關(guān)于電力二次系統(tǒng)安全防護的具體措施分析

1、<p>　　關(guān)于電力二次系統(tǒng)安全防護的具體措施分析</p><p>　　摘要：作為國家支柱的電力行業(yè)運行越來越需要安全防護系統(tǒng)保障其安全運行，電力安全防護目前遇到了很多現(xiàn)實問題，建立電力二次系統(tǒng)安全防護體系，保障電力系統(tǒng)的安全，防范電力系統(tǒng)事故的發(fā)生，越來越受到集團企業(yè)和國家相關(guān)部門的高度關(guān)注。通過對電力二次系統(tǒng)的現(xiàn)狀、安全防護目標(biāo)和防護策略各方面的分析，明確了安全防護工作中存在的短板,進而初步探討制定

2、出新的電力二次系統(tǒng)安全防護方案和措施。 </p><p>　　關(guān)鍵詞： 電力二次系統(tǒng) 安全防護 具體措施 </p><p>　　中圖分類號： F406 文獻標(biāo)識碼： A 文章編號：電力行業(yè)信息化技術(shù)的逐步提高，使得內(nèi)部信息網(wǎng)具備跨地區(qū)、全行業(yè)覆蓋的功能更突出。電力行業(yè)信息技術(shù)的進步,是計算機網(wǎng)絡(luò)成為加入電網(wǎng)調(diào)度機構(gòu)后發(fā)揮的重大作用。以目前的發(fā)展趨勢，電力行業(yè)對網(wǎng)絡(luò)的依賴性越來越大，為杜絕網(wǎng)

3、絡(luò)共計的危險，電力二次系統(tǒng)被提高到重要層面，已經(jīng)成為有效抵制各種形式網(wǎng)絡(luò)攻擊的基本保障。 </p><p>　　1.二次系統(tǒng)安全防護現(xiàn)狀 </p><p>　　近年來隨著電力行業(yè)二次系統(tǒng)安全防護項目的發(fā)展，信息化應(yīng)用日趨增強，電力網(wǎng)絡(luò)安全問題也變得更為重要。目前電力安全系統(tǒng)涉及到發(fā)電行業(yè)各個環(huán)節(jié)，我國現(xiàn)實現(xiàn)了國調(diào)、網(wǎng)調(diào)、省調(diào)和縣調(diào)五級。發(fā)電廠生產(chǎn)控制區(qū)業(yè)務(wù)系統(tǒng)接入調(diào)度數(shù)據(jù)網(wǎng)及相應(yīng)調(diào)度數(shù)據(jù)網(wǎng)

4、邊界的安全防護。電網(wǎng)規(guī)模不停擴充，自動化系統(tǒng)需求增大，完善電力二次系統(tǒng)安全成為了必須。 </p><p>　　1.1 系統(tǒng)硬件平臺現(xiàn)狀 </p><p>　　EMS系統(tǒng)硬件平臺是十分成熟的電網(wǎng)管理平臺，它不僅負擔(dān)著電網(wǎng)實時監(jiān)測、控制、處理、SOE等任務(wù)，而且有電壓無功優(yōu)化管理、狀態(tài)分析、負荷預(yù)測、調(diào)度員潮流分析等功能，還成為DMIS系統(tǒng)整合的有力支撐。火電廠的DCS、NCS、或ECS監(jiān)控系

5、統(tǒng)通過SIS系統(tǒng)與調(diào)度EMS系統(tǒng)相連，火力發(fā)電廠的AGC、AVC則直接與調(diào)度EMS系統(tǒng)相連，參與有功無功的遠程控制。對于廠內(nèi)二次系統(tǒng)，除了做好備份和計算機管理方面的工作外，更重要的是運用防病毒軟件作為日常安全保障的重要手段，那么專用于電力系統(tǒng)的病毒升級服務(wù)器配備就顯得尤為重要，漸漸被提上日程。 </p><p>　　1.2 系統(tǒng)軟件平臺現(xiàn)狀 </p><p>　　系統(tǒng)軟件平臺EMS系統(tǒng)是功

6、能一體化的系統(tǒng)，其網(wǎng)絡(luò)結(jié)構(gòu)是以總線連接兩層交換機的構(gòu)架，負荷很重，交換流量也過大，很易形成數(shù)據(jù)通信問題，甚至出現(xiàn)主程序會自主關(guān)閉現(xiàn)象。火電廠內(nèi)部監(jiān)控系統(tǒng)則通過標(biāo)準協(xié)議（TCP/IP）全封閉系統(tǒng)，應(yīng)杜絕外部訪問。 </p><p>　　2. 二次防護系統(tǒng)加固措施實踐 </p><p>　　采用自加固和專業(yè)安全加固兩種形式對電力系統(tǒng)進行加固，能夠?qū)﹄娏ο到y(tǒng)日常維護和專業(yè)評估后的漏洞起到修補的安

7、全加固作用。 </p><p>　　2.1 基于數(shù)據(jù)單向遷移的橫向隔離措施 </p><p>　　按照“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認證”原則，EMS系統(tǒng)基于LINUX操作系統(tǒng)服務(wù)器單向遷移數(shù)據(jù)鏡像發(fā)布于Web服務(wù)器生成頁面，給信息管理大區(qū)的業(yè)務(wù)用戶使用。 </p><p>　　Linux系統(tǒng)可實現(xiàn)對個體文件、任務(wù)進行加密處理，更加可靠?？墒荳eb服務(wù)器在身份

