水电厂二次自动化系统安全防护的设计与研究.pdfVIP

水电厂二次自动化系统安全防护的设计与研究 杨 非 等 水电厂二次自动化系统安全防护的设计与研究 非，戴承栋，李东风 （国网电力科学研究院/南京南瑞集团公司，江苏省南京市 210003） 摘要：随着计算机技术和网络通信技术在水电厂中的广泛应用，水电厂二次系统的网络 与信息安全越来越影响电力系统的安全稳定运行。笔者根据多年的安全设计工作经验， 针时目前水电厂二次系统网络与信息安全存在的问题，从安全体系构架、硬件防护设备 配置、应用软件安全策略设计等几方面,系统分析了设计中遇到的若干问题,提出了水电 厂二次系统安全防护策略。 关键词：二次系统 安全防护措施 安全策略 1 二次系统安全防护建设的现状 近年来， 电厂二次系统对计算机网络的依赖性日渐增强， 电厂二次系统已经成为生产、 运行、经营和管理的重要基础设施,其安全问题已经非常突出。电网的蓬勃发展极大的带动了二次 系统的快速进步。具体体现在三个方面： 1）国家电力调度数据网的建设，以满足调度中心和大量厂站之间频繁的数据交换； 2 ）厂站内部生产控制系统和管理信息网络的横向结合，远方控制的大量采用，以提高电力企 业生产管理的效率； 3 ）基于网络的新技术、新系统在电力生产控制中的应用，以提高二次系统对全网监控、管理 的可靠性、准确性和实时性。 可以看到，三个方面都与网络密切相关。与此同时，Internet 在各级电力企业中也得到广泛使 用，E-mail、Web 和PC 的应用日益普及，随之而来的病毒和黑客也日益猖獗。一旦电力生产控制 系统网络遭到病毒或黑客的攻击，后果将不不堪设 。毫无疑问，网络技术的应用不仅给电力系 统带来生产力的提高，同时也对二次系统的安全性提出了严峻的挑战。 近期一些重大安全事故的发生，使得全国水电厂二次系统安全形势进入紧急状态。电力相关 部门对安全问题的重视程度也达到前所未有的高度。在这一背景下，在电监会、电网公司、发电 集团的协调配合下，水电厂二次系统安全防护工作开始在全国范围分级、分区、分批实施。发电 厂二次系统作为水电厂的最基本的部分，是安全防护的工作重点，同时由于类型、装机容量、自 动化 平等因素的差异对安全防护提出的要求又各不相同，因此也是一个难点。 2 二次系统安全防护主要目标 电力网及电厂二次系统是指各级电力监控系统和调度数据网络(SPDnet) 以及各级电网管理信 息系统(MIS)、电厂管理信息系统、电力通信系统及电力数据通信网络(SPTnet)等构成的非常复杂 的庞大系统。目前，水电厂二次系统对于网络的依赖程度非常高，与外部边界网络的联系紧密， 而若干实证也表明，当前最大的安全隐患不是来自控制系统本身，正是来自与之相连的外部网络。 目前对网络的主要信息威胁主要来自于网络黑客攻击和计算机蠕虫病毒。因此水电厂二次系统安 全防护工作的重点是抵御黑客、病毒等通过各种形式对系统发起的恶 破坏和攻击，使其能够抵 御集团式攻击，重点保护电厂监控系统和调度数据网络的安全,防止由此引起的电力系统故障。其 安全防护目标是：第一，防止通过外部边界发起的攻击和侵入,尤其是防止由攻击导致的一次系统 1 20 10 全国水电自动化技术学术交流研讨会论文集 的故障以及二次系统的崩溃；第二，防止未经授权用户访问系统或非法获取信息的侵入以及重大 的非法操作；第三，做到网络专用，增加各分区边界横向安全物理隔离设备，纵向逻辑隔离设备 以及数据的加密；第四，规范内部人员的工作行为、工作职责，提高公司调度中心的整体安全管 [1] 理 平 。 3 二次系统安全防护的总体策略 水电厂二次系统安全防护的总体原则为“安全分区、网络专用、横向隔离、纵向认证”，以保 [3] 证电力监控系统和电力调度数据网络的安全 。 1）主服务器/通讯工作站采用安全加固的操作系统。 2 ）所有系统都必须置于相应的安全区内，纳入统一的安全防护。 3 ）分别建立内网、外网公共数据区，内网公共数据分布于生产管理信息服务器，外网公共数 据分布于生产管理数据服务平台。