淺析電力二次系統(tǒng)安全防護(hù)技術(shù)的應(yīng)用

羅青青+陳葆超

摘 要 電力系統(tǒng)安全可靠穩(wěn)定地運(yùn)行，除了需要一次設(shè)備良好的運(yùn)行狀況之外，還需要二次系統(tǒng)安全地運(yùn)行來配合。本文主要介紹電力二次系統(tǒng)安全防護(hù)中五種主要設(shè)備和防護(hù)的技術(shù)原理，即交換機(jī)、路由器、硬件防火墻、橫向隔離裝置和縱向加密認(rèn)證裝置的技術(shù)原理，并闡述各設(shè)備在電力專用領(lǐng)域的安全技術(shù)。

關(guān)鍵詞 電力二次系統(tǒng)；安全防護(hù)；電網(wǎng)安全；信息安全

中圖分類號(hào) TM77 文獻(xiàn)標(biāo)識(shí)碼 A 文章編號(hào) 1674-6708（2016）172-0283-02

目前，電力二次系統(tǒng)的信息安全與電網(wǎng)調(diào)度和控制系統(tǒng)等安全運(yùn)行分不開，如何搭建安全可靠的電力二次安全防護(hù)系統(tǒng)，確保電網(wǎng)安全穩(wěn)定運(yùn)行，已成為迫在眉睫的問題。隨著網(wǎng)絡(luò)建設(shè)的快速發(fā)展，電力二次系統(tǒng)網(wǎng)絡(luò)運(yùn)行環(huán)境的安全性嚴(yán)重不足。在2003年的美加大停電中，蠕蟲病毒阻礙了加拿大安大略省從停電事故中恢

復(fù)正常供電的進(jìn)度[ 1 ]。

電力二次系統(tǒng)是電網(wǎng)安全穩(wěn)定運(yùn)行的前提，如果沒有二次系統(tǒng)的保障，一次系統(tǒng)無保護(hù)運(yùn)行將很容易造成系統(tǒng)性崩潰。因此，必須要防止病毒和黑客威脅電力二次系統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)，減少電力系統(tǒng)安全事故[ 2 ]。

1 交換機(jī)技術(shù)

交換機(jī)工作在數(shù)據(jù)鏈路層，管理和共享多個(gè)計(jì)算機(jī)以及網(wǎng)絡(luò)設(shè)備，其特點(diǎn)是對(duì)網(wǎng)絡(luò)進(jìn)行以微分段的方式進(jìn)行數(shù)據(jù)通信[3]。交換機(jī)解決了兩個(gè)相鄰節(jié)點(diǎn)之間的通信問題，實(shí)現(xiàn)了鄰節(jié)點(diǎn)鏈路上無差錯(cuò)、準(zhǔn)確無誤、高效快速的傳輸協(xié)議數(shù)據(jù)幀[4]。

如今已有能夠支持各種局域網(wǎng)多層的路由技術(shù)，實(shí)現(xiàn)了數(shù)據(jù)快速和準(zhǔn)確轉(zhuǎn)發(fā)。多層交換技術(shù)具有性價(jià)比高、易于擴(kuò)展等優(yōu)點(diǎn)，成為主要的發(fā)展趨勢(shì)。交換機(jī)在數(shù)據(jù)幀交換中的核心集成電路設(shè)計(jì)、硬件體系結(jié)構(gòu)設(shè)計(jì)、虛擬局域網(wǎng)技術(shù)等方面都會(huì)有所改進(jìn)。從整體來看，交換機(jī)是向更快、更可靠、帶寬更大的方向發(fā)展。

2 路由器技術(shù)

不同的網(wǎng)段或網(wǎng)絡(luò)可以通過路由器連接Internet中各局域網(wǎng)的廣域網(wǎng)的設(shè)備，從而構(gòu)成一個(gè)更大的網(wǎng)絡(luò)。它能夠根據(jù)網(wǎng)絡(luò)情況自動(dòng)選擇和設(shè)定路由，以最佳路徑將數(shù)據(jù)包轉(zhuǎn)發(fā)出去。

如圖1所示，在TCP/IP網(wǎng)絡(luò)中路由器是最主要的聯(lián)網(wǎng)設(shè)備。IP路由協(xié)議中使用的度量有：跳數(shù)、帶寬、負(fù)載、延遲和開銷。未來路由器的設(shè)計(jì)和發(fā)展方向?qū)②呄蛴诟甙踩?、高可靠性、高性能和智能?個(gè)方面。

