導(dǎo)語：數(shù)據(jù)網(wǎng)絡(luò)安全分析論文一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：分析了調(diào)度自動化系統(tǒng)的不同應(yīng)用對安全性、可靠性、實時性、保密性的不同特殊要求。提出了建立調(diào)度自動化系統(tǒng)的安全防護體系，在技術(shù)體制方面，應(yīng)該在通道層建立調(diào)度專用數(shù)據(jù)網(wǎng)絡(luò)；在防護措施方面，應(yīng)該采取必要的技術(shù)手段，并建立嚴格的安全管理規(guī)章制度，以確保調(diào)度自動化系統(tǒng)的安全。

關(guān)鍵詞：調(diào)度自動化系統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)安全防護

1．引言

目前數(shù)據(jù)網(wǎng)絡(luò)在電力系統(tǒng)中的應(yīng)用日益廣泛，已經(jīng)成為不可或缺的基礎(chǔ)設(shè)施。國家電力數(shù)據(jù)網(wǎng)一級網(wǎng)從1992年2月一期工程開始規(guī)劃建設(shè)，到1997年7月二期工程開通運行，迄今已有近十年的發(fā)展歷史。目前國家電力數(shù)據(jù)網(wǎng)同時承載著實時準實時控制業(yè)務(wù)及管理信息業(yè)務(wù)，雖然網(wǎng)絡(luò)利用率較高，但安全級別較低、實時性要求較低的業(yè)務(wù)與安全級別較高、實時性要求高的業(yè)務(wù)在一起混用，級別較低的業(yè)務(wù)嚴重影響級別較高的業(yè)務(wù)，并且存在較多的安全隱患。隨著信息與網(wǎng)絡(luò)技術(shù)的發(fā)展，計算機違法犯罪在不斷增加，信息安全問題已經(jīng)引起了政府部門和企業(yè)的高度重視。因此根據(jù)調(diào)度自動化系統(tǒng)中各種應(yīng)用的不同特點，優(yōu)化電力調(diào)度數(shù)據(jù)網(wǎng)，建立調(diào)度系統(tǒng)的安全防護體系具有十分重要的意義。

2．電力系統(tǒng)中各類網(wǎng)絡(luò)應(yīng)用的特點

電力系統(tǒng)中網(wǎng)絡(luò)應(yīng)用的分類方法有許多種，根據(jù)業(yè)務(wù)類型、實時等級、安全等級等因素，電力系統(tǒng)的網(wǎng)絡(luò)應(yīng)用主要可分為生產(chǎn)數(shù)據(jù)傳輸和管理信息傳輸兩大類，另外其他的應(yīng)用還包括話音視頻傳輸和對外服務(wù)等。不同的應(yīng)用系統(tǒng)對安全有不同的要求，如圖1所示。

圖1基于數(shù)據(jù)網(wǎng)絡(luò)的應(yīng)用系統(tǒng)對安全性的要求

生產(chǎn)控制類中的基于TCP/IP的數(shù)據(jù)業(yè)務(wù)，速率要求不高，數(shù)據(jù)流基本恒定，但業(yè)務(wù)實時性較強，其中遙控遙調(diào)更與電網(wǎng)安全直接相關(guān)，可靠性要求較高；與計費相關(guān)的電力市場業(yè)務(wù)對安全性有特殊要求，不僅要求可靠，原始數(shù)據(jù)還要求保密。從應(yīng)用范圍來看，生產(chǎn)控制類業(yè)務(wù)分布在各網(wǎng)省調(diào)及大量發(fā)電廠和變電站，屬于較特殊的一類窄帶業(yè)務(wù)。

管理信息類業(yè)務(wù)突發(fā)性很強，速率要求較高，實時性不強，保密性要求較高，覆蓋除生產(chǎn)控制類以外的所有數(shù)據(jù)業(yè)務(wù)，其網(wǎng)絡(luò)布局集中于行政辦公中心，一般要求為寬帶網(wǎng)絡(luò)。

話音視頻類業(yè)務(wù)是指建立在IP平臺上的電話及會議電視，對實時性要求高，安全可靠性無特殊要求，目前其質(zhì)量還有待提高。對外服務(wù)類業(yè)務(wù)則是指根據(jù)市場的需要而建立的數(shù)據(jù)網(wǎng)絡(luò)。

