电力系统计算机网络信息安全分析及防护研究.pdf

第二十九届中国电网调度运行会收录论文全集 电力系统计算机网络信息安全分析及防护 吴博 （河南电力调度通信中心 河南 郑州，450052） 摘要：分析了河南省电力公司计算机信息网络所面临的不安全因素，并对该计 算机信息网络的特殊架构层次化，继而进行了深入的网络安全透析，并给出了 针对性的网络安全防护部署。 关键词：计算机信息网络；安全防护技术；安全管理；防火墙；入侵监测；防 病毒；身份认证；VPN；网络隔离装置 一、前言 电力行业与其他行业相比具有分散控制、统一联合运行的特点。系统的运行涉及到发 电厂、变电站、调度中心；发、输、配电系统一体化，系统中包括了各种独立系统和 联合电网的控制保护技术、通信技术、运行管理技术等。随着河南电力计算机信息网 络的不断发展，电力的关键业务不断增长，因此信息化应用也不断增强，网络系统中 的应用越来越多；同时，随着 Internet 技术的发展，建立在 Internet 架构上的跨地 区、全行业系统内部信息网开始逐步建立，使网络的重要性和影响也越来越大，因此 电力信息网络系统的网络安全“层次化”愈来愈显得重要。 一、电力计算机信息网络的架构特点： （一） 河南省电力计算机信息网络的现状： （1）企业内部网络（Intranet）连接。Intranet 主要包括以下几个方面：各地区电业 局、电厂、修造设计机构与省电力公司的连接；各县电业局与地区电业局的连接； 省电力公司与网局、国电公司的连接。 （2）企业外部连接。省电力公司与省电力公司二级机构与国际互联网的连接；各级电 力公司提供的远程访问服务；各级电力公司与外系统（如银行、政府部门）的连接。 以上连接一方面丰富了电力公司的业务，同时也导致了新的安全问题。 二、对河南电力计算机信息网络的安全“层次化”： 上述企业内部网络连接与企业外部网络连接的安全防范也成为河南省电力公司重 要的网络安全问题之一。保护计算机网络的稳定运行，防止重要信息被攻击、窃取或 泄露，安全地连接因特网或其他组织和分支机构，确定信息认证等等问题需要重点解 决。而且电力部门有其独特的网络模式，所以从自身实际安全需求出发，全局、综合、 均衡地考虑各种必要的安全措施，建立全面完整的安全体系，从而促进电力生产的安 全、稳定、经济运行。 根据河南省电力系统计算机信息网络的特点，各相关业务系统的重要程度和数据 - 1 - 第二十九届中国电网调度运行会收录论文全集 流程、目前状况和安全要求，将整个系统分为四个安全区：I 实时控制区、II 非控制生 产区、III 生产管理区、IV 管理信息区。不同的安全区确定了不同的安全防护要求，从 而决定了不同的安全等级和防护水平。其中安全区Ⅰ的安全等级最高，安全区 II次之， 其余依次类推。 （1）安全区Ⅰ：实时控制区 安全区 I 中的业务系统或功能模块的典型特征为直接实现实时监控功能，是电力生产 的重要必备环节，系统实时在线运行，使用调度数据网络或专用通道。 安全区 I 的典型系统包括调度自动化系统（SCADA/EMS）、配电自动化系统、变电站自 动化系统、发电厂自动监控系统等，其主要使用者为调度员和运行操作人员，数据实时性 为秒级，外部边界的通信经由电力调度数据网 SPInet--VPN1。该区中还包括采用专用通 道的控制系统，如：继电保护、安全自动控制系统、低频/低压自动减载系统、负荷控制 系统等，这类系统对数据通信的实时性要求为毫秒级或秒级。安全区 I 是电力二次系统中 最重要系统，安全等级最高，是安全防护的重点与核心。 （2）安全区Ⅱ：非控制生产区 安全区Ⅱ中的业务系统或功能模块的典型特征为：所实现的功能为电力生产的必要环 节，但不具备控制功能，使用调度数据网络，在线运行，与安全区 I中的系统或功能模块 联系紧密。安全区Ⅱ