任杰 王婷宇

摘?要：當(dāng)前電網(wǎng)規(guī)模復(fù)雜度越來(lái)越高，對(duì)電力通信數(shù)據(jù)依賴(lài)程度也在增加，因此為了保證電網(wǎng)的安全可靠運(yùn)行，課題將結(jié)合相關(guān)《全國(guó)電力二次系統(tǒng)安全防護(hù)總體方案》，對(duì)電力通信網(wǎng)數(shù)據(jù)的安全防護(hù)系統(tǒng)進(jìn)行研究與分析。

關(guān)鍵詞：電網(wǎng)安全;電力通信網(wǎng);安全防護(hù)

隨著地區(qū)電網(wǎng)規(guī)模的越來(lái)越大其對(duì)電力通信數(shù)據(jù)的安全性要求也越來(lái)越高。國(guó)家也制定了多項(xiàng)電力通信網(wǎng)絡(luò)安全防護(hù)措施，確保電網(wǎng)電網(wǎng)安全、優(yōu)質(zhì)、穩(wěn)定的運(yùn)行，根據(jù)電網(wǎng)實(shí)際需求和網(wǎng)絡(luò)當(dāng)前的實(shí)際情況，并結(jié)合《全國(guó)電力二次系統(tǒng)安全防護(hù)總體方案》，對(duì)電力通信網(wǎng)數(shù)據(jù)的安全防護(hù)系統(tǒng)進(jìn)行研究和分析。

1?安全防護(hù)目標(biāo)

電力通信網(wǎng)數(shù)據(jù)的安全防護(hù)系統(tǒng)目的在于保證電力數(shù)據(jù)網(wǎng)絡(luò)的可靠性、安全性，防止外來(lái)力量破壞和攻擊電力通信數(shù)據(jù)網(wǎng)，竊取電網(wǎng)有關(guān)的信息，同時(shí)防止電力系統(tǒng)因集團(tuán)式攻擊出現(xiàn)電網(wǎng)大面積的一二次電網(wǎng)重大事故，造成社會(huì)經(jīng)濟(jì)損失、甚至社會(huì)不穩(wěn)定的發(fā)生。

2?系統(tǒng)安全防護(hù)策略

（1）安全分區(qū)。分區(qū)防護(hù)、突出重點(diǎn)。對(duì)電力系統(tǒng)里的所涉及的業(yè)務(wù)重要程度、一二次系統(tǒng)對(duì)電網(wǎng)的影響系數(shù)進(jìn)行分析，并基于影響程度對(duì)電力系統(tǒng)中各個(gè)業(yè)務(wù)進(jìn)行安全分區(qū)，同時(shí)因?qū)ο到y(tǒng)內(nèi)實(shí)時(shí)控制系統(tǒng)以及電網(wǎng)調(diào)度數(shù)據(jù)進(jìn)行認(rèn)證和加密等方面的重點(diǎn)防護(hù)措施。

（2）網(wǎng)絡(luò)專(zhuān)用。對(duì)電力數(shù)據(jù)網(wǎng)絡(luò)進(jìn)行獨(dú)立的構(gòu)建，確保其與其他的數(shù)據(jù)信息網(wǎng)絡(luò)間能夠達(dá)到物理隔離的效果，同時(shí)對(duì)電力數(shù)據(jù)網(wǎng)絡(luò)進(jìn)行安全分區(qū)，實(shí)現(xiàn)子網(wǎng)間的相互隔離，從而達(dá)到各個(gè)層面上安全區(qū)的縱向互聯(lián)能夠在同一安全區(qū)域內(nèi)實(shí)現(xiàn)，以防止縱向交叉現(xiàn)象的發(fā)生。

