PAGE某地調(diào)電力二次系統(tǒng)安全防護(hù)的設(shè)計(jì)吐魯番電業(yè)局調(diào)度通信中心史忠平目錄1、引言 PAGEREFToc240369800\h12、現(xiàn)狀 PAGEREFToc240369801\h23、整改的方案 PAGEREFToc240369802\h33.1安全防護(hù)的基本原則 PAGEREFToc240369803\h33.2系統(tǒng)在安全防護(hù)中的問題 PAGEREFToc240369804\h43.3適應(yīng)電網(wǎng)的二次防護(hù)系統(tǒng)構(gòu)建 PAGEREFToc240369805\h53.3.1EMS與MIS網(wǎng)絡(luò)間的電力物理隔離 PAGEREFToc240369806\h53.3.2其它各區(qū)之間的安全策略 PAGEREFToc240369807\h73.3.3系統(tǒng)的網(wǎng)絡(luò)傳輸控制 PAGEREFToc240369808\h93.3.4數(shù)據(jù)庫管理 PAGEREFToc240369810\h103.3.5防病毒措施 PAGEREFToc240369811\h11結(jié)束語 PAGEREFToc240369812\h11后記 PAGEREFToc240369813\h11參考文獻(xiàn) PAGEREFToc240369814\h12PAGE1某地調(diào)電力二次系統(tǒng)安全防護(hù)的設(shè)計(jì)【摘要】：電力二次系統(tǒng)是指各級(jí)電力監(jiān)控系統(tǒng)和調(diào)度數(shù)據(jù)網(wǎng)絡(luò)（SPDnet）以及各級(jí)調(diào)度管理信息系統(tǒng)(OMS)和電力數(shù)據(jù)通信網(wǎng)絡(luò)（SPInet）構(gòu)成的大系統(tǒng)。本次我們僅就某地區(qū)電業(yè)局電力二次系統(tǒng)現(xiàn)狀，確定電力二次系統(tǒng)的安全區(qū)的劃分原則，確定各安全區(qū)之間在橫向及縱向上的防護(hù)原則，提出該系統(tǒng)安全防護(hù)的思路。國(guó)家電網(wǎng)公司依據(jù)我公司內(nèi)部電網(wǎng)二次系統(tǒng)系統(tǒng)的具體情況制定了《全國(guó)電力二次系統(tǒng)安全防護(hù)總體方案》，目的是規(guī)范和統(tǒng)一我國(guó)電網(wǎng)和電廠計(jì)算機(jī)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護(hù)的規(guī)劃、實(shí)施和監(jiān)管，以防范對(duì)電網(wǎng)和電廠計(jì)算機(jī)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的攻擊侵害及由此引起的電力系統(tǒng)事故，保障電力系統(tǒng)的安全、穩(wěn)定、經(jīng)濟(jì)運(yùn)行?！娟P(guān)鍵字】：二次防護(hù)，系統(tǒng)，安全區(qū)，數(shù)據(jù)網(wǎng)絡(luò)1、引言由于隨著計(jì)算機(jī)、Internet的普及以及人們對(duì)網(wǎng)絡(luò)的依賴和使用的深入，病毒、黑客等對(duì)計(jì)算機(jī)、網(wǎng)絡(luò)的正常使用構(gòu)成的威脅日漸突出，為防止因病毒或黑客的攻擊造調(diào)度自動(dòng)化系統(tǒng)癱瘓、從根本上保證供電企業(yè)的自動(dòng)化系統(tǒng)免受病毒、黑客的攻擊，保證供電企業(yè)的安全運(yùn)行。國(guó)家經(jīng)濟(jì)貿(mào)易委員會(huì)和國(guó)家電力公司相繼出臺(tái)了電力系統(tǒng)自動(dòng)化方面的網(wǎng)絡(luò)安全方案。國(guó)家經(jīng)濟(jì)貿(mào)易委員會(huì)第30號(hào)令《電網(wǎng)和電廠計(jì)算機(jī)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護(hù)規(guī)定》及國(guó)家電力公司國(guó)電調(diào)[2023]411號(hào)文件詳細(xì)描述了供電企業(yè)內(nèi)部四個(gè)不同工作區(qū)之間的信息交換方式，a.