調度自動化系統及調度數據網安全分析探討

二次防護部署目前亟待解決如下問題：

1)由于池州地區調度二次安全防護系統的設備由多廠家組成，防火墻防護策略配置不夠全面，不標準。

2)池州地區調度所轄范圍內所有廠站端二次系統安全防護設備配置較少，不能完全符合二次安全防護規定，建議由省公司統一對各變電站安裝二次安全防護設備，在220kV變電站Ⅰ區出口全部布置縱向認證加密裝置，Ⅱ區出口全部布置防火墻，在重要的110kV變電站配置防火墻。各防火墻按照安裝部位及防護要求，對其策略進行統一規定，配置。

3)防火墻無法防范病毒和內部攻擊，且只能按照固定的工作模式來防范已知的威脅，因此需在系統加裝入侵檢測系統(IDS)，在內外網聯接處的兩側和重要工作站加裝網絡監測器和控制臺，為網絡提供實時的入侵檢測。

4)目前池州地區四個縣調通過專線或模擬通道接收我公司轉發遙測、遙信量，在安全部署與管理方面，我們自動化部門不具備直接管理權限，他們的安全部署與防護策略應充分考慮到系統安全隔離措施，以防存在系統漏洞，造成之間可以互聯的情況發生。

5)為了維護調度實時數據網絡和變電站系統間信息的安全傳輸，應提倡對遙控、重要遙測、重要遙信報文進行加密傳輸。

系統攻擊事件：

事件一：

2000年10月某日，四川某水電廠自動控制系統收到異常信號，造成停機事件。

事件二：

2007年，我國互聯網木馬病毒和僵尸網絡攻擊造成各地調度自動化系統安全問題日益嚴重事件。

事件總結：由于對第三方人員設備接入控制不當，各地操作系統使用弱口令，登錄沒有上限限制。

措施：建議由省公司對各防火墻按照安裝部位及防護要求，對其策略進行統一規定，配置，以達到高效防護要求，對口令及對第三方接入系統人員予以嚴把關。

3.電力調度數據專用網絡現狀與安全防護措施

目前電力調度數據專用網絡(SGDnet)在電力系統中的應用日益廣泛，已經成為不可或缺的基礎設施。電力調度數據網絡是電網調度自動化系統的重要支撐平臺，網絡安全是系統安全的保障，專用數據網絡是整體安全防護體系的基礎，專網體現在網絡互聯、網絡邊界、網絡用戶的可管性和可控性。

我公司調度數據專用網絡一期工程在2006年9月正式接入，迄今已運行三年，到2010年二期工程規劃開通運行。池州地區調度數據網主要功能是，傳輸Ⅰ區的實時數據、控制命令，Ⅱ區的非實時業務，以及對調度數據網本身的軟硬件進行配置管理。

3.1池州地區調度數據網網絡配置及架構

池州公司調度數據專用網絡主設備為華為公司生產的各型號路由器，共25臺，主站端設備有調度數據網網管機一臺(hp DL360 proLiant)，核心路由器共兩臺，型號分別是Quidway NE-08和Quidway NE-40，均安裝在自動化機房。其余路由器安裝在各變電站。廠站廣域網數據通道通道采用SDH下發的2M E1通道互聯，備用通道采用專線通道。主要變電站在拓撲上構成環路，形成雙鏈路，保證可靠性。

圖5為池州電力調度數據專用網絡(SGDnet)拓撲示意圖

電力調度數據專用網絡采用層次化設計結構，可劃分為核心層、骨干層和接入層。從功能上說，核心層主要負責整個網絡的數據交換，骨干層主要負責整個網絡的數據匯聚，接入層則主要負責各應用系統的接入功能。池州調度數據專用網絡覆蓋本地區具備通道條件的220kV變電站、110kV變電站、35kV變電站、集控站。