淺議二次安全防護(hù)在調(diào)度數(shù)據(jù)網(wǎng)中應(yīng)用及管理

1、淺議二次安全防護(hù)在調(diào)度數(shù)據(jù)網(wǎng)中應(yīng)用及管理摘要：國家電網(wǎng)公司近年來一直在建設(shè)、加固信息系統(tǒng)的 安全。并且由于電力網(wǎng)絡(luò)是關(guān)系到國計(jì)民生的重要系統(tǒng)，電 網(wǎng)訊息情況往往是不法分子的窺探對象，為了保證電網(wǎng)的安 全運(yùn)行。本文將從電力調(diào)度自動化系統(tǒng)網(wǎng)絡(luò)安全需求的現(xiàn)狀 出發(fā)，對調(diào)度數(shù)據(jù)網(wǎng)管理的網(wǎng)絡(luò)設(shè)備及運(yùn)行安全隱患情況進(jìn) 行分析，結(jié)合網(wǎng)絡(luò)安全技術(shù)的發(fā)展趨勢，探討如何從制度和 技術(shù)的角度對調(diào)度數(shù)據(jù)網(wǎng)進(jìn)行安全防護(hù)加固，從而逐步形成 一個行之有效的安全防護(hù)體系。關(guān)鍵詞：安全防護(hù)；調(diào)度數(shù)據(jù)網(wǎng)；應(yīng)用；管理； 中圖分類號：u664. 156文獻(xiàn)標(biāo)識碼：a文章編號： 前言隨著電網(wǎng)技術(shù)的發(fā)展，自動化和通訊技術(shù)在電網(wǎng)中得到 了

2、廣泛的應(yīng)用，不僅保證了訊息的及時、準(zhǔn)確，也提高了工 作人員的工作效率。但是通信技術(shù)的應(yīng)用又帶來了另一個安 全隱患，由于自動化及傳輸業(yè)務(wù)的功能不同，各類訊息分為 不同的安全等級，如果不加以區(qū)分、規(guī)范，安全級別較低、 實(shí)時性要求較低的業(yè)務(wù)與安全級別較高、實(shí)時性要求高的業(yè) 務(wù)在一起混用，級別較低的業(yè)務(wù)嚴(yán)重影響級別較高的業(yè)務(wù)， 將存在較多的安全隱患；電力調(diào)度數(shù)據(jù)網(wǎng)本著先進(jìn)性、實(shí)用 性和經(jīng)濟(jì)性相統(tǒng)一的原則進(jìn)行網(wǎng)絡(luò)設(shè)計(jì)，使網(wǎng)絡(luò)具有高性 能、高可靠性、高安全性、管理方便和標(biāo)準(zhǔn)化的特點(diǎn)，能夠 靈活地根據(jù)用戶需求提供不同網(wǎng)絡(luò)業(yè)務(wù)的服務(wù)保證，為各類 調(diào)度信息系統(tǒng)提供安全、統(tǒng)一的寬帶綜合業(yè)務(wù)服務(wù)智能網(wǎng)絡(luò) 平臺。信息

3、系統(tǒng)的安全主要的五個層面1.1物理安全物理安全主要包含主機(jī)硬件和物理線路的安全問題，如 自然災(zāi)害、硬件故障、盜用、偷竊等，由于此類隱患而導(dǎo)致 重要數(shù)據(jù)、口令及帳號丟失。1. 2網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)層面的安全。由于聯(lián)網(wǎng)計(jì)算機(jī)能被網(wǎng) 上任何一臺主機(jī)攻擊，而網(wǎng)絡(luò)安全措施不到位導(dǎo)致的安全問 題。1.3系統(tǒng)安全系統(tǒng)安全是指主機(jī)操作系統(tǒng)層面的安全。包括系統(tǒng)存取 授權(quán)設(shè)置、帳號口令設(shè)置、安全管理設(shè)置等安全問題，如未 授權(quán)存取、越權(quán)使用、泄密、用戶拒絕系統(tǒng)管理、損害系統(tǒng) 的完整性等。1.4應(yīng)用安全應(yīng)用安全是指主機(jī)系統(tǒng)上應(yīng)用軟件層面的安全。如web 服務(wù)器、數(shù)據(jù)庫等的安全問題。1.5人員管理人員管理是指如何

