电力二次系统网络信息安全防护的设计研讨胡欣

电力二次系统网络信息安全防护的设计研讨胡欣

胡欣于国英李石

（国网辽宁省电力有限公司朝阳供电公司）

摘要：本文就电力二次系统网络信息安全防护的意义与设计进行了简要的分析，以供参考。

关键词：电力二次系统；网络信息；安全防护；设计

电力施工人员在对电力二次系统进行相应的基础建设时，需要根据系统实际的特点，对数据流程以及安全要求进行相应的设计。施工步骤在开展过程中，电力检测人员也要对网络信息安全进行相应的技术防护。保证施工人员的安全的同时，也要保障电力二次系统在建设过程中信息的安全。

1电力二次系统网络信息安全防护的意义

电力二次系统网络信息安全，是电力系统维护中的另一个重要的方面，主要是为了避免某些不法分子或者是黑客入侵电力系统，导致电力系统出现瘫痪，从而导致城市不能正常的发展和运转，给国家和城市，以及百姓带来一定的经济损失。而电力二次系统网络信息安全防护，就是对电力一次系统进行辅助的相关设备和技术。对电力系统进行全面的调节和监控，能够有效的避免电力系统遭受危险，出现瘫痪的情况。因此，电力二次系统网络信息防护主要是起到防护电力系统安全的作用，避免遭受到恶意的攻击，导致网络瘫痪。所以，电力二次系统网络安全信息防护对电力系统的安全具有重要的意义和作用。

2安全防护的总体策略

根据电力二次系统的特点及各相关业务系统的重要程度、数据流程、目前状况和安全要求,将整个电力二次系统分为4个安全区。

2.1实时控制区

包括调度自动化系统(SCADA/EMS)、配电自动化系统、变电站自动化系统、发电厂自动监控系统等,它是电力二次系统中最重要系统,安全等级最高,是安全防护的重点与核心,该区的外部通信边界为SPDnet的实时VPN。

2.2非控制生产区

包括调度员培训模拟系统(DT)S、继电保护及故障录波信息管理系统、电能量计量系统、批发电力交易系统等,该区的外部通信边界为SPDnet的非实时VPN。

2.3生产管理区

主要为电力生产所需的信息管理系统,如调度生产管理系统(DMIS)、统计报表系统、雷电监测系统、气象信息接入等,该区的外部通信边界为电力数据通信网SPTent。

2.4管理信息区

针对电力二次系统安全防护,国家电监会于2006年发布了《电力二次系统安全防护总体方案》,该方案确定了电力二次系统防护的总体框架,确定了电力二次系统安全防护总体原则,即“安全分区、网络专用、横向隔离、纵向认证”,提出省级以上的调度中心、地县级调度中心、发电厂、变电站、配电等二次系统安全的防护方案。电力二次系统安全防护的重点是确保电力实时闭环监控系统及调度数据网络的安全,目标是抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击,特别是能够抵御集团式攻击,防止由此导致一次系统事故或大面积停电事故及二次系统的崩溃或瘫痪。

3安全防护的技术措施与设计

电力二次系统网络信息安全防护工作，主要就是为了避免出现大面积的停电情况出现。导致城市的运转和百姓的正常生活出现问题和麻烦。因此，电力二次系统网络信息安全防护工作主要就是为了电力系统的正常运转。同时，还需要遵守相关的防护工作的原则。电力二次系统网络信息安全防护工作的相关人员，应该遵守的原则有四项。第一，就是安全分区，做到将不同的系统分离开，从而达到网络能够独立的要求。第二，则是需要不同的电力系统能够做到专网的要求。第三，就是需要遵守横向隔离原则，这样能够确保各系电力系统的独立性。第四，就是遵守电力系统的纵向认证原则。

