電力二次系統安全防護體系運行分析

(蒲石河抽水蓄能有限公司，遼寧 丹東 118000)

0 引言

基于社會經濟的發展，以及信息技術的革新，電力系統的信息化、自動化水平不斷的提升，電力二次系統也逐漸得到了完善。在電力系統的運行過程中，電力二次系統則是影響其安全平穩運行的重要因素，對于電廠與電網調度數據網絡信息的安全傳輸具有重要的影響。電力二次系統的安全防護工作主要是通過技術手段和管理措施，實現電力系統監控系統及調度數據網絡的安全傳輸，在數據傳輸的過程中保證電氣量和監控實時數據不受攻擊，保障各種電氣設備的安全運行。因此，做好電力二次系統的安全防護工作，能夠有效保證電力系統安全平穩運行。

1 現階段電力二次系統安全防護體系概述

在現階段電力二次系統安全防護工作中，供電局是依據電監會《電力二次系統安全防護規定》的要求，實現“安全分區、網絡專用、橫向隔離、縱向認證”的電力調度數據網，將電力二次系統劃分為生產控制大區和信息管理大區，如圖1。首先，生產控制大區分為控制區和非控制區，將應用軟件系統、數據采集系統等控制電網且對數據傳輸實時性要求高的系統分到控制區，將電能量計量系統、調度員培訓仿真系統等不直接控制電網、對于信息傳輸時效性要求不高的系統劃分到非控制區，在控制區和非控制區之間安裝防火墻、配置訪問策略來保護控制區。其次，管理信息大區則分為生產管理區和辦公管理區。生產管理區主要是電力調度生產管理信息系統，辦公管理區則是安全生產管理系統和企業資源計劃系統等。在電力系統二次系統安保防護體系中，管理信息大區與生產控制大區的連接處則是重點防范對象，需要安裝物理隔離裝置，才能保證信息數據傳輸的安全性。

圖1電力二次安全防護體系圖

2 電力二次系統安全防護體系中存在的隱患

2.1 安全防護措施不完善

在當前電力二次安全防護體系中，防火墻對輸出和輸入的信息數據依據預先設定的規則進行匹配，符合規則的放行，發揮其訪問控制的作用，成為網絡安全的第一道防線。但是，防火墻職能對進出安全區的數據進行分析，對安全區內部的情況發揮不到作用。另外，防火墻自身具有一定的局限性，只能防御網絡層以下的攻擊，對更高層次的攻擊則不能進行預判。此外，盡管一些供電單位在控制區和非控制區安裝了防火墻，但對于防火墻的安全策略沒有仔細落實，不能有效發揮其防護作用，在這種情況下，防火墻安不安裝并沒有多大的意義。

2.2 數據備份方式單一

在當前電力二次安全防護系統的安全管理措施中，主要是以防火墻和物理隔離裝置為核心，在一定程度上改善了網絡上的安全問題。但是，由于網絡安全防護技術一般落后于黑客的攻擊技術，導致其不能有效解決網絡安全問題，為保證系統受攻擊后將損失降到最小，則需要做好數據備份，但若是數據備份方式過于單一，則這條安全防線可靠性并不高。

2.3 系統安全管理依賴技術

盡管應用先進的技術能夠提升電力二次系統的安全防護能力和防護水平，但是技術防護措施并不是唯一提升電力二次系統防護能力的措施。對于供電企業來說，完善的電力二次系統防護體系是指技術、制度、人員、管理等方面在內的安全體系，缺一不可，否則將會嚴重降低電力二次系統的安全防護能力。

2.4 防病毒系統缺乏有效性

在電力二次系統中部署防病毒體系，能夠通過自動化管理手段，升級病毒代碼和掃描引擎。但是在二次系統內不能連接因特網，導致防病毒中心的病毒代碼無法升級，也不能實現客戶端升級。一些供電單位存在管理者或者技術人員忽視病毒傳播的危害和多樣性，并沒有在二次系統與辦公系統之間采用科學的安全隔離措施，導致病毒在兩個系統之間來回傳播和擴散，病毒具有極強的破壞性、隱蔽性和極快的傳播速度，嚴重威脅二次系統的穩定運行。

2.5 外防重于內防

在電力二次系統安全防護體系中，各類安全設備一般是限制外網來保護內網，對外網接入進行保護，但是在實際的運行中，電力單位系統的攻擊一般來自外網，對內網造成不同程度的損害。