安全區(qū)Ⅰ為實(shí)時(shí)控制區(qū)，安全保護(hù)的核心。凡是具有實(shí)時(shí)監(jiān)控功能的系統(tǒng)或其中的監(jiān)控功能部分均應(yīng)屬于安全區(qū)Ⅰ。如：調(diào)度自動(dòng)化系統(tǒng)和相量同步測(cè)量系統(tǒng)、配電自動(dòng)化系統(tǒng)、變電站自動(dòng)化系統(tǒng)、發(fā)電廠自動(dòng)監(jiān)控系統(tǒng)等，是電力二次系統(tǒng)安全保護(hù)的重點(diǎn)與核心。b.安全區(qū)Ⅱ?yàn)榉强刂茦I(yè)務(wù)區(qū)，原則上不具備控制功能的生產(chǎn)業(yè)務(wù)和批發(fā)交易業(yè)務(wù)系統(tǒng)均屬于該區(qū)，如：水調(diào)自動(dòng)化系統(tǒng)、電能量計(jì)量系統(tǒng)、發(fā)電側(cè)電力市場(chǎng)交易系統(tǒng)等。該區(qū)的外部通信邊界為SPDnet的非實(shí)時(shí)VPN。c.安全區(qū)Ⅲ為生產(chǎn)管理區(qū)，該區(qū)的系統(tǒng)為進(jìn)行生產(chǎn)管理的系統(tǒng)，如：調(diào)度生產(chǎn)管理系統(tǒng)、雷電監(jiān)測(cè)系統(tǒng)、氣象信息接入、客戶服務(wù)等。該區(qū)中公共數(shù)據(jù)庫內(nèi)的數(shù)據(jù)可提供運(yùn)行管理人員進(jìn)行web瀏覽。該區(qū)的外部通信邊界為電力數(shù)據(jù)通信網(wǎng)SPInet。d.安全區(qū)IV為管理信息區(qū)，如：管理信息系統(tǒng)及辦公自動(dòng)化系統(tǒng)。該區(qū)的外部通信邊界為SPInet或因特網(wǎng)。2、現(xiàn)狀某局目前擁有220KV變電所4座、110KV變電所17座、35KV變電所36座，所有變電所均接入EMS（電網(wǎng)能量管理）系統(tǒng)。實(shí)現(xiàn)遙測(cè)、遙信、遙控、遙調(diào)、SOE、潮流分析等功能，能夠適應(yīng)電網(wǎng)調(diào)度運(yùn)行工作要求。某局目前采用了DF8002V8電網(wǎng)能量管理系統(tǒng)，該系統(tǒng)于2023年3月投入運(yùn)行。DF8002V8系統(tǒng)采用分布式的設(shè)計(jì)模式和網(wǎng)絡(luò)體系結(jié)構(gòu)，基于TCP/IP網(wǎng)絡(luò)傳輸協(xié)議，功能以Client/Server模式分布于網(wǎng)絡(luò)中，支持和管理網(wǎng)絡(luò)中各自獨(dú)立的數(shù)據(jù)處理節(jié)點(diǎn)，使數(shù)據(jù)實(shí)現(xiàn)共享和統(tǒng)一。DF8002V8電網(wǎng)能量管理系統(tǒng)的主站端包含通道系統(tǒng)、系統(tǒng)服務(wù)器兩臺(tái)、前置機(jī)服務(wù)器兩臺(tái)、Web服務(wù)器、高級(jí)應(yīng)用工作站、調(diào)度員工作站兩臺(tái)、維護(hù)工作站、各工作站通過兩臺(tái)交換機(jī)組成實(shí)時(shí)電網(wǎng)能量管理系統(tǒng)，公司其他部門可通過Web調(diào)看畫面和數(shù)據(jù)。一段時(shí)間運(yùn)行表明，DF8002V8系統(tǒng)能夠?yàn)殡娋W(wǎng)管理提供有效、高質(zhì)的技術(shù)平臺(tái)，但它在安全防護(hù)方面考慮較少，各安全區(qū)內(nèi)部及之間缺少必要的隔離措施，這就造成了現(xiàn)有系統(tǒng)存在安全防護(hù)薄弱的事實(shí)缺陷。DF8002V8系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)中，服務(wù)器、工作站、WEB、前置系統(tǒng)等設(shè)備均以總線結(jié)構(gòu)接于一臺(tái)HUAWEIS202624口交換機(jī)。