電力二次系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估和安全加固分析

蔡云江，楊 菁

(南京南瑞集團(tuán)公司，江蘇南京210003）

[摘要]計(jì)算機(jī)監(jiān)控系統(tǒng)及數(shù)據(jù)網(wǎng)絡(luò)調(diào)整與電網(wǎng)運(yùn)行有著直接的關(guān)聯(lián)，而且監(jiān)控系統(tǒng)對(duì)其穩(wěn)定運(yùn)行也有著重要影響。隨著技術(shù)發(fā)展，電力系統(tǒng)不斷革新。電力系統(tǒng)的自動(dòng)化與信息化水平也在提升，電力二次系統(tǒng)的安全運(yùn)行也變得更加重要。它涉及到電力網(wǎng)絡(luò)的各個(gè)方面及資源的整合和優(yōu)化。安全評(píng)估平臺(tái)出現(xiàn)能夠?qū)﹄娏ο到y(tǒng)的重要資產(chǎn)進(jìn)行識(shí)別和分類，并根據(jù)當(dāng)前的電力系統(tǒng)發(fā)展分析電力二次系統(tǒng)安全風(fēng)險(xiǎn)問題，實(shí)現(xiàn)對(duì)電力二次系統(tǒng)的安全管理。

關(guān)鍵詞 電力二次系統(tǒng) 安全風(fēng)險(xiǎn)評(píng)估 安全加固

中圖分類號(hào)TM769

1電力二次系統(tǒng)安全防護(hù)的目標(biāo)和重點(diǎn)

電力二次系統(tǒng)安全防護(hù)的目標(biāo)是防止未授權(quán)的用戶訪問系統(tǒng)或進(jìn)行惡意的非法操作，、防止外部邊界發(fā)起的攻擊，避免由攻擊導(dǎo)致的一次系統(tǒng)的事故和二次系統(tǒng)的癱瘓。電力二次系統(tǒng)安全防護(hù)的重點(diǎn)是抵御黑客和病毒等通過各種形式發(fā)起的破壞和攻擊，保證電力實(shí)時(shí)監(jiān)控系統(tǒng)和相關(guān)調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全，防止由此引起的電為系統(tǒng)事故，確保電力系統(tǒng)能安全穩(wěn)定運(yùn)行。

2電力二次系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估現(xiàn)狀

2.1防護(hù)措施尚不完善 。

現(xiàn)階段，將供電區(qū)二次系統(tǒng)劃分成生產(chǎn)控制大區(qū)以及管理信息大區(qū)。其中，后者主要涵蓋了非控制區(qū)以及控制區(qū)。在非控制區(qū)之內(nèi)，安全區(qū)I為集成了數(shù)據(jù)采集系統(tǒng)和應(yīng)用軟件系統(tǒng)的區(qū)域，其對(duì)于數(shù)據(jù)傳輸?shù)膶?shí)時(shí)性有著非常高的要求。而安全區(qū)II集成了電能量計(jì)量系統(tǒng)以及調(diào)動(dòng)員仿真系統(tǒng)，_較之安全區(qū)I來說，其對(duì)于數(shù)據(jù)傳輸?shù)膶?shí)時(shí)性的要求相對(duì)較低。而管理大區(qū)主要指的是除了生產(chǎn)控制大區(qū)之外的其他區(qū)域，包括辦公管理區(qū)以及生產(chǎn)管理區(qū)，前

者主要包括了客服服務(wù)系統(tǒng)以及辦公信息系統(tǒng)，而后者豐要包括了雷電監(jiān)測(cè)系統(tǒng)以及氣象信息接入系統(tǒng)等。.