4、防止內(nèi)部人員對網(wǎng)絡(luò)和系統(tǒng)的攻擊 及誤用等。二、電力調(diào)度網(wǎng)絡(luò)面臨的風(fēng)險(xiǎn)分析電力調(diào)度數(shù)據(jù)網(wǎng)是承載電力調(diào)度實(shí)時控制業(yè)務(wù)、在線生 產(chǎn)業(yè)務(wù)的專用網(wǎng)絡(luò)。電監(jiān)會頒發(fā)的電力二次系統(tǒng)安全防護(hù) 規(guī)定明確要求：“電力調(diào)度數(shù)據(jù)網(wǎng)應(yīng)當(dāng)在專用通道上使用 獨(dú)立的網(wǎng)絡(luò)設(shè)備組網(wǎng)，在物理層面上實(shí)現(xiàn)與電力企業(yè)其他數(shù) 據(jù)網(wǎng)及外部公共信息網(wǎng)的安全隔離。電力調(diào)度數(shù)據(jù)網(wǎng)劃分為 邏輯隔離的實(shí)時子網(wǎng)和非實(shí)時子網(wǎng)，分別連接控制區(qū)和非控 制區(qū)”。因此網(wǎng)絡(luò)安全是保障電網(wǎng)安全、穩(wěn)定運(yùn)行的生命線。2. 1信息泄露或數(shù)據(jù)破壞此類問題是指業(yè)務(wù)數(shù)據(jù)在有意或無意中被泄漏出去或 丟失，通常包括：信息在傳輸中丟失或泄漏，存儲介質(zhì)丟失 或泄漏；或者以非法手段竊得對數(shù)

5、據(jù)的使用權(quán)，刪除、修改、 插入或重發(fā)某些重要信息；應(yīng)用系統(tǒng)設(shè)計(jì)時設(shè)立后門或隱蔽 通道等。2.2意識風(fēng)險(xiǎn)安全的網(wǎng)絡(luò)離不開人的管理，因此人的意識和管理是整 個網(wǎng)絡(luò)安全中最重要的一環(huán)，尤其是對于龐大和復(fù)雜的調(diào)度 數(shù)據(jù)網(wǎng)更是如此。現(xiàn)實(shí)運(yùn)行中發(fā)現(xiàn)一些部門的人員安全意識 不夠強(qiáng)，安全措施不到位，比如在選擇口令時圖簡單省事，或?qū)⒆约旱馁~號隨意轉(zhuǎn)借他人或與他人共享信息資源等，這 些行為都具有極大的安全隱患。2.3網(wǎng)絡(luò)和系統(tǒng)軟件的漏洞和多余服務(wù)由于電力調(diào)度網(wǎng)涉及的網(wǎng)絡(luò)設(shè)備技術(shù)復(fù)雜，不可避免地 存在許多缺陷和漏洞，這些缺陷和漏洞恰恰是網(wǎng)絡(luò)攻擊的目 標(biāo)。此外某些設(shè)備存在一些用處不大而又證明很容易被人利 用的薄弱服務(wù)

6、，一些應(yīng)用系統(tǒng)在設(shè)計(jì)時也可能存在有意無意 的一些漏洞和后門。一旦攻擊者利用這些漏洞或缺陷侵入網(wǎng) 絡(luò)并進(jìn)而進(jìn)入主機(jī)系統(tǒng)，將會對電力系統(tǒng)的整體生產(chǎn)和調(diào)度 安全產(chǎn)生極大的破壞。2.4誤操作及配置錯誤主要表現(xiàn)在對網(wǎng)絡(luò)結(jié)構(gòu)和配置參數(shù)未作詳細(xì)研究，對網(wǎng) 絡(luò)設(shè)備的功能未作深入了解，以及日常使用和監(jiān)控中對設(shè)備 隨意操作，這些都會帶來安全威脅。同時電力調(diào)度數(shù)據(jù)網(wǎng)是 一個技術(shù)復(fù)雜先進(jìn)的網(wǎng)絡(luò)，系統(tǒng)設(shè)計(jì)功能的實(shí)現(xiàn)是一個動態(tài) 的完善過程，比較容易出現(xiàn)配置錯誤，某些錯誤可能短時間 內(nèi)不易看出，需要等到某種觸發(fā)條件才會表露出來。數(shù)據(jù)網(wǎng)的應(yīng)用和管理加固信息系統(tǒng)安全，國網(wǎng)公司具體從設(shè)備和管理兩方面 來實(shí)施，在設(shè)備方面，本著“安