（3）橫向隔離。采用不同等級(jí)的安全隔離措施，以實(shí)現(xiàn)系統(tǒng)內(nèi)各個(gè)安全區(qū)的業(yè)務(wù)安全保護(hù)，其中利用邏輯隔離實(shí)現(xiàn)Ⅰ區(qū)和Ⅱ區(qū)的安全隔離，Ⅲ區(qū)、Ⅳ區(qū)和Ⅰ區(qū)、Ⅱ區(qū)間的隔離程度必須要求幾乎能夠達(dá)到物理隔離。橫向隔離的措施具體如下：（a）Ⅰ區(qū)、Ⅱ區(qū)的隔離措施：考慮到Ⅰ區(qū)、Ⅱ區(qū)所涉及的業(yè)務(wù)主要集中電力安全生產(chǎn)上，數(shù)據(jù)交換相對(duì)頻繁，兩者聯(lián)系較為緊密，因此可將Ⅰ區(qū)、Ⅱ區(qū)認(rèn)定為一個(gè)邏輯生產(chǎn)大區(qū)，同時(shí)利用邏輯隔離實(shí)現(xiàn)Ⅰ區(qū)和Ⅱ區(qū)的安全隔離。（b）Ⅲ區(qū)、Ⅳ區(qū)的隔離措施：考慮到Ⅲ區(qū)、Ⅳ區(qū)所涉及的業(yè)務(wù)主要集中信息管理上，信息交互較為頻繁，因此可將Ⅲ區(qū)、Ⅳ區(qū)認(rèn)定為另外一個(gè)邏輯信息管理大區(qū)，同時(shí)利用邏輯隔離實(shí)現(xiàn)Ⅲ區(qū)和Ⅳ區(qū)的安全隔離。（c）Ⅲ區(qū)、Ⅳ區(qū)和Ⅰ區(qū)、Ⅱ區(qū)間的隔離措施，考慮到Ⅰ區(qū)、Ⅱ區(qū)和Ⅲ區(qū)、Ⅳ區(qū)分別為電力安全生產(chǎn)區(qū)和信息管理區(qū)，兩個(gè)大區(qū)之間不容許有直接的關(guān)聯(lián)，因此在邏輯生產(chǎn)大區(qū)向邏輯信息管理大區(qū)進(jìn)行聯(lián)系時(shí)通過(guò)單向數(shù)據(jù)傳輸?shù)恼蚋綦x措施進(jìn)行物理隔離，而邏輯信息管理大區(qū)向邏輯生產(chǎn)大區(qū)進(jìn)行聯(lián)系時(shí)單向數(shù)據(jù)傳輸?shù)姆聪蚋綦x措施進(jìn)行物理隔離。

（4）縱向認(rèn)證。通過(guò)系統(tǒng)認(rèn)證、安全加密、網(wǎng)絡(luò)訪問(wèn)控制等方面的策略達(dá)到電力通信網(wǎng)數(shù)據(jù)的安全信息交互，同時(shí)對(duì)縱向邊界進(jìn)行安全保障，可通過(guò)加裝經(jīng)認(rèn)定檢測(cè)的IP防護(hù)加密裝置對(duì)I區(qū)、Ⅱ區(qū)間的縱向邊界進(jìn)行安全防護(hù)，同時(shí)加裝高精度的防火墻對(duì)Ⅲ區(qū)、Ⅳ區(qū)間的縱向邊界進(jìn)行安全防護(hù)。

3?網(wǎng)絡(luò)安全防護(hù)

（1）網(wǎng)絡(luò)路由防護(hù)。依據(jù)相關(guān)網(wǎng)絡(luò)安全技術(shù)標(biāo)準(zhǔn)以及電力數(shù)據(jù)網(wǎng)管理標(biāo)準(zhǔn)，通過(guò)虛擬專(zhuān)網(wǎng)技術(shù)對(duì)電力數(shù)據(jù)網(wǎng)進(jìn)行劃分，其分別為非實(shí)時(shí)的調(diào)度數(shù)據(jù)子網(wǎng)和實(shí)時(shí)的電力調(diào)度數(shù)據(jù)子網(wǎng)。并通過(guò)網(wǎng)絡(luò)路由防護(hù)保證電力數(shù)據(jù)網(wǎng)的安全可靠傳輸及應(yīng)用。