3.1安全分区上的施工设计

在对安全分析进行校验系统建设时，需要根据业务的重要性对施工步骤进行划分，不同分区在性质上也会有不同的表现，可以根据性质上的特点，划分为实时控制区、控制生产区，等四个安全区域。为了让实时监控系统可以稳定的运行，施工人员需要将生产业务系统进行安全上的防护，与此同时，还要保障所有安全区域中的系统都可以被放置在安全区域内，就这样才能建立出统一并且科学的安全防护方案。

3.2网络专用

系统规划人员在对数据网进行系统上的设计时，需要根据数据网的服务对象以及规模进行实际数据的考察，并在建设过程中尽量满足自动化系统对安全性以及可靠性上的要求。只有让这些要求得到良好的满足以后，才能让自动化系统提供稳定的提供端口与端口之间的联系与服务。电力调度数据网应该在数据通道的层面上建立专属的网络系统，这样的实施方法，可以让调度数据网与其他数据网之间构建出高效的对接程序。

同时，设计人员也要在专用通道上建立出更加完善的电力调动系统，对网络在数据分析中产生的结果进行处理，让电力二次元系统网络可以与其他数据网络之间，进行物理上的隔离处理。调度人员可以采用新型技术与手段，让网络中间隔离出相应的运行空间，不仅实现了网络的多层次保护，也可以让每个网络都可以拥有自己的专属运输通道。

3.3横向隔离

施工人员还要在每个安全区之间选择适当安全强度的隔离装置，对电网进行隔离处理施工人员要根据实际情况对安装上的方法进行选择，不仅要对网络安全上的问题进行考虑，宽带以及实质性上的要求都需要被规划进考虑的范围内。对安全期之间的隔离装置进行安装时，要在国家出台的安装规范下开展施工步骤，安装完成后，也要邀请相应的技术检测人员对电力系统进行安全稳定上的检测，技术通过以后才可以让这些电力系统投入使用。

3.4纵向认证系统

纵向加密认证是电力二次系统安全防护核心的纵向防线。其目的是通过采用认证、加密、访问控制等手段实现数据的远方安全传输以及纵向边界的安全防护。其中安全区I与n之间通过数字证书系统实现认证、加密和访问控制,同时通过电力系统专用算法再次加密,以确保数据的安全性。拨号认证加密对远程拨号接入用户进行身份认证和数据加密,是纵向防护体系中对通过拨号服务器进行数据传输的重要防护手段。通过身份认证、防火墙和VPN等技术,对安全区工与n的远程拨号接入用户进行认证,对传输的信息进行加密和数字签名,并设置安全策略对接入的用户访问的范围和资源进行限制,以增强电力二次系统安全防护的强度,保证拨号用户操作的责任性和可追查性。

3.5病毒防护上的设计规划

防病毒软件要求搜盖所有服务器及客户端。对关键服务器实时查毒,对于客户端定期进行查毒,制定查毒策略,并备有查杀记录。病毒防护是调度系统与网络必须的安全措施。病毒的防护应该夜盖所有安全区的主机与工作站。

结语

工作人员在对电力系统网络以及信息安全系统进行相应的建设时，不仅要考虑防火墙上的建设措施，也要对网络隔离措施进行相应的技术选择。这些技术在使用过程中还要根据信息安全防护上的系统，进行相应的规划，设计过程中要从管理的角度进行考虑，与此同时，为了让员工在操作过程中提高安全意识，在工程开展之前，管理人员需要对员工的施工技术进行安全教育上的培训。并在施工过程中投入大量的资金，让施工人员可以使用到新型的技术，这样的可以更大力度的维护施工人员的人身安全。双管齐下，才能让电力二次系统在建设过程中，安全防务上的设计达到工程建设上的质量标准。

参考文献

[1]刘静芳,陈赤培,罗杰.电力监控自动化系统中信息安全防护的设计与应用[J].继电器,2014(10).

[2]焦伟.电力调度自动化网络安全防护系统的研究与实现[J].华北电力大学,2014(09).

胡欣，1973.07.28，女，汉族，辽宁省朝阳市，电力高级工程师，研究方向：电力网络与信息安全，国网辽宁省电力有限公司朝阳供电公司