3 電力二次系統安全防護體系的安全防護策略

3.1 防火墻防護措施

在電力二次系統運行中，防火墻軟件與硬件構成了第一道安全防線，是非常重要的保護設備。防火墻一般部署在內外部網絡的邊緣，具有過濾數據、驗證身份、掃描病毒等功能，電力二次系統一般采用硬件防火墻+軟件防毒軟件的安全防護模式，來保障系統平穩安全運行。在當前階段，應用較為廣泛的防火墻類型為包過濾防火墻，其主要依據端口號、協議類型、目標地址、源地地址等內容對數據信息進行核判，將滿足防火墻規則的數據輸送到目的地，不滿足防火墻規則的數據則被丟棄。在現階段，包過濾防火墻應用程序包括兩種，一是動態包過濾防火墻，能夠有效追蹤每一個電力二次系統建立的連接，依據實際情況實時修改防火墻過濾規則；二是靜態過濾防火墻，能夠依據定義好的過濾規則分析相關的數據包。在二次防護系統做好防火墻保護措施，能夠有效提升電力二次系統的安全防護水平。

3.2 安裝入侵檢測或防護系統

入侵檢測系統指的是通過旁路監聽方式不斷接收網絡數據，并判斷其是否存在攻擊性，能夠通過多種手段向管理員報警。入侵檢測系統作為網絡安全的第二道防線，則是防火墻的必要補充，構成完整的網絡安全解決方案。因此，在電力二次系統生產控制大區的控制區和非控制區的交界處和內部，可以分別部署若干個IDS探頭，能夠有效地對兩個區域的惡意攻擊行為進行監控。另外，由于入侵檢測系統是一種被動的檢測系統，在被攻擊前很難預先發出警報，不能有效地阻擋攻擊。所以需要在控制區和非控制區之間應用入侵防護系統，預先對入侵活動和攻擊型網絡數據進行攔截，避免對電力二次系統造成損失。

3.3 應用數據備份技術

基于電力系統調度自動化系統的發展，更多的系統集中到調度中心，則需要對其進行數據備份，才能保證信息數據的安全性。因此，電力單位需要應用數據備份技術，通過多元化的數據備份方式，增強數據備份的可靠性。在應用程序服務器備份時，在不影響系統正常操作的基礎上，可以依據應用程序服務器文件系統穩定性的特點，延長備份周期，使用主機的備份方式快速備份整個系統。在進行備份時，也可以使用數字庫服務器進行快速備份，有效避免因工作人員手動安裝造成的不必要安全隱患。還可以對系統的操作系統和應用系統進行備份，便于在整個系統癱瘓后，也能夠盡快地將系統恢復到可用的狀態，有效避免了重裝系統、重新配置應用系統帶來的不便。

3.4 部署防病毒系統

在電力二次系統中部署多層次、全方位的網絡防病毒體系，能夠實現對所有服務器和工作站進行監控篩選。另外，需要設置大面積的保護系統實現對生產控制區的防護，依據相關標準，定期對病毒代碼進行更新，有效杜絕惡意網址的連接，增強電力二次系統防護系統的防護能力。

3.5 強化企業內部的安全網絡工作

電力企業要增強安全防護意識，自上至下推動電力二次系統安全防護工作的開展，保證各個部門嚴格遵守二次系統防護方案落實工作，在企業內部做好電力二次系統安全制度的宣傳工作，不斷增強工作人員的安全意識，并對員工進行相應培訓，提升工作人員的業務能力和責任感。

3.6 開展防護系統風險評估工作

電力企業管理部門需要定期對電力二次系統的防護體系進行安全性風險評估，在評估過程中盡量保證專業性的細致檢查，對各項安全措施進行全面的檢查，有效落實相應的管理制度，才能保證真正發現電力二次系統中存在的安全隱患，并制定出合理的解決方案，對其進行整改和完善。

4 結語

電力二次系統需要結合多種防護技術，才能形成完整的電力二次系統安全防護體系，增強電力系統運行的平穩性和安全性。但是，僅僅依靠技術構成的安全防護體系是不夠的，還需要優化完善電力系統的安全管理機制，在技術與管理的有效結合中，才能有效保證電力二次系統運行安全。因此，在電力系統運行過程中，一定要做好電力二次系統的安全防護措施，保證電廠與電網調度數據網絡中的信息數據安全傳輸，獲得更大的經濟效益和社會效益。