單位時(shí)間內(nèi)數(shù)據(jù)交換流量過大、機(jī)器負(fù)荷過重，容易造成設(shè)備間數(shù)據(jù)通訊故障，情況嚴(yán)重的甚至可以導(dǎo)致服務(wù)器誤判網(wǎng)絡(luò)故障超時(shí)，導(dǎo)致自動(dòng)關(guān)閉主程序。同時(shí)，經(jīng)過同一網(wǎng)段進(jìn)行交換，也增加系統(tǒng)全面感染病毒的可能。系統(tǒng)各服務(wù)器、工作站配置的金山防病毒軟件版本過老，缺乏及時(shí)的特征庫升級(jí)。各工作站由于雖然規(guī)范了使用人員權(quán)限并設(shè)置了系統(tǒng)口令，但是仍然有暴露系統(tǒng)于非專業(yè)人員、調(diào)度人員的可能。如果這些人誤動(dòng)了系統(tǒng)數(shù)據(jù)庫，誤操作了系統(tǒng)相關(guān)功能，后果將不堪設(shè)想。3、整改的方案3.1安全防護(hù)的基本原則參照《全國(guó)電力二次系統(tǒng)安全防護(hù)總體方案》，我們確定電力二次系統(tǒng)的安全防護(hù)應(yīng)遵循以下基本原則安全分區(qū)。分區(qū)防護(hù)、突出重點(diǎn)。根據(jù)系統(tǒng)中的業(yè)務(wù)的重要性和對(duì)一次系統(tǒng)的影響程度進(jìn)行分區(qū)，重點(diǎn)保護(hù)生產(chǎn)控制以及直接生產(chǎn)電力生產(chǎn)的系統(tǒng)。網(wǎng)絡(luò)專用。電力調(diào)度數(shù)據(jù)網(wǎng)SPDnet與電力數(shù)據(jù)通信網(wǎng)SPInet實(shí)現(xiàn)安全隔離，并通過采用MPLS-VPN或IPSEC－VPN在SPDnet和SPInet分別形成多個(gè)相互邏輯隔離的VPN實(shí)現(xiàn)多層次的保護(hù)。橫向隔離。在不同安全區(qū)之間采用邏輯隔離裝置或物理隔離裝置使核心系統(tǒng)得到有效保護(hù)?？v向認(rèn)證、防護(hù)。安全區(qū)Ⅰ、Ⅱ的縱向邊界部署IP認(rèn)證加密裝置；安全區(qū)Ⅲ、Ⅳ的縱向邊界必須部署硬件防火墻，目前在認(rèn)證加密裝置尚未完善情況下，使用國(guó)產(chǎn)硬件防火墻進(jìn)行防護(hù)。整體安全防護(hù)隔離情況如下圖所示：3.2系統(tǒng)在安全防護(hù)中的問題某局目前所使用的DF8002V8系統(tǒng)作為成熟的電網(wǎng)管理平臺(tái)，是通過自己獨(dú)立的網(wǎng)絡(luò)在安全區(qū)I和安全區(qū)II中運(yùn)行，系統(tǒng)既擔(dān)負(fù)著電網(wǎng)實(shí)時(shí)監(jiān)測(cè)、控制、SOE、數(shù)據(jù)錄庫、處理等任務(wù)，也為調(diào)度人員集成了電壓無功優(yōu)化管理、PAS（網(wǎng)絡(luò)拓?fù)洹顟B(tài)分析、負(fù)荷預(yù)測(cè)、調(diào)度員潮流分析）等功能，且必須為整合DMIS系統(tǒng)提供支撐。同時(shí)，系統(tǒng)必須為電力客戶和有關(guān)部門提供實(shí)時(shí)發(fā)布瀏覽的WEB服務(wù)。EMS系統(tǒng)獨(dú)立組網(wǎng)于安全I(xiàn)、II區(qū)，DMIS支持軟件位于安全I(xiàn)II區(qū)，而WEB服務(wù)器做為連接MIS網(wǎng)的主要設(shè)備位于安全I(xiàn)II區(qū)。實(shí)際情況是，調(diào)度人員使用的DMIS支撐軟件與調(diào)度工作站集成于調(diào)度I、II區(qū)共同使用，WEB服務(wù)器在III區(qū)間未經(jīng)過有效的物理隔離設(shè)施直接與I、II區(qū)相聯(lián),且與IV區(qū)之間也沒有任何防護(hù)措施。DF8002V8系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)中，服務(wù)器、工作站、WEB、前置系統(tǒng)等設(shè)備均以總線結(jié)構(gòu)接于一臺(tái)HUAWEIS202624口交換機(jī)。