所存在的主要問題是：防火墻僅監(jiān)控和分析來自安全區(qū)之外的數(shù)據(jù)，對(duì)內(nèi)部數(shù)據(jù)未采取任何措施。同時(shí)，由于防火墻勢(shì)必存在著相應(yīng)的漏洞，無法準(zhǔn)確判斷和全面防范所有的入侵事件。除此之外，部門單位對(duì)于防火墻配置的重視程度不足，配置工作只是為了應(yīng)付檢查，從而使得防火墻沒有起到預(yù)期的安全作用，進(jìn)而威脅安全防護(hù)體系持續(xù)、健康地運(yùn)作。

2.2防病毒系統(tǒng)的作用沒有得到充分的展現(xiàn)

少數(shù)單位的管理者和技術(shù)人員忽視了病毒傳播的危害性和多樣性，未在二次系統(tǒng)和辦公系統(tǒng)之間采取科學(xué)的安全隔離措施，從而使得病毒在兩個(gè)系統(tǒng)之間來回傳播和轉(zhuǎn)移。舉例來說，病毒由辦公系統(tǒng)傳播至二次系統(tǒng)，進(jìn)而威脅二次系統(tǒng)的穩(wěn)定運(yùn)行?？偟膩碚f，病毒有著極強(qiáng)的破壞性、隱蔽性和極快的傳播速度，所以一定要正確安裝和設(shè)置防病毒軟件，以降低和避免病毒對(duì)二次系統(tǒng)所造成的破壞。

2.3數(shù)據(jù)備份方式相對(duì)單一

現(xiàn)階段，電力系統(tǒng)主要采取的是物理隔離十防火墻的方式，因?yàn)殡娏ο到y(tǒng)的網(wǎng)絡(luò)設(shè)備相對(duì)陳舊和落后，加之來自黑客的不斷攻擊，無法充分保障電力系統(tǒng)的安全運(yùn)行，因此必須采取數(shù)據(jù)備份來應(yīng)對(duì)安全威脅。然而，需要注意的是，現(xiàn)階段所采取的數(shù)據(jù)備份方式相對(duì)單一，無法實(shí)現(xiàn)及時(shí)的恢復(fù)，這樣會(huì)使得企業(yè)在面臨安全事件后承擔(dān)非常大的損失。

2.4過度重視外部防范，忽略內(nèi)部防范

就現(xiàn)實(shí)情況而言，超過90%以上的攻擊源于外網(wǎng)，進(jìn)而對(duì)內(nèi)網(wǎng)造成不可預(yù)估的損害。

2.5過度依靠技術(shù)措施來提升二次系統(tǒng)的安全防護(hù)觸

雖然依托技術(shù)的進(jìn)步可以提升系統(tǒng)的安全防護(hù)水平，然而技術(shù)措施并非唯一提高安全防護(hù)能力的途徑。對(duì)于企業(yè)來說，務(wù)必構(gòu)建和完善出包括技術(shù)、制度、人員和管理等方面在內(nèi)的安全體系，缺一不可，否則將會(huì)嚴(yán)重降低二次系統(tǒng)的安全防護(hù)能力。

3二次系統(tǒng)風(fēng)險(xiǎn)評(píng)估方法

3.1設(shè)備的應(yīng)用領(lǐng)域

二次設(shè)備是電力系統(tǒng)測(cè)量和控制執(zhí)行的設(shè)備.是電力系統(tǒng)建設(shè)研究發(fā)展的重要組成部分。二次設(shè)備應(yīng)用存在的安全風(fēng)險(xiǎn)問題一般是從可靠性的領(lǐng)域發(fā)展而來，建立相關(guān)的模型計(jì)算分析之后能夠確定可靠性的指標(biāo)。

3.2信息安全的應(yīng)用領(lǐng)域

信息安全風(fēng)險(xiǎn)評(píng)估主要是指對(duì)信息系統(tǒng)的處理、傳輸、存儲(chǔ)等信息安全性、可靠性、可用性等進(jìn)行評(píng)價(jià)分析的過程。電力信息系統(tǒng)發(fā)展本身需要對(duì)電力信息面臨的各種問題進(jìn)行分析?，F(xiàn)階段電力信息系統(tǒng)的種類有很多，一般風(fēng)險(xiǎn)評(píng)估是從總資產(chǎn)安全策略出發(fā)，通過資產(chǎn)受攻擊的角度來對(duì)電力信息系統(tǒng)自身的脆弱性進(jìn)行分析，并指出相應(yīng)的安全策略。

