關(guān)于電力調(diào)度數(shù)據(jù)安全問題的探究

朱濤

摘 要：文章在介紹電力調(diào)度數(shù)據(jù)安全重要性的基礎(chǔ)上，對電力調(diào)度數(shù)據(jù)網(wǎng)運(yùn)行現(xiàn)狀以及當(dāng)今廣泛應(yīng)用的IP網(wǎng)絡(luò)技術(shù)安全狀況進(jìn)行了深入研究，以此為基礎(chǔ)給出了基于IP技術(shù)的電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全方案，可為此方面的應(yīng)用研究提供參考。

關(guān)鍵詞：電力調(diào)度；數(shù)據(jù)安全；IP技術(shù)

中圖書分類號：TM734 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號：1006-8937（2012）32-0108-02

在工業(yè)化高度發(fā)展的今天，電力產(chǎn)業(yè)無疑是流淌在國家日益強(qiáng)大軀體內(nèi)的血液，是關(guān)系著工業(yè)建設(shè)和居民生活等國計(jì)民生方面的命脈。隨著我國經(jīng)濟(jì)的快速發(fā)展，工業(yè)和居民用電量持續(xù)增長、用電負(fù)荷急劇增加、用電質(zhì)量愈加嚴(yán)格，使得我國的電力供應(yīng)經(jīng)常處于緊張狀態(tài)，嚴(yán)重影響了國民經(jīng)濟(jì)的發(fā)展。

按照電力工業(yè)的發(fā)展勢頭，在未來的很長一段時(shí)間內(nèi)我國仍需要在電力局基礎(chǔ)設(shè)施和電力輸送領(lǐng)域加大投入，持續(xù)深化電力體制改革?；诖?，我國就電力網(wǎng)絡(luò)的擴(kuò)展和升級出臺(tái)了一系列的措施，包括廠網(wǎng)分離、國有電力資產(chǎn)重組、競價(jià)上網(wǎng)、設(shè)立電監(jiān)會(huì)等，而國內(nèi)的電力企業(yè)也積極響應(yīng)，紛紛通過提升技術(shù)水平來力爭做好電力服務(wù)工作，提升自己的營運(yùn)收入。

在所有的技術(shù)革新中，積極建設(shè)電力二次系統(tǒng)的電力調(diào)度通信網(wǎng)絡(luò)也是電力企業(yè)謀求發(fā)展的重點(diǎn)工作之一，目前我國的電力調(diào)度數(shù)據(jù)網(wǎng)正從傳統(tǒng)的電路交換向統(tǒng)一的包交換過渡，在技術(shù)、經(jīng)驗(yàn)方面還不是很成熟，再加之其在電網(wǎng)生產(chǎn)和運(yùn)行中的重要作用，使得調(diào)度數(shù)據(jù)本身的安全性值得認(rèn)真研究并提出全方位的解決措施。

1 電力調(diào)度數(shù)據(jù)網(wǎng)的現(xiàn)狀和發(fā)展

1.1 電力調(diào)度數(shù)據(jù)網(wǎng)概況

電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)（SPDnet）負(fù)責(zé)電力調(diào)度實(shí)時(shí)數(shù)據(jù)、生產(chǎn)管理數(shù)據(jù)、通信監(jiān)測數(shù)據(jù)等電力生產(chǎn)實(shí)時(shí)信息的傳輸，在協(xié)調(diào)電力系統(tǒng)發(fā)、送、變、配、用電等方面作用重大。電力數(shù)據(jù)網(wǎng)絡(luò)的承載業(yè)務(wù)基于其最為基礎(chǔ)和核心的EMS/SCADA得到了很大范圍的拓展，業(yè)務(wù)系統(tǒng)的不斷發(fā)展對調(diào)度數(shù)據(jù)網(wǎng)絡(luò)提出了更高的要求，如何在同一數(shù)據(jù)網(wǎng)絡(luò)中互不影響的并行傳輸多個(gè)關(guān)鍵系統(tǒng)，并同時(shí)保證傳輸可靠和數(shù)據(jù)安全，成為電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)建設(shè)的重要課題。

1.2 電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)結(jié)構(gòu)

我國的SPDnet網(wǎng)絡(luò)由上至下按照國家、地區(qū)、省、地市、縣等級分別對應(yīng)建立工五級網(wǎng)絡(luò)，覆蓋各級調(diào)度中心和直調(diào)發(fā)電廠、變電站。目前國家及網(wǎng)絡(luò)已經(jīng)建設(shè)完成投入使用，地區(qū)和省級網(wǎng)絡(luò)正加緊實(shí)施，少數(shù)地市甚至經(jīng)濟(jì)發(fā)達(dá)縣區(qū)的建設(shè)也已經(jīng)開始。

本文擬采用IP路由交換設(shè)備組成廣域網(wǎng)，采用IP over SDH的技術(shù)體制，各二級及以下網(wǎng)絡(luò)均采用相類似的方式分層組網(wǎng)，網(wǎng)絡(luò)對于IP路由和交換設(shè)備、相配套的安全系統(tǒng)技術(shù)要求如下：