3．調(diào)度自動化系統(tǒng)的安全防護

3．1制定調(diào)度自動化系統(tǒng)安全防護策略的重要性

近年來調(diào)度自動化系統(tǒng)的內(nèi)涵有了較快的延伸，由原來單一的EMS系統(tǒng)擴展為EMS、DMS、TMS、廠站自動化、水調(diào)自動化、雷電監(jiān)視、故障錄波遠傳、功角遙測、電力市場技術(shù)支持系統(tǒng)和調(diào)度生產(chǎn)管理系統(tǒng)等。數(shù)據(jù)網(wǎng)絡(luò)是支持調(diào)度自動化系統(tǒng)的重要技術(shù)平臺，一般要求數(shù)據(jù)網(wǎng)絡(luò)安全可靠，實時性要求在秒級或數(shù)秒級，其中發(fā)電報價系統(tǒng)、市場信息等電力市場信息系統(tǒng)由于需要與公網(wǎng)連接，因而還要求做加密及隔離處理。

建立調(diào)度自動化系統(tǒng)的安全防護體系，首先要制定安全防護策略。應(yīng)用系統(tǒng)的安全策略位于安全防范的最高一級，是決定系統(tǒng)的安全要素。從大的方面講，安全策略決定了一個系統(tǒng)要達到的安全級別及可以付出的代價；從小的方面講，安全策略的具體規(guī)則用于說明哪些行為是允許的，哪些行為是禁止的。系統(tǒng)是否安全，很大程度上依賴于最初設(shè)計時制定的安全策略，因為今后的安全措施，都圍繞這一策略來選擇和使用，如果在安全策略上出了問題，將會給今后的應(yīng)用系統(tǒng)帶來安全隱患，從而使將來的安全建設(shè)處于十分被動的局面。因此考慮調(diào)度自動化系統(tǒng)的安全，應(yīng)首先根據(jù)系統(tǒng)對安全性、可靠性、實時性、保密性等方面的不同特殊要求，按照國家有關(guān)部門的規(guī)定，從應(yīng)用系統(tǒng)的各個層面出發(fā)，制定完善的安全防護策略。

3．2信息系統(tǒng)的安全分層理論

一個信息系統(tǒng)的安全主要包含五個層面，即物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全、人員管理。調(diào)度自動化系統(tǒng)的安全防護體系應(yīng)包含上述五個層面的所有內(nèi)容。

物理安全主要包含主機硬件和物理線路的安全問題，如自然災(zāi)害、硬件故障、盜用、偷竊等，由于此類隱患而導(dǎo)致重要數(shù)據(jù)、口令及帳號丟失，稱為物理安全。

網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)層面的安全。由于聯(lián)網(wǎng)計算機能被網(wǎng)上任何一臺主機攻擊，而網(wǎng)絡(luò)安全措施不到位導(dǎo)致的安全問題。

系統(tǒng)安全是指主機操作系統(tǒng)層面的安全。包括系統(tǒng)存取授權(quán)設(shè)置、帳號口令設(shè)置、安全管理設(shè)置等安全問題，如未授權(quán)存取、越權(quán)使用、泄密、用戶拒絕系統(tǒng)管理、損害系統(tǒng)的完整性等。

應(yīng)用安全是指主機系統(tǒng)上應(yīng)用軟件層面的安全。如Web服務(wù)器、Proxy服務(wù)器、數(shù)據(jù)庫等的安全問題。

人員管理是指如何防止內(nèi)部人員對網(wǎng)絡(luò)和系統(tǒng)的攻擊及誤用等。

3．3國家對網(wǎng)絡(luò)及信息安全問題的有關(guān)政策和法規(guī)

國家有關(guān)部門對安全問題的有關(guān)政策和法規(guī)，對制定電力調(diào)度控制系統(tǒng)的安全策略起到指導(dǎo)性的作用。

公安部是國家企事業(yè)單位及公共安全的主管部門，已經(jīng)頒布了安全防護方面的一系列文件，正在制定安全保密和保護的等級，規(guī)定各部門應(yīng)根據(jù)具體情況決定自己的安全等級，實行國家強制標準。公安部規(guī)定，從安全保密角度看，政府辦公網(wǎng)應(yīng)與外部因特網(wǎng)物理隔離，并認為自動控制系統(tǒng)應(yīng)與外部網(wǎng)絡(luò)絕對物理隔離，可根據(jù)業(yè)務(wù)的需要建立專用數(shù)據(jù)網(wǎng)絡(luò)。

