工控安全：电网调度自动化主站系统的安全防护

     一、引言

    近年来，随着电网的快速发展，尤其是电网调度自动化系统等有了飞速的发展，电力调度控制业务已成为电力系统的命脉，依据中华人民共和国国家经济贸易委员会第30号令《电网和电厂计算机监控系统及调度数据网络安全防护的规定》的要求，电力控制系统必须与办公自动化系统实行有效安全隔离，电力控制系统所用的调度数据网络必须与公共信息网络及因特网等实行物理隔离，逐步建立全国电力系统信息安全防护体系和安全责任制及安全联防体制。电力系统信息安全的目的是防范对电网和电厂计算机监控系统及调度数据网络的攻击侵害及由此引起的电力系统事故，保障电力系统的安全、稳定、经济运行，保护国家重要基础设施的安全。因此建立调度自动化系统的安全防护体系是今后电网调度自动化系统的重要工作。电力系统信息安全已经成为电力企业生产、经营和管理的重要组成部分。

    二、电网调度自动化主站安全防护方案

    2．1电网调度自动化主站系统安全防护策略

    电力二次系统安全防护的基本策略是“安全分区、网络专用、横向隔离、纵向认证”。经贸委30号令的核心思想是“两个隔离”，即控制系统与办公自动化系统的有效安全隔离，调度数据网络与公共信息网络及因特网的物理隔离。

    2．2电力实时数据网络系统安全防护原则

    从理论上讲，虽然不可能建立绝对安全和保密的电力实时数据网络系统，但如果在建设之初就遵从一些合理的原则，那么相应的安全性和保密性会得到大大提升。从工程技术角度出发，在设计电力数据网络的安全机制时，应该遵循以下原则：

    原则之一：安全与保密的“木桶原则”；需考虑对网络数据信息均衡、全面地进行安全保护。“木桶的最大容积取决于最短的一块木板”。电力实时数据网络系统本身在物理上、操作上和管理上的种种漏洞构成了系统安全的脆弱环节，尤其是多用户网络系统自身的复杂性、资源共享性使单纯的技术保护防不胜防。攻击者使用的是“最易渗透原则”，必然会在系统中最薄弱的地方实施攻击。因此，充分、全面、完整地对系统的安全漏洞和安全威胁进行分析、评估和检测（包括模拟攻击），是设计信息安全系统的必要前提条件。安全机制和安全服务设计的首要目的是防止最常用手段的攻击；根本目标是提高整个系统的“安全最低点”的安全性能。

    原则之二：网络信息安全系统的“整体性原则”，综合考虑安全防护、监测和应急恢复。网络信息没有绝对的安全与保密，因此要求在网络发生被攻击、破坏的情况下，必须尽可能快地恢复网络信息中心的服务，减少损失。所以信息安全系统应该包括三种机制：安全防护机制、安全监测机制、安全恢复机制。

    原则之三：信息安全系统的“有效性与实用性”原则，不能影响系统的正常运行和合法用户的操作。网络的信息安全和信息共享存在着矛盾：一方面，为健全和弥补系统缺陷的漏洞，会采取多种技术手段和管理措施；另一方面，这些手段和措施势必给系统的运行和用户的使用造成负担和麻烦，尤其在网络环境下，实时性要求很高的业务不能容忍安全连接和安全处理造成的时延和数据扩张。如何在确保安全性的基础上，把安全处理的运算量减小或分摊，减少用户记忆、存储工作和安全服务器的存储量、计算量，应该是一个信息安全设计者主要解决的问题。