8、認證和權(quán)限管理方面無有效措施，Linux系統(tǒng)中的SAMBA服務(wù)使Web服務(wù)器在直接面向與INTERNET互聯(lián)的MIS網(wǎng)絡(luò)時，給HACKER攻擊和病毒入侵提供了侵入機會。有效結(jié)合軟硬件的安全隔離措施應(yīng)被廣泛使用，才能在共享網(wǎng)絡(luò)數(shù)據(jù)時對侵入的非法信息進行阻斷。 </p><p>　　2.2 基于認證加密技術(shù)的縱向防護措施 </p><p>　　采用IP認證加密裝置間的相互認證來實現(xiàn)安全Ⅰ/Ⅱ區(qū)

9、內(nèi)部的縱向通信過程。有如下方面：IP認證加密裝置之間支持基于數(shù)字證書的認證，支持定向認證加密；對傳輸?shù)臄?shù)據(jù)通過數(shù)據(jù)簽名與加密進行數(shù)據(jù)機密性、完整性保護；支持透明工作方式與網(wǎng)關(guān)工作方式；具有基于IP、傳輸協(xié)議、應(yīng)用端口號的綜合報文過濾與訪問控制功能；實現(xiàn)裝置之間智能協(xié)調(diào)，動態(tài)調(diào)整安全策略；具有NAT功能。 </p><p>　　2.3 系統(tǒng)的網(wǎng)絡(luò)訪問控制措施 </p><p>　　網(wǎng)絡(luò)各節(jié)點

10、全面控制措施可以從五個方面來實現(xiàn)： </p><p>　?。?）強化口令管理：如果設(shè)置的口令較易被破解就需要加強口令管理控制。因為EMS系統(tǒng)口令若被人盜用，會對電力二次系統(tǒng)和電網(wǎng)的安全運行形成危害，后果不堪設(shè)想。 </p><p>　?。?）禁用不必要服務(wù)：諸如Finger、BootpServer、ProxyArp等出場缺省服務(wù)，在路由器上，對于SNMP、DHCP以及Web不必須的管理服務(wù)

11、等能關(guān)閉的就關(guān)閉。 </p><p>　?。?）禁用遠程訪問：遠程訪問控制計算機必然泄露系統(tǒng)信息，在鏈接過程中難免有病毒侵入系統(tǒng)，所以應(yīng)完全避免。 </p><p>　?。?）控制流量有限進入網(wǎng)絡(luò)：路由器通常會成為DOS攻擊的目標(biāo)，沒有IP地址的包，一切外來的和仿冒內(nèi)部的包都不要隨意下載、打開使用。此外，用戶還可以采取增加SYNACK隊列長度、縮短ACK超時等措施來保護路由器免受TCP S

12、YN的攻擊。 </p><p>　　2.4 數(shù)據(jù)庫管理與安全審計措施 </p><p>　　數(shù)據(jù)庫管理要著重EMS系統(tǒng)管理，其數(shù)據(jù)資源受到設(shè)備物理防護，而無法避免人為因素破壞。因而用戶應(yīng)該采取必要措施加以防范。比如明確系統(tǒng)維護人員、調(diào)度操作人員、設(shè)備巡視人員職責(zé)權(quán)限，實現(xiàn)口令管理，同時在系統(tǒng)中用LOG.TXT記錄人員訪問操作信息。嚴格口令管理制度，嚴禁無關(guān)人員使用工作人員口令、權(quán)限，并健全

13、相關(guān)處罰措施。 </p><p>　　2.5 防病毒措施 </p><p>　　防病毒措施的關(guān)鍵就是防病毒軟件的使用。專業(yè)病毒軟件的使用和定期更新是防范的重點，而因為更新需要插入的移動設(shè)備必須要率先排除染毒可能。也就需要固定的專門的病毒升級服務(wù)器，它可設(shè)立在安全III區(qū)，采用LINUX系統(tǒng)平臺，加裝防毒軟件，成為獨立的病毒升級機，先用本機殺毒而后經(jīng)過物理隔離設(shè)備供給總線結(jié)構(gòu)連接的EMS網(wǎng)絡(luò)

14、各設(shè)備，來實現(xiàn)系統(tǒng)設(shè)備病毒庫的安全升級。 </p><p>　　此外，EMS提供的I/O設(shè)備是一大隱患，能封存該設(shè)備就要加以封存，防范因此造成的系統(tǒng)崩潰等故障。 </p><p>　　2.6 制度管理措施 </p><p>　　嚴格專人負責(zé)制，成立專門的安全防護領(lǐng)導(dǎo)小組和監(jiān)督工作組，負責(zé)本單位二次系統(tǒng)安全防護的組織管理和具體工作。做好重要應(yīng)用系統(tǒng)軟件、數(shù)據(jù)的備份，確

15、保在數(shù)據(jù)損壞、系統(tǒng)崩潰情況下快速恢復(fù)數(shù)據(jù)與系統(tǒng)。有專人查看IDS入侵檢測系統(tǒng)運行日志，及時處理網(wǎng)絡(luò)異常。 </p><p>　　2.7 其它加固措施 </p><p>　　程序安全措施、安全細化評估、數(shù)據(jù)的備份和恢復(fù)、入侵檢測 IDS等手段都可作為加固措施進行配置。 </p><p><b>　　結(jié)束語： </b></p><

16、;p>　　計算機網(wǎng)絡(luò)的安全是和電力生產(chǎn)安全連為一體的，只有運用健全的網(wǎng)絡(luò)安全管理技術(shù)和完備的管理方法，加強日常管理監(jiān)督，不斷應(yīng)用新技術(shù)對電力安全系統(tǒng)進行更新，才能成為電力行業(yè)安全防護最好的保障。 </p><p><b>　　參考文獻: </b></p><p>　　[1] 李勁.論述廣西電力二次系統(tǒng)安全防護技術(shù)原則[J].廣西電力,2005,(4):18. &