试析电力二次自动化系统安全防护设计.docVIP

试析电力二次自动化系统安全防护设计 　　【摘要】随着现代化技术的进步，电子计算机成为了人们生产生活中不可或缺的重要组成部分，而电力二次系统的安全维护直接影响着互联网技术的发展。因此，我国电力相关部门设定电力二次系统安全防护机制，确保电力二次系统的有效执行。本文将分析电力二次自动化系统的安全隐患，然后提出提高电力二次自动化系统的安全防护方法。 　　【关键词】电力二次自动化系统；安全防护；分析 　　电力系统于人们的社会生活中扮演中非常重要的位置，需确保当今电力系统可稳定、安全、有效地服务，则一个安全高效的计算机网络系统属极其重要的。针对黑客攻击和恶意代码入侵，电力系统的安全隐患内容则需重视。按照我国电力系统“总体方案”的规定，不仅为实效性需求高的配网自动化和调度自动化等二次自动化系统，或者还是实效性需求低的电能量计量系统，均需设置相适应的安全工具，进而确保系统的有效执行[1]。本文将分析电力二次自动化系统的安全防护，给予同行或者大家一些理论建议和意见。 　　1.电力二次自动化系统 　　电力二次系统为各级电力监测、各级电网管理体系、电厂管理信息体系、调度数据网络、电力数据通信网络、电力通信体系等共同组合而成强大的电力系统。二次系统可分为管理信息大区与生产控制大区。（1）生产控制大区：生产控制大区又可分为安全区I与和安全区II。将监测、应用软件系统与数据采集系统等能调控电网，以及针对数据传输实效性需求大的系统归纳为安全区I；将间接调控电网，亦或者实效性需求不大的电能量计量系统与调度员培训系统归纳为安全区II。（2）管理信息大区：管理信息大区又可安全区III与安全区IV。安全区III一般为电力调度管理系统，安全区IV则为企业资源计划系统与电网生产管理系统。 　　2.电力二次自动化系统存在的安全隐患 　　电力二次自动化系统于运行过程中，遭遇到许多安全威胁，现归纳为几个方面的内容：（1）硬件设备的安全隐患。（2）应用层的安全隐患。（3）内外部网络的安全隐患。（4）操作系统与网络防护的安全隐患。（5）其他安全隐患。 　　电力二次系统安全防护的目的为成功抵抗病毒、黑客、和恶意代码等以各种各样的形式对系统实施恶意的攻击与损坏，尤其为其可抵制集团式的进击，避免因此造成大面积停电事、一次系统崩溃和二次系统事故等。于电力二次自动化系统执行操作中，将可能产生较多造成系统瘫痪的隐患，所以，于二次系统的安全防护设计中，设计人员需明确几个方面的基准，例如：网络专用、安全分区、纵向认证和横向隔离，确保电力调度数据网络与电力监控系统的安全[2]。 　　3.电力二次自动化系统的安全预防措施 　　3.1网络隔离方法 　　经过使用IPsec—VPN亦或者MPLS--VPN于专网上构成互相逻辑分离的多个VPN，进而完成于专用渠道上创建调度专用数据网络，完成和其他数据网络物理分离的目标。方便确保各安全区的纵向相连仅在共同安全区实施，防止安全区的纵向交叉链接。此外，切勿应用DHCP、SNMP和Web等网络服务，倘若有需要，也需非常谨慎和安全的情况下进行。倘若采取远程访问，虽能有利于系统的程度的保护，完成厂家的在线技术支持，但经过Internet的访问，所有的系统内容将全部暴露，该有利于恶意攻击从访问端口侵入，大量网络病毒将伺机攻击系统，造成严重的网络瘫痪。 　　3.2纵向防护措施 　　使用加密、访问控制和认证等方法完成数据的远方安全运送与向边界的安全防护。安全区I、安全区II内部的纵向通信流程，一般具备2个系统间的认证，可思考采取IP认证加密装备之间的认证完成，主要方法为：（1）针对传输的数据经过数据加密和签名实施数据整体性和机密性维护。（2）IP认证加密装备间可试验数字证书方式来验证，可实现定向认证加密。（3）具备传输协议、IP、应用端口号的访问控制和整合报文过滤作用。（4）实现透明性质的工作方法和网关工作方法。（5）具备NAT功能作用。（6）支持装备间的智能调节，动态调节的安全战略。 　　3.3加强网络操作系统的安全度 　　电力二次自动化操作系统需选择运行性能较为稳定的系统，同时具备健全的系统设计与访问控制机制。一般情况下选择应用量较少的系统版本，有利于整个系统运行过程中缺少障碍。针对选择不同版本的操作系统，都需立即设定和安装全新安全有效的修补补丁，加强整个网络操作系统的稳定度和安全度。 　　3.4提高预防病毒的方法 　　互联网的病毒入侵速率远远超出人们的预想，虽互联网上的杀毒软件会进一步升级病毒库，但安全区I的自动化系统不能立即远程升级特征库代码。常规的杀毒方法为经专业的维护人员定期采取移动介质将下载好的病毒代码自动革新至防病毒中心。但不管为使用移动设备，或者是经过网络连接的形式革新病毒库，均把系统内部的资料短暂显露于安全防护系