电力系统二次安防综合措施的研究

2017-03-09李兴梅张名杨

网络安全技术与应用 2017年2期

◆李兴梅张名杨

电力系统二次安防综合措施的研究

◆李兴梅张名杨

（国网四川省电力公司检修公司四川 610041）

在人们生活中，电力资源有着十分重要的作用，很大程度上便利了人们的生活，随着生活水平的提升，人们对供电质量的要求也越来越高。供电企业为专门的电力资源供应企业，以供电网络的可靠运行来满足人们的要求，电力系统二次安全防护作为保护供电网络可靠运行的重要手段，其运行安全性受到供电企业的高度重视。本文在介绍电力系统二次安全防护重要作用的基础上，分析了当前电力系统二次安全防护现状，并提出增强电力系统安全防护效果的综合性措施。

电力二次系统；安全防护；综合措施

0 前言

为了保证电力系统的稳定运行，电力二次系统的安全是重中之重。但在电力二次系统逐渐扩大自身规模的过程中，随之提升了安全问题的发生率。为了减少电力二次系统中存在的安全隐患，提高系统运行的安全性及可靠性，应设置综合性的安全防护措施，发挥其防护作用。基于此，本文对电力系统二次安全防护综合措施的研究具有十分重要的现实意义。

1 电力系统二次安全防护的重要作用

对于电力系统，我国高度重视其安全性。一直以来，电力企业运行时必须要坚持的原则即为安全性，以能满足人们对电力资源的需求及要求，并保证用电人们生产生活的安全性。电力二次系统中，包含比较多的系统及装置，功能为保护、控制及监测电网的运行，具有十分庞大的规模。在其运行过程中，需要相关的软件及硬件支持。电力二次系统运行时，其安全性很大程度上影响着整个电网的可靠性，当其出现故障时，电网的运行也将会受到严重影响，甚至导致大面积的停电。近年来，电力二次系统运行的安全性还受到黑客入侵、恶意代码攻击等影响。一旦发生这些恶意攻击事件，不仅系统正常运行会受到影响，严重时系统甚至大面积瘫痪。而建立电力系统二次安全防护体系后，可最大限度的避免恶意攻击事件的发生，营造安全的运行环境，提升电力二次系统运行的安全性及可靠性，进而保证整个电网的供电质量，促进社会良好的发展。

2 当前电力系统二次安全防护现状

2.1 操作系统与网络防护措施单一

现阶段，电力系统二次安全防护中，主要的防护措施有两种：一种为加密机，一种为防火墙。二者在安全防护电力系统过程中，匹配电力系统参数时均采用依据系统要求提前设定的方式，实现对信息包及网络信息流向的控制。然而，这两种保护方式的安全防护效果并不理想，黑客等恶意攻击方式仍然可侵入系统，降低电力系统运行时的安全性[1]。

2.2 电力系统内防水平不足

电力系统安全防护工作，存在的另一个问题为系统内防水平不足，明显低于外防水平。一般为了保证电力系统的安全运行，会设置相应的网络安全装置，但这些装置多是对外部网络信息做出限制，以保证信息的安全[2]。但在电力企业电力系统运行过程中,内部攻击的发生率也比较高,当内部遭受攻击时,由于内防水平相对比较低，解决攻击的有效性比较差，降低系统运行的安全性。

3 电力系统二次安全防护综合措施

3.1 总体策略总体上来说，电力系统二次安全防护综合措施可用16个字来概括，即“安全分区、网络专用、横向隔离、纵向认证”。由国家的相关规定可知，无论系统对实时性要求的高与低，防护、隔离及检测设备均需要相应的配置，满足客户供电要求的同时，实现安全保护系统[3]。

3.2 构建安全防护网络

在电力系统二次安全防护综合措施中，必不可少的一项措施即为构建安全防护网络。具体说来，应该从以下几个方面进行:第一、在入侵检测技术中应用防火墙技术，实现有效的防护入侵，保证电力系统的安全运行，并促使防火墙技术相关性能的提升；第二、建立入侵防护网络，相关入侵行为发生时，入侵检测技术在检测到之后，相关程序能够做出阻止操作，防止入侵行为进入到系统中，避免电力系统受到影响。

3.3 软件安全防护策略

在电力系统中，包含众多的应用软件系统，其中比较常用的包含电能量管理系统、变电站综合自动化系统等，构建电力系统二次安全防护体系时，应将安全加固的操作系统应用在这些应用软件系统的主服务器中，提升其运行的安全性。对于主机的安全防护来说，关键在于强化、优化其防护控制能力、安全补丁系统。而对于操作系统的安全防护来说，可采取的措施包含对当前系统进行升级、将后续补丁合集在安装在系统中、设置账号权限、不必要服务关闭等[4]。此外，还应十分注重系统中数据库的安全防护工作，安全审核应用程序、对账号权限的配置作出规范、强化安全管理数据库日志的力度等均为有效的安全防护措施。需要注意的是，安全区为电力系统应用软件系统各项安全防护措施实施的场所。因此，电力系统二次安全防护中，防护对象中主要的一个即为安全区。

3.4 防火墙安全防护

目前，电力系统二次安全防护体系中，主要措施之一为防火墙，占据的地位十分重要。防火墙安全技术包含两种:一种为硬件技术，一种为软件技术。其防护作用发挥的主要位置为系统内外网络边界地段。构建电力系统二次安全防护综合体系时，防火墙技术中最为常用的是包过滤防火墙技术，该项技术的功能为系统、有效的审查相关信息。审查依据包含数据目的地地址、数据源地址等，当审查结果与其具备的信息过滤规则相符合时，数据包传输可正常进行，目的地能够实现接收数据。但不符合时，则会丢弃数据包[5]。电力系统二次安全防护体系中应用包过滤防火墙技术时包含动态和静态两种，对于动态包过滤防火墙，可以实际情况为根据，动态设置自身的过滤规则，追踪任意一条电力系统中的信息，与电力系统安全防护要求相结合。经过实施调整，确实能实现安全数据的顺利传输；对于静态包过滤防火墙，审查相关数据信息时，按照既定的过滤规则进行，当审查结果不相符时，无论数据包安全与否，均被丢弃。

3.5 数字证书的应用

在网络通讯中，代表各方身份的就是数字证书，为一系列数据，对用户身份验证时，数字证书提供了一种有效的方式。电力二次系统的数字证书属于数字证书系统，以公钥技术为基础，具备分布式的特征，生产控制大区为数字证书主要应用的位置，服务对象为具有关键性作用的应用、设备及用户，应用后，身份认证实现高强度，数据传输实现高安全性，行为审计实现高可靠性。人员证书、程序证书以及设备证书为数字证书应用于电力二次系统中的主要方式，用户在进行系统登录、资源应用等应用性操作时，通过人员认证，认证用户的身份信息，防止非法人员进行系统操作；系统中的应用程序与远程程序通信时，为了保证通信的安全性,程序证书提供安数据加密、签名等功能；本地设备请求接入系统中时,设备证书可认证设备信息,保证接入设备的安全性。