（2）網(wǎng)絡(luò)邊界防護(hù)。對(duì)系統(tǒng)業(yè)務(wù)接入時(shí)采取嚴(yán)格的控制策略，確保接入信息的可信度。電力數(shù)據(jù)網(wǎng)不容許接入沒(méi)有通過(guò)認(rèn)證的業(yè)務(wù)。業(yè)務(wù)系統(tǒng)邊界和電力通信網(wǎng)絡(luò)進(jìn)行業(yè)務(wù)往來(lái)時(shí)，必須采取有效的訪問(wèn)控制策略，對(duì)其通信的業(yè)務(wù)范圍以及方式實(shí)現(xiàn)有效的防護(hù)控制。邏輯生產(chǎn)安全區(qū)與電力通信數(shù)據(jù)網(wǎng)間的縱向邊界應(yīng)使用有效的安全隔離措施、信息加密以及IP安全認(rèn)證等有效的策略進(jìn)行控制。同時(shí)電力系統(tǒng)中需實(shí)時(shí)上傳的數(shù)據(jù)應(yīng)進(jìn)行縱向加密策略后上傳至電力調(diào)度數(shù)據(jù)網(wǎng)中。

（3）網(wǎng)絡(luò)設(shè)備的安全配置，其主要包含有關(guān)閉閑置的網(wǎng)絡(luò)端口、訪問(wèn)控制系統(tǒng)進(jìn)行授權(quán)、設(shè)定安全系數(shù)高的訪問(wèn)密碼、對(duì)IP地址范圍進(jìn)行認(rèn)定、對(duì)設(shè)備日志進(jìn)行安全記錄、網(wǎng)管協(xié)議主要是SNMPv2?及以上的版本、網(wǎng)絡(luò)邊界OSPF?路由功能進(jìn)行屏蔽、默認(rèn)路由進(jìn)行設(shè)定、網(wǎng)絡(luò)服務(wù)進(jìn)行規(guī)定等等。

4?系統(tǒng)實(shí)施內(nèi)容

為了保證數(shù)據(jù)的安全、可靠，系統(tǒng)采用虛擬專(zhuān)用網(wǎng)絡(luò)（Virtual?Private?Network，即VPN）技術(shù)組建與系統(tǒng)主站的數(shù)據(jù)傳輸通道，并支持加密安全傳輸協(xié)議，同時(shí)部署防火墻設(shè)備，防止外部非法用戶接入。為進(jìn)一步提升通信安全性，在主站與電站側(cè)分別部署VPN設(shè)備，其中平臺(tái)側(cè)作為VPN服務(wù)端，電站側(cè)作為VPN接入端，并選擇具有安全機(jī)制IPSEC?VPN作為隧道協(xié)議。采集系統(tǒng)中的監(jiān)控?cái)?shù)據(jù)位于電力生產(chǎn)控制安全Ⅰ區(qū)，生產(chǎn)管理系統(tǒng)位于電力生產(chǎn)管理信息安全Ⅲ區(qū)。Ⅰ區(qū)監(jiān)控服務(wù)器到Ⅲ區(qū)生產(chǎn)管理服務(wù)器之間部署正向隔離裝置，保證數(shù)據(jù)傳輸滿足電力網(wǎng)絡(luò)安全的規(guī)范。

5?結(jié)論

課題在系統(tǒng)安全防護(hù)目標(biāo)、系統(tǒng)安全防護(hù)策略、網(wǎng)絡(luò)安全防護(hù)、系統(tǒng)實(shí)施內(nèi)容四個(gè)方面對(duì)電力通信網(wǎng)數(shù)據(jù)的安全防護(hù)系統(tǒng)進(jìn)行了研究，以確保電網(wǎng)安全、優(yōu)質(zhì)、穩(wěn)定的運(yùn)行，根據(jù)電網(wǎng)實(shí)際需求和網(wǎng)絡(luò)當(dāng)前的實(shí)際情況。

參考文獻(xiàn)：

[1]胡春霞.基于大數(shù)據(jù)的電力通信網(wǎng)的安全防護(hù)系統(tǒng)及實(shí)現(xiàn)研究[J].中國(guó)新通信，2018，20（23）：141.

[2]尹君.電力數(shù)據(jù)網(wǎng)絡(luò)的應(yīng)用與安全性[J].電子技術(shù)與軟件工程，2017（09）：193.

[3]張杰.電力二次系統(tǒng)安全防護(hù)常用技術(shù)淺析[J].中國(guó)高新技術(shù)企業(yè)，2015（04）：131-132.