單位時(shí)間內(nèi)數(shù)據(jù)交換流量過大、機(jī)器負(fù)荷過重，容易造成設(shè)備間數(shù)據(jù)通訊故障，情況嚴(yán)重的甚至可以導(dǎo)致服務(wù)器誤判網(wǎng)絡(luò)故障超時(shí)，導(dǎo)致自動(dòng)關(guān)閉主程序。同時(shí)，經(jīng)過同一網(wǎng)段進(jìn)行交換，也增加系統(tǒng)全面感染病毒的可能。系統(tǒng)各服務(wù)器、工作站配置的金山防病毒軟件版本過老，缺乏及時(shí)的特征庫升級(jí)。各工作站由于雖然規(guī)范了使用人員權(quán)限并設(shè)置了系統(tǒng)口令，但是仍然有暴露系統(tǒng)于非專業(yè)人員、調(diào)度人員的可能。如果這些人誤動(dòng)了系統(tǒng)數(shù)據(jù)庫，誤操作了系統(tǒng)相關(guān)功能，后果將不堪設(shè)想。3.3適應(yīng)電網(wǎng)的二次防護(hù)系統(tǒng)構(gòu)建操作系統(tǒng)的安全、數(shù)據(jù)庫的安全、網(wǎng)絡(luò)安全、系統(tǒng)權(quán)限論證、病毒防范措施構(gòu)成電網(wǎng)管理系統(tǒng)安全性的各環(huán)節(jié)。結(jié)合我公司系統(tǒng)現(xiàn)狀，調(diào)度實(shí)時(shí)系統(tǒng)與MIS網(wǎng)之間的有效隔離，EMS系統(tǒng)人員權(quán)限管理、數(shù)據(jù)庫管理、病毒特征庫升級(jí)管理成為構(gòu)建二次防護(hù)系統(tǒng)的主要問題。3.3.1EMS與MIS網(wǎng)絡(luò)間的電力物理隔離根據(jù)上圖及國(guó)家經(jīng)濟(jì)貿(mào)易委員會(huì)第30號(hào)令《電網(wǎng)和電廠計(jì)算機(jī)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護(hù)規(guī)定》:第三條電力系統(tǒng)安全防護(hù)的基本原則是：電力系統(tǒng)中，安全等級(jí)較高的系統(tǒng)不受安全等級(jí)較低系統(tǒng)的影響。電力監(jiān)控系統(tǒng)的安全等級(jí)高于電力管理信息系統(tǒng)及辦公自動(dòng)化系統(tǒng)，各電力監(jiān)控系統(tǒng)必須具備可靠性高的自身安全防護(hù)設(shè)施，不得與安全等級(jí)低的系統(tǒng)直接相聯(lián)。第四條各電力監(jiān)控系統(tǒng)與辦公自動(dòng)化系統(tǒng)或其他信息系統(tǒng)之間以網(wǎng)絡(luò)方式互聯(lián)時(shí),必須采用經(jīng)國(guó)家有關(guān)部門認(rèn)證的專用、可靠的安全隔離設(shè)施。DF8002V8系統(tǒng)需面向MIS網(wǎng)絡(luò)用戶發(fā)布實(shí)時(shí)電網(wǎng)信息。我們的系統(tǒng)需要做如下的變動(dòng)：可以通過一臺(tái)基于LINUX操作系統(tǒng)的WEB服務(wù)器，以數(shù)據(jù)單向遷移的形式由調(diào)度網(wǎng)絡(luò)將數(shù)據(jù)鏡像發(fā)布于WEB服務(wù)器，并由WEB服務(wù)器生成滿足發(fā)布瀏覽要求的WEB頁面，供安全I(xiàn)II/IV區(qū)的用戶調(diào)用。采用物理隔離裝置可使安全區(qū)之間物理隔離。禁止跨越安全區(qū)Ⅰ/Ⅱ與安全區(qū)Ⅲ/Ⅳ的非數(shù)據(jù)應(yīng)用穿透物理隔離裝置的安全防護(hù)強(qiáng)度適應(yīng)由安全區(qū)Ⅰ/Ⅱ向安全區(qū)Ⅲ/Ⅳ的單向數(shù)據(jù)傳輸。由安全區(qū)Ⅲ/Ⅳ向安全區(qū)Ⅰ/Ⅱ的由此，我們必須采用軟、硬件結(jié)合的有效安全隔離措施、保證網(wǎng)絡(luò)數(shù)據(jù)共享的同時(shí)，實(shí)施對(duì)非法信息的隔離。結(jié)合目前系統(tǒng)情況，可以將現(xiàn)有WEB服務(wù)器完全置于安全I(xiàn)II區(qū)，通過專用電力物理隔離設(shè)備實(shí)現(xiàn)與安全I(xiàn)、II區(qū)的數(shù)據(jù)共享。

