李庆良/国网山西忻州供电公司

探讨国家电网调度数据网的网络组织及安全防护

李庆良/国网山西忻州供电公司

近几年来，我国特高压电网的快速发展以及智能电网建设工作的建设加速，各类生产控制数据对电网调度数据网的安全可靠传输提出了更高的要求。本文从电力调度数据网的传输现状入手，分析国家电网调度数据网的网络组织，并对国家电网调度数据网的安全防护进行探讨。

电网公司；调度数据网；网络组织；安全防护

一、引言

当前，我国的电力系统通信方式已基本实现了由传统的载波、微波通信升级为光纤化网络传输，并随着计算机与网络技术的发展，我国电力系统已经具备实现电网调度数据网的运用要求。经过几年的建设，现阶段已在应用层面取得了很大的实效，但仍不能完全满足智能电网及“大运行”技术需求。因此，为调度各应用领域数据传输提供安全可靠的网络平台已成为当前调度系统中的一项重要任务。本文通过在调度业务需求和电力通信实际情况的基础上，综合考虑目前调度管理体制，结合国家电力调度数据网的网络设计，对调度数据网的组网优化方案进行探讨。

二、国家电网调度数据网的网络组织

（一）电力调度数据网现状

国家电力调度数据网节点多，网络规模大，其总体结构应采取分级、分层、多自治域设计。目前，全国已形成四级调度数据网系统，电力调度数据网主要由国家电力调度数据一级网，区域二级网，省级三级网和地市（县）四级网，覆盖各级调度中心和直调发电厂、变电站。骨干网核心层节点包括国调、网调及部分省调，骨干层由省（市）调节点构成，接入层为电厂和变电站。核心层为网络业务的交汇中心，通常情况下只完成数据交换功能；骨干层位于核心层和接入层之间，负责层内数据交换以及层间业务的汇聚、分发；接入层将用户业务接入网络，实现质量保证和访问控制。骨干网为一个自治域，每个省网分别为各自独立的自治域[1]。

（二）数据网可靠性保障要求

为提高网络运行的可靠性，避免通道中断导致网络故障，从电路组织看，通道应至少满足N-1原则，即应避免由于通信电路单点故障导致网络多条链路的同时中断，从而造成数据网络分区分裂或迂回链路过载使网络瘫痪。核心层是网络拓扑的中心，既是路由交换的核心，也是跨区信息流的骨干通道，应具有较高的拓扑冗余度。另外，核心层节点之间、核心层与骨干层之间、骨干层节点之间的链路连接均应满足冗余性，即均有两条路由不同的电路和以保证层内、层间的迂回路由。

随着智能电网和大运行体系的不断推进和深化，作为电力调度系统的承载网，电力调度数据网的首要要求就是可靠稳定、安全的运行，保证调度自动化系统对电网的实时监控准确、不间断进行，故调度数据网络二平面建设工作也开始提速，通过完善调度数据网网络结构，并独立建设数据网二平面骨干网和接入网系统，与一平面数据网形成硬件独立、通道冗余、核心路由千兆互通的两个平面数据网络。同时，调度接入厂站远动通信管理机应实行双机管理机制，若其中的一台出现异常，则可以使用备用设备接入到不同的数据网络中，以确保调度数据传输的安全、可靠、不间断运行。

三、电力调度数据网的安全防护措施

（一）加强电网调度数据网络的安全设施

电力调度数据网是我国智能电网中的一个十分重要的信息传输系统，其包括了电网实时监控、电力应急、继电保护以及电力调度指令等关键信息，若数据系统遭到电子黑客入侵，则会对我国电网的正常运行造成极大的威胁。在这种情况下，电网公司必须加强电网调度数据网络的安全建设，增强调度数据网络的安全防护性能，提升调度数据网络的数据安全[3]。

由于调度数据网络与传统的通信网络在结构和系统上具有极高的相似度，因此，在安全防护措施的选择与使用方面也存在相似的特点，包括日常运用到的物理隔离、数据加密及验证、系统防火墙、访问控制、数据备份和查杀木马等防护措施。通常，企业在数据网络安全防护方面主要运用的措施有安全路由器、防火墙、邮件安全以及网页安全等。

（二）电力二次系统安全防护原则及措施

在我国电力调度数据网二次安全防护网络的部署中，主要遵循“安全分区、网络专用、横向隔离、纵向防护”这四个原则，网络安全防护措施主要以防火墙和纵向加密技术为主，同时采用MPLS VPN技术，将实时控制业务、非控制生产业务分割成几个相对独立的逻辑专网：路由各自独立，在网络路由层面不能互通，其中实时EMS-VPN还保证了实时业务的网络服务质量QoS；而网管业务隔离在几个业务VPN之外。通常，在调度数据网络中心端口以及调度厂站端口纵向边界进行纵向加密认证部署，即在数据网络Router与实时控制业务及非实时控制业务之间实行专用加密认证，进而达到数据网络端口实时防护的效果。数据网络实行专用加密认证的目的是为了避免调度数据在网络传输过程中被恶意破坏甚至数据被篡改，以确保数据网络的运行安全。电网公司通过限制非电网用户对调度数据网络的访问权限，有效防止了信息遭到泄密及破坏[4]，防止电网实时控制业务遭到攻击导致的电网大面积停电事故。

（三）二次安全防护管理

安全防护体系建立的原则是“三分技术，七分管理”。完善的技术措施是基础，严格的管理体系才能充分发挥技术措施的作用。首先，应健立健全各项安全防护规章制度，如：建立并严格执行机房及重要场所管理制度、各应用系统维护管理制度、各安全防范系统维护管理制度、安全评估安全审计管理等制度；其次，对网络设备运行管理应采取必要的技术措施，以保证运行安全。如：关闭或限定网络服务、禁止缺省口令登录、避免使用默认路由、网络边界关闭OSPF路由功能以及采用安全增强的SNMPv2及以上版本的网管系统等措施。

四、结束语

综上所述，我国的电网调度数据网络已经得到了进一步的优化升级。数据信息系统的优化能够给调度数据网络传输和信息共享带来质的飞越，然而，若对电网调度数据网络的安全防护不当，便会留下安全隐患，基于此，必须高度重视电网调度数据网的日常安全防护工作，采取积极的应对措施，确保我国电网的安全性。

[1]熊道兵.电网系统调度自动化数据网络的安全防护探讨 [J].中国新技术新产品，2010,05（22）：56-57.

[2]朱一欣，戚军.电力综合数据网建设分析[J].电力系统通信，2010,12（11）：98-99.

[3]林鸣.MPLS VPN技术在电力调度数据网中的应用 [J].中国科技信息，2010,20（02）：241-242.

[4]胡睿.电网调度管理和自动化系统的安全防护 [J].科技资讯，2011,13（20）：162-163.

李庆良，男，大学本科，工程师，现就职于国网山西忻州供电公司调控中心。