安防之家讯：网络；在防护措施方面，应该采取必要的技术手段，并建立严格的安全治理规章制度，以确保调度自动化系统的安全。
要害词：调度自动化系统数据网络安全防护
1．引言目前数据网络在电力系统中的应用日益广泛，已经成为不可或缺的基础设施。国家电力数据网一级网从1992年2月一期工程开始规划建设，到1997年7月二期工程开通运行，迄今已有近十年的发展历史。目前国家电力数据网同时承载着实时准实时控制业务及治理信息业务，虽然网络利用率较高，但安全级别较低、实时性要求较低的业务与安全级别较高、实时性要求高的业务在一起混用，级别较低的业务严重计算机违法犯罪在不断增加，信息安全方法有许多种，根据业务类型、实时等级、安全等级等因素，电力系统的网络应用主要可分为生产数据传输和治理信息传输两大类，另外其他的应用还包括话音视频传输和对外服务等。不同的应用系统对安全有不同的要求，如图1所示。图1基于数据网络的应用系统对安全性的要求生产控制类中的基于TCP/IP的数据业务，速率要求不高，数据流基本恒定，但业务实时性较强，其中遥控遥调更与电网安全直接相关，可靠性要求较高；与计费相关的电力市场业务对安全性有非凡要求，不仅要求可靠，原始数据还要求保密。从应用范围来看，生产控制类业务分布在各网省调及大量发电厂和变电站，属于较非凡的一类窄带业务。治理信息类业务突发性很强，速率要求较高，实时性不强，保密性要求较高，覆盖除生产控制类以外的所有数据业务，其网络布局集中于行政办公中心，一般要求为宽带网络。话音视频类业务是指建立在IP平台上的电话及会议电视，对实时性要求高，安全可靠性无非凡要求，目前其质量还有待提高。对外服务类业务则是指根据市场的需要而建立的数据网络。
3．调度自动化系统的安全防护3．1制定调度自动化系统安全防护策略的重要性近年来调度自动化系统的内涵有了较快的延伸，由原来单一的EMS系统扩展为EMS、DMS、TMS、厂站自动化、水调自动化、雷电监视、故障录波远传、功角遥测、电力市场技术支持系统和调度生产治理系统等。数据网络是支持调度自动化系统的重要技术平台，一般要求数据网络安全可靠，实时性要求在秒级或数秒级，其中发电报价系统、市场信息发布等电力市场信息系统由于需要与公网连接，因而还要求做加密及隔离处理。建立调度自动化系统的安全防护体系，首先要制定安全防护策略。应用系统的安全策略位于安全防范的最高一级，是决定系统的安全要素。从大的方面讲，安全策略决定了一个系统要达到的安全级别及可以付出的代价；从小的方面讲，安全策略的具体规则用于说明哪些行为是答应的，哪些行为是禁止的。系统是否安全，很大程度上依靠于最初设计时制定的安全策略，因为今后的安全措施，都围绕这一策略来选择和使用，假如在安全策略上出了问题，将会给今后的应用系统带来安全隐患，从而使将来的安全建设处于十分被动的局面。因此考虑调度自动化系统的安全，应首先根据系统对安全性、可靠性、实时性、保密性等方面的不同非凡要求，按照国家有关部门的规定，从应用系统的各个层面出发，制定完善的安全防护策略。
3．2信息系统的安全分层理论一个信息系统的安全主要包含五个层面，即物理安全、网络安全、系统安全、应用安全、人员治理。调度自动化系统的安全防护体系应包含上述五个层面的所有内容。物理安全主要包含主机硬件和物理线路的安全问题，如自然灾难、硬件故障、盗用、偷窃等，由于此类隐患而导致重要数据、口令及帐号丢失，称为物理安全。网络安全是指网络层面的安全。由于联网计算机能被网上任何一台主机攻击，而网络安全措施不到位导致的安全问题。系统安全是指主机操作系统层面的安全。包括系统存取授权设置、帐号口令设置、安全治理设置等安全问题，如未授权存取、越权使用、泄密、用户拒绝系统治理、损害系统的完整性等。应用安全是指主机系统上应用软件层面的安全。如Web服务器、Proxy服务器、数据库等的安全问题。人员治理是指如何防止内部人员对网络和系统的攻击及误用等。
