基于电力二次系统安全防护体系运行研讨韩潇潇

基于电力二次系统安全防护体系运行研讨韩潇潇

韩潇潇

（国网北京昌平供电公司北京昌平102200）

摘要：电网的安全性和稳定性直接受监控系统的影响。随着我国经济社会的高速增长，电力技术不断推动着电力系统的优化和升级，电网的信息化水平以及自动化水平得到了显著的增强。于此，电力二次系统的安全、稳定的运行就具有极其关键的作用。可以说，电力二次系统涉及到诸多资源的优化及整合。本文就当前电力二次系统安全防护体系运行进行了分析与探讨。

关键词：电力二次系统；安全防护体系；运行

随着计算机技术的发展给人们的生活带来了越来越多的便利，计算机在人们的日常生活中扮演的角色也越来越重要，甚至可以说人们生活的很多方面已经离不开它了。那么，要想支撑计算机技术能够在一个安全、可靠、稳定的环境下发展，电力二次系统的安全防护就不可或缺，指定相应的防护体系设计是必要的，下文就电力二次系统、可能存在的问题以及电力二次系统安全防护体系运行维护方面做了一些简单的分析。

1电力二次系统简述

电力二次系统指的是指在电网与电厂的生产过程中直接相关的电力监控系统、电力通信及调度数据网络，这3个部分也是组成电力二次系统的主要部分。电力二次系统主要可以分为生产控制大区和管理信息大区两个大区，这两个大区各自分工，分别负责不同的区域和任务，共同维护电力二次系统的运行。生产控制大区由两个安全区组成，根据对传输数据实效性需求大小的区分将不同的系统分别放入这两个安全区。管理信息大区同样也是由两个不同的安全区组成，一般情况下，这2个安全区分别为电力调度管理系统和电网生产管理系统与企业资源计划系统。根据相关要求，在生产控制大区和管理信息大区之间必须设置电力专用的横向单向安全隔离装置，在这两个大区之间还应该安装可以控制访问权限的装置或者防火墙或者有类似功能的设备装置。

2电力二次系统主要存在问题

在电力二次系统的运行中，常常会遇到各种各样的问题，其中主要有以下几个方面：硬件设备、应用层、内外部网络、操作系统与网络防护等其他的一些安全隐患。正是由于这些安全隐患问题的存在，因此我们需要建设完善的电力二次系统安全防护体系，电力二次系统安全防护主要是为了阻止或抵抗病毒、黑客或恶意代码等各种不同形式对系统发起的恶意破坏和攻击，安全防护的重点是确保电力实时闭环监测系统和电力调度数据网络的安全。

3电力二次系统安全防护体系

3.1安全防护体系需要考虑的问题

制定一个电力二次系统安全防护体系方案需要考虑以下几个方面的问题：①建立电力二次系统安全防护体系的基本目标是什么；②建立电力二次系统安全防护体系要遵守哪些基本原则；③划分电力二次系统安全防护体系的安全分区。首先，确定基本目标，也就是建立电力二次系统安全防护体系主要是为了什么？主要的功能作用是什么，通过上文分析我们知道电力二次系统安全防护体系主要是为了阻止或抵抗病毒、黑客或恶意代码等各种不同形式对系统发起的恶意破坏和攻击，其中安全防护的重点是确保电力实时闭环监测系统和电力调度数据网络的安全。其次，我们需要注意的是建立这个安全防护体系时需要遵循的基本原则有哪些。根据国家相关文件的要求，在电力二次安全防护系统中，安全等级高的系统不能够被安全等级低的系统所影响。并且，电力监控系统的安全等级需要比电力管理信息系统高，各电力监控系统必须自身拥有安全可靠且安全等级高可靠性较强的安全防护设施，且不能够直接与安全等级与可靠性低的系统相联。最后，我们需要划分电力二次系统安全防护体系的安全分区。原则上，基于计算机和网络技术的内部系统一般可以分为生产控制和管理信息两个大区，其中生产控制大区又包含了控制区和非控制区这两个安全区，管理信息大区在不使生产控制大区受影响的情况下又分为了生产管理区和管理信息区这两个安全区。

