羅青青+陳葆超

摘 要 電力系統(tǒng)安全可靠穩(wěn)定地運行，除了需要一次設(shè)備良好的運行狀況之外，還需要二次系統(tǒng)安全地運行來配合。本文主要介紹電力二次系統(tǒng)安全防護中五種主要設(shè)備和防護的技術(shù)原理，即交換機、路由器、硬件防火墻、橫向隔離裝置和縱向加密認證裝置的技術(shù)原理，并闡述各設(shè)備在電力專用領(lǐng)域的安全技術(shù)。

關(guān)鍵詞 電力二次系統(tǒng)；安全防護；電網(wǎng)安全；信息安全

中圖分類號 TM77 文獻標(biāo)識碼 A 文章編號 1674-6708（2016）172-0283-02

目前，電力二次系統(tǒng)的信息安全與電網(wǎng)調(diào)度和控制系統(tǒng)等安全運行分不開，如何搭建安全可靠的電力二次安全防護系統(tǒng)，確保電網(wǎng)安全穩(wěn)定運行，已成為迫在眉睫的問題。隨著網(wǎng)絡(luò)建設(shè)的快速發(fā)展，電力二次系統(tǒng)網(wǎng)絡(luò)運行環(huán)境的安全性嚴重不足。在2003年的美加大停電中，蠕蟲病毒阻礙了加拿大安大略省從停電事故中恢

復(fù)正常供電的進度[ 1 ]。

電力二次系統(tǒng)是電網(wǎng)安全穩(wěn)定運行的前提，如果沒有二次系統(tǒng)的保障，一次系統(tǒng)無保護運行將很容易造成系統(tǒng)性崩潰。因此，必須要防止病毒和黑客威脅電力二次系統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)，減少電力系統(tǒng)安全事故[ 2 ]。

1 交換機技術(shù)

交換機工作在數(shù)據(jù)鏈路層，管理和共享多個計算機以及網(wǎng)絡(luò)設(shè)備，其特點是對網(wǎng)絡(luò)進行以微分段的方式進行數(shù)據(jù)通信[3]。交換機解決了兩個相鄰節(jié)點之間的通信問題，實現(xiàn)了鄰節(jié)點鏈路上無差錯、準(zhǔn)確無誤、高效快速的傳輸協(xié)議數(shù)據(jù)幀[4]。

如今已有能夠支持各種局域網(wǎng)多層的路由技術(shù)，實現(xiàn)了數(shù)據(jù)快速和準(zhǔn)確轉(zhuǎn)發(fā)。多層交換技術(shù)具有性價比高、易于擴展等優(yōu)點，成為主要的發(fā)展趨勢。交換機在數(shù)據(jù)幀交換中的核心集成電路設(shè)計、硬件體系結(jié)構(gòu)設(shè)計、虛擬局域網(wǎng)技術(shù)等方面都會有所改進。從整體來看，交換機是向更快、更可靠、帶寬更大的方向發(fā)展。

2 路由器技術(shù)

不同的網(wǎng)段或網(wǎng)絡(luò)可以通過路由器連接Internet中各局域網(wǎng)的廣域網(wǎng)的設(shè)備，從而構(gòu)成一個更大的網(wǎng)絡(luò)。它能夠根據(jù)網(wǎng)絡(luò)情況自動選擇和設(shè)定路由，以最佳路徑將數(shù)據(jù)包轉(zhuǎn)發(fā)出去。

如圖1所示，在TCP/IP網(wǎng)絡(luò)中路由器是最主要的聯(lián)網(wǎng)設(shè)備。IP路由協(xié)議中使用的度量有：跳數(shù)、帶寬、負載、延遲和開銷。未來路由器的設(shè)計和發(fā)展方向?qū)②呄蛴诟甙踩?、高可靠性、高性能和智能?個方面。

3 硬件防火墻技術(shù)

硬件防火墻作為一種重要的網(wǎng)絡(luò)安全設(shè)備，主要用于實現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換、過濾規(guī)則配置等，其技術(shù)還在不斷地發(fā)展進步[ 5 ]。為了提高防火墻的性和穩(wěn)定性，一些防火墻廠商通過專用的集成電路或者網(wǎng)絡(luò)處理芯片來實現(xiàn)防火墻的核心功能。由于采用了專門的硬件處理平臺，防火墻的處理能力得到了很大的提高，降低了因為防火墻檢測而導(dǎo)致的網(wǎng)絡(luò)延時。在功能上，防火墻在保留其核心功能的基礎(chǔ)上，增加了地址轉(zhuǎn)換、虛擬專用網(wǎng)絡(luò)、Qos、入侵檢測和病毒防御等完善網(wǎng)絡(luò)安全管理的功能，從而構(gòu)建了一套以防火墻為核心的完全防御系統(tǒng)[ 6 ]。以防火墻為核心的安全防御系統(tǒng)是一個智能化的操作平臺，能夠準(zhǔn)備地發(fā)現(xiàn)并及時阻擋入侵的發(fā)生和中止病毒的擴散等。

隨著電子商務(wù)的蓬勃發(fā)展，作為其支撐的寬帶和應(yīng)用數(shù)據(jù)中心均對防火墻性能提出了更高要求，導(dǎo)致對高速防火墻的大量需求。高速防火墻是指那些吞吐量和處理速度非常優(yōu)異的千兆防火墻。為了實現(xiàn)比普通防火墻更高的要求，高速防火墻采用了專用集成電路（ASIC）技術(shù)、集群技術(shù)的分布式技術(shù)。

4 橫向隔離技術(shù)