7、全分區(qū)，網(wǎng)絡(luò)專用。橫向隔 離，縱向加密”的思想，公司先后部署了二次安全隔離裝置、 縱向加密裝置、防病毒服務(wù)器、ids認(rèn)證裝置等安全防護(hù)設(shè) 備。在保障數(shù)據(jù)安全的過程中發(fā)揮了重要的作用，其中二次 安全隔離裝置、數(shù)據(jù)縱向加密裝置具有典型的信息系統(tǒng)防護(hù) 的特點(diǎn)。數(shù)據(jù)縱向加密裝置部署在廠站和主站的交換機(jī)和路由 器之間，其中主站（局端）部署兩臺主備加密裝置，廠站（變 電站或縣公司）與主站端通訊時，兩端加密裝置通過加密證 書互相確認(rèn)，發(fā)送方的加密裝置將數(shù)據(jù)包加密成一段隨機(jī)編 碼傳輸?shù)铰酚善?，?jīng)過光纜傳輸?shù)綄Χ说募用苎b置，經(jīng)過對 端的加密裝置將數(shù)據(jù)包解密，形成原始的報(bào)文。這樣即使通 訊報(bào)文被中途竊聽，竊聽方得

8、到的只是一串亂碼，起到數(shù)據(jù) 加密傳輸?shù)淖饔谩＜用苎b置部署示意圖作為另一個體現(xiàn)二次安全防護(hù)重要特點(diǎn)的二次安全隔 離裝置，它的目的是將生產(chǎn)控制大區(qū)的1、2區(qū)和3區(qū)實(shí)現(xiàn) 軟件隔離，防止不同區(qū)域之間的業(yè)務(wù)互相影響，而對于某些 需要跨區(qū)通訊的特殊業(yè)務(wù)，隔離裝置通過虛擬地址映射，使 雙方機(jī)器的網(wǎng)卡'認(rèn)為對方在同一網(wǎng)段”而實(shí)現(xiàn)互相通訊。 對于未映射虛擬地址的機(jī)器，則如同物理隔離一樣，無法通 信。隔離裝置部署示意圖做好安全防護(hù)工作，不能僅依賴于系統(tǒng)設(shè)備，只有做到 系統(tǒng)設(shè)備和人為管理雙管齊下，才有可能從根本上保障信息 和控制系統(tǒng)的安全：1對全網(wǎng)實(shí)施監(jiān)管，所有與電力調(diào)度數(shù)據(jù)網(wǎng)連接的節(jié)點(diǎn) 都必須在有效的管理范圍內(nèi)，保障安全的系統(tǒng)性和全局性。2加強(qiáng)人員管理，建立一支高素質(zhì)的網(wǎng)絡(luò)管理隊(duì)伍，防 止來自內(nèi)部的攻擊、越權(quán)、誤用及泄密。3加強(qiáng)運(yùn)行管理，建立健全運(yùn)行管理及安全規(guī)章制度， 建立安全聯(lián)防制度，將網(wǎng)絡(luò)及系統(tǒng)安全作為經(jīng)常性的工作。四、結(jié)束語隨著科學(xué)的發(fā)展，網(wǎng)絡(luò)技術(shù)的進(jìn)步，應(yīng)對網(wǎng)絡(luò)攻擊的手 段層次不窮，這也就注定了電力調(diào)度數(shù)據(jù)網(wǎng)安全防護(hù)是一個 長期的、艱巨的、動態(tài)的過程。在強(qiáng)調(diào)安全防護(hù)技術(shù)重要性 的同時，