑炸弹。

2010年9月“震网”病毒攻击伊朗核电站设施，通过Stuxnet蠕虫病毒病毒利用邮件等形式感染核设施设备供应商工程师主机；感染U盘,进而进入核设施内部网络；利用西门子公司的SIMATIC工控系统漏洞,控制离心机变频器,提升转速超过临界值；同时攻击离心机保护系统,使其失去保护,最终造成离心机转子损坏。“震网”病毒攻击导致伊朗1000余台离心机损毁,使伊朗核计划进展滞后约2年。这是世界上第一例针对工控系统的病毒,首次实现了由虚拟的网络世界到现实的生产系统的攻击破坏。

2015年12月23日，乌克兰因网络攻击而导致大面积停电。

黑客对乌克兰西部伊万诺弗兰科夫斯克(Kyivoblenerg)等配电公司的7座110kV变电站和23座35kV变电站通过APT攻击(BlackEnergy恶意软件)进行恶意攻击，

攻击过程:

1、黑客发送钓鱼邮件,利用office文档漏洞下载BlackEnergy恶意控件。

2、再通过Blackenergy下载KDsk恶意组件。

3、远程控制SCADA节点,下发控制指令,操作打开多个断路器,Kildisk.擦除电脑数据,造成系统瘫瘓并无法重启,

4、通过Flood攻击客服电话,阻止用户及时报修。

此次恶意攻击造成乌西部地区140多万人供电中断,整个停电持续近6个小时。这是也是第一个已知人为故意使用恶意软件而引起停电的攻击案例。

通过上述几个事故案例可以发现，电力系统因互联网的高速发展而面临的挑战也愈加严峻，电力系统的二次安全防护的重要性也越来越高。

3、电力系统二次安全防护的目标

电力二次系统安全防护的重点是确保电力实时闭环监控系统及调度数据网络的安全。

目标是抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击,特别是能够抵御集团式攻击,防止由此导致一次系统事故或大面积停电事故,及二次系统的崩溃或瘫痪。

4、国内电力系统二次安全防护的发展

2002年5月,国家经贸委发布30号令《电网和电厂计算机监控系统及调度数据网络安全防护的规定》。

2004年12月,电监会下发第5号令《电力二次系统安全防护规定》。

2006年,电监会下发第34号文关于印发《电力二次系统安全防护方案》等安全防护方案的通知。

中央网络安全和信息化领导小组正式成立发改委印发了[2014]第14号令《电力监控系统安全防护规定》

2016年11月7日,十二届全国人大常委会第十四次会议表决通过了《中华人民共和国网络安全法》。作为我国网络领域的基础性法律,该法对当前我国网络安全方面存在的诸多热点难点问题,都有明确规定。

《中华人民共和国网络安全法》的特点：

全面性:网络安全法比较全面和系统地确立了各个主体包括国家有关主管部门、网络运营者、网络使用者在网络安全保护方面的义务和责任。另外,它确立了保障网络的设备设施安全、网络运行安全,网络数据安全、以及网络信息安全等各方面的基本制度。它是网络安全领域里基础性的法律。

针对性:网络安全法从我国的国情出发,坚持问题的导向,总结实践经验,也借鉴了其他国家的一些做法,建立保障网络安全的各项制度,重在管用,重在解决实际问题

协调性:网络安全法立法过程中始终坚持安全与发展并重的原则,协调推进网络安全和发展,注重保护网络主体的合法权益,保障网络信息依法、有序、自由的流动,促进网络技术创新,最终实现以安全促发展,已发展来促安全的目的。

2016年的《中华人民共和国网络安全法》的通过，明确了网络产品和朋务提供者的安全义务，明确了网络运营者的安全义务，进一步完善了个人信息保护规则，建立了关键信息基础设施安全保护制度，对电力系统二次安全防护工作的推进给与了最大的支持。

5、电力系统二次安全防护总体策略

对于电力系统二次安全防护工作的开展，在不断的摸索与探究中，逐渐总结出“安全分区、网络专用、横向隔离、纵向认证”的十六字总体防护策略。

安全分区:根据系统中业务的重要性和对一次系统的影响程度进行分区,所有系统都必须置于相应的安全区内;对实时控制系统等关键业务采用认证、加密等技术实施重点保护。

网络专用:建立调度专用数据网络,实现与其它数据网络物理隔离。并以技术手段在专网上形成多个相互逻辑隔离的子网,以保障上下级各安全区的纵向互联仅在相同安全区进行,避免安全区纵向交叉。

横向隔离:采用不同强度的安全隔离设备使各安全区中的业务系统得到有效保护,关键是将实时监控系统与办公自动化系统等实行有效安全膈离,隔离强度应接近或达到物理隔离。

纵向认证:采用认证、加密、访问控制等手段实现数据的远方安全传输以及纵向边界的安全防护。

6、电力系统二次防护的基本原则

电力系统中,安全等级较高的系统不受安全等级较低系统的影响。电力监控系统的安全等级高于电力管理信息系统及办公自动化系统,各电力监控系统必须具备可靠性高的自身安全防护设施,不得与安全等级低的系统直接相联。

7、总结

综上所述，随着通信技术和网络技术的发展,接入国家电力调度数据网的电力控制系统越来越多。特别是随着电力改革的推进和电力市场的建立,要求在调度中心、电厂、用户等之间进行的数据交换担来越频繁。电力一次设备的改善使得其可控性能满足闭求。电厂、变电站减人增效,大量采用远方控制,对系统和数据网络的安全性、可靠性、实时性提出了新的严峻挑战；因特网和Internet技术已得到广泛使用,E-mal,Web和PC的应用也日益普及,但同时病毒和黑客也日益猖獗；对电力系统威胁较大，因此，电力系统二次安全防护工作的稳健推进已是刻不容缓。

参考文献

[1]杨眉.浅谈电力调度自动化二次系统安全防护[J].通讯世界，2014（01）：32-33.

[2]潘路.电力二次系统网络信息安全防护的设计与实现[D].华南理工大学，2014.