浅析配电自动化主站系统二次安防的设计

国网陕西省电力有限公司西安供电公司 贾望臻

1 引言

为有效提高配电自动化主站系统二次安全防护设计的科学性、合理性以及有效性，则应当深化计算机技术、网络技术、电磁干扰技术等相关技术的应用，结合实际情况选择具备针对性的技术对配电自动化主站系统进行优化，以此促进配电自动化主站系统的良好发展，高质量完成其二次安全防护设计工作。鉴于此，本文主要探析配电自动化主站系统二次安防设计。

2 配电自动化主站系统中存在的安全隐患

2.1 黑客程序与电脑病毒方面

黑客程序与电脑病毒方面。病毒、黑客程序、恶意代码等相关软件之所以能够入侵配电自动化主站系统，其根本原因是配电自动化主站系统在实际运行期间并未结合实际情况在与外网相连的边界处建立安全防护系统。配电自动化系统逻辑结构如图1所示。

图1 配电自动化系统逻辑结构

若配电自动化主站系统在没有安全防护或安全防护工作不到位的情况下，病毒、恶意程序等相关软件便会通过外网直接入侵到配电自动化主站系统相关的外部服务器中，在数据信息交互、传输、共享等相关行为下，此类恶意程序便会侵入至配电自动化主站系统的关键服务器、后台数据库中，不仅会对相关数据信息的安全性造成较大威胁，如恶意篡改、恶意读取、非法拷贝等，严重时甚至会直接导致配电自动化主站系统完全崩溃或瘫痪。

此外，当配电自动化主站系统被计算机病毒感染后，还可能会基于网络、局域网等相关渠道将计算机病毒扩散至配电自动化非主站系统中，进而造成大面积计算机病毒感染现象，导致整个配电网大规模停电，这样不仅会导致配电相关单位受到十分严重的经济损失，同时还会对相关设备造成较为严重的损害[1]。

通过对计算机病毒入侵配电自动化主站系统的全过程进行分析，可以发现主站系统在实际运行期间存在两方面关于计算机病毒方面的安全隐患：一是并未采用科学合理的措施将配电自动化主站系统与其他非主站系统进行有效隔离，一旦主站系统或非主站系统中某系统或终端设备受到计算机病毒的攻击，则会在短时间内扩散至其他系统中，进而造成大面积计算机病毒的感染情况；二是在配电自动化主站系统与外网之间并未建立行之有效的防火墙或其他安全措施，对配电自动化主站系统造成较为严重的安全隐患。

2.2 电磁干扰方面

配电自动化主站系统在实际运行期间，其内部及外部的相关电气设备会在工作中产生较为明显的电磁感应现象，从而形成特定的信号干扰源，此类信号干扰源的出现会导致正常信号受到较为严重的影响，部分干扰信号甚至会影响到配电自动化主站系统中的敏感部件，进而影响敏感部件的正常运行状态，对配电自动化主站系统运行的安全性与稳定性造成较大隐患与风险[2]。与计算机病毒、黑客程序等隐患相比，虽然干扰信号对配电自动化主站系统的影响较轻，并不会导致配电自动化主站系统出现大面积的瘫痪或停电等，但此类干扰信号仍会对其造成一定程度的影响，不仅会对配电自动化主站系统的正常运行造成影响，同时也会对设备运行带来较大的安全风险，因此需要加强对电磁干扰方面的重视，

3 配电自动化主站系统二次安防的设计分析

3.1 非法攻击、计算机病毒等方面的安全防护措施

对于非法攻击、计算机病毒等方面的安全防护措施方式有很多种，在现阶段我国配电自动化主站系统的二次安防措施中，较为常见的防护手段分为报文加密、网络安全协议、VPN 技术、安全分区等相关措施[3]。

安全分区也被称作横向隔离，即将配电自动化主站系统中的电力生产控制系统与其相关的信息管理系统进行有效分割，利用反向隔离装置将两个系统进行划分，确保各个系统在实际运行期间具有较强的独立性，从而有效避免配电自动化主站系统中的数据信息管理模块受到非法攻击、计算机病毒感染等。

对于VPN 技术而言，本质上是一种专用网络或专属信息传输渠道，利用VPN 技术将配电自动化主站系统的通信网络进行加密，从而与外界网络形成一层有效的隔离层，以此实现防止内部通信网络与外部通信网络直接连接，进而达到预防非法攻击、计算机病毒的安防效果[4]。常用实现VPN 方式详见表1。

表1 常用实现VPN 方式

网络安全协议的主要功能是对外界相关数据信息进行安全认证，而报文加密则是在内部数据信息传输前，在信息头部添加一段校验包头，接收端需要对校验包头进行针对性拆解与验证，在验证正确后方可读取其内部数据信息。

