跟著核算機網(wǎng)絡(luò)技能的一日千里,數(shù)據(jù)網(wǎng)絡(luò)在電力體系中的運用日益廣泛,現(xiàn)已變成不行或缺的根底設(shè)備。可是,翻開的信息體系必定存在許多潛在的安全風(fēng)險,黑客和反黑客、損壞和反損壞的奮斗仍將持續(xù)。在這么的奮斗中,安全技能作為一個一同的范疇越來越遭到全球網(wǎng)絡(luò)締造者的注重。這些年調(diào)度主動化體系的內(nèi)在有了較大的延伸,由正本單一的SCADA體系拓展為EMS、DMS、TMS、廠站主動化、水調(diào)主動化、電力商場技能支撐體系和調(diào)度出產(chǎn)處理體系等,數(shù)據(jù)網(wǎng)絡(luò)是支撐調(diào)度主動化體系的首要技能路徑,承當(dāng)著實時、準(zhǔn)實時操控事務(wù)及處理信息事務(wù)。調(diào)度主動化信息還需求與省調(diào)主動化體系、局MIS銜接,網(wǎng)絡(luò)運用率較高,安全等級較低的事務(wù)與安全等級較高的事務(wù)混用,存在許多安全風(fēng)險。這就使確保信息的安全變得分外首要,有必要樹立依據(jù)調(diào)度主動化體系中各種運用的紛歧樣特征,優(yōu)化電力調(diào)度數(shù)據(jù)網(wǎng),樹立調(diào)度主動化體系的安全防護體系。
1 體系與網(wǎng)絡(luò)現(xiàn)狀
1.1 能量處理體系(SCADA/EMS)
1.1.1 體系事務(wù)
淮北供電公司調(diào)度所選用的是OPEN-2000能量處理體系,首要包含數(shù)據(jù)搜集和監(jiān)控體系(SCADA)、PAS高檔運用軟件,體系從廠站接納遙測、遙信數(shù)據(jù),這類數(shù)據(jù)實時性較強,每秒都稀有據(jù)傳輸;一同向廠站發(fā)送遙控、遙調(diào)、校時指令及方案數(shù)據(jù),這類數(shù)據(jù)牢靠性懇求較高,與電網(wǎng)安全直接有關(guān)。
1.1.2 數(shù)據(jù)溝通辦法
主站各作業(yè)站、效勞器經(jīng)過十0M/十M自習(xí)氣HUB互連,體系內(nèi)設(shè)備了數(shù)據(jù)備份體系,備份首要的運用程序和數(shù)據(jù)。該體系避免了單點失利呈現(xiàn),大到效勞器、作業(yè)站、存儲設(shè)備,小到適配器,均是冗余容錯的;不管是主機或通道呈現(xiàn)缺點,均可經(jīng)過主/備切換來確保通訊和數(shù)據(jù)的無缺性;假定主數(shù)據(jù)基地數(shù)據(jù)呈現(xiàn)意外災(zāi)禍,體系能夠主動切換到備份數(shù)據(jù)基地。體系供給了需進行身份認(rèn)證的撥號拜訪供長途保護的需求,而且經(jīng)過WEB效勞器把信息傳至其它有些。
1.1.3 安全防護技能
SCADA/EMS體系的物理鴻溝有4個:撥號網(wǎng)絡(luò)(長途保護)鴻溝、傳統(tǒng)專用遠動通道、縱向網(wǎng)絡(luò)銜接(調(diào)度數(shù)據(jù)網(wǎng)與省主調(diào)銜接)與公司MIS體系之間的橫向網(wǎng)絡(luò)銜接。
選用的辦法有:
(1) 撥號網(wǎng)絡(luò)鴻溝選用身份驗證功用;
(2) 傳統(tǒng)專用遠動通道暫不思考其它安全疑問;
(3) SCADA/EMS體系中設(shè)備數(shù)據(jù)備份體系,用于備份首要的體系和數(shù)據(jù);
(4) SCADA/EMS體系和公司MIS體系之間選用WEB效勞器,并設(shè)備了硬件防火墻。
1.2 電量搜團體系
1.2.1 體系事務(wù)
淮北區(qū)域電網(wǎng)電量搜團體系運用的是YJD-953體系,該電量搜團體系功用簡略,只是具有召測電量和簡略的核算功用。主站端主動或人工召測變電站的關(guān)口電量并進行總加,一同向廠站發(fā)送對時數(shù)據(jù),召測的關(guān)口電量可被省調(diào)或其它單位召測。
1.2.2 數(shù)據(jù)溝通辦法
只能主站端單向撥號廠站端,電表(脈沖)接入廠站端的電量搜集設(shè)備。
1.2.3 安全防護技能
