二次防護部署目前亟待解決如下問題：

1)由于池州地區(qū)調度二次安全防護系統(tǒng)的設備由多廠家組成，防火墻防護策略配置不夠全面，不標準。

2)池州地區(qū)調度所轄范圍內所有廠站端二次系統(tǒng)安全防護設備配置較少，不能完全符合二次安全防護規(guī)定，建議由省公司統(tǒng)一對各變電站安裝二次安全防護設備，在220kV變電站Ⅰ區(qū)出口全部布置縱向認證加密裝置，Ⅱ區(qū)出口全部布置防火墻，在重要的110kV變電站配置防火墻。各防火墻按照安裝部位及防護要求，對其策略進行統(tǒng)一規(guī)定，配置。

3)防火墻無法防范病毒和內部攻擊，且只能按照固定的工作模式來防范已知的威脅，因此需在系統(tǒng)加裝入侵檢測系統(tǒng)(IDS)，在內外網聯接處的兩側和重要工作站加裝網絡監(jiān)測器和控制臺，為網絡提供實時的入侵檢測。

4)目前池州地區(qū)四個縣調通過專線或模擬通道接收我公司轉發(fā)遙測、遙信量，在安全部署與管理方面，我們自動化部門不具備直接管理權限，他們的安全部署與防護策略應充分考慮到系統(tǒng)安全隔離措施，以防存在系統(tǒng)漏洞，造成之間可以互聯的情況發(fā)生。

5)為了維護調度實時數據網絡和變電站系統(tǒng)間信息的安全傳輸，應提倡對遙控、重要遙測、重要遙信報文進行加密傳輸。

系統(tǒng)攻擊事件：

事件一：

2000年10月某日，四川某水電廠自動控制系統(tǒng)收到異常信號，造成停機事件。

事件二：

2007年，我國互聯網木馬病毒和僵尸網絡攻擊造成各地調度自動化系統(tǒng)安全問題日益嚴重事件。

事件總結：由于對第三方人員設備接入控制不當，各地操作系統(tǒng)使用弱口令，登錄沒有上限限制。

措施：建議由省公司對各防火墻按照安裝部位及防護要求，對其策略進行統(tǒng)一規(guī)定，配置，以達到高效防護要求，對口令及對第三方接入系統(tǒng)人員予以嚴把關。

3.電力調度數據專用網絡現狀與安全防護措施

目前電力調度數據專用網絡(SGDnet)在電力系統(tǒng)中的應用日益廣泛，已經成為不可或缺的基礎設施。電力調度數據網絡是電網調度自動化系統(tǒng)的重要支撐平臺，網絡安全是系統(tǒng)安全的保障，專用數據網絡是整體安全防護體系的基礎，專網體現在網絡互聯、網絡邊界、網絡用戶的可管性和可控性。

我公司調度數據專用網絡一期工程在2006年9月正式接入，迄今已運行三年，到2010年二期工程規(guī)劃開通運行。池州地區(qū)調度數據網主要功能是，傳輸Ⅰ區(qū)的實時數據、控制命令，Ⅱ區(qū)的非實時業(yè)務，以及對調度數據網本身的軟硬件進行配置管理。

3.1池州地區(qū)調度數據網網絡配置及架構

池州公司調度數據專用網絡主設備為華為公司生產的各型號路由器，共25臺，主站端設備有調度數據網網管機一臺(hp DL360 proLiant)，核心路由器共兩臺，型號分別是Quidway NE-08和Quidway NE-40，均安裝在自動化機房。其余路由器安裝在各變電站。廠站廣域網數據通道通道采用SDH下發(fā)的2M E1通道互聯，備用通道采用專線通道。主要變電站在拓撲上構成環(huán)路，形成雙鏈路，保證可靠性。

圖5為池州電力調度數據專用網絡(SGDnet)拓撲示意圖

電力調度數據專用網絡采用層次化設計結構，可劃分為核心層、骨干層和接入層。從功能上說，核心層主要負責整個網絡的數據交換，骨干層主要負責整個網絡的數據匯聚，接入層則主要負責各應用系統(tǒng)的接入功能。池州調度數據專用網絡覆蓋本地區(qū)具備通道條件的220kV變電站、110kV變電站、35kV變電站、集控站。