3 硬件防火墻技術(shù)

硬件防火墻作為一種重要的網(wǎng)絡(luò)安全設(shè)備，主要用于實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換、過濾規(guī)則配置等，其技術(shù)還在不斷地發(fā)展進(jìn)步[ 5 ]。為了提高防火墻的性和穩(wěn)定性，一些防火墻廠商通過專用的集成電路或者網(wǎng)絡(luò)處理芯片來實(shí)現(xiàn)防火墻的核心功能。由于采用了專門的硬件處理平臺(tái)，防火墻的處理能力得到了很大的提高，降低了因?yàn)榉阑饓z測(cè)而導(dǎo)致的網(wǎng)絡(luò)延時(shí)。在功能上，防火墻在保留其核心功能的基礎(chǔ)上，增加了地址轉(zhuǎn)換、虛擬專用網(wǎng)絡(luò)、Qos、入侵檢測(cè)和病毒防御等完善網(wǎng)絡(luò)安全管理的功能，從而構(gòu)建了一套以防火墻為核心的完全防御系統(tǒng)[ 6 ]。以防火墻為核心的安全防御系統(tǒng)是一個(gè)智能化的操作平臺(tái)，能夠準(zhǔn)備地發(fā)現(xiàn)并及時(shí)阻擋入侵的發(fā)生和中止病毒的擴(kuò)散等。

隨著電子商務(wù)的蓬勃發(fā)展，作為其支撐的寬帶和應(yīng)用數(shù)據(jù)中心均對(duì)防火墻性能提出了更高要求，導(dǎo)致對(duì)高速防火墻的大量需求。高速防火墻是指那些吞吐量和處理速度非常優(yōu)異的千兆防火墻。為了實(shí)現(xiàn)比普通防火墻更高的要求，高速防火墻采用了專用集成電路（ASIC）技術(shù)、集群技術(shù)的分布式技術(shù)。

4 橫向隔離技術(shù)

電力二次系統(tǒng)實(shí)現(xiàn)電網(wǎng)的實(shí)時(shí)監(jiān)控、在線穩(wěn)定控制預(yù)決策、繼保信息管理、電量采集、在線生產(chǎn)交易等業(yè)務(wù)。由于關(guān)系到電力生產(chǎn)安全、社會(huì)生活穩(wěn)定等重大問題，電力二次系統(tǒng)再長(zhǎng)期的建設(shè)過程中，都要求與企業(yè)綜合業(yè)務(wù)網(wǎng)和物流網(wǎng)進(jìn)行隔離。但是信息管理系統(tǒng)與互聯(lián)網(wǎng)連接，并與電力二次系統(tǒng)信息共享必然會(huì)引入外部安全威脅。而防火墻等在線防護(hù)技術(shù)采用邏輯隔離的方法，不能提供較高強(qiáng)度的安全。所以這種軟隔離方法難以滿足電力部門的高安全需求，必須采用一種能夠提供高強(qiáng)度安全的技術(shù)，在保護(hù)電力二次統(tǒng)內(nèi)部安全的同時(shí)，提供較好的數(shù)據(jù)交換功能。

網(wǎng)絡(luò)隔離技術(shù)就是將網(wǎng)絡(luò)與網(wǎng)絡(luò)之間的連接分離，然而網(wǎng)絡(luò)隔離后便不能實(shí)現(xiàn)數(shù)據(jù)信息共享的功能。網(wǎng)絡(luò)隔離與數(shù)據(jù)交換本來就是一對(duì)矛盾，而網(wǎng)絡(luò)隔離技術(shù)就是為了解決這一對(duì)矛盾，為涉密網(wǎng)絡(luò)提供一種安全交換方式而發(fā)展起來的[ 7 ]。由于涉密網(wǎng)絡(luò)近乎苛刻的安全性要求，網(wǎng)絡(luò)隔離技術(shù)的設(shè)計(jì)思想與傳統(tǒng)的網(wǎng)絡(luò)防御技術(shù)有了較大的區(qū)別。

