试论调度自动化系统二次安全防护.docVIP

试论调度自动化系统二次安全防护 　　【摘 要】文章首先论述了自动化系统二次安全防护现状，继而对做好二次安全防护提出一些观点，以供参考。 　　【关键词】自动化；二次系统；安全防护；措施 　　一、自动化系统二次安全防护的现状 　　⑴自动化系统二次防护的简单结构。原有的电力自动化控制应用较为单一的控制系统，且系统中具有较少的业务模块，不同的业务模块之间单独运行，少有模块间、系统间的数据交换，故而所应用的二次防护系统结构比较简单。随着电力系统的不断发展，各类新技术不断更替，为了给予电网管理提供更好的服务，供电企业在电力调度自动化方面也投入了大量新技术的应用，例如IES调度自动化系统、调度一体化系统（EMS）、调度运行管理系统（OMS），仿真的调度员培训系统等。大量的系统应用，导致了自动化系统二次防护结构的复杂化。同时，庞大的数据传输要求，以及数据在各业务系统之间交换、共享的发展趋势，使我们对自动化系统就有了更高的二次安全防护要求。 　　⑵自动化系统二次防护措施达不到要求。目前的自动化系统的二次防护结构较为简单，基本上系统都没有部署防护措施，即使某些系统已经部署了相关防护措施，但也不能达到现行自动化系统对安全技术的要求，主要体现在以下几个方面：①目前的隔离设备装置达不到技术安全要求。普遍看来，现行的自动化系统的隔离装置在横向安全方面多数达不到新技术的要求，多家供电公司已经着手布置开展自动化系统二次安全防护的总体升级工作，并相应制订新的企业标准，重新规范了安全防护的网络技术要求，以此看来，现行的隔离设备已经不符合相关技术要求；②在网络数据通信中，没有安装纵向认证的加密装置，安全防护措施严重缺乏；③在维护远程拨号服务中，没有安装拨号加密的认证装置，达不到安全防护要求；④相关的主要服务器在控制区中，还没有加固主机。 　　⑶自动化系统二次防护的落后管理。因为自动化系统缺少防护技术的有效措施，导致自动化系统二次安全防护相关管理难度增大，很多管理措施难以有效落实。随着网络IT技术的快速发展，维护自动化系统的工作人员相关于网络黑客与网络安全的知识普遍落后不足，现有的安全防范技术水平也已经远远落后于网络带来的安全隐患。 　　二、自动化系统的二次安全防护措施 　　⑴二次安全防护的目标。①阻挡病毒或黑客使用各种形式入侵电力系统，尤其可以阻挡以集团形式进行的恶意攻击，能够确保系统调度中心运行的安全稳定；②抵御利用木马病毒的恶意程序损坏系统内部局域网而形成对系统的攻击入侵，并且以此跳板来攻击系统运行，尤其是系统的实时控制；③防止外部人员恶意攻击破坏系统调度中心，非法窃取信息资料，防止异常干扰二次系统，导致调度生产无法正常进行；④确保系统调度中心的历史资料与实时资料的安全性，防止信息资料被人非法入侵后恶意删除与修改，导致系统出现严重瘫痪等问题；⑤严格规范企业内部工作人员的行为，整体加强调度中心的安全管理，注重建立安全防护的相关规章制度，并且严格执行与监督。 　　⑵二次防护措施的部署策略。在网络基础上，自动化系统的二次安全防护的关键是控制生产系统，强化防护重点边界，在内部提高安全防护性能，确保重要数据和电力控制生产系统的安全。技术路线与防护模型主要是由反应、检测及防护组成的闭环系统。反应一般是指系统快速作出反应，联合防护调度系统以及快速处理网络系统；检测是在系统中安装检测外来入侵装置，对系统进行审计安全防护；防护是在系统中部署了隔离纵向装置、安全隔离横向装置、防病毒、防火墙等等。 　　①划分安全区。电力系统二次安全防护结构体系的基础是安全分区。按照内部原则，供电、电网与发电企业主要分为信息管理和控制生产两个大区。控制生产这个大区又可以分为控制区与非控制区，也就是相对应Ⅰ安全区和Ⅱ安全区。其中安全防护的核心和重点就是Ⅰ安全区。 　　②安全区的拓扑结构及防护措施。连接安全区的拓扑结构主要有星形、三角和链式结构三种。考虑到系统运行稳定以及资金投入的问题，使用链式结构比较合适，因为它使用较少的隔离装置，这样资金投入就减少了，并且安全强度可以有较高的累积。防护安全区的相关措施：a.在控制生产这个大区中，计量电能系统与自动化调度系统处于不同的网络，相互之间独立，一般不会有直接连接。但是由于考虑到生产调度管理系统在未来的建设使用，将会需要进行数据交换，两个系统之间就必须添加防火墙，用来控制网络之间的数据访问，阻止不合法的网络行为，禁止非法访问信息资源，从而来保护系统；b.二次系统的信息在WEB模块发布，该模块式位于信息管理大区的，在控制生产和信息管理大区之间部署了安全横向隔离装置，该装置是由国家电力部门认证检测的，能够阻挡Ⅰ、Ⅱ安全区之间的数据跨越和应用穿透；c.必须要确保系统中的WEB模块运行发布正常，避免报表器与WEB服务器遭到病毒的侵害，报表器、WEB器在与企业的数据