變電站二次系統(tǒng)安全防護設(shè)計

　　摘要：本文針對當(dāng)前變電站二次系統(tǒng)網(wǎng)絡(luò)安全問題進行了深入的分析和探討，并提出了相應(yīng)的安全防護設(shè)計方案。

　　關(guān)鍵詞：變電站 安全防護 二次系統(tǒng)

　　一、變電站二次系統(tǒng)存在的安全風(fēng)險

　　由于近些年電子計算機技術(shù)發(fā)展迅速，英特網(wǎng)、環(huán)球網(wǎng)和電子郵件等開始被人們廣泛使用，網(wǎng)絡(luò)病毒憑借這些平臺開始大肆傳播。計算機病毒會破壞計算機數(shù)據(jù)或功能，導(dǎo)致計算機不能正常使用，并且還可以進行自我恢復(fù)，具有極強的復(fù)制性、破壞性和傳染性。美國微軟公司曾經(jīng)發(fā)布了一條安全報告，網(wǎng)絡(luò)罪犯把中國的電腦用戶當(dāng)作最主要的侵害目標(biāo)。而且在近一段時間，我國病毒侵害事件的發(fā)生率正逐步增長，給我國帶來了巨大的經(jīng)濟損失。

　　在現(xiàn)階段，變電站二次系統(tǒng)病毒主要是借助網(wǎng)絡(luò)、U盤、局域網(wǎng)等來進行傳播，設(shè)計安全防護方案時最重要的就是預(yù)防，并且能夠使病毒攻擊的可能性得到最大限度的降低。其中，最主要的風(fēng)險包括：第一，網(wǎng)絡(luò)入侵者通過發(fā)送非法控制的命令，進而使電力系統(tǒng)出現(xiàn)事故，更甚者會造成系統(tǒng)瓦解;第二，未經(jīng)授權(quán)就使用電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)資源或者計算機，導(dǎo)致負(fù)載過重，進而使系統(tǒng)出現(xiàn)故障;第三，將大量數(shù)據(jù)發(fā)送給通信網(wǎng)關(guān)或者電力調(diào)度數(shù)據(jù)網(wǎng)，進而使監(jiān)控系統(tǒng)或者網(wǎng)絡(luò)癱瘓。

　　二、變電站二次系統(tǒng)安全防護設(shè)計

　　2.1 總體防護策略

　　變電站二次系統(tǒng)集控“五防”，其在設(shè)計安全防護措施時，必須要全國電力二次系統(tǒng)的防護策略：“安全分區(qū)，網(wǎng)絡(luò)專用;縱向認(rèn)證，橫向隔離”。

　　2.2 劃分安全區(qū)

　　綜合分析變電站二次系統(tǒng)的特點，明確各項數(shù)據(jù)的流程，弄清楚當(dāng)前的實際狀況，同時分析各項安全要求，把變電站店里二次系統(tǒng)劃分成三個安全區(qū)：其中，安全Ⅰ區(qū)是實施控制區(qū)，安全Ⅱ區(qū)是非控制生產(chǎn)區(qū)，Ⅲ區(qū)是生產(chǎn)管理區(qū)。安全區(qū)不一樣，那么安全防護要求也會存在區(qū)別，防護水平及安全等級也會不一樣。Ⅰ區(qū)具有最高的安全等級，Ⅱ區(qū)次之，剩下的以此類推。

　　在實時控制區(qū)中，安全區(qū)Ⅰ中的業(yè)務(wù)系統(tǒng)或功能模塊可對電站進行實時監(jiān)控，這也是其最顯著的特征，在電力生產(chǎn)中發(fā)揮著無可取代的作用，系統(tǒng)通過調(diào)動數(shù)據(jù)網(wǎng)絡(luò)和專用信道來實時在線運行。

　　在非控制生產(chǎn)區(qū)中，安全區(qū)Ⅱ中的業(yè)務(wù)系統(tǒng)或功能模塊在電力生產(chǎn)中發(fā)揮著必要作用，但是不可實現(xiàn)對電力生產(chǎn)的控制，這是其最顯著的特征。系統(tǒng)通過調(diào)度數(shù)據(jù)網(wǎng)絡(luò)實現(xiàn)在線運行，且緊密聯(lián)系著安全區(qū)Ⅰ中的業(yè)務(wù)系統(tǒng)或功能模塊。

　　在生產(chǎn)管理區(qū)，安全區(qū)Ⅲ中的業(yè)務(wù)系統(tǒng)或功能模塊可對電力生產(chǎn)進行管理，但無法控制電力生產(chǎn)，同時也不進行在線運行，其運行也無需在電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的支持下進行，而是直接關(guān)聯(lián)著調(diào)度中心或控制中心工作人員的桌面終端，同時緊密連著著安全區(qū)Ⅳ的辦公自動化系統(tǒng)。

　　2.3 安全區(qū)之間橫向隔離要求

　　(1)應(yīng)對安全區(qū)Ⅰ與安全區(qū)Ⅱ進行邏輯隔離，隔離設(shè)備選用的硬件防火墻或相當(dāng)設(shè)備必須是通過有關(guān)部門檢查核準(zhǔn)的，對于E-mail、Web、Telnet、Rlogin等服務(wù)，應(yīng)明令禁止，明確規(guī)定不能通過安全區(qū)之間的隔離設(shè)備。

　　(2)安全區(qū)Ⅰ、安全區(qū)Ⅱ與安全區(qū)Ⅳ要隔離開來，禁止發(fā)生直接聯(lián)系。安全區(qū)Ⅰ、安全區(qū)Ⅱ與安全區(qū)Ⅲ之間也需要用電力專用單向安全隔離裝置進行隔離，且選用的裝置必須是得到國家有關(guān)部門認(rèn)證的。

