浅析电力调度数据网安全防护设计与实现

2017-03-10李力

环球市场 2017年20期

关键词：数据网子网交换机

李力

国网重庆市电力公司检修分公司

浅析电力调度数据网安全防护设计与实现

李力

国网重庆市电力公司检修分公司

电力调度数据网是发电厂和网局之间进行数据业务之间的实时与非实时调度的重要信息通道。如今，对于如何保证调度数据业务的安全性、稳定性、高效性以及迅速性，以及避免调度的数据遭到肆意的更改、破坏以及攻击，避免电力数据网调度系统遭到破坏，已成为人们关注的焦点人们普遍认为做好电力调度数据网安个防护上作时解决这次问题的关键。本文将对电力调度数据网安个防护设计与实现展开全面探讨。

电力调度数据网；安全防护；设计；实现

电力调度数据网是发电厂与网局之问传递生产信息的重要传输通道。为保证调度数据业务可靠、正确地传输，防止电力调度数据网遭遇黑客、病毒等攻击，电力调度数据网安全防护工作日益重要，厂与网局之间的信息传递、我们知道，为了保证调度数据业务的安全性、稳定性、高效性以及迅速性、避免调度的数据遭到肆意的更改、破坏以及攻击，避免电力数据网调度系统遭到破坏，因此，必须加强电力调度数据网安全防护的设计。设备维护人员必须高度重视调度数据网的安全防护工作，在技术措施和安全管理方面堵塞漏洞，保证安全。

1 、电力调度数据网安全防护设计

设计原则是：遵循安全要进行分区、网络要进行专用、横向要进行隔离、纵向要进行认证。安全防护的重点是要实现电力调度的数据网的网络安全，目标是：

(1)避免数据网在业务进行中的中断，防止电力在生产过程中受到破坏。

(2)避免数据网的设备遭到肆意的攻击破坏。

(3)避免在业务端发出对整个数据网络都有肆意攻击与肆意破坏的恶意病毒。

1.1 数据网安全防护的设计

1)安全区划分。据数据网安全防护设计原则，首先要进行安全区的划分，这是电力数据网安全防护设计的前提。依据上述所指出的划分的原则以及各个相关的业务的重要性，数据网的安全区可分为两部分：非实时子网以及实时子网。

对于实时子网来说，安全等级高，该系统的建设尤为重要。实时子网业务包括：远动RTU网络系统以及功角相量PMU的系统等。

对于非实时子网来讲，其业务主要包括：远传的电量计费信息、对于线路保护的故障的信息以及故障信息录波远传、时钟的检测、热点负荷数据的检测等。

2)横向隔离。为了保证电力调度数据网业务的安全，此网为专用网，不与发电厂内其他数据网相连。实时子网与非实时子网之问也通过M PLS-V PN 技术进行逻辑隔离。

3)网络专用。发电厂需按照网局要求建设电力调度数据网，该网络通过电力专用光纤通道组成一个广域网络，该网络承载电力调度通信的重要业务。接入此网业务必须采取严格的安全防护措施，并且将方案报批网局电力调度通信中心自动化处方可。对于此网来讲，一方面必须利用严格的安全防护措施进行设计。

4)纵向的加密认证。为了实现电力调度数据网的安全，必须在路由器与实时与非实时的交换机之间安排两台纵向的加密装置，目的是进行纵向加密。当然纵向的加密装置必须要满足网局所颁布的入网的合格证书。另外，纵向加密认证设备需设置严格的安全策略。

2 、数据网安全防护的实现

2.1 数据网实时了网的业务

1)PMU(功角相量采集系统。以6台机组为列，每2台机组作为1个单元，共设置3面数据采集屏对各台机组所需数据进行采集，PM U系统的所有信号均通过硬接线自接采集，没有采用网络通信方式从其他网络系统获取数据。这3而数据采集屏采集到的数据经光纤通信汇聚到集中处理屏后通过光纤通信接入调度数据网实时业务交换机。此系统不和其他外部网络相连，且防护的重点在于，对于数据集中处理工作站来讲，要进行安全处理工作的增强，对工作站的笔记本电脑的接入以及移动存储介质要加强安全管理，要严格避免恶意代码的侵入。

2)网络EMS/RTU(远动)系统。远动RTU系统为双机切换方式，2台RTU主机通过RTU的R S232切换装置切换出2路串u信号，一路经通道双路切换MODEM以101规约传送至网调，一路经通道MODEM以CDT规约传送至区调。2台RTU主机同时以网口接入一台通道交换机，交换机出口一路接入调度数据网实时交换机，目前至网局的数据传送是通过104规约经专用通道进行的，还没有经过电力调度数据网传输数据，但是网络通道具备传输条件。

2.2 数据网非实时子网各业务的实现

1)电量计费远传系统。此系统经485串II，经过关II电能表对信号进行采集，然后与电量采集器相连，并将电能数据经调度的数据网进行上传。6台机组包含四台电量采集器，且这四台电量采集器分别于不同的网口相连，接入调度数据网非实时业务交换机的不同的端口。作为备用手段，如调度数据与主站不能正常通信时，可通过这四台调制电量采集器进行调制解调器的电话线进行电能量数据的上传。

2)热电负荷数据监测系统。热电负荷数据监测子站通过一台单比特应答的正向横向隔离装置，从1台自DCS系统采集数据的公用数据服务器获取所需数据，之后通过光纤接入电力调度数据网非实时交换机。由于使用了单比特应答的正向横向隔离装置进行通信，满足了安全防护的要求。

3)线路保护故障及故障录波远传系统。对于#5 、#6号机组的保护装置，是通过485串I口与一台串I口交换机进行连接，然后与三期保护故障信息子站相连。即：线路的录波装置、#5、#6 号机组的各个变组以及三期保护故障信息子站都是通过网口直接与1台交换机相连，然后将这台交换机经过光纤与电力调度数据网的非实时交换机相联系。对于线路的录波装置、#5、#6 号机组的各个变组来讲，接收的信号是通过硬接线的现场的信号，并未与其他网络进行连接。因而满足安全防护要求。对于一、二期的线路录波装置以及一、二期的具有保护故障信息的子站来讲，其经过网口与另一台交换机直接相连，然后让该台交换机有光纤与数据网的非实时交换机的另一端相连，这样满足防护的规范要求。线路保护的重点：对故障信息的子站、机组的各发电组以及线路的录波装置微机来讲，其移动存储介质以及笔记本电脑的接入要进行加强管理，以防止病毒的恶意入侵。