3.3人為風(fēng)險(xiǎn)的應(yīng)用領(lǐng)域

在電網(wǎng)設(shè)備智能化水平提高的情況下，人們的風(fēng)險(xiǎn)意識(shí)逐漸提高，特別是在電網(wǎng)設(shè)備事故發(fā)生的擴(kuò)大階段?，F(xiàn)階段電力系統(tǒng)人為風(fēng)險(xiǎn)因素研究一般集中在發(fā)電廠方面，對(duì)于電網(wǎng)的人為風(fēng)險(xiǎn)因素研究較少。人為風(fēng)險(xiǎn)因素的影響不是隨機(jī)的，和電網(wǎng)設(shè)備所處的環(huán)境存在關(guān)聯(lián)。人員的認(rèn)知特性和技術(shù)行為不僅會(huì)受到組織和管理的影響，而且還會(huì)受到相關(guān)機(jī)構(gòu)的影響。為此，有關(guān)人員提出了基于改進(jìn)之后的CREAM定量來分析人為風(fēng)險(xiǎn)因素。

3.4各種風(fēng)險(xiǎn)因素綜合比較分析的結(jié)果

整個(gè)電力系統(tǒng)如此龐太，所有的一切都是為了系統(tǒng)安全穩(wěn)定的運(yùn)行，所以安全評(píng)估是一項(xiàng)重要的工作。但現(xiàn)階段二次系統(tǒng)風(fēng)險(xiǎn)評(píng)估工作未形成統(tǒng)一的標(biāo)準(zhǔn)，如模型選擇、數(shù)據(jù)風(fēng)險(xiǎn)來源和風(fēng)險(xiǎn)指標(biāo)國(guó)內(nèi)沒有形成統(tǒng)一的看法，仍存在爭(zhēng)論。目前大多數(shù)專家比較贊同和應(yīng)用的風(fēng)險(xiǎn)評(píng)估方法是事件樹分析方法，它是在歷史數(shù)據(jù)收集的基礎(chǔ)上，通過蒙特卡洛來進(jìn)行仿真分析，進(jìn)而來評(píng)估設(shè)備的風(fēng)險(xiǎn)情況，從多個(gè)角度對(duì)線路、變電站、智能站以及電源等角度

上對(duì)風(fēng)險(xiǎn)安全問題進(jìn)行分析。

4電力二次系統(tǒng)安全加固策略

4.1防火墻加固策略

在電力二次系統(tǒng)安全加固體系中，防火墻是重要的安全加固設(shè)備之一，屬于一種軟硬件相結(jié)合的系統(tǒng)模式。其中，包過濾防火墻的應(yīng)用比較廣泛，主要借助于數(shù)據(jù)包源地址、協(xié)議類型以及端口號(hào)等，不斷對(duì)相關(guān)的數(shù)據(jù)信息進(jìn)行審查與檢驗(yàn)。對(duì)于包過濾防火墻來說，在其應(yīng)用過程中，主要是指靜態(tài)包過濾和第二代動(dòng)態(tài)包過濾兩種形式。靜態(tài)包過濾防火墻根據(jù)規(guī)定的過濾原則，再對(duì)數(shù)據(jù)包進(jìn)行審查，以便于分析過濾規(guī)則是否適用于相關(guān)的數(shù)據(jù)包;而動(dòng)態(tài)包過濾借助于動(dòng)態(tài)設(shè)置包過濾規(guī)則方法，進(jìn)而對(duì)電力二次系統(tǒng)任何數(shù)據(jù)的連接都進(jìn)行實(shí)時(shí)追蹤。