①電力調(diào)度數(shù)據(jù)網(wǎng)的關(guān)鍵、重要環(huán)節(jié)需采用電信級別高的設(shè)備，關(guān)鍵部件如主控單元、總線、電源等應(yīng)有冗余設(shè)置，業(yè)務(wù)處理板應(yīng)支持熱插拔特性，可實(shí)現(xiàn)在線維護(hù)和升級。

②電力調(diào)度數(shù)據(jù)的傳輸應(yīng)配合MPLS VPN技術(shù)和QOS技術(shù)，具備準(zhǔn)確、實(shí)時(shí)、可靠的性能，另外還需具備高轉(zhuǎn)發(fā)和端到端轉(zhuǎn)發(fā)延遲功能。

③在進(jìn)行不同業(yè)務(wù)系統(tǒng)數(shù)據(jù)的傳輸時(shí)，要根據(jù)業(yè)務(wù)類別及其重要程度進(jìn)行有效隔離，通過建立安全分區(qū)進(jìn)行有效的防護(hù)和管理，通過構(gòu)建時(shí)間、空間、網(wǎng)絡(luò)三個(gè)層面的集成安全體系架構(gòu)對外網(wǎng)、內(nèi)網(wǎng)進(jìn)行監(jiān)測，實(shí)現(xiàn)網(wǎng)絡(luò)層、用戶層、業(yè)務(wù)層端到端的安全保護(hù)。

2 IP網(wǎng)絡(luò)的安全狀況分析

IP網(wǎng)絡(luò)以其技術(shù)開放、設(shè)置簡單、擴(kuò)展功能強(qiáng)大和應(yīng)用范圍已經(jīng)成為現(xiàn)代網(wǎng)絡(luò)技術(shù)應(yīng)用的核心，但其廣受歡迎的特點(diǎn)卻與電力調(diào)度數(shù)據(jù)保密性、安全性等要求相沖突。因此，如何使IP技術(shù)很好的融入到電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)當(dāng)中，在實(shí)現(xiàn)高效、可靠傳輸?shù)耐瑫r(shí)能夠保證數(shù)據(jù)安全顯得至關(guān)重要。

據(jù)統(tǒng)計(jì)，目前應(yīng)用TCP/IP協(xié)議的網(wǎng)絡(luò)系統(tǒng)受到的主要威脅和攻擊方式有欺騙攻擊、否認(rèn)服務(wù)、拒絕服務(wù)、數(shù)據(jù)截取和數(shù)據(jù)篡改等?；诖耍琁P網(wǎng)絡(luò)建立了較為完整的網(wǎng)絡(luò)安全方案，其中常用的安全工具有認(rèn)證與簽權(quán)、防火墻、入侵檢測、隔離器等。

在預(yù)防攻擊的方法和經(jīng)驗(yàn)的積累中，IP技術(shù)還形成了自己全面的網(wǎng)絡(luò)安全策略，其中包括：廣域網(wǎng)中設(shè)置隔離、自治域及冗余備份；局域網(wǎng)按照功能和級別劃分，設(shè)置口令，加強(qiáng)維護(hù)、管理；操作系統(tǒng)中設(shè)置權(quán)限，記錄登錄信息，及時(shí)升級、彌補(bǔ)漏洞；通過磁盤、服務(wù)器和網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)備份。

3 電力調(diào)度數(shù)據(jù)安全整體解決方案

3.1 電力調(diào)度數(shù)據(jù)網(wǎng)安全策略

綜合考慮電力調(diào)度數(shù)據(jù)網(wǎng)的特點(diǎn)、功用以及易受攻擊的部位和所造成的威脅等情況，得出其安全策略為：調(diào)度網(wǎng)內(nèi)部分層建立和部署安全體制，網(wǎng)內(nèi)網(wǎng)外建立有效的隔離措施，關(guān)鍵點(diǎn)建立實(shí)時(shí)檢測與審計(jì)工具。以上策略覆蓋了電力調(diào)度數(shù)據(jù)網(wǎng)從低到高，由內(nèi)至外，事前起到事后終的全部范圍，是全面解決方案的基本依據(jù)和核心所在，針對以上調(diào)度數(shù)據(jù)網(wǎng)的安全策略，本文以下內(nèi)容分三個(gè)方面詳細(xì)介紹。

3.2 調(diào)度數(shù)據(jù)網(wǎng)內(nèi)部安全方案

電力調(diào)度網(wǎng)可以在縱向范圍內(nèi)看作分層管理的獨(dú)立專網(wǎng)，通過WAN連接各級調(diào)度LAN以及主機(jī)或終端設(shè)備。調(diào)度數(shù)據(jù)網(wǎng)內(nèi)部安全主要包含物理安全、網(wǎng)絡(luò)安全、操作系統(tǒng)安全、應(yīng)用安全和人員管理共5個(gè)層面的內(nèi)容。

