浅谈电力二次系统安全防护体系.docVIP

PAGE PAGE 1 浅谈电力二次系统安全防护体系 　　【摘要】在电力系统中信息技术在普遍的广泛应用着，电力二次系统早已在电力系统的生产、运行过程中，以及在电力系统的经营和管理中成为重要基础设施。由于大量的接入电力调度数据网的电力控制系统，特别是随着电力市场的不断发展，势必要求在调度中心、电厂、变电站以及各用户等之间进行的数据交换在客观上表现出越来越频繁，这样就对电力二次系统的安全性、可靠性以及实时性提出了更为严峻的挑战并提出了更高的要求。 　　【关键词】安全防护；安全分区；横向隔离；纵向认证 　　中图分类号：TM715文献标识码：A文章编号： 　　一．前言 　　在电力系统的生产及运行中，必须做好二次系统安全防护工作，通常二次系统安全防护就是指：通过一定的技术手段或者必要的管理措施，以达到保护电力实施系统和电力调度数据网络的安全；通过对电力二次系统安全防护系统的建设和不断完善,就可以比较有效地抵御由外部团体或者威胁源而发起的恶意攻击和侵害，而且当系统遭受到破坏时，立即能在第一时间使绝大部分功能得到恢复，进而及时地防止发生电力二次系统安全事件，或者由此导致的一次系统事故，以及发生的大面积停电事故，以使电网能个安全、稳定顺利的运行得到保障。 　　二．安全防护体系 　　1．合理有效的加装入侵检测系统，或者入侵防护系统，可以完善二次系统网络安全入侵检测系统(IDS)，通过旁路监听的方式，不间断的收取网络数据有着举足轻重的作用，而且对网络的正常运行，以及性能无任何的不利影响，同时可以及时判断出，其中是否含攻击性的恶意企图，并且通过各种手段，及时向有关的管理人员报警。这就要求在安全区Ⅰ，和安全区Ⅱ的交界处，以及在二个区域内部，分别部署若干个IDS探头以便数据监测，不仅可以随时地发现，由Ⅱ区向Ⅰ区的发起的恶意攻击，而且也可以随时地发现，二个区域内部发起的恶意攻击行为。可以准确地说，入侵检测系统，是网络安全的第二道重要防线，是对防火墙作出的必要补充，如此便形成完整的网络安全控制和解决方案。 　　如果能在安全区Ⅰ及安全区Ⅱ之间，配置入侵防护系统(IPS)，对阻止含有恶意的攻击将会取得更加有效的效果。这是因为入侵防护系统（IPS）是在入侵检测系统（IDS）技术基础上的进行的改进。入侵检测系统（IDS）是需要通过监视网络或者系统资源，来寻找违反安全策略的不良的行为或者是恶意的攻击迹象，同时它发出报警，只是属于一种被动的检测安全技术，这样则就可以说，在恶意的攻击发生之前，它们往往无法预先就发出警报，也无法阻拦恶意攻击的发生。而入侵防护安全系统（IPS），则更倾向于提供主动防护能力，它的设计宗旨体现出可以预先对入侵活动，和攻击性网络流量进行阻止和拦截，可以随时避免其造成损失。 　　2．部署网络防病毒体系 　　在二次系统中，部署一整套多层次、全方位的网络防病毒体系进行扫描引擎，同时应具备高效的、统一的、智能的管理手段，和它相匹配，从而可以自动地升级病毒代码并进行扫描引擎。但是由于次系统内部，不能直接连接因特网，而导致了防病毒中心的病毒代码，无法进行升级，故此，也就不能为各客户端进行升级了。要很好地解决这个问题，最好的办法就是由有关的维修护理人员，定期使用移动介质，把已经下载好的病毒代码，经维护人员亲自手动更新到防病毒中心。 　　有些问题还需要特别注意的，是就由于针对Unix及Linux系统的病毒种类很少，一些系统管理员专业知识有限，对病毒的发展认识还存在许多的不足，并且早期的计算机病毒，多数是以DOS、Windows系统为主的，而且Unix、Linux的应用也还不太广泛，但是在使用Unix、Linux系统下的各种应用，却越来越多，而且病毒的发展，也向多平台化发展蔓延，尤其是目前现阶段病毒呈现跨平台化，可以在任何操作系统下肆意生存发展。另外，如果我们采用Unix和Linux系统，作为文件服务器系统，来存储网络中出现的大量文件，由此也就成为了病毒肆意隐藏之地，成为内部网络的毒源。故此需要对Unix和Linux系统的服务器，有效地实施病毒防护。并且尽量要做在到向Unix服务器上传输前以及需要从Unix服务器下载文件后，必须要对该文件进行查毒处理。 　　3．使用多种备份方式 　　做好电网二次系统的数据安全工作，它涉及到电网的安全运行及经营管理效能。由此需要定期对关键应用的数据，及应用系统进行必要的备份，以便可以确保数据损坏，以及系统崩溃情况下，可以快速恢复数据及系统的可用性。 　　对数据的进行备份，应该采用多种多样的方式，同时备份结果应该尽量及时存放在不同的介质上，甚至还要做到，存放在不同的地理位置和场所内，也就是说，异地备份。以便能保证在一种备份方式不能正确及时地恢复时，还可以采用另外一种方式去对数据进行恢复，这样一个场所的备份介质损坏以后，还可以通