地区供电网调度实时数据网络安全分析及对策周士跃，王劲松，金小达（江苏省盐城供电公司电网调度通信中心，江苏省盐城市224002）
摘要：随着信息技术和网络技术在电力生产中的应用，在变电站与调度自动化系统间传输数据已经实现，同时调度自动化系统与电力生产中其它系统间也进行了互联，因此调度实时系统和变电站计算机网络的安全问题也越来越引起人们的关注。文中结合盐城电网的实际情况，提出了相应的系统安全策略和信息安全策略，重点介绍了调度主站系统和变电站的网络安全技术：防火墙技术、多层次防护策略、入侵检测系统。
关键词：调度自动化系统；变电站自动化系统；网络安全；多层次防护策略；防火墙；入侵检测系统
1引言
随着近几年国家对电力工业投资的不断增长，电力通信网络也取得了长足的发展，电力调度四级数据网建设和变电站网络传输通信协议（IEC60870-5-104）的推广应用，使得实时数据网络的规模越来越大。一个地市级供电公司的调度自动化系统（DispatchingAutomationSystem，DAS）中就包括以下系统：DMIS（调度管理信息系统）、基于MIS的WEB服务系统、配网自动化（DA）系统、负荷预报系统、负荷控制中心系统、省市三级数据网系统（通信规约采用Tase2.0）、市县四级数据网系统等。随着IEC60870-5-104规约的推广应用，变电站与主站间也采用了网络互联。由于网络技术的普及，以及变电站控制系统大部份为Windows操作系统，使得系统和变电站极易成为网络黑客和破坏分子的攻击对象，甚至有可能导致一次系统的振荡和大范围停电事故，造成极大的经济损失，严重损害社会效益。为了探索电力工业网络安全和信息安全问题，本文以盐城电网实际系统为例，分析了数据实时网络的安全和风险，并提出了相应的措施。
2盐城调度实时网络现状
图1为盐城DAS与其它系统间互联的示意图。由图1可见，调度自动化系统（DAS）与多个系统间以直接或间接方式互联，彼此之间缺少必要的安全隔离措施。由于调度多种业务需要分别访问实时系统和MIS，而DMIS与MIS尚未分离，致使调度端系统易受外网黑客和蓄意破坏者和病毒的攻击。同时，电力调度的自动化系统管理人员和其它系统维护人员对计算机网络安全和信息安全的意识不强，缺乏系统的安全口令管理和关键信息加密传输，自动化系统内部还有远程拨号这种安全检查较弱的入口，使系统的网络安全和信息安全得不到有效保护。
图2为盐城DAS与厂站和县调转发系统的互联的示意图。中国加入WTO后，与国际接轨是必然趋势，远动传输规约也从原来使用的非国际标准的CDT和N4F向国际标准IEC60870-5-101（专线传输）和IEC60870-5-104（网络传输）转变。而且随着通信网络的健全，IEC60870-5-104将是远动传输的主要规约。如图2所示，变电站在调度端通过交换机构成了一个互联互通的网络，同时由于变电站系统大多是Windows操作系统，若有一个站点被病毒或入侵者控制，则会影响到所有站点的正常运行，对变电站和电网的正常运行构成极大的威胁。
图3为典型的变电站自动化系统的结构的示意图^[1]。如图3所示，变电站网络和信息安全问题主要来自变电站所连接的外部网络，使变电站与其它系统的通信可能被非法截获，并在截获的基础上对信息进行篡改或伪造成合法信息发往调度主站系统或变电站自动化系统，从而影响调度员或运行人员的判断，进而控制变电站甚至电网。
随着四级数据网的建设的深入，市县调度实时数据联网和调度应用系统联网已成为可能，而且是发展的趋势，因此任何一级的网络和信息安全隐患或漏洞，都有可能扩大为全网的隐患或漏洞，对全网系统造成影响。因此网际的安全隔离措施、信息安全是组网时必须考虑的问题。3数据网络安全策略