3．3国家对网络及信息安全问题的有关政策和法规国家有关部门对安全问题的有关政策和法规，对制定电力调度控制系统的安全策略起到指导性的作用。公安部是国家企事业单位及公共安全的主管部门，已经颁布了安全防护方面的一系列文件，正在制定安全保密和保护的等级，规定各部门应根据具体情况决定自己的安全等级，实行国家强制标准。公安部规定，从安全保密角度看，政府办公网应与外部因特网物理隔离，并认为自动控制系统应与外部网络绝对物理隔离，可根据业务的需要建立专用数据网络。国家保密局是国家党政机关安全保密方面的主管部门，也颁布了一系列安全保密方面的文件。1998年10月国家保密局颁布的“涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法”规定，涉及国家秘密的通信、办公自动化和计算机信息系统的建设，必须与保密设施的建设同步进行，系统集成方案和信息保密方案不可混淆，应从整体考虑。1999年7月国家保密局发出的“关于加强政府上网信息保密治理的通知”、1999年12月10号文“计算机信息系统国际联网保密治理规定”和1998年1号文“计算机信息系统保密治理暂行规定”均确定，涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其它公共信息网络相联接，必须实行物理隔离。1996年11月原电力部、国家保密局752号文“电力工业中国家秘密及具体范围的规定”明确了电力工业中涉及的国家秘密和重要企业秘密，均必须参照国家有关保密方面的规定。电力生产事关国计民生，电力系统的安全和保密都很重要，电力自动化系统要求可靠、安全、实时，而电力信息系统要求完整、保密。两种业务应该隔离，非凡是电力调度控制业务是电力系统的命脉，一定要与其他业务有效安全隔离。
3．4调度自动化系统数据网络的安全防护策略
3．4．１数据网络的技术体制规划数据网络技术体制和电力系统安全防护体系，应根据电力生产业务对数据网络安全性、可靠性、实时性方面的非凡要求，并遵照国家对涉密单位和重要设施在网络安全方面的有关规定。首先应根据网络的规模、目的、服务对象、实时程度、安全级别等综合考虑，确定最基本的网络技术体制。从目前国家电力数据网同时承载着调度控制业务和治理信息业务，应当在将来通道资源答应的条件下，将现有电力调度数据网上的信息业务逐步分离出去，改造成为实时控制业务专用的数据网络。电力系统中的光纤通信网络正在加紧建设，采用光纤 SDH IP模式轻易实现对不同IP应用业务之间的物理隔离，具有较高的传输效率，能满足控制、保护等电力系统的要害业务的要求，便于调度部门能对网络进行有效监控，并便于通信部门对外出租带宽。因此用光纤 SDH IP模式建立调度数据专网是一个适当的选择，可以很好满足电力系统的下列要求：
（1）数据传输的实时性（继电保护毫秒级，自动化秒级），要求网络层次简化。
（2）传输的连续性，通信负荷基本恒定，需要恒定带宽。
（3）远方控制的可靠性（遥控、遥调、AGC等），要求有效隔离。
（4）因特网时代的安全防护体系（防黑客、防病毒、防破坏等）。
（5）网络拓扑结构必须覆盖远离城市的电厂、变电站。
（6）充分利用SPDnet的现有设备，节约大量资金，便于平滑过渡。3．4．２调度专用数据网络的安全防护措施调度专用数据网除了传送EMS数据外，还传送电能量计量计费、水调自动化、电力市场信息和调度生产信息（工作票和操作票、发电计划和交易计划、负荷预告、调度报表、运行考核等）。应根据各类应用的不同特点，采用不同的安全防护措施，如EMS等实时控制业务具有较高的优先级，应该优先保证，生产信息的优先级次之，而电力市场信息须进行加密处理等。采用调度专用网络体制使数据网络在网络层的的安全得到最大程度的保证。但也不能保证100的安全，对调度数据专用网络还必须做到技术措施和治理制度双管齐下，才有可能从根本上保障信息和控制系统的安全。