4.2軟件安全加固策略

在電力系統(tǒng)當(dāng)中，包括很多的子系統(tǒng)，其中比較重要的包括變電站的電能量管理系統(tǒng)、綜合自動(dòng)化系統(tǒng)等。而無論是哪一種系統(tǒng)，它們所采用的服務(wù)器最好都要以安全加固系統(tǒng)為主。例如比較帝用的Linux /Windows系統(tǒng)，在安裝該系統(tǒng)所必備的補(bǔ)丁以及設(shè)定賬號(hào)權(quán)限時(shí)，都要對(duì)系統(tǒng)TCP/IP的配置進(jìn)行加固，同時(shí)關(guān)掉那些沒有用的服務(wù)器，這樣就能夠很好地排除安全隱患。而在維護(hù)軟件的時(shí)候，一定要強(qiáng)化數(shù)據(jù)庫(kù)程序，并在第一時(shí)間做好數(shù)據(jù)庫(kù)的備份工作，并將多余的數(shù)據(jù)進(jìn)行清理，這樣就能夠很好的確保電力二次系統(tǒng)的安全運(yùn)行。

4.3加裝入侵檢測(cè)或者加固系統(tǒng)

如果能夠在電力二次系統(tǒng)中放人入侵檢測(cè)或加固系統(tǒng)，那么對(duì)于加強(qiáng)電力二次系統(tǒng)的網(wǎng)絡(luò)安全會(huì)帶來非常大的幫助。在系統(tǒng)運(yùn)行期間，如果安裝入侵檢測(cè)或加固系統(tǒng)，不僅可以讓網(wǎng)絡(luò)信息更加的安全，而且還能夠確保電力二次系統(tǒng)的有效運(yùn)行，進(jìn)一步強(qiáng)化電力系統(tǒng)的加固能力。所以在今后的工作中，相關(guān)技術(shù)工作者一定要掌握好安裝入侵檢測(cè)或加固系統(tǒng)的方法，從而更好地確保電力二次系統(tǒng)的運(yùn)行安全。

4.4強(qiáng)化系統(tǒng)的網(wǎng)絡(luò)防病毒體系

想要更好地進(jìn)行電力二次系統(tǒng)的加固，最好給系統(tǒng)安裝網(wǎng)絡(luò)防毒體系。電力二次系統(tǒng)可以在該體系的保護(hù)下，防止各種病毒的入侵，同時(shí)還能夠有效解決電力二次系統(tǒng)在運(yùn)行期間的問題，然后根據(jù)詳細(xì)的分析找到相關(guān)的控制數(shù)據(jù)，并讓其成為提高電力二次系統(tǒng)安全加固能力的重要參考指標(biāo)。安裝系統(tǒng)網(wǎng)絡(luò)防病毒體系是加強(qiáng)電力二次系統(tǒng)運(yùn)行安全的必然選擇。所以，在今后的加固工作期間，要讓相關(guān)技術(shù)人員充分掌握安全網(wǎng)絡(luò)防病毒體系的方法，這樣才能夠保證電力二次系統(tǒng)安全防范工作能夠順利進(jìn)行。

5結(jié)語(yǔ)

近幾年，信息安全問題日益突出，已對(duì)涉及國(guó)家安全的基礎(chǔ)行業(yè)領(lǐng)域構(gòu)成極大的威脅，因此，風(fēng)險(xiǎn)評(píng)估與安全加固工作是目前電力網(wǎng)絡(luò)勢(shì)在必行的工作。目前電力企業(yè)雖然都比較重視信息系統(tǒng)的安全問題，但普遍存在一些問題，因此，風(fēng)險(xiǎn)評(píng)估和安全加固工作還需要在更大的范圍內(nèi)更深入地推進(jìn)，使之成為規(guī)范化、制度化、常態(tài)化開展的工作。

參考文獻(xiàn)

[1]鄭澤銀，游建宏，電力二次安全防護(hù)技術(shù)在工業(yè)控制系統(tǒng)中的應(yīng)用[J].黑龍江科技信息，2016 (14)：62.

[2]張繃，電力行業(yè)信息安全風(fēng)險(xiǎn)評(píng)估系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].北京：華北電力大學(xué)，2015.

[3]徐力，中山電力二次系統(tǒng)安全防護(hù)的應(yīng)用研究[D].廣州：華南理工大學(xué)，2011.