國家保密局是國家黨政機關(guān)安全保密方面的主管部門，也頒布了一系列安全保密方面的文件。1998年10月國家保密局頒布的“涉及國家秘密的通信、辦公自動化和計算機信息系統(tǒng)審批暫行辦法”規(guī)定，涉及國家秘密的通信、辦公自動化和計算機信息系統(tǒng)的建設(shè)，必須與保密設(shè)施的建設(shè)同步進行，系統(tǒng)集成方案和信息保密方案不可混淆，應(yīng)從整體考慮。1999年7月國家保密局發(fā)出的“關(guān)于加強政府上網(wǎng)信息保密管理的通知”、1999年12月10號文“計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定”和1998年1號文“計算機信息系統(tǒng)保密管理暫行規(guī)定”均確定，涉及國家秘密的計算機信息系統(tǒng)，不得直接或間接地與國際互聯(lián)網(wǎng)或其它公共信息網(wǎng)絡(luò)相聯(lián)接，必須實行物理隔離。

1996年11月原電力部、國家保密局752號文“電力工業(yè)中國家秘密及具體范圍的規(guī)定”明確了電力工業(yè)中涉及的國家秘密和重要企業(yè)秘密，均必須參照國家有關(guān)保密方面的規(guī)定。

電力生產(chǎn)事關(guān)國計民生，電力系統(tǒng)的安全和保密都很重要，電力自動化系統(tǒng)要求可靠、安全、實時，而電力信息系統(tǒng)要求完整、保密。兩種業(yè)務(wù)應(yīng)該隔離，特別是電力調(diào)度控制業(yè)務(wù)是電力系統(tǒng)的命脈，一定要與其他業(yè)務(wù)有效安全隔離。

3．4調(diào)度自動化系統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)的安全防護策略

3．4．1數(shù)據(jù)網(wǎng)絡(luò)的技術(shù)體制

規(guī)劃數(shù)據(jù)網(wǎng)絡(luò)技術(shù)體制和電力系統(tǒng)安全防護體系，應(yīng)根據(jù)電力生產(chǎn)業(yè)務(wù)對數(shù)據(jù)網(wǎng)絡(luò)安全性、可靠性、實時性方面的特殊要求，并遵照國家對涉密單位和重要設(shè)施在網(wǎng)絡(luò)安全方面的有關(guān)規(guī)定。首先應(yīng)根據(jù)網(wǎng)絡(luò)的規(guī)模、目的、服務(wù)對象、實時程度、安全級別等綜合考慮，確定最基本的網(wǎng)絡(luò)技術(shù)體制。

從應(yīng)用和連接方式來看，企業(yè)內(nèi)部網(wǎng)絡(luò)有兩類：一類是與公網(wǎng)完全隔離、在鏈路層上建立的企業(yè)內(nèi)部網(wǎng)絡(luò)一般稱為專用網(wǎng)絡(luò)；另一類是連接于公網(wǎng)、并利用公網(wǎng)作為通道的企業(yè)內(nèi)部網(wǎng)。第一類網(wǎng)絡(luò)除了面臨來自物理層面的安全問題外，主要面臨內(nèi)部的計算機犯罪問題，如違規(guī)或越權(quán)使用某些業(yè)務(wù)、查看修改機密文件或數(shù)據(jù)庫等，以及從內(nèi)部發(fā)起的對計算機系統(tǒng)或網(wǎng)絡(luò)的惡意攻擊。第二類網(wǎng)絡(luò)除了具有上述安全問題外，還要承受來自公網(wǎng)的攻擊和威脅，由于公網(wǎng)上黑客、病毒盛行，網(wǎng)絡(luò)安全的攻擊與反攻擊比較集中地體現(xiàn)在公網(wǎng)上。

由于電力調(diào)度數(shù)據(jù)網(wǎng)的服務(wù)對象、網(wǎng)絡(luò)規(guī)模相對固定，并且主要滿足自動化系統(tǒng)對安全性、可靠性、實時性的特殊需求，為調(diào)度自動化系統(tǒng)提供端到端的服務(wù)，符合建設(shè)專網(wǎng)的所有特征，所以電力調(diào)度數(shù)據(jù)網(wǎng)宜在通道層面上建立專網(wǎng)，以實現(xiàn)該網(wǎng)與其他網(wǎng)的有效安全隔離。