3.2安全防护体系的总体方案

电力二次系统安全防护体系的方案主要包括横向隔离和纵向认证。其中，横向隔离是使各个安全区相互独立，互不干扰，当其中某一区域受到病毒或恶意代码等攻击时能够保证其他安全区安全无虞不受影响。横向隔离的关键技术是实时数据传输专用物理隔离设备，配置LINUX内核，取消所有网络功能，采用非INTEL指令系统微处理器，其中非网络方式部分的内部通信支持安全岛。单向数据通信控制单向联接控制，防止穿透性TCP连接，应用层解析，支持身份验证，支持应用层特殊标识，并且具有灵活方便的管理界面。隔离设备主要有正向型网络安全隔离设备和反向型网络安全隔离设备，正向型主要采用软、硬结合的安全措施，软件上采用的是综合过滤、应用代理技术实现链路层、控制访问和网络层与应用层的隔离，硬件上面采用的是双嵌入式的计算机结构。反向型隔离设备通过文件发送软件来实现传输，并且在传输的过程中进行身份验证，只有通过检查的报文才能够进入内网，来确保网络系统的安全性可靠性。

纵向认证的防护措施指通过加密、认证和控制访问等方法来完成数据的远程传输，纵向认证的主要安全防护技术和产品包括网络数据、备份与恢复、恶意代码防范、防火墙、主机加固、入侵检测、电力调度数字证书、电力专用横向隔离装置、纵向认证加密装置和加密认证网关、远程拨号访问、安全审计和安全扫描等。

从管理信息大区安全的需求上来说，防火墙和入侵检测IDS的设置是是非常必要的。首先，防火墙可以设置在生产控制大区的两个安全区之间，实现这两个区域的逻辑隔离，另外，入侵检测IDS的设置能够增加调度业务的可靠性。国家对于生产控制大区和管理信息大区的安全性有着很高的要求，因此设置电力专用单向横向安全隔离装置是必须的，国产的硬件防火墙是一个很好的选择，它能够隔离禁止安全风险高的信息穿越通过系统，确保系统的安全、可靠运行，并且通过加密认证设施来加强安全性。另外，主机防护、计算机系统本地访问控制和关键应用系统服务器访问控制也是比较重要的技术。主机保护主要靠安全配置、安全补丁、主机加固和应用目标4部分组成，它们通过合理地设置系统配置、权限等，加强安全，消除系统内核漏洞与后门，防止主机权限被滥用。访问控制主要是通过调度系统内部关键应用，增强身份认证、控制访问、授权、安全通信和行为审计等方面的安全性。当然，除了以上这些之外，还有其他措施，比如一些应用系统合理设置权限等。

3.3建立完善的安全管理制度

俗话说得好，三分靠技术七分靠管理，因此，在制定了系统的电力二次系统安全防护措施之后，还应该建立完善的安全管理制度来加强运行管理。主要可以从以下几个方面来考虑，首先，在人员的应用上要建立一定的规章制度，确保人员管理要到位，其次，对于权限管理和访问控制管理也要有一定的加强措施，最后，在设备以及子系统的维护管理、恶意代码的防护、数据及系统的备份管理方面也要注意加强，还应该制定一些应急预案措施以防止突发事件的发生。只有做了足够的充分的准备措施，在一些故障或者突发事件到来时我们才不会慌张，因此，平时的管理工作不容忽视且必须要做好做到位。

结语

电力二次系统的安全防护需要多种防护技术相结合，各种安全防护技术均有着不同的使用环境，维护人员应根据其特点和实际情况，选择合适的计算机安全管理手段。在尽最大努力完善防护技术的同时，还要对系统安全管理部门的工作内容进行明文规定，在制度上保证工作人员的尽心尽责，形成软件与硬件、管理与保障结合的安全运行体系，确保二次系统的安全。

参考文献

[1]王宏臣.关于电力二次系统安全防护的具体措施分析[J].中国科技财富,2012(15).

[2]许叶花.浅谈电力二次系统安全防护体系[J].城市建设理论研究:电子版,2013(13).