　　(3)對于E-mail、Web、Telnet、Rlogin等網(wǎng)絡(luò)服務(wù)以及以B/S或C/S方式的數(shù)據(jù)訪問功能，應(yīng)明令禁止，明確規(guī)定不能通過專用安全隔離裝置。專用安全隔離裝置中只能單向安全傳輸純數(shù)據(jù)。

　　2.4 縱向安全防護要求

　　(1)電力調(diào)度數(shù)據(jù)網(wǎng)用于連接安全區(qū)Ⅰ、安全區(qū)Ⅱ，電力企業(yè)數(shù)據(jù)網(wǎng)用于連接安全區(qū)Ⅲ和安全區(qū)Ⅳ。

　　(2)需對電力調(diào)度數(shù)據(jù)網(wǎng)進行進一步的劃分，分別為邏輯隔離的實時子網(wǎng)和非實時子網(wǎng)，其中，實時子網(wǎng)與實時控制區(qū)連接，非實時子網(wǎng)與非控制生產(chǎn)區(qū)連接。

　　三、具體實施方案

　　3.1 加裝硬件防火墻

　　在安全區(qū)之間進行防火墻的部署，以將兩個區(qū)域的邏輯隔離、訪問控制以及報文過濾等功能充分發(fā)揮出來。其中，基于業(yè)務(wù)流量的IP地址、協(xié)議、方向以及應(yīng)用端口號的報文過濾是主要的防火墻安全策略。所以，在集控“五防”項目中，“五防”服務(wù)器端(縱向)和綜合自動化后臺中通訊依靠網(wǎng)絡(luò)實現(xiàn)的“五防”子站，都進行了硬件防火墻的設(shè)置，以實現(xiàn)子站之間的隔離。

　　3.2 二次系統(tǒng)安全加固

　　以集控“五防”變電站二次系統(tǒng)安全防護方案為基準(zhǔn)，進一步加固賬號口令、網(wǎng)絡(luò)服務(wù)、數(shù)據(jù)訪問控制、審計策略等。

　　加固賬號口令，具體操作內(nèi)容包括，對賬戶權(quán)限進行重新配置，將多余用戶及時刪除，禁止使用Guest賬號，進一步完善各項安全設(shè)置(設(shè)置內(nèi)容包括用戶口令、口令策略以及自動屏保鎖定)，禁止系統(tǒng)進行自動登錄。以實現(xiàn)“五防”機的嚴(yán)格管理和安全登錄使用。

　　加固網(wǎng)絡(luò)服務(wù)，具體操作方法為：將無用服務(wù)、無關(guān)網(wǎng)絡(luò)連接、遠(yuǎn)程桌面全部關(guān)閉，并禁止再行打開，進行訪問控制策略設(shè)置，禁止匿名用戶連接和默認(rèn)共享。以使網(wǎng)絡(luò)的安全運行得到充分保障，避免出現(xiàn)數(shù)據(jù)泄露或惡意破壞現(xiàn)象的發(fā)生。

　　加固數(shù)據(jù)訪問控制，具體操作內(nèi)容包括：對特定執(zhí)行文件的權(quán)限進行限制，禁止文件共享，避免文件完全控制。

　　加固審計策略，進行系統(tǒng)審核策略的更新配置，并根據(jù)實際情況對日志大小進行調(diào)整，此外還需進行進一步的統(tǒng)一安全審計。

　　3.3 加裝網(wǎng)絡(luò)版殺毒軟件

　　以集控“五防”變電站二次系統(tǒng)安全防護方案為基準(zhǔn)，進行網(wǎng)絡(luò)版防病毒軟件的安裝。在更新病毒特征碼時，注意是要在離線的情況下進行更新，此外，更新要及時。此外，凡是集控“五防”二次系統(tǒng)涉及到的服務(wù)器和子站，都要進行瑞興電力企業(yè)專用版殺毒軟件的安裝，此外，定期在一級服務(wù)器中對病毒庫進行升級，以使維護的頻次和工作量得到有效減少。

　　參考文獻(xiàn)：

　　[1]潘路.電力二次系統(tǒng)網(wǎng)絡(luò)信息安全防護的設(shè)計與實現(xiàn)[D].華南理工大學(xué)，2014.

　　[2]李濤，楊桂丹.智能變電站二次安全防護系統(tǒng)設(shè)計與應(yīng)用研究[J].電氣應(yīng)用，2013，01：26-29+68.

　　[3]楊西銀，楊軍，謝正寧，劉偉明.變電站二次系統(tǒng)安全防護建設(shè)[J].寧夏電力，2012，06：13-16.

【變電站二次系統(tǒng)安全防護設(shè)計】相關(guān)文章：

變電站接地網(wǎng)優(yōu)化設(shè)計08-24

二次安全防護在調(diào)度數(shù)據(jù)網(wǎng)中的應(yīng)用和管理論文05-27

電力系統(tǒng)安全穩(wěn)定控制(五）05-29

淺論鐵路路基病害綜合整治與防護05-04

農(nóng)網(wǎng)35kV變電站綜合自動化設(shè)計方案05-01

都市頻道新聞制作網(wǎng)擴容及增強系統(tǒng)安全性方案05-31

淺談變電站運維管理論文06-03

城市供水水質(zhì)二次污染原因分析及整治08-10

三維植被網(wǎng)在高速公路邊坡防護中的應(yīng)用淺析05-29

計算機網(wǎng)絡(luò)常見信息安全問題及其防護措施論文（精選6篇）09-07