调度自动化系统及调度数据网安全分析探讨

作者：时间：2012-07-25来源：网络收藏

二次防护部署目前亟待解决如下问题：

1)由于池州地区调度二次安全防护系统的设备由多厂家组成，防火墙防护策略配置不够全面，不标准。

2)池州地区调度所辖范围内所有厂站端二次系统安全防护设备配置较少，不能完全符合二次安全防护规定，建议由省公司统一对各变电站安装二次安全防护设备，在220kV变电站Ⅰ区出口全部布置纵向认证加密装置，Ⅱ区出口全部布置防火墙，在重要的110kV变电站配置防火墙。各防火墙按照安装部位及防护要求，对其策略进行统一规定，配置。

3)防火墙无法防范病毒和内部攻击，且只能按照固定的工作模式来防范已知的威胁，因此需在系统加装入侵检测系统(IDS)，在内外网联接处的两侧和重要工作站加装网络监测器和控制台，为网络提供实时的入侵检测。

4)目前池州地区四个县调通过专线或模拟通道接收我公司转发遥测、遥信量，在安全部署与管理方面，我们自动化部门不具备直接管理权限，他们的安全部署与防护策略应充分考虑到系统安全隔离措施，以防存在系统漏洞，造成之间可以互联的情况发生。

5)为了维护调度实时数据网络和变电站系统间信息的安全传输，应提倡对遥控、重要遥测、重要遥信报文进行加密传输。

系统攻击事件：

事件一：

2000年10月某日，四川某水电厂自动控制系统收到异常信号，造成停机事件。

事件二：

2007年，我国互联网木马病毒和僵尸网络攻击造成各地调度自动化系统安全问题日益严重事件。

事件总结：由于对第三方人员设备接入控制不当，各地操作系统使用弱口令，登录没有上限限制。

措施：建议由省公司对各防火墙按照安装部位及防护要求，对其策略进行统一规定，配置，以达到高效防护要求，对口令及对第三方接入系统人员予以严把关。

3.电力调度数据专用网络现状与安全防护措施

目前电力调度数据专用网络(SGDnet)在电力系统中的应用日益广泛，已经成为不可或缺的基础设施。电力调度数据网络是电网调度自动化系统的重要支撑平台，网络安全是系统安全的保障，专用数据网络是整体安全防护体系的基础，专网体现在网络互联、网络边界、网络用户的可管性和可控性。

我公司调度数据专用网络一期工程在2006年9月正式接入，迄今已运行三年，到2010年二期工程规划开通运行。池州地区调度数据网主要功能是，传输Ⅰ区的实时数据、控制命令，Ⅱ区的非实时业务，以及对调度数据网本身的软硬件进行配置管理。

3.1池州地区调度数据网网络配置及架构

池州公司调度数据专用网络主设备为华为公司生产的各型号路由器，共25台，主站端设备有调度数据网网管机一台(hp DL360 proLiant)，核心路由器共两台，型号分别是Quidway NE-08和Quidway NE-40，均安装在自动化机房。其余路由器安装在各变电站。厂站广域网数据通道通道采用SDH下发的2M E1通道互联，备用通道采用专线通道。主要变电站在拓扑上构成环路，形成双链路，保证可靠性。