摘要:電網(wǎng)調(diào)度自動(dòng)化系統(tǒng)目前運(yùn)用的設(shè)備管理、安全管理、運(yùn)行管理等方面存在一定的安全隱惠,必須嚴(yán)格撥號(hào)上網(wǎng)用戶的管理,采用更完善的調(diào)度自動(dòng)化系統(tǒng)的安全技術(shù)措施和管理措施,建立完備的電力安全防護(hù)體系,才能確保電力系統(tǒng)信息網(wǎng)絡(luò)正常運(yùn)轉(zhuǎn),以保護(hù)企業(yè)的信息資源不受侵害。
關(guān)鍵詞:調(diào)度自動(dòng)化; 系統(tǒng)安全; 防護(hù)技術(shù)
通訊技術(shù)、網(wǎng)絡(luò)技術(shù)和電力市場(chǎng)的高速發(fā)展,為電力企業(yè)帶來了成本降低、效率提高、業(yè)務(wù)開拓和形象提升等諸多好處,在調(diào)度中心,集控中心、變電站、小水電、用戶之間進(jìn)行的數(shù)據(jù)交換也越來越頻繁,系統(tǒng)的網(wǎng)絡(luò)組成也越來越復(fù)雜。這對(duì)調(diào)度中心:二次系統(tǒng)的安全性、可靠性、實(shí)時(shí)性提出了新的嚴(yán)峻挑戰(zhàn),同時(shí)也使得電力調(diào)度 次系統(tǒng)的安傘防護(hù)問題成為調(diào)度中心日常L作中的重要內(nèi)容。
能量管理系統(tǒng)(sCAD/EMS)及網(wǎng)絡(luò)現(xiàn)狀
1.系統(tǒng)業(yè)務(wù)及特點(diǎn)
調(diào)度自動(dòng)化系統(tǒng)iES 500u能量管理系統(tǒng),主要包括數(shù)據(jù)采集和監(jiān)控系統(tǒng)(SCADA)、PAS高級(jí)應(yīng)用軟件、WEB模塊、調(diào)度員仿真培i/~I(DTS)軟件,系統(tǒng)從廠站接收遙測(cè)、遙信數(shù)據(jù),這類數(shù)據(jù)實(shí)時(shí)性較強(qiáng),每秒都有數(shù)據(jù)傳輸:同時(shí)向廠 站發(fā)送遙控、遙調(diào)、校時(shí)命令及計(jì)劃數(shù)據(jù),這類數(shù)據(jù)可靠性要求較高,與電網(wǎng)安全直接相關(guān)。而調(diào)度員仿真培iJII(DTS)軟件從主站系統(tǒng)取實(shí)時(shí)數(shù)據(jù)。
根據(jù)安全分區(qū)的原則,結(jié)合調(diào)度中心應(yīng)用系統(tǒng)和功能模塊的特點(diǎn),調(diào)度自動(dòng)化SCADA 系統(tǒng)、PAS系統(tǒng)屬于生產(chǎn)控制大, 生產(chǎn)控制類中的基于TCP/IP的數(shù)據(jù)業(yè)務(wù),速率要求不高,數(shù)據(jù)流基本恒定,但、l 務(wù)實(shí)時(shí)性較強(qiáng),其中遙控遙調(diào)更與電網(wǎng)安全直接相關(guān),可靠性要求較高;與計(jì)費(fèi)相關(guān)的電力市場(chǎng)業(yè)務(wù)對(duì)安全性有特殊要求,小儀要求可靠,原始數(shù)據(jù)還要求保密。WEB模塊屬丁管理信息犬區(qū) 調(diào)度員仿真培訓(xùn)模擬系統(tǒng)(DTS)屬于非控制 ,從應(yīng)用范圍來看,生產(chǎn)控制類、 務(wù)分布在各網(wǎng)地調(diào)及大量發(fā)電廠和變電站,屬于較特殊的一 類窄帶業(yè)務(wù)。
2.?dāng)?shù)據(jù)交換方式
