电网调度自动化主站系统的安全防护

一、引言

近年来，随着电网的快速发展，尤其是电网调度自动化系统等有了飞速的发展，电力调度控制业务已成为电力系统的命脉，依据中华人民共和国国家经济贸易委员会第30号令《电网和电厂计算机监控系统及调度数据网络安全防护的规定》的要求，电力控制系统必须与办公自动化系统实行有效安全隔离，电力控制系统所用的调度数据网络必须与公共信息网络及因特网等实行物理隔离，逐步建立全国电力系统信息安全防护体系和安全责任制及安全联防体制。电力系统信息安全的目的是防范对电网和电厂计算机监控系统及调度数据网络的攻击侵害及由此引起的电力系统事故，保障电力系统的安全、稳定、经济运行，保护国家重要基础设施的安全。因此建立调度自动化系统的安全防护体系是今后电网调度自动化系统的重要工作。电力系统信息安全已经成为电力企业生产、经营和管理的重要组成部分。

二、电网调度自动化主站安全防护方案

2.1电网调度自动化主站系统安全防护策略

电力二次系统安全防护的基本策略是“安全分区、网络专用、横向隔离、纵向认证”。经贸委30号令的核心思想是“两个隔离”，即控制系统与办公自动化系统的有效安全隔离，调度数据网络与公共信息网络及因特网的物理隔离。

2.2电力实时数据网络系统安全防护原则

从理论上讲，虽然不可能建立绝对安全和保密的电力实时数据网络系统，但如果在建设之初就遵从一些合理的原则，那么相应的安全性和保密性会得到大大提升。从工程技术角度出发，在设计电力数据网络的安全机制时，应该遵循以下原则：

原则之一：安全与保密的“木桶原则”;需考虑对网络数据信息均衡、全面地进行安全保护。“木桶的最大容积取决于最短的一块木板”。电力实时数据网络系统本身在物理上、操作上和管理上的种种漏洞构成了系统安全的脆弱环节，尤其是多用户网络系统自身的复杂性、资源共享性使单纯的技术保护防不胜防。攻击者使用的是“最易渗透原则”，必然会在系统中最薄弱的地方实施攻击。因此，充分、全面、完整地对系统的安全漏洞和安全威胁进行分析、评估和检测(包括模拟攻击)，是设计信息安全系统的必要前提条件。安全机制和安全服务设计的首要目的是防止最常用手段的攻击;根本目标是提高整个系统的“安全最低点”的安全性能。

原则之二：网络信息安全系统的“整体性原则”，综合考虑安全防护、监测和应急恢复。网络信息没有绝对的安全与保密，因此要求在网络发生被攻击、破坏的情况下，必须尽可能快地恢复网络信息中心的服务，减少损失。所以信息安全系统应该包括三种机制：安全防护机制、安全监测机制、安全恢复机制。

原则之三：信息安全系统的“有效性与实用性”原则，不能影响系统的正常运行和合法用户的操作。网络的信息安全和信息共享存在着矛盾：一方面，为健全和弥补系统缺陷的漏洞，会采取多种技术手段和管理措施;另一方面，这些手段和措施势必给系统的运行和用户的使用造成负担和麻烦，尤其在网络环境下，实时性要求很高的业务不能容忍安全连接和安全处理造成的时延和数据扩张。如何在确保安全性的基础上，把安全处理的运算量减小或分摊，减少用户记忆、存储工作和安全服务器的存储量、计算量，应该是一个信息安全设计者主要解决的问题。

原则之四：信息安全系统的“安全性评价”原则，实用安全性与用户需求和应用环境紧密相关。除了并不实用的一次一密码体制，所有的密码算法在理论上都是不安全的。因此，评价信息安全系统是否安全，没有绝对的评判标准和衡量指标，只能决定于系统的用户需求和具体的应用环境。总的来看，主要取决于以下几个因素：1)系统的规模和范围(比如，局部性的中小型网络和全国范围的大型网络对信息安全和保密的需求肯定是不同的);2)系统的性质和信息的重要程度(比如，商业性的信息网络、实时监视控制的信息网络、电子金融性质的通信网络、行政公文性质的管理系统等等对安全与保密的需求也各不相同)。另外，具体的用户会根据实际应用提出一定的需求，如强调运算实时性或注重信息完整性和真实性等等。

原则之五：信息安全系统的“等级性”原则，区分安全层次和安全级别。良好的信息安全系统是分为不同级别的，包括：对信息保密程度分级(绝密、机密、秘密、普密)、对用户操作权限分级(面向个人、面向群组、面向公众等)、对网络安全程度分级(安全子网、安全区域)、对系统实现结构的分级(应用层、网络层、链路层)等，从而针对不同级别的安全对象，提供全面的、可选的安全算法和机制，以满足网络中不同层次的实际需求。

原则之六：信息安全系统的“动态化”原则，整个系统尽可能引入更多的可变因素，并具有良好的扩展性。如果加密信息在被破译之前就失去了保密的必要性，即使加密算法不是牢不可破或难以攻破的，被保护的信息也是安全的。因此，被加密信息的生存期越短、可变因素越多，系统的安全性能就越高，如周期性的更换口令和主密钥，安全传输采用一次性的会话密钥，动态选择和使用加密算法等。另一方面，各种密码攻击和破译手段是在不断发展的，用于破译运算的资源和设备性能也在迅速提高，因此，所谓的“安全”也只是相对的和暂时的，不存在一劳永逸的信息安全系统，应该根据攻击手段的发展进行相应的更新和升级。

原则之七：设计为本原则，安全与保密系统的设计应与网络设计相结合。即在网络进行总体设计时考虑安全系统的设计，二者合二为一。避免因考虑不周，出了问题之后拆东墙补西墙，不仅造成经济上的巨大损失，而且也会对国家、集体和个人造成无法挽回的损失。由于安全与保密问题是一个相当复杂的问题，因此必须群策群力搞好设计，才能保证安全性。

原则之八：自主和可控性原则。网络安全与保密问题关系着一个国家的主权和安全，所以网络安全产品不可能完全依赖于从国外进口，必须解决网络安全产品的自主权和自控权问题，尽量采用有自主产权的安全产品。同时为了防止安全技术被不正当使用，必须采取相应的控制措施，如密钥托管技术等。