專用電力物理隔離設(shè)備其它網(wǎng)絡(luò)系統(tǒng)專用電力物理隔離設(shè)備其它網(wǎng)絡(luò)系統(tǒng)安全I(xiàn)II區(qū)WEB服務(wù)器EMS系統(tǒng)安全I(xiàn)區(qū)EMS與WEB間的電力物理隔離示意圖

電力專用物理隔離設(shè)施必須滿足以下條件：(1)具有物理隔離能力的硬件結(jié)構(gòu),保證了內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的物理隔離(2)軟、硬結(jié)合的數(shù)據(jù)流向控制通過安全策略實(shí)現(xiàn)軟控制（通過單向遷移，實(shí)現(xiàn)WEB服務(wù)器與物理設(shè)備的連接，設(shè)置Socket端口建立WEB與隔離設(shè)備的鏈路）。通過物理開關(guān)實(shí)現(xiàn)硬控制(3)Socket連接方向的控制(4)IP與MAC地址綁定3.3.2其它各區(qū)之間的安全策略將安全I(xiàn)區(qū)（實(shí)時(shí)數(shù)據(jù)區(qū)）與安全I(xiàn)I區(qū)進(jìn)行必要的隔離，禁止跨越安全區(qū)Ⅰ與的E-MAIL、WEB、telnet、rlogin。即將系統(tǒng)的數(shù)據(jù)采集部分全部放入安全Ⅰ區(qū)，將剩余的SCADA服務(wù)、歷史數(shù)據(jù)服務(wù)、各客戶端以及部分高級(jí)應(yīng)用服務(wù)放入安全Ⅱ區(qū)，數(shù)據(jù)采集區(qū)配置自己獨(dú)立的服務(wù)器、交換機(jī)，并配置相應(yīng)策略。鏡像生成數(shù)據(jù)、數(shù)據(jù)單向遷移能夠部分的消除數(shù)據(jù)信息傳輸過程中遭受病毒、HACKER攻擊的概率。LINUX系統(tǒng)由于其能夠?qū)崿F(xiàn)對(duì)個(gè)體文件、任務(wù)進(jìn)行加密處理的特性，使其較WINDOWS系統(tǒng)更為安全、可靠。由于WEB服務(wù)器在身份認(rèn)證和權(quán)限管理方面沒有有效措施，同時(shí)當(dāng)LINUX系統(tǒng)中的SAMBA服務(wù)使WEB服務(wù)器在直接面向與INTERNET互聯(lián)的MIS網(wǎng)絡(luò)時(shí)為HACKER攻擊和病毒入侵提供了漏洞或者端口。因此需要在WEB服務(wù)器與MIS網(wǎng)絡(luò)之間，即在安全I(xiàn)II區(qū)與安全I(xiàn)V區(qū)之間配置一臺(tái)防火墻，并配置相應(yīng)策略。防火墻設(shè)備防火墻設(shè)備其它網(wǎng)絡(luò)系統(tǒng)安全I(xiàn)V區(qū)MIS網(wǎng)絡(luò)安全I(xiàn)II區(qū)WEB服務(wù)器

