应用电力调度数字证书技术保障电力生产数据安全研究.pdfVIP

2007年 中南七省(区)电力系统专业委员会 湖北 11月 第二十二届联合学术年会 武汉 应用电力调度数字证书技术保障电力生产数据安全 李劲 (广西电力调度通信中心，广西南宁530023) 摘要：本文介绍广西电网利用电力调度数字证书技术，通过SSL、X509等技术 手段实现了电力发购电计划、供电指标等电力生产数据的安全传输，同 时提出了统一广西电力调度数字证书系统建设设想。 关键词：电力；安全生产；数据安全；数字证书； O前言 随着电力生产现代化步伐不断加快，电力系统对二次系统的依赖性也不断增强，二次系 统的控制依靠生产指令数据及时、准确地进行传送。特别是电力改革的不断推进和电力市场 化程度的不断提高，在调度中心、电厂、用户等之间进行的数据交换也越来越多。在传输过 程中，如何防止数据被篡改，伪造，避免导致电力系统事故，引起了各方面的高度重视。国 家经贸委第30号令《电网和电厂计算机监控系统及调度数据网络安全防护规定》和电监会5 号令《电力二次系统安全防护规定》等一系列政策及文什也对保护电力生产数据安全提出了 要求。广西电网伉处南方电网腹地，安全生产工作的好上1i不仅事关广西经济社会发展大局。 同时也事关南方电网两电东送大通道的安全。为了保障电力生产数据的安全，广两电网针对 电力生产的实际需要，做了一些有益的研究及实践，本文着重介绍广西电网利用电力调度数 字证书，保障电力生产数据安全传输的工作。 1存在问题及对策分析 电力生产数据交换的结构一般呈星形，主要包括电网调度机构与多个被调度单位之间的 数据交换及调度机构内部的数据单向传输交换。在数据纵向(电网公司一电厂)交换上，2003 年以前。广西电网中发布发购电计划、开停机计划、机组检修计划等电力生产信息，采用的 是电厂远程拨号到调度中心，访问调度中心网页的形式进行发布。厂网分离后，电厂用户仅 仅通过用户名和密码的简单验证手段来获取发电计划，出现了个别电厂盗取其它电厂发电计 划，扰乱调度方式安排的事什。同时还因缺乏合适的数据接收确认手段，存在着用户抵赖不 执行调度发电计划的安全隐患。 在数据横向(电网公司内部)交换上，发购电计划及供电指标等数据，其来源于安全III 区的管理信息系统中①，其目的地是安全区I区的调度自动化系统中自动发电控制(AGC) 等生产控制应用，这种从低安全区往高安全区进行数据传输，存在着数据被伪造或数据被篡 改的重大隐患。 针对安全需求，调度及其他用户单位之间进行数据交换，一方面需要在传输过程中将数 据进行必要的加密，确保数据不被窃听、截取和篡改；另一方面要求用户对数据的测览及编 辑都必须有严格授权，获取授权的手段除了用户名和密码这些普通验证手段之外，还需要有 高强度的数字证书来做数字签名；第三，由于调度中心应用系统和其他单位应用系统数据直 接交换的需要，除了颁发针对用户的数字证书之外，还需要对应片j及设备颁发数字证书。 在文献l中介绍到认证和密钥分配协议在电力系统应用的优点，同时也指出其费用高的 缺点。但是针对发购电计划管理的纵向应用，调度中心服务器及各单位用户的操作系统普遍 Socket 5．O及 采用Windows操作系统，其内嵌了SSL(SecureLayer)协议的服务器(IIS 以上)及客户端(IE5．5及以上)，成本问题得到很好的解决，易于投入实际应用。横向应 260 2007年 中南七省(区)电力系统专业委员会 湖北 11月 第二十二届联合学术年会 武汉 用则可以部署根据电力二次系统安全专家组要求研制的反向隔离装置来达到防护目的。 2利用调度证书系统确保数据安全 根据运行统计数据显示，目前的电力内部网络安全问题多发生在应用层。传统的基于用 户名、密码的认证方式使得应用系统可以轻松地被攻破，从而非授权用户可以自由地浏览保 密的信息。同