電力二次系統(tǒng)實現(xiàn)電網(wǎng)的實時監(jiān)控、在線穩(wěn)定控制預(yù)決策、繼保信息管理、電量采集、在線生產(chǎn)交易等業(yè)務(wù)。由于關(guān)系到電力生產(chǎn)安全、社會生活穩(wěn)定等重大問題，電力二次系統(tǒng)再長期的建設(shè)過程中，都要求與企業(yè)綜合業(yè)務(wù)網(wǎng)和物流網(wǎng)進行隔離。但是信息管理系統(tǒng)與互聯(lián)網(wǎng)連接，并與電力二次系統(tǒng)信息共享必然會引入外部安全威脅。而防火墻等在線防護技術(shù)采用邏輯隔離的方法，不能提供較高強度的安全。所以這種軟隔離方法難以滿足電力部門的高安全需求，必須采用一種能夠提供高強度安全的技術(shù)，在保護電力二次統(tǒng)內(nèi)部安全的同時，提供較好的數(shù)據(jù)交換功能。

網(wǎng)絡(luò)隔離技術(shù)就是將網(wǎng)絡(luò)與網(wǎng)絡(luò)之間的連接分離，然而網(wǎng)絡(luò)隔離后便不能實現(xiàn)數(shù)據(jù)信息共享的功能。網(wǎng)絡(luò)隔離與數(shù)據(jù)交換本來就是一對矛盾，而網(wǎng)絡(luò)隔離技術(shù)就是為了解決這一對矛盾，為涉密網(wǎng)絡(luò)提供一種安全交換方式而發(fā)展起來的[ 7 ]。由于涉密網(wǎng)絡(luò)近乎苛刻的安全性要求，網(wǎng)絡(luò)隔離技術(shù)的設(shè)計思想與傳統(tǒng)的網(wǎng)絡(luò)防御技術(shù)有了較大的區(qū)別。

根據(jù)電力網(wǎng)絡(luò)應(yīng)用的特殊要求，廠商研發(fā)出了電力專用橫向隔離裝置。橫向隔離裝置使用網(wǎng)絡(luò)安全技術(shù)和隔離交換技術(shù)，在內(nèi)外網(wǎng)間斷開OSI七層網(wǎng)絡(luò)協(xié)議，實現(xiàn)了非網(wǎng)絡(luò)數(shù)據(jù)的交換。為了解決計算機信息共享的問題，設(shè)計了基于TCP/IP模型的網(wǎng)絡(luò)體系結(jié)構(gòu)，它很好地解決了不同網(wǎng)絡(luò)之間的兼容性問題，實現(xiàn)了網(wǎng)絡(luò)間的互聯(lián)互通。

5 縱向加密認證技術(shù)

縱向加密認證裝置負責(zé)保障網(wǎng)絡(luò)內(nèi)數(shù)據(jù)的安全傳輸，其設(shè)計及使用的原理涉及密碼學(xué)和網(wǎng)絡(luò)安全?？v向加密認證裝置采用“統(tǒng)一協(xié)調(diào)，分級管理”，通過各級裝置管理系統(tǒng)對不同廠商的設(shè)備進行統(tǒng)一管理。

除縱向加密認證裝置外，“縱向認證”的實現(xiàn)還涉及調(diào)度證書服務(wù)系統(tǒng)和裝置管理系統(tǒng)。裝置管理系統(tǒng)位于電力調(diào)度中心，是對所轄多廠商的裝置進行統(tǒng)一管理的計算機系統(tǒng)[8]。

6 結(jié)論

綜上所述，本文主要介紹了交換機、路由器、硬件防火墻、橫向隔離裝置和縱向加密認證裝置等電力二次系統(tǒng)安全防護中五種主要安全防護和網(wǎng)絡(luò)設(shè)備的技術(shù)原理，并闡述各設(shè)備在電力專用領(lǐng)域的安全技術(shù)。事實證明，電力二次安全防護在電力系統(tǒng)的正常運行中發(fā)揮著不可替代的作用，其不僅保障了電力系統(tǒng)二次信息傳遞的安全，為電力系統(tǒng)的正常運行營造了可靠安全的運行環(huán)境，還提高了電力系統(tǒng)二次信息傳遞的準(zhǔn)確性和快速性，保證電力系統(tǒng)運行的安全性和可靠性，從而保證國民經(jīng)濟持續(xù)快速的增長。

參考文獻

[1]天石.停電后蠕蟲病毒使加拿大電力系統(tǒng)恢復(fù)受阻[EB/OL].[2011-10-18].http：//news.sina.com.cn/o/2003-08-20/1004600489s.shtml.

[2]鄒春明，鄭志千，劉智勇，等.電力二次安全防護技術(shù)在工業(yè)控制系統(tǒng)中的應(yīng)用[J].電網(wǎng)技術(shù)，2013，37（11）：3227-3232.

[3]黎連業(yè)，王安，向東明.交換機及其應(yīng)用技術(shù)[M].北京：清華大學(xué)出版社，2004.

[4]陳玉平.電力調(diào)度自動化二次系統(tǒng)安全防護初探[J].自動化技術(shù)與應(yīng)用，2009，28（8）：132-134.

[5]李勁.論述廣西電力二次系統(tǒng)安全防護技術(shù)原則[J].廣西電力，2005，28（4）：18-21.

[6]黎連業(yè)，張維，向東明.防火墻及其應(yīng)用技術(shù)[M].北京：清華大學(xué)出版社，2004.

[7]賀文華，陳志剛.網(wǎng)絡(luò)安全隔離GAP技術(shù)研究[J].科學(xué)技術(shù)與工程，2007，7（9）：1948-1952.

[8]馬國紅，方慶軍.電力二次系統(tǒng)縱向安全防護體系的建設(shè)[J].電力信息化，2008，6（2）：32-34.