WEB與MIS網(wǎng)絡(luò)間的示意圖如此配置后的調(diào)度自動(dòng)化拓?fù)浠揪涂梢源_定為下圖：3.3.3系統(tǒng)的網(wǎng)絡(luò)傳輸控制拓?fù)渚W(wǎng)絡(luò)中，數(shù)據(jù)傳輸與信息交互的控制是需要網(wǎng)絡(luò)各節(jié)點(diǎn)全面控制支持的，因此我們有必要確保網(wǎng)絡(luò)各環(huán)節(jié)處于可控、在控狀態(tài)中，可以利用以下手段實(shí)現(xiàn)。（1）、加強(qiáng)口令管理字符數(shù)較少的弱口令或默認(rèn)口令常常會(huì)被無關(guān)人員記憶，也易被HACKER破譯。同時(shí)，由于EMS系統(tǒng)擔(dān)負(fù)了遠(yuǎn)控、數(shù)據(jù)備份等重要任務(wù)，一旦被別有用心的人盜用口令，肆意刪除數(shù)據(jù)或者使用其他功能，企業(yè)損失將無法估計(jì)。我們可結(jié)合現(xiàn)代密碼學(xué)，使用CA與身份認(rèn)證保證我們的用戶管理。PKI是一個(gè)利用現(xiàn)代密碼學(xué)中的公鑰密碼技術(shù)在開放的網(wǎng)絡(luò)環(huán)境中提供數(shù)據(jù)加密以及數(shù)字簽名服務(wù)的統(tǒng)一的技術(shù)框架?；赑KI的CA認(rèn)證系統(tǒng)為電力調(diào)度生產(chǎn)及管理系統(tǒng)與調(diào)度數(shù)據(jù)網(wǎng)上的用戶、關(guān)鍵網(wǎng)絡(luò)設(shè)備、服務(wù)器提供數(shù)字證書服務(wù)。最終CA認(rèn)證體系結(jié)構(gòu)圖如下所示：CA認(rèn)證系統(tǒng)的整體結(jié)構(gòu)CA中心CA中心RA中心…….…….調(diào)度人員設(shè)備密鑰管理中心RA中心RA中心調(diào)度人員設(shè)備調(diào)度人員設(shè)備（2）、禁用不必要服務(wù)關(guān)閉某些網(wǎng)絡(luò)設(shè)備出廠缺省設(shè)置，如Finger、BootpServer、IPRedirect、ProxyArp、Directed-Broadcast等服務(wù)，另外，在路由器上，對(duì)于SNMP、DHCP以及WEB管理服務(wù)等，只有絕對(duì)必要的時(shí)候才可使用這些服務(wù)。（3）、禁止使用遠(yuǎn)程訪問使用遠(yuǎn)程訪問客戶端，可以方便系統(tǒng)的遠(yuǎn)程維護(hù)，實(shí)現(xiàn)廠家在線技術(shù)支持。但是，通過INTERNET的訪問控制，必然將系統(tǒng)暴露，為攻擊提供訪問端口，部分病毒也可以偽裝成TXT等格式，入侵系統(tǒng)。（4）、控制流量有限進(jìn)入網(wǎng)絡(luò)為了避免路由器成為DoS攻擊目標(biāo)，用戶應(yīng)該拒絕以下流量進(jìn)入：沒有IP地址的包、采用本地主機(jī)地址、廣播地址、多播地址以及任何假冒的內(nèi)部地址的包。雖然用戶無法杜絕DoS攻擊，但用戶可以限制DoS的危害；另外，用戶還可以采取增加SYNACK隊(duì)列長(zhǎng)度、縮短ACK超時(shí)等措施來保護(hù)路由器免受TCPSYN的攻擊。（5）、合理分配交換機(jī)為減輕交換機(jī)數(shù)據(jù)流量和處理任務(wù)，我們配置兩臺(tái)交換機(jī)，分別構(gòu)建設(shè)前置系統(tǒng)（192.168.0.*）與調(diào)度服務(wù)器、工作站、WEB（202.0.1.*）兩個(gè)網(wǎng)段，由此有效提高了數(shù)據(jù)交互效率，并且減少網(wǎng)絡(luò)故障概率。3.3.4數(shù)據(jù)庫管理EMS系統(tǒng)擁有豐富的數(shù)據(jù)資源、數(shù)據(jù)庫的安全管理成為系統(tǒng)二次防護(hù)的重要組成。