物理安全主要指預(yù)防自然災(zāi)害、故障、失竊、數(shù)據(jù)丟失等造成硬件、線路等的損壞。目前，物理層面的通信主要采用SDH傳輸體制來實(shí)現(xiàn)復(fù)用段或通道的自愈保護(hù)，安全性方面主要注意各類生產(chǎn)調(diào)度數(shù)據(jù)的有效隔離。而MPLS VPN技術(shù)則是此方面應(yīng)用的最好選擇，其體系結(jié)構(gòu)如圖1所示。

交換路由器（LSR）作為基本組成單元構(gòu)成MPLS網(wǎng)絡(luò)區(qū)域，LSR可位于MPLS域邊緣用于外聯(lián)亦可位于域內(nèi)部用作內(nèi)聯(lián)，其具體設(shè)備可以是路由器或Ethernet交換機(jī)。在電力調(diào)度數(shù)據(jù)傳輸時(shí)，可以根據(jù)其實(shí)時(shí)性要求是否嚴(yán)格進(jìn)行劃分，并將其分別歸屬于兩個(gè)MPLS VPN（VPN1、VPN2）進(jìn)行有效隔離。

由于廣域網(wǎng)覆蓋范圍較大、涉及的服務(wù)節(jié)點(diǎn)較多，所以應(yīng)重點(diǎn)做好其安全防護(hù)。局域網(wǎng)作為各級調(diào)度機(jī)構(gòu)的內(nèi)部網(wǎng)絡(luò)，涉及最核心的應(yīng)用服務(wù)和相關(guān)信息，是黑客攻擊的目標(biāo)所在，安全防護(hù)的薄弱環(huán)節(jié)。在具體防護(hù)中可以應(yīng)用以下方法：在網(wǎng)絡(luò)建設(shè)時(shí)做鏈路備份；建立與上級網(wǎng)絡(luò)的緊密聯(lián)系；優(yōu)化路由及網(wǎng)絡(luò)結(jié)構(gòu)，必要時(shí)設(shè)定TCP偵聽功能；分散應(yīng)用所在的主機(jī)和物理地點(diǎn)，避免一損俱損；劃分區(qū)域，加強(qiáng)口令管理，形成操作制度；設(shè)置防火墻和病毒防護(hù)。

3.3 調(diào)度數(shù)據(jù)網(wǎng)內(nèi)外隔離方案

在做好調(diào)度數(shù)據(jù)網(wǎng)內(nèi)部安全之后，還需要關(guān)注其與電力信息管理系統(tǒng)中各級調(diào)度部橫向的連接，只有做好內(nèi)部網(wǎng)和公共網(wǎng)物理隔離，才能真正保證調(diào)度數(shù)據(jù)的安全可靠。

本文中采用鏈?zhǔn)浇Y(jié)構(gòu)部署隔離器來實(shí)現(xiàn)調(diào)度數(shù)據(jù)網(wǎng)內(nèi)外的隔離，其鏈?zhǔn)浇Y(jié)構(gòu)如圖2所示。該隔離裝置的引入可以過濾不安全的服務(wù)，禁止不安全協(xié)議進(jìn)出，阻止源路由攻擊，并將以上類型攻擊的報(bào)文并通知網(wǎng)絡(luò)隔離裝置管理員。通過將所有的訪問都經(jīng)過網(wǎng)絡(luò)隔離裝置，以便做好訪問日志記錄，并提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí)，網(wǎng)絡(luò)隔離裝置能進(jìn)行適當(dāng)?shù)膱?bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細(xì)信息。

4 結(jié) 語

本文在對電力調(diào)度數(shù)據(jù)網(wǎng)運(yùn)行現(xiàn)狀以及當(dāng)今廣泛應(yīng)用的IP網(wǎng)絡(luò)技術(shù)安全狀況進(jìn)行分析的基礎(chǔ)上，給出了基于IP技術(shù)的電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全方案。高效、經(jīng)濟(jì)的電力調(diào)度數(shù)據(jù)網(wǎng)安全方案意義重大，隨著網(wǎng)絡(luò)基礎(chǔ)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)隔離器等方面技術(shù)的發(fā)展，與之相關(guān)的網(wǎng)絡(luò)安全問題一定會(huì)得到更多的重視和研究。

參考文獻(xiàn)：

[1] 羅漢武，李昉，張棟.安全數(shù)據(jù)網(wǎng)的構(gòu)建及其在河南電力調(diào)度數(shù)據(jù)網(wǎng)應(yīng)用[J].電力自動(dòng)化設(shè)備，2007，27（1）.

[2] 闕凌燕，陳利躍，黃斌.新一代數(shù)據(jù)保護(hù)技術(shù)在浙江電力調(diào)度管理信息系統(tǒng)中的應(yīng)用[J].浙江電力，2010，29（2）.

[3] 李勁.應(yīng)用電力調(diào)度數(shù)字證書技術(shù)保障電力生產(chǎn)數(shù)據(jù)安全[J].廣西電力，2007，30（4）.

[4] 張宣江，盧國良，孫燕萍，等.華北電力調(diào)度數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)設(shè)計(jì)與應(yīng)用[J].建筑結(jié)構(gòu)，2008，36（2）.