在治理制度方面，要做到：
（一）对全网实施监管，所有与电力调度数据网连接的节点都必须在有效的治理范围内，保障安全的系统性和全局性。
（二）加强人员治理，建立一支高素质的网络治理队伍，防止来自内部的攻击、越权、误用及泄密。
（三）加强运行治理，建立健全运行治理及安全规章制度，建立安全联防制度，将网络及系统安全作为经常性的工作。
（四）聘请网络安全顾问，跟踪网络安全技术。
在技术措施方面，要做到：
（一）在网络传输层，为了保证数据网络的安全，又能向外传输必要的数据，必须坚持调度控制系统与调度生产系统之间、调度生产治理系统与企业办公自动化系统（OA/MIS）之间有效安全隔离，它们之间的信息传输只能采用单向传输的方式。常采用的措施包括防火墙、专用网关（单向门）、网段选择器等进行有效隔离。另外在调度数据专用网络的广域网和局域网上，根据不同的业务系统，还可采取以下技术手段：
（1）网络安全访问控制技术。通过对特定网段和服务建立访问控制体系，可以将绝大多数攻击阻止在到达攻击目标之前。可实施的安全措施有：防火墙、VPN设备、VLAN划分、访问控制列表、用户授权治理、TCP同步攻击拦截、路由欺骗防范、实时入侵检测技术等。
（2）加密通信技术。该措施主要用于防止重要或敏感信息被泄密或篡改。该项技术的核心是加密算法。其加密方法主要有：对称型加密、不对称型加密、不可逆加密等。
（3）身份认证技术。该项技术广泛用于广域网、局域网、拔号网络等网络结构。用于网络设备和远程用户的身份认证，防止非授权使用网络资源。
（4）备份和恢复技术。对于网络要害资源如路由器、交换机等做到双机备份，以便出现故障时能及时恢复。
（二）在系统和应用层面，包括计算机防病毒技术、采用安全的操作系统（达B2级）、应用系统的要害软硬件及要害数据的热备份和冷备份等。防病毒技术和备份措施是通常采用的传统安全技术，而安全的操作系统是一个新的发展趋势。
4．结论
电力调度数据网络是调度自动化系统的支撑平台，网络安全是系统安全的保障，专用数据网络是整体安全防护体系的基础，专网体现在网络互联、网络边界、网络用户的可管性和可控性。目前，国际上正在制定相应的自动化系统网络安全标准，国内也开始进行相关课题的研究，对于调度自动化系统及数据网络的安全防护措施，首先应在网络技术体制方面，采用光纤 SDH IP的数据专网模式，在全系统实现电力调度专用数据网络与其它公用信息网络、电力生产控制系统与办公自动化系统等的安全隔离，同时在调度专用数据网及各相关应用系统上采取必要的安全防护技术手段，建立严密的安全治理措施，以确保电力调度系统和电力系统的安全。

参考文献：1.余建斌.黑客的攻击手段及用户对策.北京：人民邮电出版社，1998年2.OthmarKyas著.王霞，铁满霞，陈希南译.网络安全技术-风险中国水利水电出版社，1998年3.赵遵廉等主编，电力市场运营系统，北京：中国电力出版社，2001年1月4.辛耀中等，电力系统数据网络技术体制分析，电力系统自动化，2000年11月5.肖康，建立和完善企业IP网络安全体系，计算机世界，2000年10月6.计算机信息系统安全法规汇编，中国电力信息中心，2000年2月安防之家专注于各种家居的安防,监控,防盗,安防监控,安防器材,安防设备的新闻资讯和O2O电商导购服务，敬请登陆安防之家：http://anfang.jc68.com/