电力二次系统安全防护策略研究摘要：电力体系改革发展和设备的更新换代速度的加快，提高了电力行业劳动生产率，计算机网络和硬件设备的大量应用，节省了人力资源的同时综合自动化水平得到很大提高，电厂/变电站与电网调度之间通过数据网的信息联系越来越多，数据之间的交换也越来越频繁，这就要求数据交换的途径和方法越安全越好。因此，本文针对电力监控系统和数据网络系统的安全性策略进行深入研究。关键词：二次系统；安全；防护；策略中图分类号：TM73文献标识码：A文章编号：1673-1069（2016）19-189-20引言电力二次系统安全防护工作是通过技术手段和管理措施做好监控系统及调度数据网络的安全传输，并保证电气量和监控实时数据免受攻击，实现各种电气设备可靠运行；总体目标是通过建立完善的电力二次系统安全防护体系，保证在正常的安全策略范围内系统能够安全可靠运行，即使受到攻击时也能够迅速恢复绝大部分功能，保证系统免受损坏，或者即使受到损坏也能尽快恢复来保证电网的安全运行。1目前电力二次系统安全防护存在的问题1.1操作系统和网络防护措施单一目前我国的电力系统安全防护措施主要是利用防火墙和网闸进行安全防护，这两种方式的共同点是按照系统提前设定的方式对电力系统参数进行匹配，达到控制网络信息流向和信息包的目的。但是这种防护方式，不能完全确保电力系统的网络安全性。加之，现今的网络信息防护技术的更新落后于黑客攻击的形式，在操作系统和网络防护方法相对单一的前提下，直接导致电力二次系统安全运行工作存在极大的风险。1.2电力系统内防水平低于外防水平电力系统内防水平低于外防水平，也是电力系统安全防护中存在的问题之一。在电力系统的实际运行中，大多数的网络安全装置都是限制外部网络信息安全的。相对而言，企业的电力系统内部遭受攻击，而无法得到有效的解决。电力系统内防水平低于外防水平，已经逐渐影响了电力二次系统安全运行工作，并对提高电力二次系统安全运行水平造成了一定的负面影响。因此，为了确保电力二次系统安全运行工作，重视电力系统内防水平低于外防水平这一问题非常重要。2电力二次系统安全防护2.1安全防护分区的总体设计电网调度、电厂和变电站的业务系统根据网络安全防护可分为生产控制区和管理信息区，生产控制区又分为实时控制区即安全区Ⅰ和非控制生产区即安全区Ⅱ，管理信息区可分为生产管理区即安全区Ⅲ和管理信息即安全区Ⅳ，如图1。2.2VLAN技术的应用虚拟局域网是建立在LAN网基础上，对LAN工作站进行再次划分，其用途如下：对多余的报文信息进行过滤防止扩散；根据功能划分组，对组之间信息进行过滤；提高网络传输的安全性。2.3MPLS-VPN技术的应用MPLS-VPN技术就是把网络中的地址按照逻辑的不同分解成互相隔离的网络，用在解决企业之间互连或者提供新的业务，如：MPLS-VPN用在大型企业联网中，可以实现业务不同的子公司之间的系统进行隔离及互相访问，提升工作效率。2.4防病毒措施电力二次系统本身具备防病毒控制措施，能及时发现网络的不安全因素和病毒的入侵并及时查杀，消除威胁系统的隐患。2.5电力数字证书技术电力数字证书系统在公钥技术开发的分布式系统基础上发展起来的，专用于生产控制大区，只为电力监控系统及调度数据网上的重要用户和重要设备提供专用的网络服务，实现安全性较高的安全数据传输、身份认证以及行为审计。电力系统的公钥技术是公钥密码技术与数据加密以及数字签名防护技术的融合应用在电力网络中。公钥加密技术和数字签名技术是公钥技术中最主要的安全技术，公钥加密技术是信息的保密性和访问控制电力系统数据网络的有效方法，而数字签名技术则在网络通信之前对信息相互认证的方法。3电力二次系统安全风险评估研究3.1安全防护的P2DR模型安全防护工程是一个不断循环螺旋式前进的动态过程，以安全策略为核心的动态安全防护模型如图2所示。它是经过防护、检测、反应不断循环呈现螺旋上升趋势促使安全防护不断完善的。3.2风险评估安全风险评估就是对电力二次系统防护所面临的危险、系统存在的薄弱环节、采取的安全策略进行综合分析来判断整个系统面临的危险因素。首先是系统自身存在的...