电网调度自动化系统设计及其数据网络安全防护

蒋斌

（国网湖南供电公司长沙供电分公司电力调度控制中心，湖南 长沙 410015）

0 引言

电力是国民经济基础产业，关系到人们工作生活的各方面，电力系统安全对国家经济发展产生巨大的影响。美国、加拿大“8.14”大停电造成300亿美元的经济损失，四川某电站停机造成川西电网瞬间缺电，引起电网大面积停电，其原因是厂内MIS系统与电站控制系统无防护措施，引起控制操作导致停机，由于自动化系统建设标准不够规范，在系统整合时更多考虑系统的互联互通行，系统安全性方面较少考虑。安全意识与管理手段薄弱，已建成投运自动化系统在信息流向，系统结构及管理维护等方面存在较多的安全漏洞，易受到黑客的攻击，造成一次性事故，我国不少Windows系统的系统计算机系统受到计算机病毒攻击，造成经济损失。

1 电网调度自动化系统存在的安全隐患

目前国内自动化系统存在的安全隐患主要包括系统建设初期忽略了安全问题，系统本身存在安全威胁，应用服务的访问控制存在漏洞，内部往来用户存在安全威胁。系统与生产管理系统DMIS未采取安全隔离措施，普遍采取通信工作站网关连接，采用通信方式存在受攻击危险[1]。

自动化系统与其他生产管理系统互联无隔离措施，系统与MIS系统连接未采取隔离措施，系统与远动装置网络通信时，存在混用数据通信网现象，未实现调度数据网与电力数据通信网的安全隔离。缺乏对中啊哟数据的备份恢复系统，不能保证系统损坏时数据恢复，对网络设备与部件未进行必要的冷热备份，普遍未实施入侵检测及网络防病毒系统。

操作系统存在安全漏洞，未及时进行系统安全补丁加固。WEB服务器未关闭不必要的通信协议，如Ftp协议等，防火墙安全策略设置不合理，防护对象变化时未及时调整。电网调度自动化系统数据采集错误造成调节电厂处理错误。应用服务访问控制不严谨，一些应用程序以操作系统root权限运行，对系统安全运行造成隐患。

远程诊断的拨号MODEM处于接通状态，易造成非授权用户拨号进入调度自动化系统，黑客可通过安全漏洞攻击系统，存在受病毒攻击的危险。对电子邮件使用限制不严，存在破坏系统运行的危险。部分用户安全意识淡薄，对系统安全造成威胁，用户与维护人员口令简单，用户操作影响系统可靠运行，维护人员编程错误影响系统可靠运行。

2 电力二次系统安防方案简介

网络安防重点是抵御病毒等各种形式的攻击，重点保护事实闭环监控系统的安全，保障国家电力系统的安全。根据电力二次系统安全防护方案，系统可分为实时控制区，生产管理区。实时监控系统的监控功能属于安全区I，如电网调度自动化系统，配电自动化系统，发电厂自动监控系统等。面向的使用者为调度员，数据实时性为秒级，由电力调度数据网实时虚拟专用网实现外部边界通信。区中包括采用专用通道的控制系统，如安全自动控制系统，负荷控制系统等，系统对通信实时性要求毫秒级，是二次系统最重要的系统，禁止安全区I的WEB服务[2]。

不具备控制功能的生产业务部分为安全区II，典型系统包括水调自动化系统，继电保护系统等，面向使用者为电力运行方式，继电保护人员等，外部通信边界为SPDnet的非实时VPN，生产管理区包括生产管理系统，典型的系统为统计报表系统，气相信息接入等，外部通信边界为电力数据通信网SPTnet，安全区III开放E-MALL服务[3]。管理信息区包括办公自动化系统与客服系等，外部通信边界为SPTnet及因特网，安全区开放WEB服务。

