二次安全防护在调度数据网中的应用

概述：
      国家电力企业的不断发展，其信息系统安全建设工作不断完善。电力企业事关国计民生，因此其信息系统安全建设更具有极其重要的意义。在整个电力信息系统中，调度数据信息系统具有重要的地位，其安全性也就成为电力企业工作的重点
      自动化和现代通讯技术开始在供电企业的电网中不断应用，实现了供电企业信息传输的准确、及时，提高了供电企业的企业职工的工作效率。但是现代信息技术的应用也给供电企业带来一定的风险因素，由于现代信息技术在电网中的应用等级和应用程度不同，因此其存在隐患的等级也就有所差别，将各种级别的业务系统混合进行处理将会导致各种问题。对于信息系统安全来说，主要体现在以下几个方层面：一是，物理安全层面，其中包括物理线路和主机硬件的安全问题，比如偷窃、盗用、硬件故障、自然灾害等，这样就会直接导致重要账号、口令以及数据丢失。二是，网络安全，这就是值网络层面的安全。三是，系统安全，包括安全管理设置、账号口令设置、存取授权设置等多个方面。四是应用安全，指的是主机系统上应用软件层面的安全，如数据库、Web服务器等。五是人员管理，指的是如何防止内部人员误用或攻击网络与系统等。

一. 调度数据信息系统的重要性
      随着电力市场的市场化趋势，整个电力市场中的电力调度中心、电力监控中心、变电站和用户之间的数据交换日益频繁，电力系统的电网组成也日益复杂，不同级别的业务系统也日益增多，这就为黑客、病毒等对整个电力系统的攻击日益频繁，增加大面积停电的风险及二次系统崩溃的风险。因此必须加强对电力调度数据系统的安全性建设，加强二次系统的安全防护措施，保证供电企业电力系统的正常运行。

二. 调度数据信息系统面临的风险因素
     1.信息泄露或者数据破坏
　　 在调度数据信息系统工作的过程中，其业务处理数据存在泄露的风险，其丢失方式为：数据在传输过程中丢失;数据的存储介质发生丢失或泄露;数据被以非法手段窃取，恶意对数据进行删除、修改、插入;系统设计时缺乏隐蔽通道等。
　  2. 系统管理人员缺乏安全意识
　　  在整个调度数据信息系统工作的过程中，系统管理人员的安全意识是系统安全中最重要的一环。但是在实际工作中，系统管理人员缺乏相应的安全意识，安全管理措施不到位，口令选择随意性较大，随意将自己的账号密码透漏给他人，经常与他人共享相关资源，致使系统存在较大的安全隐患。
　 3 .系统存在设计漏洞
　　 供电企业电力系统的设计程序复杂，技术要求较高，这就使得整个电力系统存在一定漏洞，调度数据信息系统的设计也不可避免的存在一定的问题，这些设计漏洞则成为网络安全攻击的主要目标。另外，系统还存在一些易被他人利用的附加服务，这也是网络安全攻击的重点。一旦网络攻击入侵整个调度数据信息系统，将会对整个电力系统产生巨大破坏力和影响力。
    4. 操作及配置错误
　　 这主要表现在对调度数据信息系统的结构和设计参数缺乏系统的研究，缺乏对系统整体功能的深入了解。在系统运行的日常监控中，系统操作随意性较大，提高了系统网络安全的风险性。由于调度数据信息系统是一个复杂的系统，系统整个功能的设计也是一个相对复杂的动态的设计过程，容易发生系统配置错误，这也会加剧系统网络安全的风险。

三.  二次安全防护在调度数据网的应用
　　调度数据信息系统在运行过程中会遇到各种各样的风险，一旦系统发生运行故障，会造成电力企业整个电力系统的运行故障，严重者可能会诱发重大安全事故，给电力企业及用户造成重大损失。因此采取相关的有效措施，切实解决这一问题，其中最主要的措施就是建立二次安全防护。
    1.实现制度安全的防护体系的建立
      为保证调度数据信息系统的稳定安全运行，必须建立起恰当的安全防护体系，这一安全防护体系包括三个方面的内容，即应用安全防护体系，网络安全防护体系，制度安全防护体系，而制度安全防护体系更是贯穿于整个安全防护体系。制度安全防护体系的主要作用是建立完善的系统保障制度，实现系统的制度化管理，如操作安全、应急反应等，并建立有效的措施，确保系统保障制度的落实。在系统保障制度落实后，不同的网络单位的相关部门也必须通过相应的信息安全措施加强对调度数据信息系统的管理，建立审计制度，提高调度数据信息系统的安全意识。
    2. 实现调度数据信息系统的纵向加密认证
　　 调度数据信息系统的纵向加密认证是通过特定的加密认证的装置实现的，其加密认证装置放置于各级调度中心，根据电力企业的实际调度需求建立相应的加密隧道。加密认证装置可以实现电力企业电力系统专用通信协议转换功能，实现对调度数据信息系统端到端的选择性保护，具体体现在如下两点：首先是为电力需求量较大的地区提供电力传输网络屏障，防止网络安全事件发生;其次是为电力企业下属网络单位提供认证和加密的功能，保证单位之间信息传输的完整性和安全性。
   3. 实现对调度数据信息系统纵向边界的保护
　　在进行数据调度过程中，所有传输的数据都必须经过系统的纵向边界，该区域也是整个系统中最薄弱的环节，是最容易受到网络攻击的环节。为保证系统纵向边界的安全，应该在特定的网络路由器及交换机两部分之间设立安全防护装置，如纵向加密，防止外界的入侵，起到保护网络安全的作用。另外，通过纵向加密认证后，可以拒绝外部的大部分攻击，同时还可以实现对系统异常运行数据和外部威胁的实时监测。纵向加密这种安全防护措施相当于现代的门卫，一旦发生外部入侵，其检测措施可以在第一时间进行检测，并根据其自身的结构特点制定出相应的防御措施。
   4. 加固审计策略
　   在进行网络安全防护措施时，除建立必要的防护措施外，还应该建立相应的事后处理机制，保证系统的事后跟踪能力，保证系统可以实现对用户的连接，例如端口的连接、IP地址的连接等，实现对用户信息的详细全面记录，保证安全防护体系的安全威胁的追溯能力，为今后数据信息分析提供现实依据。安全防护系统本身具有Syslog功能，该功能可以实现对重要信息的记录。一般而言，网络设备应该具有相应的安全审计能力，便于系统网管服务器实现设备日志的管理，实现对设备日志的存储区分。另外，越来越多的科学技术开始应用到电力企业的电力系统中，如智能变电站，其主要作用是对整个电力企业的线路进行调节，只有实现对整个电力企业线路的有效调节，保证线路的稳定性，才能促进电力的快速稳定发展。但是智能化变电站在运行过程中也需要大量传输数据，其数据安全性决定着智能化变电站的工作效率、智能变电站的运行安全及整个电力系统的安全性，因此也必须使用二次安全防护措施进行保护，保证数据的安全，保证其运行安全和整个电力系统的运行安全。