地方电业局调度自动化的现状及数据网络安全防护措施分析

李永民

【摘 要】本文从电力调度自动化的安全防护体系必要性入手，简要探讨了地方性的电业局调度自动化的现状及存在的问题，并由此而提出了一系列调度自动化系统数据网络的安全防护措施，以期能为所需者提供借鉴。

【关键词】电力；调度自动化系统；安全防护

【Abstract】In this paper， the need for security of power dispatching automation system from the start， briefly discussed the current situation and problems of endemic Power Administration dispatching automation， and thereby a series of security measures proposed dispatching automation system data network with a view toIt can provide a reference for those who need.

【Key words】Electricity；Dispatching automation system；Safety

电力调度自动化系统的良好、可靠、稳定的运行为电网安全、经济调度提供了坚实的技术基础。同时，这些系统及数据的可用性直接或间接地影响着电网调度。因此，电网调度的数据保护工作显得非常重要，必须采取有效实用的相关数据保护技术，防范各种可能的数据灾害发生，以保障其关键应用数据的高可用性及系统的高性能。

1. 电力调度自动化的安全防护体系产生的必要性分析

（1）电网的二次系统分为实时系统、生产管理系统，电力信息系统三种，相对而言实时系统的安全质量最高，电力信息的安全相对较弱。电力系统的安全防护根据其自身的特点以及相关的工作特征以及数据之间流通的需要，可以分为重要的几个安全区域：实时控制区、非控制生产区、生产管理区以及管理信息区。这几个区域的安全级别逐渐降低，正是由于各个区域都存在风险存在安全隐患，就必然要求产生一种安全防护体系，来确保电力调度自动化过程中的数据安全。

（2）不同安全区域的安全级别不同，需要的安全防护水平、隔离强度不同，所以要求具备的安全防护系统也不同。电力二次系统网络隔离目标是确保电力实时闭环监控系统及调度数据网络的安全，抵御黑客、病毒、恶意代码等通过各种形式恶意破坏和攻击系统，防止由此导致一系统事故或大面积停电事故，及二次系统的崩溃或瘫痪。

2. 地方性的电业局调度自动化的现状

地区性的电业局调度自动化系统相较于高级的调度自动化安全程度有一定的降低，其一般主要包括变电站监控系统、调度主站系统、PAS 系统、PSM 系统、远程抄表系统、DMIS 系统、继保故障信息系统和集控中心系统。在系统的内部有双网冗余结构。随着科技的进步，地区性的电业局主要采用NETBUI 协议传实时数据、历史数据、报表和操作到第三服务器，在通过第三方的服务器实现数据的分析和发布。目前，地区性的电业局调度自动化也实现了安全区域的划分。

（1）一级安全区域——实时监控。

一级安全区域是电力调度自动化安全防护的核心区域，实时监控功能是这一区域的重要特点，这一区域对安全等级要求较高，主要包括变电站的监控系统、地调和集控SCADA 系统、配网自动化系统。另外，这一区域的调度员、继保工程师和运行操作人员都需要具有高水平的能力，并且这一区域对数据实时性的要求是及时、准确，一般以秒为单位。

（2）二级安全区域——非控制实时业务区。

二级安全区域不直接进行控制，但它却是直接关系到电力的生产关键环节，该区域一旦出现中断就会影响整个系统的安全运行，这个区域包括电量采集系统、季报故障信息系统，其主要负责人员是运行方式和计划工作人员，另外，该区域对数据的要求及时性较低，最长的可以按照年计算。

（3）三级安全区域——生产管理区域。

这一区域系统的主要任务是负责声场管理，目前我国的电力系统主要采用的是DMIS 系统，该区中公共数据库内的数据可提供运行管理人员进行web 浏览。这一区域可以通过电力数据通信网SPInet 方便快捷的与外部通信。