根據(jù)電力網(wǎng)絡(luò)應(yīng)用的特殊要求，廠商研發(fā)出了電力專用橫向隔離裝置。橫向隔離裝置使用網(wǎng)絡(luò)安全技術(shù)和隔離交換技術(shù)，在內(nèi)外網(wǎng)間斷開OSI七層網(wǎng)絡(luò)協(xié)議，實(shí)現(xiàn)了非網(wǎng)絡(luò)數(shù)據(jù)的交換。為了解決計(jì)算機(jī)信息共享的問題，設(shè)計(jì)了基于TCP/IP模型的網(wǎng)絡(luò)體系結(jié)構(gòu)，它很好地解決了不同網(wǎng)絡(luò)之間的兼容性問題，實(shí)現(xiàn)了網(wǎng)絡(luò)間的互聯(lián)互通。

5 縱向加密認(rèn)證技術(shù)

縱向加密認(rèn)證裝置負(fù)責(zé)保障網(wǎng)絡(luò)內(nèi)數(shù)據(jù)的安全傳輸，其設(shè)計(jì)及使用的原理涉及密碼學(xué)和網(wǎng)絡(luò)安全?？v向加密認(rèn)證裝置采用“統(tǒng)一協(xié)調(diào)，分級(jí)管理”，通過各級(jí)裝置管理系統(tǒng)對(duì)不同廠商的設(shè)備進(jìn)行統(tǒng)一管理。

除縱向加密認(rèn)證裝置外，“縱向認(rèn)證”的實(shí)現(xiàn)還涉及調(diào)度證書服務(wù)系統(tǒng)和裝置管理系統(tǒng)。裝置管理系統(tǒng)位于電力調(diào)度中心，是對(duì)所轄多廠商的裝置進(jìn)行統(tǒng)一管理的計(jì)算機(jī)系統(tǒng)[8]。

6 結(jié)論

綜上所述，本文主要介紹了交換機(jī)、路由器、硬件防火墻、橫向隔離裝置和縱向加密認(rèn)證裝置等電力二次系統(tǒng)安全防護(hù)中五種主要安全防護(hù)和網(wǎng)絡(luò)設(shè)備的技術(shù)原理，并闡述各設(shè)備在電力專用領(lǐng)域的安全技術(shù)。事實(shí)證明，電力二次安全防護(hù)在電力系統(tǒng)的正常運(yùn)行中發(fā)揮著不可替代的作用，其不僅保障了電力系統(tǒng)二次信息傳遞的安全，為電力系統(tǒng)的正常運(yùn)行營造了可靠安全的運(yùn)行環(huán)境，還提高了電力系統(tǒng)二次信息傳遞的準(zhǔn)確性和快速性，保證電力系統(tǒng)運(yùn)行的安全性和可靠性，從而保證國民經(jīng)濟(jì)持續(xù)快速的增長(zhǎng)。

參考文獻(xiàn)

[1]天石.停電后蠕蟲病毒使加拿大電力系統(tǒng)恢復(fù)受阻[EB/OL].[2011-10-18].http：//news.sina.com.cn/o/2003-08-20/1004600489s.shtml.

[2]鄒春明，鄭志千，劉智勇，等.電力二次安全防護(hù)技術(shù)在工業(yè)控制系統(tǒng)中的應(yīng)用[J].電網(wǎng)技術(shù)，2013，37（11）：3227-3232.

[3]黎連業(yè)，王安，向東明.交換機(jī)及其應(yīng)用技術(shù)[M].北京：清華大學(xué)出版社，2004.

[4]陳玉平.電力調(diào)度自動(dòng)化二次系統(tǒng)安全防護(hù)初探[J].自動(dòng)化技術(shù)與應(yīng)用，2009，28（8）：132-134.

[5]李勁.論述廣西電力二次系統(tǒng)安全防護(hù)技術(shù)原則[J].廣西電力，2005，28（4）：18-21.

[6]黎連業(yè)，張維，向東明.防火墻及其應(yīng)用技術(shù)[M].北京：清華大學(xué)出版社，2004.

[7]賀文華，陳志剛.網(wǎng)絡(luò)安全隔離GAP技術(shù)研究[J].科學(xué)技術(shù)與工程，2007，7（9）：1948-1952.

[8]馬國紅，方慶軍.電力二次系統(tǒng)縱向安全防護(hù)體系的建設(shè)[J].電力信息化，2008，6（2）：32-34.