网络安全协议与报文加密会被应用于配电自动化主站系统与调度自动化系统的信息传输过程中，从而对其传输的数据信息进行加密，实现预防非法攻击、计算机病毒、恶意读取、恶意篡改等行为，切实保障了配电自动化主站系统在实际运行期间的安全性、稳定性。需要注意的是，随着科技的不断发展，目前黑客的渗透手段、入侵手段层出不穷。黑客、不法分子等人员会利用木马病毒入侵至配电自动化系统，而后利用篡改报文头部技术对报文进行远程遥控，如复制报文、更改报文权限并渗透至主站系统中等，从而实现入侵配电自动化主站系统的目的[5]。

为有效应对此类入侵、渗透行为，则需要将身份验证措施与报文加密手段结合应用，将报文加密算法与身份验证算法安装在配电网终端边界、配电自动化主站系统边界，所谓边界是指终端设备与外部网络相连接的位置，以此有效避免配电自动化主站系统与相关终端设备进行数据信息交互、共享期间所存在的黑客入侵、计算机病毒等因素。

此外，相关部门还应当结合实际情况基于TCP/IP 协议、MAC 地址认证、IP 地址认证、防火墙等相关措施加强相关数据信息在传输与共享期间的安全性。在配电自动化主站系统的运行期间，数据信息传输行为必不可少，通过大量数据信息传输行为，能够切实提高配电自动化主站系统的运行效率。因此需要利用多样化手段从多角度、多层次对非法攻击、计算机病毒等因素进行防护，以此有效保持配电自动化主站系统的运行稳定性与安全性。

3.2 电磁干扰方面的安全防护措施

配电自动化主站若在运行期间，其元件、线路之间产生电磁干扰，会导致处于电磁干扰区域内的相关电气设备运行性能受到影响，在长时间的电磁干扰环境下会大幅降低相关电气设备或敏感元器件的使用寿命，对配电相关部门造成一定程度的经济损失。

为有效防止电磁干扰现象对配电自动化主站系统的影响，切实提高主站系统中相关电气设备或元器件在运行期间的安全性、稳定性以及有效性，应结合实际情况积极利用滤波、屏蔽、接地等相关措施有效提高主站系统中敏感元器件或相关电气设备的抗电磁干扰能力。单独利用屏蔽技术则无法彻底解决电磁干扰现象或大幅降低电磁干扰对相关设备所造成的负面影响，因此需要相关技术人员结合实际情况将滤波技术与屏蔽技术结合应用，以此有效预防电磁干扰对配电自动化主站系统中相关电气设备或敏感元器件所造成的影响。

需要注意的是，相关技术人员应当深化滤波技术的应用，对于滤波技术而言，其能够有效断开电磁干扰沿信号通道、电源线之间的路径，实现增强主站系统线路的抗电磁干扰能力，并消除设备运行期间的耦合与干扰源，确保配电自动化主站系统的线路不受电磁干扰影响。

3.3 强化防雷措施

对于配电自动化主站系统而言，需要相关技术人员结合实际情况加强其防雷性能，需要基于维护、建筑结构、地理位置、气候条件等相关因素制定防雷措施，以此确保防雷措施在实际应用期间具有较强针对性与科学性。另外，还应当制定行之有效的配电自动化主站系统操作制度并严格落实，从而在一定程度上提高配电自动化主站系统的操作规范性，有效提高其运行期间的安全性和稳定性。

为进一步提高防雷措施在应用期间的效果与性能，相关单位应当根据配电部门的防雷标准与相关技术人员的防雷经验对防雷措施进行二次优化，结合实际情况深化过电压、分流等相关技术的应用，以此有效解决配电线路故障、信号线路故障等相关问题，切实加强对配电自动化主站系统的保护。

3.4 加强权限管理

为有效提高相关工作人员操作配电自动化主站系统的规范性、标准性，有效落实岗位责任制度，实现当出现相关问题时能够及时追溯到具体责任人的效果，则需要结合实际情况为不同岗位人员配备具有针对性的操作权限并建立专属数据库，数据库主要功能为记录各个人员的操作痕迹、操作时长等因素，以此实现对配电自动化主站系统的安全防护效果。需要注意的是，利用多样化的角色权限能够在一定程度上避免相关工作人员的失误。

例如，结合实际情况指定WEB 浏览岗位权限、自动化维护岗位权限、调控岗位权限等。WEB 浏览岗位权限包括查看配电自动化主站系统线路运行状态、线路遥信、线路遥测等，但无法对数据库内容、警告窗口信息进行相关操作；自动化维护岗位权限主要包括对配电自动化主站系统中相关模块的维护，如图形编辑、文本更改、数据库升级等；调控岗位权限能够对开关三遥信息、系统应用层界面等进行操作。

4 结语

在配电自动化主站系统的二次安全防护设计中，不仅需要考虑到非法攻击、计算机病毒等相关因素，同时也需要提高对电磁干扰方面的重视，以此实现基于全方位、多角度提高配电自动化主站系统运行安全性与稳定性。同时还可以从加强权限管理力度、强化防雷措施等方面，对其二次安全防护措施进行有效完善，从而保障配电自动化主站系统的健康运行。