數(shù)據(jù)資源主要分布在前置系統(tǒng)的服務(wù)器、EMS系統(tǒng)主服務(wù)器、WEB服務(wù)器、VQC、PAS、DMIS系統(tǒng)站的PC工作站、電能量系統(tǒng)的服務(wù)器中。處于安全I(xiàn)、II區(qū)的EMS系統(tǒng)各組成設(shè)備在物理防護(hù)下，面臨的威脅主要來自于人的因素。因此我們必須采取以下措施：分解系統(tǒng)維護(hù)人員、調(diào)度操作人員、設(shè)備巡視人員職責(zé)，并在EMS的人機(jī)交互環(huán)節(jié)設(shè)置體現(xiàn)出來，將人員分組賦予不同權(quán)限范圍，并實(shí)現(xiàn)口令管理，同時(shí)在系統(tǒng)中用LOG.TXT記錄人員訪問操作信息。嚴(yán)格口令管理制度，嚴(yán)禁無關(guān)人員使用工作人員口令、權(quán)限，并健全相關(guān)處罰措施。3.3.5防病毒措施利用防病毒軟件是系統(tǒng)遏止病毒入侵、防范病毒危害的重要手段。我們的系統(tǒng)選用的主要是金山公司出品的金山毒霸系列軟件。病毒是不斷發(fā)展、衍變的，廠家由此定期會(huì)通過INTERNET升級(jí)病毒特征庫，而我們的系統(tǒng)基于安全I(xiàn)區(qū)，不可能直接遠(yuǎn)程升級(jí)特征庫代碼。傳統(tǒng)的方法我們主要利用設(shè)備提供的光盤驅(qū)動(dòng)器、軟盤驅(qū)動(dòng)器、USB輸入口等設(shè)備直接將拷貝下的病毒升級(jí)程序遷入系統(tǒng)設(shè)備中。中間無論是采取移動(dòng)設(shè)備還是通過網(wǎng)絡(luò)連接的方式實(shí)際上都將系統(tǒng)暫時(shí)暴露系統(tǒng)安全防護(hù)體系之外。有鑒于次，我們可以設(shè)置一臺(tái)獨(dú)立的病毒升級(jí)服務(wù)器解決這個(gè)問題。病毒服務(wù)器可以設(shè)置于安全I(xiàn)II區(qū)，該服務(wù)器采用LINUX系統(tǒng)為操作平臺(tái)（KDE平臺(tái)），并加裝防病毒軟件，利用KDE系統(tǒng)的文件管理功能處理獲取的病毒特征庫文件，經(jīng)過本機(jī)殺毒后，經(jīng)過物理隔離設(shè)備提供給總線結(jié)構(gòu)連接的EMS網(wǎng)絡(luò)各設(shè)備，從而實(shí)現(xiàn)系統(tǒng)設(shè)備病毒庫的安全升級(jí)。另外，我們注意到，EMS設(shè)備提供的I/O設(shè)備成為非專業(yè)人員輸入病毒的隱患，因此我們將服務(wù)器與各工作站中封存的I/O設(shè)備予以封存，杜絕出現(xiàn)由此造成的系統(tǒng)崩潰等故障！結(jié)束語本文中所闡述內(nèi)容，是我對(duì)某局現(xiàn)有EMS系統(tǒng)二次防護(hù)工作的一些建議和想法，部分內(nèi)容已經(jīng)實(shí)現(xiàn)，經(jīng)實(shí)踐證明是行之有效的，有些內(nèi)容因?yàn)橘Y金等原因尚未實(shí)現(xiàn)，但是我們有必要就此進(jìn)行先期探索論證，做好技術(shù)儲(chǔ)備。參考文獻(xiàn)1．《電網(wǎng)調(diào)度自動(dòng)化與信息化技術(shù)標(biāo)準(zhǔn)》2．《電網(wǎng)調(diào)度自動(dòng)化與配網(wǎng)自動(dòng)化技術(shù)》3.《全國(guó)電力二次系統(tǒng)安全防護(hù)總體方案》4.《電網(wǎng)和電廠計(jì)算機(jī)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護(hù)規(guī)定》