該體系相對獨立,與公司MIS體系徹底沒有物理銜接,首要運用撥號MODEN與變電站的搜集終端相連,與廠站端的其它體系別離。
1.3 淮北區(qū)域電力調(diào)度數(shù)據(jù)網(wǎng)
1.3.1 體系事務(wù)
在調(diào)度數(shù)據(jù)網(wǎng)實時事務(wù)作業(yè)的是淮北區(qū)域電網(wǎng)調(diào)度主動化體系實時網(wǎng)絡(luò)通訊,方案包含:4個220 kV變電站、8個1十 kV變電站、4個35 kV變電站和淮北電廠、淮北二廠等實時搜集信息,與省調(diào)EMS體系之間,經(jīng)過通訊網(wǎng)關(guān)機,完結(jié)滿意TASE.2協(xié)議的實時網(wǎng)絡(luò)通訊。
1.3.2 數(shù)據(jù)溝通辦法
淮北區(qū)域電力調(diào)度數(shù)據(jù)網(wǎng)作為數(shù)據(jù)網(wǎng)絡(luò)6個子域中的一個子域,經(jīng)過路由器向安徽電力調(diào)度傳輸數(shù)據(jù)。
1.3.3 安全防護技能
選用IP路由技能體系,構(gòu)建在SDH/PDH的n×2 M專用通道上面,完結(jié)了與其它數(shù)據(jù)網(wǎng)絡(luò)的物理層面的安全隔絕。
2 存在的疑問
2.1 設(shè)備處理方面
對各體系設(shè)置的專職保護人員沒有了解其對設(shè)備的安全保護責(zé)任,沒有嚴(yán)峻束縛在體系核算機上做任何與體系無關(guān)的作業(yè),沒有供給必要的東西對體系的作業(yè)狀況進行監(jiān)控,確保體系安全、非接連作業(yè)。
2.2 安全處理方面
淮北區(qū)域電網(wǎng)調(diào)度主動化信息網(wǎng)絡(luò)首要包含能量處理體系、電量搜集及計費體系、調(diào)度專線數(shù)據(jù)網(wǎng)。紛歧樣體系之間存在著信息本錢的交互,對外翻開的功用較多,如一些不需求運用且不安全的體系功用FTP效勞、WWW效勞和telnet效勞等,這些效勞的翻開,在客觀上降低了悉數(shù)體系的安全作業(yè)水平;一同因為電網(wǎng)調(diào)度主動化體系紛歧樣的運用者對安全的了解存在區(qū)別,選用的安全辦法存在紛歧樣。有些本地為了運用便當(dāng),選用一些不契合規(guī)矩的辦法,將銜接在調(diào)度數(shù)據(jù)網(wǎng)中的核算機和外網(wǎng)中的核算機相連,大大降低了悉數(shù)網(wǎng)絡(luò)的安全水平。
2.3 作業(yè)處理
以往運用體系的施行,較多地會思考到運用層面上的安全,例如雙機熱備、體系冗余等,較少從作業(yè)處理上思考到體系和網(wǎng)絡(luò)安全,沒有擬定必定的作業(yè)處理準(zhǔn)則,如網(wǎng)絡(luò)安全技能處理準(zhǔn)則、作業(yè)保護準(zhǔn)則和運用處理準(zhǔn)則等,構(gòu)成改動網(wǎng)絡(luò)和體系改動的隨意性。
3 安全技能辦法
(1) 因為調(diào)度主動化體系運用的分外性,僅確保網(wǎng)絡(luò)體系的正常作業(yè)還遠遠不行,有必要一同確保數(shù)據(jù)的機密性、無缺性和不行否認(rèn)性。關(guān)于從外部撥號拜訪的用戶,有必要嚴(yán)峻操控其安全性。首要,應(yīng)嚴(yán)峻束縛撥號上網(wǎng)用戶所拜訪的體系信息和本錢;其次,應(yīng)加強對撥號用戶的身份認(rèn)證,在身份驗證進程中選用加密手法,削減用戶口令走漏的或許性。此外,還可在效勞器上裝備回?fù)芄τ茫`某撥號用戶只能從特定電話撥入,分外是直接存取專業(yè)數(shù)據(jù)網(wǎng)絡(luò)本錢的撥號帳號。
(2) 調(diào)度數(shù)據(jù)專用網(wǎng)絡(luò)依據(jù)紛歧樣的事務(wù)體系,可選用網(wǎng)絡(luò)安全拜訪操控技能、加密通訊技能(首要用于避免首要或活絡(luò)信息被走漏或篡改)、身份認(rèn)證技能(用于網(wǎng)絡(luò)設(shè)備和長途用戶的身份認(rèn)證,避免非授權(quán)運用網(wǎng)絡(luò)本錢)、備份和康復(fù)技能。