（4）四级安全区域——办公管理区域。

四级安全区域比较简单，主要负责日常的办公和日常信息处理，而且，这一区域的管理方式技术性相对来说也没有那么强，该区的外部通信边界为SPInet 或因特网。

3. 调度自动化系统数据网络的安全防护

3.1 信息系统的安全分层理论。

（1）一个信息系统的安全主要包含四个层面，即物理安全、网络安全、系统安全、应用安全。因此，调度自动化系统的安全防护体系应包含上述四个层面的所有内容。

（2）物理安全主要包含主机硬件和物理线路的安全问题，如自然灾害、硬件故障、盗用、偷窃等，防止由于此类隐患而导致重要数据、口令及帐号丢失；网络安全是指网络层面的安全，要想确保网络安全就要采取措施防止联网计算机被网上任何一台主机攻击而致使数据外漏、丢失；系统安全是指主机操作系统层面的安全。包括系统存取授权设置、帐号口令设置、安全管理设置等安全问题，如未授权存取、越权使用、泄密、用户拒绝系统管理、损害系统的完整性等；应用安全则是指主机系统上应用软件层面的安全。

3.2 调度专用数据网络的安全防护措施。

3.2.1 调度专用数据网除了传送EMS 数据外，还传送水调自动化、电能量的计量计费、电力市场信息和调度生产信息。所以，应根据各类应用的不同特点，采用不同的安全防护措施。另外，采用调度专用网络体制可以使数据网络在网络层的的安全得到最大程度的保证。但并不能保证100% 的安全，对调度数据专用网络还必须做到技术措施和管理制度双管齐下，才有可能从根本上保障信息和控制系统的安全。

3.2.2 首先，在管理制度方面，要做到以下几点：

（1）对全网实施监管，所有与电力调度数据网连接的节点都必须在有效的管理范围内，从整体上保障网络的安全。

（2）加强运行管理，建立健全运行管理及安全规章制度，建立安全联防制度，将网络及系统安全作为经常性的工作。

（3）加强人员管理，建立一支高素质的网络管理队伍，防止来自内部的攻击、越权、误用及泄密。

3.2.3 其次，在技术措施方面，要从网络传输层和系统应用层这两个层面分别进行安全防护。

（1）在网络传输层，为了保证数据网络的安全，又能向外传输必要的数据，必须坚持调度控制系统与调度生产系统之间、调度生产管理系统与企业办公自动化系统之间有效安全隔离，它们之间的信息传输只能采用单向传输的方式。常采用的措施包括防火墙、专用网关（单向门）、网段选择器等进行有效隔离。

（2）在系统和应用层，我们可以采用计算机防病毒技术、采用安全的操作系统、应用系统的关键软硬件及关键数据的热备份和冷备份等措施。防病毒技术和备份措施是通常采用的传统安全技术，而安全的操作系统是一个新的发展趋势。电力系统的操作性是计算机网络的核心，尽量选用运行安全稳定，具有完善的访问控制和系统设计的操作系统，在众多版本中尽量选用用户少的版本。在系统的运行中，及时了解信息，掌握最新的情况，及时的进行程序的补丁，提高整个网络系统的运行安全可靠性。

3.2.4 另外，值得注意的是，调度数据专用网络的广域网和局域网上，根据不同的业务系统，还可采取以下技术手段：

（1）网络安全访问控制技术。通过对特定网段和服务建立访问控制体系，可以将绝大多数攻击阻止在到达攻击目标之前。防火墙可以阻断非法的数据包，屏蔽针对网络的非法攻击，阻断黑客对网络的侵袭，因此，电力系统必须安装防火墙。

（2）加密通信技术。该措施主要用于防止重要或敏感信息被泄密或篡改。

（3）身份认证技术。该项技术主要是用于网络设备和远程用户的身份认证，防止非授权使用网络资源广泛用于广域网、局域网、拔号网络等网络结构。

（4）备份和恢复技术。对于网络关键资源如路由器、交换机等做到双机备份，以便出现故障时能及时恢复。

4. 总结

电力调度自动化需要依靠数据网络这一支撑平台，而网络的安全与否则成为系统安全的关键。我们需要通过更为严密的安全管理，加上必备的安全防护技术，更好的保证我们的电力调度自动化系统安全。

参考文献

[1] 陆延昌. 电力安全风险和工作重点[J]. 江苏电机工程，2011（5）.

[2] 辛耀中等. 电力系统数据网络技术体制分析[J]. 电力系统自动化，2012（11）.

[文章编号]1619-2737（2015）06-20-629