調(diào)度自動(dòng)化系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)安全分析探討

二次防護(hù)部署目前亟待解決如下問(wèn)題：

1)由于池州地區(qū)調(diào)度二次安全防護(hù)系統(tǒng)的設(shè)備由多廠家組成，防火墻防護(hù)策略配置不夠全面，不標(biāo)準(zhǔn)。

2)池州地區(qū)調(diào)度所轄范圍內(nèi)所有廠站端二次系統(tǒng)安全防護(hù)設(shè)備配置較少，不能完全符合二次安全防護(hù)規(guī)定，建議由省公司統(tǒng)一對(duì)各變電站安裝二次安全防護(hù)設(shè)備，在220kV變電站Ⅰ區(qū)出口全部布置縱向認(rèn)證加密裝置，Ⅱ區(qū)出口全部布置防火墻，在重要的110kV變電站配置防火墻。各防火墻按照安裝部位及防護(hù)要求，對(duì)其策略進(jìn)行統(tǒng)一規(guī)定，配置。

3)防火墻無(wú)法防范病毒和內(nèi)部攻擊，且只能按照固定的工作模式來(lái)防范已知的威脅，因此需在系統(tǒng)加裝入侵檢測(cè)系統(tǒng)(IDS)，在內(nèi)外網(wǎng)聯(lián)接處的兩側(cè)和重要工作站加裝網(wǎng)絡(luò)監(jiān)測(cè)器和控制臺(tái)，為網(wǎng)絡(luò)提供實(shí)時(shí)的入侵檢測(cè)。

4)目前池州地區(qū)四個(gè)縣調(diào)通過(guò)專(zhuān)線(xiàn)或模擬通道接收我公司轉(zhuǎn)發(fā)遙測(cè)、遙信量，在安全部署與管理方面，我們自動(dòng)化部門(mén)不具備直接管理權(quán)限，他們的安全部署與防護(hù)策略應(yīng)充分考慮到系統(tǒng)安全隔離措施，以防存在系統(tǒng)漏洞，造成之間可以互聯(lián)的情況發(fā)生。

5)為了維護(hù)調(diào)度實(shí)時(shí)數(shù)據(jù)網(wǎng)絡(luò)和變電站系統(tǒng)間信息的安全傳輸，應(yīng)提倡對(duì)遙控、重要遙測(cè)、重要遙信報(bào)文進(jìn)行加密傳輸。

系統(tǒng)攻擊事件：

事件一：

2000年10月某日，四川某水電廠自動(dòng)控制系統(tǒng)收到異常信號(hào)，造成停機(jī)事件。

事件二：

2007年，我國(guó)互聯(lián)網(wǎng)木馬病毒和僵尸網(wǎng)絡(luò)攻擊造成各地調(diào)度自動(dòng)化系統(tǒng)安全問(wèn)題日益嚴(yán)重事件。

事件總結(jié)：由于對(duì)第三方人員設(shè)備接入控制不當(dāng)，各地操作系統(tǒng)使用弱口令，登錄沒(méi)有上限限制。

措施：建議由省公司對(duì)各防火墻按照安裝部位及防護(hù)要求，對(duì)其策略進(jìn)行統(tǒng)一規(guī)定，配置，以達(dá)到高效防護(hù)要求，對(duì)口令及對(duì)第三方接入系統(tǒng)人員予以嚴(yán)把關(guān)。

3.電力調(diào)度數(shù)據(jù)專(zhuān)用網(wǎng)絡(luò)現(xiàn)狀與安全防護(hù)措施

目前電力調(diào)度數(shù)據(jù)專(zhuān)用網(wǎng)絡(luò)(SGDnet)在電力系統(tǒng)中的應(yīng)用日益廣泛，已經(jīng)成為不可或缺的基礎(chǔ)設(shè)施。電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)是電網(wǎng)調(diào)度自動(dòng)化系統(tǒng)的重要支撐平臺(tái)，網(wǎng)絡(luò)安全是系統(tǒng)安全的保障，專(zhuān)用數(shù)據(jù)網(wǎng)絡(luò)是整體安全防護(hù)體系的基礎(chǔ)，專(zhuān)網(wǎng)體現(xiàn)在網(wǎng)絡(luò)互聯(lián)、網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)用戶(hù)的可管性和可控性。

我公司調(diào)度數(shù)據(jù)專(zhuān)用網(wǎng)絡(luò)一期工程在2006年9月正式接入，迄今已運(yùn)行三年，到2010年二期工程規(guī)劃開(kāi)通運(yùn)行。池州地區(qū)調(diào)度數(shù)據(jù)網(wǎng)主要功能是，傳輸Ⅰ區(qū)的實(shí)時(shí)數(shù)據(jù)、控制命令，Ⅱ區(qū)的非實(shí)時(shí)業(yè)務(wù)，以及對(duì)調(diào)度數(shù)據(jù)網(wǎng)本身的軟硬件進(jìn)行配置管理。

3.1池州地區(qū)調(diào)度數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)配置及架構(gòu)

池州公司調(diào)度數(shù)據(jù)專(zhuān)用網(wǎng)絡(luò)主設(shè)備為華為公司生產(chǎn)的各型號(hào)路由器，共25臺(tái)，主站端設(shè)備有調(diào)度數(shù)據(jù)網(wǎng)網(wǎng)管機(jī)一臺(tái)(hp DL360 proLiant)，核心路由器共兩臺(tái)，型號(hào)分別是Quidway NE-08和Quidway NE-40，均安裝在自動(dòng)化機(jī)房。其余路由器安裝在各變電站。廠站廣域網(wǎng)數(shù)據(jù)通道通道采用SDH下發(fā)的2M E1通道互聯(lián)，備用通道采用專(zhuān)線(xiàn)通道。主要變電站在拓?fù)渖蠘?gòu)成環(huán)路，形成雙鏈路，保證可靠性。

圖5為池州電力調(diào)度數(shù)據(jù)專(zhuān)用網(wǎng)絡(luò)(SGDnet)拓?fù)涫疽鈭D

電力調(diào)度數(shù)據(jù)專(zhuān)用網(wǎng)絡(luò)采用層次化設(shè)計(jì)結(jié)構(gòu)，可劃分為核心層、骨干層和接入層。從功能上說(shuō)，核心層主要負(fù)責(zé)整個(gè)網(wǎng)絡(luò)的數(shù)據(jù)交換，骨干層主要負(fù)責(zé)整個(gè)網(wǎng)絡(luò)的數(shù)據(jù)匯聚，接入層則主要負(fù)責(zé)各應(yīng)用系統(tǒng)的接入功能。池州調(diào)度數(shù)據(jù)專(zhuān)用網(wǎng)絡(luò)覆蓋本地區(qū)具備通道條件的220kV變電站、110kV變電站、35kV變電站、集控站。