电力系统信息安全防护技术部署陶士全，刘永生，冯文龙（华北电力大学电气与电子工程学院，河北保定071003）摘要：分析电力系统信息安全体系结构，从电力信息系统的物理安全、数据安全、网络安全和系统安全等方面进行全面、系统的技术部署，确保信息在生产、存储、传输和处理过程中的保密、完整、抗抵赖和可用。关键词：电力系统；信息安全体系；数据安全；保密；中图分类号：TP309文献标识码：APowerSystemInformationSecurityTechnologyDeploymentTaoShiquan，LiuYongsheng，FengWenlong(SchoolofElectricalandElectronicEngineering，NorthChinaElectricPowerUniversity，Baoding071003，China)Abstract：Thispaperbeginswiththeanalysisofpowersysteminformationsecurityarchitecture.Thenextistodeployroundlyandsystematicallytechnology,fromphysicalsecurity,datasecurity,networksecurity,systemssecurityofinformationsystemsofthepower,inordertoensurethatinformationintheproduction,storage,transmissionandprocessingisconfidential,integrated,anti-denialandavailable.Keyword：powersystem;informationsecurityarchitecture;datasecurity;confidentiality1．电力信息系统安全防护体系结构结合我国电力工业的特点和企业计算机及信息网络技术应用的实际情况,全国电力二次系统安全防护总体框架将电力信息划分“三层四区”。按照信息业务功能，电力信息系统可以划分为三层：第一层为自动化系统；第二层为生产管理系统；第三层为电力信息管理系统。将电力信息业务的三层功能与电力信息网络结构对应起来，具体又可以分成实时控制区、非控制生产区、生产管理区和管理信息区四个安全区域。如图1所示：调度信息网电力信息网隔离装置2层：生产管理系统1层：自动化系统3层：管理信息系统实时控制区非控制生产区生产管理区管理信息区Internet隔离装置物理隔离隔离装置防火墙隔离图1：电力信息安全防护体系结其中实时控制区为调度信息网支撑的自动化系统，是生产的核心环节，直接实现对电力一次系统的实时监控，包括电力数据采集和监控系统等。非控制生产区为调度信息网支撑的生产管理系统，其特点是在线运行但不具备控制功能，典型业务包括调度员培训模拟系统（DTS）等电力生产的重要业务系统。生产管理区为电力信息网支撑的生产管理系统，形式上主要采用B/S结构的方式，主要功能是实现对相应业务的处理。管理信息区为电力信息网支撑的电力信息管理系统，包括办公及OA系统等，该区域与互联网存在接口，因此安全威胁来源比较多。针对电力信息业务的这种层次结构，电力信息安全体系的防护框架采用分层、分区进行防护。首先是进行分层管理，按照电力信息业务的三层功能，层间使用隔离装置实施网络间隔离。其次是进行分区管理，各区之间使用网络物理隔离设备进行网络隔离，对实时控制区等关键业务实施重点防护，并采用不同强度的安全隔离设备使各安全区中的业务系统得到有效保护。我国目前采用专用网络和公共网络相结合的电力信息网络结构。调度信息网和电力信息网是电力专用网络，它们有力地支撑了电力信息安全性的要求。按照电力信息的重要性，不同的功能采用不同的网络，并且在确保安全的前提下，实现与互联网的对接。2．安全防护的关键技术部署在上述的总体框架下，针对电力信息系统的物理安全、数据安全、网络安全和系统安全，全面、系统地部署安全防护技术。2.1物理安全对于企业来说，最珍贵的不是计算机、服务器、交换机和路由器等硬件设备，而是存储在存储介质中的数据信息。为了防止自然灾害以及物理运行环境等因素造成数据信息的丢失和失效，数据备份和容灾体系是必不可少的。因此电力企业必须建立集中和分散相结合的数据备份设施、制定切合实际的数据备份策略和数据备份管理制度、采用先进灾难恢复技术并对数据备份的介质妥善保管才能有效地保证信息系统在出现不可预见的毁灭性灾难时，可在短时间内恢复信息服务。2.2数据安全考虑数据在存储和传输中的安全及对数据或文件访问