主站各工作站、服務(wù)器通過100M /10M 自適應(yīng)HUB互連,系統(tǒng)的主眼務(wù)器設(shè)計(jì)為帶磁盤陣列的雙備冗余結(jié)構(gòu),互為熱備用,在單點(diǎn)故障的情況下系統(tǒng)能夠小間斷可靠運(yùn)行,無論是主饑或通道出現(xiàn)故障,均可通過主/備切換來保證通信和數(shù)據(jù)的完整性;但在兩臺(tái)服務(wù)器均故障或磁盤陣列故障時(shí),系統(tǒng)將不能正常運(yùn)行。一旦調(diào)度豐站數(shù)據(jù)出現(xiàn)意外災(zāi)難,系統(tǒng)將崩潰。
系統(tǒng)提供了需進(jìn)行身份認(rèn)旺的撥號(hào)訪問供遠(yuǎn)程維護(hù)的需要。調(diào)度WEB服務(wù)摸塊通過經(jīng)國(guó)家認(rèn)證的正向犁網(wǎng)絡(luò)隔離裝置從調(diào)度自動(dòng)化SCADA系統(tǒng)獲取實(shí)時(shí)數(shù)據(jù),web服務(wù)器又通過硬件防火墻與局域網(wǎng)相連,把信息傳至其它部門。
3.安全防護(hù)技術(shù)SCADA/EMS系統(tǒng)的物理邊界有4個(gè):撥號(hào)網(wǎng)絡(luò)(遠(yuǎn)程維護(hù))邊界、傳統(tǒng)專J咩j遠(yuǎn)動(dòng)通道、縱向網(wǎng)絡(luò)邊界、橫向邊界。采取的措施有:
(1)撥號(hào)網(wǎng)絡(luò)邊界采用身份驗(yàn)證功能;
(2)傳統(tǒng)專用遠(yuǎn)動(dòng)通道暫不考慮其它安全問題;
(3)SCADA系統(tǒng)與WEB發(fā)布模塊邊界,安裝了經(jīng)過國(guó)家認(rèn)證的止向 網(wǎng)絡(luò)隔離裝置;WEB發(fā)布模塊與局域網(wǎng)之間安裝了硬件防火墻。
(4)SCADA系統(tǒng)和DTS模塊之間安裝了硬件防火墻。
(5)結(jié)構(gòu)調(diào)整,結(jié)構(gòu)調(diào)整的重點(diǎn)是生產(chǎn)控制大區(qū)中業(yè)務(wù)系統(tǒng)原由WEB功能和數(shù)據(jù)的外移。
(6)新建SC ADA、AVC等具有控制功能的業(yè)務(wù)系統(tǒng)應(yīng)當(dāng)支持電力調(diào)度數(shù)寧證實(shí)現(xiàn)加密認(rèn)證。對(duì)已有系統(tǒng)應(yīng)當(dāng)逐步進(jìn)行改造。
二 存在的問題
1.設(shè)備管理方面對(duì)各系統(tǒng)設(shè)置的專職維護(hù)人員沒有明確其對(duì)設(shè)備的安全維護(hù)職責(zé),沒有嚴(yán)格限制在系統(tǒng)計(jì)算帆上做任何與系統(tǒng)無關(guān)的事情,沒有提供必要的工具對(duì)系統(tǒng)的運(yùn)行情況進(jìn)行監(jiān)控,保證系統(tǒng)安全、非間斷運(yùn)行。
2.安全管理方面
電網(wǎng)調(diào)度自動(dòng)fgfN啟、 絡(luò)t要包括能量管理系統(tǒng)、電力應(yīng)ff1軟件、調(diào)度員仿真培訓(xùn)、調(diào)度防誤操作系統(tǒng)。不同系統(tǒng)之間存在著信息資源的交互,對(duì)外開放的功能較多,如一 不需要使用且不安全的系統(tǒng)功能FTP服務(wù)、www服務(wù)和telnet服務(wù)等,這些服務(wù)的開放,在客觀上降低了整個(gè)系統(tǒng)的安全運(yùn)行水平;同時(shí)由于電網(wǎng)調(diào)度自動(dòng)化系統(tǒng)不同的使用者對(duì)安全的理解存在差異,采取的安全措施存在差別。有些地方為了使用方便,采取一些不符合規(guī)定的方法,將連接在調(diào)度數(shù)據(jù)網(wǎng)中的計(jì)算機(jī)和外網(wǎng)中的計(jì)算機(jī)相連,大大降低了整個(gè)網(wǎng)絡(luò)的安全水平。
3.運(yùn)行管理方面
