??????? 3．4調度自動化系統數據網絡的安全防護策略
??????? 3．4．１數據網絡的技術體制
??????? 規劃數據網絡技術體制和電力系統安全防護體系，應根據電力生產業務對數據網絡安全性、可靠性、實時性方面的特殊要求，并遵照國家對涉密單位和重要設施在網絡安全方面的有關規定。首先應根據網絡的規模、目的、服務對象、實時程度、安全級別等綜合考慮，確定最基本的網絡技術體制。
??????? 從應用和連接方式來看，企業內部網絡有兩類：一類是與公網完全隔離、在鏈路層上建立的企業內部網絡一般稱為專用網絡；另一類是連接于公網、并利用公網作為通道的企業內部網。第一類網絡除了面臨來自物理層面的安全問題外，主要面臨內部的計算機犯罪問題，如違規或越權使用某些業務、查看修改機密文件或數據庫等，以及從內部發起的對計算機系統或網絡的惡意攻擊。第二類網絡除了具有上述安全問題外，還要承受來自公網的攻擊和威脅，由于公網上黑客、病毒盛行，網絡安全的攻擊與反攻擊比較集中地體現在公網上。
??????? 由于電力調度數據網的服務對象、網絡規模相對固定，并且主要滿足自動化系統對安全性、可靠性、實時性的特殊需求，為調度自動化系統提供端到端的服務，符合建設專網的所有特征，所以電力調度數據網宜在通道層面上建立專網，以實現該網與其他網的有效安全隔離。
??????? 目前國家電力數據網同時承載著調度控制業務和管理信息業務，應當在將來通道資源允許的條件下，將現有電力調度數據網上的信息業務逐步分離出去，改造成為實時控制業務專用的數據網絡。
??????? 電力系統中的光纖通信網絡正在加緊建設，采用光纖+SDH+IP模式容易實現對不同IP應用業務之間的物理隔離，具有較高的傳輸效率，能滿足控制、保護等電力系統的關鍵業務的要求，便于調度部門能對網絡進行有效監控，并便于通信部門對外出租帶寬。因此用光纖+SDH+IP模式建立調度數據專網是一個適當的選擇，可以很好滿足電力系統的下列要求：
??????? （1）數據傳輸的實時性（繼電保護毫秒級，自動化秒級），要求網絡層次簡化。
??????? （2）傳輸的連續性，通信負荷基本恒定，需要恒定帶寬。
??????? （3）遠方控制的可靠性（遙控、遙調、AGC等），要求有效隔離。
??????? （4）因特網時代的安全防護體系（防黑客、防病毒、防破壞等）。
??????? （5）網絡拓撲結構必須覆蓋遠離城市的電廠、變電站。
??????? （6）充分利用SPDnet的現有設備，節約大量資金，便于平滑過渡。
??????? 3．4．２調度專用數據網絡的安全防護措施
??????? 調度專用數據網除了傳送EMS數據外，還傳送電能量計量計費、水調自動化、電力市場信息和調度生產信息（工作票和操作票、發電計劃和交易計劃、負荷預報、調度報表、運行考核等）。應根據各類應用的不同特點，采用不同的安全防護措施，如EMS等實時控制業務具有較高的優先級，應該優先保證，生產信息的優先級次之，而電力市場信息須進行加密處理等。
??????? 采用調度專用網絡體制使數據網絡在網絡層的的安全得到最大程度的保證。但也不能保證100%的安全，對調度數據專用網絡還必須做到技術措施和管理制度雙管齊下，才有可能從根本上保障信息和控制系統的安全。在管理制度方面，要做到：
??????? （一）對全網實施監管，所有與電力調度數據網連接的節點都必須在有效的管理范圍內，保障安全的系統性和全局性。
??????? （二）加強人員管理，建立一支高素質的網絡管理隊伍，防止來自內部的攻擊、越權、誤用及泄密。
??????? （三）加強運行管理，建立健全運行管理及安全規章制度，建立安全聯防制度，將網絡及系統安全作為經常性的工作。
??????? （四）聘請網絡安全顧問，跟蹤網絡安全技術。
??????? 在技術措施方面，要做到：
??????? （一）在網絡傳輸層，為了保證數據網絡的安全，又能向外傳輸必要的數據，必須堅持調度控制系統與調度生產系統之間、調度生產管理系統與企業辦公自動化系統（OA/MIS）之間有效安全隔離，它們之間的信息傳輸只能采用單向傳輸的方式。常采用的措施包括防火墻、專用網關（單向門）、網段選擇器等進行有效隔離。另外在調度數據專用網絡的廣域網和局域網上，根據不同的業務系統，還可采取以下技術手段：
??????? （1）網絡安全訪問控制技術。通過對特定網段和服務建立訪問控制體系，可以將絕大多數攻擊阻止在到達攻擊目標之前。可實施的安全措施有：防火墻、VPN設備、VLAN劃分、訪問控制列表、用戶授權管理、TCP同步攻擊攔截、路由欺騙防范、實時入侵檢測技術等。
??????? （2）加密通信技術。該措施主要用于防止重要或敏感信息被泄密或篡改。該項技術的核心是加密算法。其加密方法主要有：對稱型加密、不對稱型加密、不可逆加密等。
??????? （3）身份認證技術。該項技術廣泛用于廣域網、局域網、拔號網絡等網絡結構。用于網絡設備和遠程用戶的身份認證，防止非授權使用網絡資源。
??????? （4）備份和恢復技術。對于網絡關鍵資源如路由器、交換機等做到雙機備份，以便出現故障時能及時恢復。
??????? （二）在系統和應用層面，包括計算機防病毒技術、采用安全的操作系統（達B2級）、應用系統的關鍵軟硬件及關鍵數據的熱備份和冷備份等。防病毒技術和備份措施是通常采用的傳統安全技術，而安全的操作系統是一個新的發展趨勢。
??????? 4．結論
??????? 電力調度數據網絡是調度自動化系統的支撐平臺，網絡安全是系統安全的保障，專用數據網絡是整體安全防護體系的基礎，專網體現在網絡互聯、網絡邊界、網絡用戶的可管性和可控性。目前，國際上正在制定相應的自動化系統網絡安全標準，國內也開始進行相關課題的研究，對于調度自動化系統及數據網絡的安全防護措施，首先應在網絡技術體制方面，采用光纖+SDH+IP的數據專網模式，在全系統實現電力調度專用數據網絡與其它公用信息網絡、電力生產控制系統與辦公自動化系統等的安全隔離，同時在調度專用數據網及各相關應用系統上采取必要的安全防護技術手段，建立嚴密的安全管理措施，以確保電力調度系統和電力系統的安全。
??????? 參考文獻：
??????? 1.余建斌.黑客的攻擊手段及用戶對策.北京：人民郵電出版社，1998年
??????? 著.王霞，鐵滿霞，陳希南譯.網絡安全技術-風險分析、策略與防火墻.北京：中國水利（水利論文）水電出版社，1998年
??????? 3.趙遵廉等主編，電力市場運營系統，北京：中國電力出版社，2001年1月
??????? 4.辛耀中等，電力系統數據網絡技術體制分析，電力系統自動化，2000年11月
??????? 5.肖康，建立和完善企業IP網絡安全體系，計算機世界，2000年10月
??????? 6.計算機信息系統安全法規匯編，中國電力信息中心，2000年2月?????