安全区I与II可部署相应的逻辑隔离装置，如具有硬件防火墙等，应禁止Web，Rlogin等服务穿越隔离设备[4]。安全区I，II不得与III，IV直接联系，安全区III与安全区IV可采用具有访问功能的硬件防火墙等，安全区I与安全区III必须采用经认定核准的准用隔离装置，从安全区II网安全区III传送数据必须采用正向安全管理装置，从安全区III向II传输数据必须采用反响安全隔离装置，严格禁止TELnet等网络服务穿越专用安全隔离装置。安全区II连接广域网为电力调度数据网，安全区II与IV连接广域网为电力数据通信网，安全区II介入SPDnet时应配置IP认证加密装置，实现数据加密，如不具备条件可用硬件防火墙替代[5]。

3 电网调度自动化系统安防问题解决措施

3.1 做好主机防护

电网调度自动化系统安全防护是二次系统安防的重点，应遵循网络专用，纵向防护，联合防护的安防总体策略，注重系统性原则与周期性原则，采取分步实施的办法进行系统安防工作。综合考虑自动化系统，及安全要求，提出自动化系统安防分阶段实施方案。

系统安防第一阶段重点是主机防护，加强安全管理等，排除来自内部用户的安全威胁。具体应完成主机安全防护，主要采取安全配置加强主机安全防护，合理设置系统权限，及时更新系统安全补丁，消除内核漏洞，停止向安全区III用户提供浏览服务，随网络拓扑结构变化及时调整防火墙安全策略。断开与互联网连接，禁止利用电网调度自动化系统工作站进入互联网，在与管理系统未进行有效隔离前，断开与管理系统连接。严格系统管理员用户名的管理，授权人员辞职后应删除权限，严格控制管理系统的远程维护对接口。加强对专业人员的培训，健全运行管理的各项规章制度，提高系统的运维水平，加强安全审计管理，及时进行审计分析，对调度自动化系统的物理配置及信息流程有清晰的认识[6]。

3.2 调整结构

通过调整软硬件结构，使安全区间与边界网络连接处简单。SCADA/AGC功能是电网调度自动化系统的核心，应位于安全区I，扩展EMS功能可放在安全区II。Web功能是近几年来为满足调度管理用户需要产生的，现有Web功能不能满足安防要求，在未改变Web实现方式前，Web功能只能位于安全区I，只能为本区用户服务。不能为同区上下级用户服务，Web服务器在安全区I可在本区开通同一业务系统安全Web服务，仅允许安全区内系统想服务器传送数据，禁止服务器向业务系统请求数据操作。

自动化系统横向边界包括与调度管理系统的接口及与电力系统，水调自动化系统的接口。DMIS接口包括通过调度自动化系统通信机的串联结构，可不考虑按防护问题，及通过通信网关实现数据的通信，禁止从DMIS向自动化系统发出数据请求，安全区II的通信网关与DIMS必须采用经认定核准的专用隔离装置[7-8]。

调度自动化系统纵向边界包括专用通道连接厂站RTU接口，远程维护接口，与上下级EMS系统的网络通信接口。通过专线通道的通信协议通信不考虑安全问题，通过通信网关由SPDnet的实时VPN进行网络方式通信，系统维护人员通过拨号方式进行维护，未采取安防措施不得开通拨号服务接入远程局域网的服务。

3.3 现有系统改造开发

可适当安全改造现有调度自动化系统，增强SCADA应用服务器，建立安全Web服务器，将Web发布功能转移到安全区II，可利用成熟安全技术采取数据备份与入侵检测等安防措施[9]。

统一考虑调度自动化系统入侵检测系统应与其他系统，选用网络入侵检测系统，在安全区I的纵横向边界部署探头，区内不再部署IDS探头。新系统开发增加安防要求在新建SCADA/AGC功能模块中加入认证加密机制，改造已有的系统加入认证加密价值，实现控制命令的进程认证，实现操作人员基于数字证书的身份认证。对新开发关键应用系统，要求实现基于数字证书的身份认证，访问控制，行为审计功能[10]。

4 结论

电网调度自动化是确保电网安全优质发供电，提高运行管理水平的重要手段，本文对我国智能电网电力系统自动化系统数据安全防护进行研究，结合智能电网调度自动化数据网安全体系要求，对电力调度系统数据网安全体系进行设计。