“用計(jì)算器計(jì)算稍復(fù)雜的小數(shù)加、減法”教學(xué)設(shè)計(jì)［教學(xué)目標(biāo)］：1、會(huì)用計(jì)算器進(jìn)行一些稍復(fù)雜的小數(shù)加、減法計(jì)算。

2、讓學(xué)生體驗(yàn)用計(jì)算器進(jìn)行計(jì)算的方便與快捷，進(jìn)一步培養(yǎng)對(duì)數(shù)學(xué)學(xué)習(xí)的興趣，感受計(jì)算器在人們生活和工作中的價(jià)值。

［教材簡(jiǎn)析］：例題通過相對(duì)復(fù)雜的問題情境，引入用計(jì)算器計(jì)算小數(shù)加、減法，教給學(xué)生在計(jì)算器上按出整數(shù)部分是0的小數(shù)的簡(jiǎn)便按法，再用計(jì)算器解決小數(shù)加法的實(shí)際問題?！霸囈辉嚒崩^續(xù)通過例4的問題情境，引導(dǎo)學(xué)生借助計(jì)算器解決小數(shù)減法的實(shí)際問題。

［教學(xué)過程］：

一、談話導(dǎo)入，激發(fā)興趣

談話：同學(xué)們都有去超市購(gòu)物的經(jīng)驗(yàn)，購(gòu)?fù)晡?，營(yíng)業(yè)員都能借助計(jì)算器準(zhǔn)確、快速地算出應(yīng)付的價(jià)錢，今天我們也來用計(jì)算器解決一些計(jì)算問題。

二、創(chuàng)設(shè)情境，解決問題

1、教學(xué)例4

（1）出示例題，理解題意。談話：怎樣用計(jì)算器算出她一共用了多少元？

（2）先讓學(xué)生獨(dú)立思考，然后指名回答。在全班交流中達(dá)成共識(shí)：只要把“金額”一欄的數(shù)據(jù)加起來。

（3）提問：那在計(jì)算器上，怎樣才能按出買鉛筆的錢呢？先讓學(xué)生自己試著按一按，再交流方法。學(xué)生的方法可能有：①按照“0”、“·”、“8”、“0”的`次序按鍵。②先按“·”再按“8”，顯示“0·8”，就是買鉛筆的錢數(shù)。

（4）嘗試計(jì)算。

（5）集體校對(duì)。提問：怎樣才能計(jì)算得又對(duì)又快？學(xué)生的想法可能有：①先記牢這個(gè)數(shù)，然后再按。②看到零點(diǎn)幾的小數(shù)，可以直接按小數(shù)點(diǎn)和小數(shù)部分，這樣能節(jié)省計(jì)算時(shí)間。③按好一個(gè)數(shù)，還要看看顯示屏，核對(duì)一下。④算完還可以用計(jì)算器再算一遍。

2、完成“試一試”

（1）提問：如果李蕓付出100元，應(yīng)找回多少元？請(qǐng)你用計(jì)算器算一算。

（2）學(xué)生嘗試用計(jì)算器計(jì)算。

（3）小結(jié)：用計(jì)算器計(jì)算這些比較復(fù)雜的小數(shù)加減法（出示課題），確實(shí)非常快捷，正確率也高。

［設(shè)計(jì)意圖：用計(jì)算器進(jìn)行計(jì)算時(shí)，為確保計(jì)算的快捷和正確，核對(duì)和驗(yàn)算很重要，通過學(xué)生的討論和交流使學(xué)生獲得準(zhǔn)確靈活的計(jì)算方法。

學(xué)生已經(jīng)有了用計(jì)算器計(jì)算的基礎(chǔ)，因此這個(gè)環(huán)節(jié)以嘗試使用、相互交流為主要學(xué)習(xí)方式，順應(yīng)了學(xué)生使用計(jì)算器的需要，也為學(xué)生提供了很好的相互啟發(fā)、相互學(xué)習(xí)的機(jī)會(huì)。］

三