目前國家電力數(shù)據(jù)網(wǎng)同時承載著調(diào)度控制業(yè)務(wù)和管理信息業(yè)務(wù)，應(yīng)當在將來通道資源允許的條件下，將現(xiàn)有電力調(diào)度數(shù)據(jù)網(wǎng)上的信息業(yè)務(wù)逐步分離出去，改造成為實時控制業(yè)務(wù)專用的數(shù)據(jù)網(wǎng)絡(luò)。

電力系統(tǒng)中的光纖通信網(wǎng)絡(luò)正在加緊建設(shè)，采用光纖+SDH+IP模式容易實現(xiàn)對不同IP應(yīng)用業(yè)務(wù)之間的物理隔離，具有較高的傳輸效率，能滿足控制、保護等電力系統(tǒng)的關(guān)鍵業(yè)務(wù)的要求，便于調(diào)度部門能對網(wǎng)絡(luò)進行有效監(jiān)控，并便于通信部門對外出租帶寬。因此用光纖+SDH+IP模式建立調(diào)度數(shù)據(jù)專網(wǎng)是一個適當?shù)倪x擇，可以很好滿足電力系統(tǒng)的下列要求：

（1）數(shù)據(jù)傳輸?shù)膶崟r性（繼電保護毫秒級，自動化秒級），要求網(wǎng)絡(luò)層次簡化。

（2）傳輸?shù)倪B續(xù)性，通信負荷基本恒定，需要恒定帶寬。

（3）遠方控制的可靠性（遙控、遙調(diào)、AGC等），要求有效隔離。

（4）因特網(wǎng)時代的安全防護體系（防黑客、防病毒、防破壞等）。

（5）網(wǎng)絡(luò)拓撲結(jié)構(gòu)必須覆蓋遠離城市的電廠、變電站。

（6）充分利用SPDnet的現(xiàn)有設(shè)備，節(jié)約大量資金，便于平滑過渡。

3．4．2調(diào)度專用數(shù)據(jù)網(wǎng)絡(luò)的安全防護措施

調(diào)度專用數(shù)據(jù)網(wǎng)除了傳送EMS數(shù)據(jù)外，還傳送電能量計量計費、水調(diào)自動化、電力市場信息和調(diào)度生產(chǎn)信息（工作票和操作票、發(fā)電計劃和交易計劃、負荷預(yù)報、調(diào)度報表、運行考核等）。應(yīng)根據(jù)各類應(yīng)用的不同特點，采用不同的安全防護措施，如EMS等實時控制業(yè)務(wù)具有較高的優(yōu)先級，應(yīng)該優(yōu)先保證，生產(chǎn)信息的優(yōu)先級次之，而電力市場信息須進行加密處理等。

采用調(diào)度專用網(wǎng)絡(luò)體制使數(shù)據(jù)網(wǎng)絡(luò)在網(wǎng)絡(luò)層的的安全得到最大程度的保證。但也不能保證100%的安全，對調(diào)度數(shù)據(jù)專用網(wǎng)絡(luò)還必須做到技術(shù)措施和管理制度雙管齊下，才有可能從根本上保障信息和控制系統(tǒng)的安全。在管理制度方面，要做到：

（一）對全網(wǎng)實施監(jiān)管，所有與電力調(diào)度數(shù)據(jù)網(wǎng)連接的節(jié)點都必須在有效的管理范圍內(nèi)，保障安全的系統(tǒng)性和全局性。

（二）加強人員管理，建立一支高素質(zhì)的網(wǎng)絡(luò)管理隊伍，防止來自內(nèi)部的攻擊、越權(quán)、誤用及泄密。

（三）加強運行管理，建立健全運行管理及安全規(guī)章制度，建立安全聯(lián)防制度，將網(wǎng)絡(luò)及系統(tǒng)安全作為經(jīng)常性的工作。

（四）聘請網(wǎng)絡(luò)安全顧問，跟蹤網(wǎng)絡(luò)安全技術(shù)。

在技術(shù)措施方面，要做到：

（一）在網(wǎng)絡(luò)傳輸層，為了保證數(shù)據(jù)網(wǎng)絡(luò)的安全，又能向外傳輸必要的數(shù)據(jù)，必須堅持調(diào)度控制系統(tǒng)與調(diào)度生產(chǎn)系統(tǒng)之間、調(diào)度生產(chǎn)管理系統(tǒng)與企業(yè)辦公自動化系統(tǒng)（OA/MIS）之間有效安全隔離，它們之間的信息傳輸只能采用單向傳輸?shù)姆绞健３２捎玫拇胧┌ǚ阑饓ΑＳ镁W(wǎng)關(guān)（單向門）、網(wǎng)段選擇器等進行有效隔離。另外在調(diào)度數(shù)據(jù)專用網(wǎng)絡(luò)的廣域網(wǎng)和局域網(wǎng)上，根據(jù)不同的業(yè)務(wù)系統(tǒng)，還可采取以下技術(shù)手段：

