电力二次系统安全防护体系运行分析研究.pdf

《宁夏电力32008年增刊 电力二次系统安全防护体系运行分析 骆文忠 (宁夏石嘴山供电局．石嘴山市753000) 摘要： 电力二次系统的信息安全越来越影响电力系统的安全稳定运行。本文通过对现有二次系统防护体系 进行风险评估。对目前的防护体系存在的一些安全隐患进行总结分析，并提出相应的整改措施。 关键词：二次系统；安全防护； 隐患 中图分类号：TN915．08 文献标志码：B 1概述 问策略来保护I区。管理信息大区又分为生产管理区(安全 区Ⅲ)和办公管理区(安全区IV)。生产管理区主要是电力调 计算机监控系统及调度数据网络作为电力系统的重要 度生产管理信息系统(DMIS)，办公管理区主要是安全生产 基础设施．不仅与电力生产、营销和优质服务相关，而且与 管理系统(PMS)和企业资源计划系统(ERP)等。由于管理 电网的安全运行紧密关联，是电力系统安全运行的重要组 信息大区与办公网甚至和电力广域网交互比较频繁，因此。 成部分。随着电网自动化、通信、计算机网络技术的飞速发 在管理信息大区与生产控制大区的连接处是重点防范对 展及在电力系统中的广泛应用，电力系统自动化、信息化 象，通常加装物理隔离装置。 的水平迅速提高，电力系统网络安全问题也更加突出和重 在此处存在的安全隐患是：防火墙对迸出的数据依照 要，电力二次系统安全防护形势也变得非常严峻．安全防护 预先设定的规则进行匹配，符合规则的就予以放行，起访问 体系的建设和完善是一项长期的系统工程，它牵涉到各系 控制的作用，是网络安全的第一道防线。但防火墙只能对进 统资源的优化和整合，而做好这项工作的重要前提就是大 出安全区的数据进行分析，对安全区内部发生的事件完全 家对安全防护能有统一、明确的认识。本文通过对现有二 无能为力。同时，由于防火墙自身的局限性，它只能对网络 次系统防护体系进行风险评估，对目前的防护体系存在的 层以下的攻击进行防御，对更高层次的攻击无法判断。例如 一些安全隐患进行总结分析，并提出相应的整改措施，供大 大部分蠕虫攻击代码都夹杂在应用层的报文中，防火墙判 家参考。 断不出来，也就无法进行拦截了。 ‘ 此外，某些单位在I区和Ⅱ区之间的确加装了防火墙， 2安全防护体系存在的隐患 但防火墙的安全策略没有认真配置。起不到防护作用，有些 防火墙的策略甚至是全通策略，这样的情况与不劳防火墙 2．1对二次系统网络安全防护不够完善 是一样的。 地区供电局目前的做法是按照电力二次系统安全防护 2．2没有行之有效的防病毒系统 的要求，把二次系统划分为生产控制大区和管理信息大区。 某些单位认为在生产控制大区与管理信息大区之间安 生产控制大区又划分为控制区(安全区I)和非控制区(安 装物理隔离装置，二次系统网络与办公系统网络进行隔离， 病毒就不会传人到生产控制大区。但他们忽视了病毒的传 全区Ⅱ)。把监控与数据采集系统(SCADA)和应用软件系 统(PAS)等控制电网且对数据传输实时性要求较高的系统播是多方式、多途径的。例如．病毒可以通过工作人员的移 划分到安全区I，把电能量计量系统(TMR)和调度员培训动介质或者远程控制通道传人生产控制区，进而破坏数据 仿真系统(DTS)等不直接控制电网或实时性要求不强的系和调度系统等重要的二次应用系统。总之，病毒具有传播速 统划分到安全区Ⅱ。在I区和Ⅱ区之间加装防火墙，配置访 度快、破坏性强和隐蔽性强等特点。要防