以往應(yīng)用系統(tǒng)的實(shí)施,較多地考慮到應(yīng)用層面上的安全,例如雙機(jī)熱備、系統(tǒng)冗余等,較少從運(yùn)行管理上考慮到系統(tǒng)和網(wǎng)絡(luò)安全,沒有制定一定的運(yùn)行管理制度.如網(wǎng)絡(luò)安全技術(shù)管理制度、運(yùn)行維護(hù)制度和使用管理制度等,造成改變網(wǎng)絡(luò)和系統(tǒng)變更的隨意性。
三、安全技術(shù)措施
1.由于調(diào)度自動(dòng)化系統(tǒng)應(yīng)用的特殊性,僅保證網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行還遠(yuǎn)遠(yuǎn)不夠,必須同時(shí)保證數(shù)據(jù)的機(jī)密性、完整性和不可否認(rèn)性。對(duì)于從外部撥號(hào)訪問的用戶,必須嚴(yán)格控制其安全性。首先,應(yīng)嚴(yán)格限制撥號(hào)上網(wǎng)用戶所訪問的系統(tǒng)信息和資源;其次,應(yīng)加強(qiáng)對(duì)撥號(hào)用戶的身份認(rèn)證,在身份驗(yàn)證過程中采用加密手段, 減少用戶口令泄露的可能性。此外, 還可在服務(wù)器上配置回?fù)芄δ埽?限定某撥號(hào)用戶只能從特定電話撥人,特別是直接存取專業(yè)數(shù)據(jù)網(wǎng)絡(luò)資源的撥號(hào)帳號(hào)。
2.在網(wǎng)絡(luò)傳輸層,為了保證數(shù)據(jù)網(wǎng)絡(luò)的安全,又能向外傳輸必要的數(shù)據(jù),必須堅(jiān)持調(diào)度控制系統(tǒng)與調(diào)度生產(chǎn)系統(tǒng)之間、調(diào)度生產(chǎn)管理系統(tǒng)與企業(yè)辦公自動(dòng)化系統(tǒng)(OA/MIS)之間有效安全隔離,它們之間的信息傳輸只能采用單向傳輸?shù)姆绞健32捎玫拇胧┌ǚ阑饓ΑS镁W(wǎng)關(guān)(單向門)、網(wǎng)段選擇器等進(jìn)行有效隔離。另外在調(diào)度數(shù)據(jù)專用網(wǎng)絡(luò)的廣域網(wǎng)和局域網(wǎng)上,根據(jù)不同的業(yè)務(wù)系統(tǒng),還可采取以下技術(shù)手段:網(wǎng)絡(luò)安全訪問控制技術(shù)、加密通信技術(shù)、身份認(rèn)證技術(shù)、備份和恢復(fù)技術(shù)。
3.在系統(tǒng)和應(yīng)用層面,包括計(jì)算機(jī)防病毒技術(shù)、采用安全的操作系統(tǒng)(達(dá)B2級(jí))、應(yīng)用系統(tǒng)的關(guān)鍵軟硬件及關(guān)鍵數(shù)據(jù)的熱備份和冷備份等。防病毒技術(shù)和備份措施是通常采用的傳統(tǒng)安全技術(shù),而安全的操作系統(tǒng)是一個(gè)新的發(fā)展趨勢(shì)。總之,調(diào)度自動(dòng)化信息網(wǎng)絡(luò)安全是一個(gè)綜合性的課題,涉及技術(shù)、管理、使用等許多方面。而存在信息安全問題,通過對(duì)整個(gè)電力網(wǎng)絡(luò)資源進(jìn)行系統(tǒng)分析和系統(tǒng)安全方案設(shè)計(jì),建立嚴(yán)密的安全管理措施、可靠的安全策略以及高素質(zhì)的網(wǎng)絡(luò)管理人才才能全面、實(shí)時(shí)地保證信息的完整性和正確性,從而能夠很好地滿足企業(yè)對(duì)網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行和數(shù)據(jù)安全保密的需求,以確保電力調(diào)度系統(tǒng)和電力系統(tǒng)能夠安全穩(wěn)定的運(yùn)行。