电力二次系统安全防护策略研究摘要：电力体系改革发展和设备的更新换代速度的加快提高了电力行业劳动生产率计算机网络和硬件设备的大量应用节省了人力资源的同时综合自动化水平得到很大提高电厂/变电站与电网调度之间通过数据网的信息联系越来越多数据之间的交换也越来越频繁这就要求数据交换的途径和方法越安全越好。因此本文针对电力监控系统和数据网络系统的安全性策略进行深入研究。关键词：二次系统；安全；防护；策略中图分类号：TM73文献标识码：A文章编号：1673-1069（2016）19-189-20引言电力二次系统安全防护工作是通过技术手段和管理措施做好监控系统及调度数据网络的安全传输并保证电气量和监控实时数据免受攻击实现各种电气设备可靠运行；总体目标是通过建立完善的电力二次系统安全防护体系保证在正常的安全策略范围内系统能够安全可靠运行即使受到攻击时也能够迅速恢复绝大部分功能保证系统免受损坏或者即使受到损坏也能尽快恢复来保证电网的安全运行。1目前电力二次系统安全防护存在的问题1.1操作系统和网络防护措施单一目前我国的电力系统安全防护措施主要是利用防火墙和网闸进行安全防护这两种方式的共同点是按照系统提前设定的方式对电力系统参数进行匹配达到控制网络信息流向和信息包的目的。但是这种防护方式不能完全确保电力系统的网络安全性。加之现今的网络信息防护技术的更新落后于黑客攻击的形式在操作系统和网络防护方法相对单一的前提下直接导致电力二次系统安全运行工作存在极大的风险。1.2电力系统内防水平低于外防水平电力系统内防水平低于外防水平也是电力系统安全防护中存在的问题之一。在电力系统的实际运行中大多数的网络安全装置都是限制外部网络信息安全的。相对而言企业的电力系统内部遭受攻击而无法得到有效的解决。电力系统内防水平低于外防水平已经逐渐影响了电力二次系统安全运行工作并对提高电力二次系统安全运行水平造成了一定的负面影响。因此为了确保电力二次系统安全运行工作重视电力系统内防水平低于外防水平这一问题非常重要。2电力二次系统安全防护2.1安全防护分区的总体设计电网调度、电厂和变电站的业务系统根据网络安全防护可分为生产控制区和管理信息区生产控制区又分为实时控制区即安全区Ⅰ和非控制生产区即安全区Ⅱ管理信息区可分为生产管理区即安全区Ⅲ和管理信息即安全区Ⅳ如图1。2.2VLAN技术的应用虚拟局域网是建立在LAN网基础上对LAN工作站进行再次划分其用途如下：对多余的报文信息进行过滤防止扩散；根据功能划分组对组之间信息进行过滤；提高网络传输的安全性。2.3MPLS-VPN技术的应用MPLS-VPN技术就是把网络中的地址按照逻辑的不同分解成互相隔离的网络用在解决企业之间互连或者提供新的业务如：MPLS-VPN用在大型企业联网中可以实现业务不同的子公司之间的系统进行隔离及互相访问提升工作效率。2.4防病毒措施电力二次系统本身具备防病毒控制措施能及时发现网络的不安全因素和病毒的入侵并及时查杀消除威胁系统的隐患。2.5电力数字证书技术电力数字证书系统在公钥技术开发的分布式系统基础上发展起来的专用于生产控制大区只为电力监控系统及调度数据网上的重要用户和重要设备提供专用的网络服务实现安全性较高的安全数据传输、身份认证以及行为审计。电力系统的公钥技术是公钥密码技术与数据加密以及数字签名防护技术的融合应用在电力网络中。公钥加密技术和数字签名技术是公钥技术中最主要的安全技术公钥加密技术是信息的保密性和访问控制电力系统数据网络的有效方法而数字签名技术则在网络通信之前对信息相互认证的方法。3电力二次系统安全风险评估研究3.1安全防护的P2DR模型安全防护工程是一个不断循环螺旋式前进的动态过程以安全策略为核心的动态安全防护模型如图2所示。它是经过防护、检测、反应不断循环呈现螺旋上升趋势促使安全防护不断完善的。3.2风险评估安全风险评估就是对电力二次系统防护所面临的危险、系统存在的薄弱环节、采取的安全策略进行综合分析来判断整个系统面临的危险因素。首先是系统自身存在的脆弱性就是我们经常提到的系统漏洞或者后门黑客或者病毒通过多次攻击或者尝试达到破坏系统或者窃取信息的目的这种先天问题只能通过不断完善系统或者加装防护策略来避免。3.3风险评估意义及作用通过对信息安全风险评估可以加强信息安全管理和强化网络安全策略同时能够发现信息安全存在的问题和漏洞找到解决问题的办法。其意义如下：