（1）多层次防护策略
所谓多层次防护策略就是应用和实施一个基于多层次安全系统的全面信息安全策略，在各个层次上部署相关的网络安全产品以增加攻击者侵入时所需花费的时间、成本和资源，从而有效地降低被攻击的危险，达到安全防护的目标。目前，多层次防护已经成为网络安全的主流策略。
（2）入侵检测技术
入侵检测系统是指监视（或者在可能的情况下阻止）入侵或者试图控制DAS和网络资源等不良行为的系统。入侵检测系统是近年出现的新型网络安全技术，其目的是提供实时的入侵检测及采取相应的防护手段。选择入侵检测系统时，应特别注意其主要性能，包括：协议分析及检测能力、解码效率(速度)、自身安全的完备性、精确度及完整度／防欺骗能力、模式更新速度，等等。
入侵检测系统是分层安全中日益被普遍采用的手段，它能有效地提升黑客进入网络系统的门槛。入侵监测系统能够通过向管理员发出入侵或者入侵企图警报来加强当前的存取控制系统，例如防火墙。它能识别防火墙通常不能识别的攻击，如来自企业内部的攻击；在发现入侵企图之后提供必要的信息，帮助系统移植防火墙。
（3）防火墙技术
通过有选择地拒绝非法端口，允许合法的TCP/IP数据流通过，防火墙技术^[2]可以保证内部网的数据和资源不会流向非法地点。
由于入侵检测系统有漏洞存在，防火墙就成为多层安全防护中必要的一层。防火墙为了提供稳定可靠的安全性，必须跟踪流经它的所有通信信息。为了达到控制目的，防火墙首先必须获得所有通信层和其它应用的信息，然后存储这些信息，还要能够重新获得以及控制这些信息。防火墙仅检查独立的信息包是不够的，因为状态信息是控制新的通信连接的最基本的因素。对于某一通信连接，通信状态（以前的通信信息）和应用状态（其他的应用信息）是对该连接做控制决定的关键因素。因此，为了保证高层的安全，防火墙必须能够访问、分析和利用通信信息、通信状态及应用状态，并进行信息处理（基于以上所有元素的灵活的表达式的估算）。
（4）防病毒软件
防病毒软件的应用也是多层安全防护的一项必要措施。它是专门为防止已知和未知的病毒感染信息系统而设计的。它的针对性很强，但是需要不断更新，而且存在一定的片面性。
4盐城调度实时网络的安全策略
4.1调度自动化系统与其它系统互联的安全措施
首先，将图1中所示的各子系统组成相互独立网段的子网，特别是将DMIS从MIS中分离出来独立组网^[3]。
在系统互联中选择屏蔽子网体系结构的防火墙，将安全等级要求最高的调度自动化EMS作为内部网；将负荷预测、电量采集与计费系统、DMIS、值班系统、通信网监控系统等作为中间层应用网；MIS则构成外网。在内部网和中间层应用网之间用内部路由器相联，对进出的数据包进行过滤，在中间层应用网和外网之间设置外部路由器，并在中间层设堡垒主机，它对外作为访问的入口，对内则作为代理服务器，使内部用户经由它间接访问外部服务器^[4]。
由于防火墙无法防范病毒和内部攻击，且只能按照固定的工作模式来防范已知的威胁，因此可在系统加装入侵检测系统（IDS），在内外网联接处的两侧和重要工作站加装网络监测器和控制台，为网络提供实时的入侵检测。同时关闭系统内服务器和工作站的不必要的服务进程（FTP-Server、Telnet-Server等），建立必要的系统口令的管理和修改周期规定，以对各个系统中的远程拨号进行管理，它们在非工作状态时应关闭。在重要系统工作站中安装防病毒软件，并对病毒样本库定期更新。
图4为采用安全策略后DAS与其它系统间互联的示意图。对图4中三层交换机A的每一端口进行配置，并对各端口的访问地址进行限制，以免造成中间层网络系统互联的局面。4.2调度自动化系统的安全措施