（1）網(wǎng)絡(luò)安全訪問控制技術(shù)。通過對特定網(wǎng)段和服務(wù)建立訪問控制體系，可以將絕大多數(shù)攻擊阻止在到達攻擊目標之前。可實施的安全措施有：防火墻、VPN設(shè)備、VLAN劃分、訪問控制列表、用戶授權(quán)管理、TCP同步攻擊攔截、路由欺騙防范、實時入侵檢測技術(shù)等。

（2）加密通信技術(shù)。該措施主要用于防止重要或敏感信息被泄密或篡改。該項技術(shù)的核心是加密算法。其加密方法主要有：對稱型加密、不對稱型加密、不可逆加密等。

（3）身份認證技術(shù)。該項技術(shù)廣泛用于廣域網(wǎng)、局域網(wǎng)、拔號網(wǎng)絡(luò)等網(wǎng)絡(luò)結(jié)構(gòu)。用于網(wǎng)絡(luò)設(shè)備和遠程用戶的身份認證，防止非授權(quán)使用網(wǎng)絡(luò)資源。

（4）備份和恢復(fù)技術(shù)。對于網(wǎng)絡(luò)關(guān)鍵資源如路由器、交換機等做到雙機備份，以便出現(xiàn)故障時能及時恢復(fù)。

（二）在系統(tǒng)和應(yīng)用層面，包括計算機防病毒技術(shù)、采用安全的操作系統(tǒng)（達B2級）、應(yīng)用系統(tǒng)的關(guān)鍵軟硬件及關(guān)鍵數(shù)據(jù)的熱備份和冷備份等。防病毒技術(shù)和備份措施是通常采用的傳統(tǒng)安全技術(shù)，而安全的操作系統(tǒng)是一個新的發(fā)展趨勢。

4．結(jié)論

電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)是調(diào)度自動化系統(tǒng)的支撐平臺，網(wǎng)絡(luò)安全是系統(tǒng)安全的保障，專用數(shù)據(jù)網(wǎng)絡(luò)是整體安全防護體系的基礎(chǔ)，專網(wǎng)體現(xiàn)在網(wǎng)絡(luò)互聯(lián)、網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)用戶的可管性和可控性。目前，國際上正在制定相應(yīng)的自動化系統(tǒng)網(wǎng)絡(luò)安全標準，國內(nèi)也開始進行相關(guān)課題的研究，對于調(diào)度自動化系統(tǒng)及數(shù)據(jù)網(wǎng)絡(luò)的安全防護措施，首先應(yīng)在網(wǎng)絡(luò)技術(shù)體制方面，采用光纖+SDH+IP的數(shù)據(jù)專網(wǎng)模式，在全系統(tǒng)實現(xiàn)電力調(diào)度專用數(shù)據(jù)網(wǎng)絡(luò)與其它公用信息網(wǎng)絡(luò)、電力生產(chǎn)控制系統(tǒng)與辦公自動化系統(tǒng)等的安全隔離，同時在調(diào)度專用數(shù)據(jù)網(wǎng)及各相關(guān)應(yīng)用系統(tǒng)上采取必要的安全防護技術(shù)手段，建立嚴密的安全管理措施，以確保電力調(diào)度系統(tǒng)和電力系統(tǒng)的安全。

參考文獻：

1.余建斌.黑客的攻擊手段及用戶對策.北京：人民郵電出版社，1998年

2.OthmarKyas著.王霞，鐵滿霞，陳希南譯.網(wǎng)絡(luò)安全技術(shù)-風險分析、策略與防火墻.北京：中國水利水電出版社，1998年

3.趙遵廉等主編，電力市場運營系統(tǒng)，北京：中國電力出版社，2001年1月

4.辛耀中等，電力系統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)技術(shù)體制分析，電力系統(tǒng)自動化，2000年11月

5.肖康，建立和完善企業(yè)IP網(wǎng)絡(luò)安全體系，計算機世界，2000年10月

6.計算機信息系統(tǒng)安全法規(guī)匯編，中國電力信息中心，2000年2月