D5000智能电网监控系统安全接入区功能实现
2019-09-10吴昊
吴昊
紧跟电网系统规模不断扩大的步伐,调度自动化系统需要采集监视的数据规模也越来越大,除了采集常规的电厂和变电站信息,调度自动化系统也需要接入许多地方小水电等厂站信息,这些小水电站一般都不具备独立的专用通信通道,需要采用公网方式进行通信。另一方面,随着信息安全的重要性日益突出,如何通过公网安全地接入这些地方小水电信息,成为调度自动化系统需要考虑的一个重要问题。
1现状
伴随着电力事业总量不断增长和高新软件行业的兴起,电网体系对安全性和稳定性的需要逐步提升,电网体系迫切需要高新软件技术为电网体系的控制系统提供全新的、能提高电网安全的数据调度解决方案,智能电网监控系统是否能持续有效地运行与数据的稳定接入和安全传输有着密不可分的关系。为了建立坚固的智能的电力网络信息安全接入体系,也为了建立安全接入区的主要安全保护屏障,信息安全接入操作系统应运而生。信息安全接入操作系统克服了智能电网的多种苛刻条件,使得电力智能工作站有实时监控和安全接入的能力,电力能量控制系统会主动防御预警,是外网与电力内网之间数据传输和交换的技术保障。
平台开发的目的就是为满足用户需要,首先多项繁杂的网络构成其信息通道,其次是物理接入层,这样安全接入系统就会逐渐变得成熟。再加上一些安全方面的基础措施,如防火墙、IDS入侵检测,如果有外网想接入安全区必须提供身份认证、安全接入,通过对用户的筛选审核,对这些外网账户进行统一监管。
D5000智能电网监控系统是承载安全接入区的平台,D5000智能电网监控系统由安全一区、安全二区和安全三区组成。每个区的分工不同但都至关重要:安全一区是一些核心应用,例如系统实时监控、专线及网络方式的厂站接入和数据处理,还有众多的高级应用软件。安全二区的作用是实施已有线程的调度安排和安全排查等一些非实时操作。安全三区是信息管理大区,包括调度的进程管理、发布Web等功能。
网络信息安全规范明确指出,一区与二区与三区两两之间需要十分严密的分隔线把它们进行隔离,这就要求在一、二区之间设置防火墙,一、三区之间应设置正反向隔离,绝对不允许它们之间有未经授权的访问。
许多开发出来的高级应用程序需要的基础数据日渐增多,很多地级市及县的地方小水电厂站,也有把这些信息接入的迫切需要。地方小水电厂站,大多是地处偏远或者电网基础设施没有覆盖到的地方,他们没有与内网专用通道连接的硬件条件和身份权限,所以接入系统必须采用公网方式,一般来说是用移动GPRS等无线通道,这样虽然方便但是存在网络安全隐患,例如外网可以通过这种连接方式盗取内网信息、外网用户恶意攻击内网,影响内网的安全运行等,这样后果不堪设想。考虑到这种现象,D5000系统在接入使用公网方式通信的小水电站时,使用的是智能电网监控系统的安全接入区方案,这个方案的原理是设置一个公网信息采集区,公网方式厂站通过与这个信息采集区、监控系统通信进行信息采集与处理,但为了验证身份和保证内网的信息不被窃取,小水电站所在的公网与安全一区之间的隔离手段采用的是正反向隔离的方式。
2总体设计
公网安全接入区技术方案是通过在D5000系统上使用一体化集成的方法来完成。首先要配置2台及以上的公网前置服务器,公网是智能调度自动化系统与远程终端进行数据传输的介质,传输过程中使用加密信息,就达到对小水电等非统调厂站遥信、遥测数据的实时监视和控制。
用来数据采集的服务器是由模拟小厂站的公网前置服务器搭建而成,是一个单独的应用,实时系统和它的连接方式通常称为正反向隔离。从全局来看,外网的前置服务器等于是电力系统安全一区数据采集服务器的外接设备,它的设置加大了安全一区的数据采集区域,一区实时系统还承担着数据信息的维护工作。也就是说,在日常操作过程中,工作人员只需维护一区的数据信息,D5000系统通过正向隔离把安全一区和公网接入区的信息实时同步,方便简洁。由于电力行业是国民生活的基础设施,电力保护行业具有不容出错的性质,公网数据采集服务器使用的是主机正常工作,备用机器24小时待命的方式多机配置,当主机出现问题时第一时间切到备用设备,接收无线公网通道传输的数据。通信规约通常使用的是101规约,也有使用104规约的。数据经公网接入前置服务器处理后,通过反向隔离装置传送到内网系统。
公网安全接入区与小电站通过纵向加密装置进行数据交换,公网接入信息化服务器通信机房的方式是通过电信运营商提供的网络专线,连接到通信机房后再通过无线网络连接至公网专用路由器。通信终端为D5000监控系统为公网的数据交换提供可能,而主站与外网的数据交换则是通过专用网线直接连接。如果每个小厂站要连接到通信网络,那么每个小厂站的通信终端就必须使用专属的接入点名称,小厂站的通信终端通过身份认证后就可以取得公网的私有IP地址。小厂站的通信终端与主站系统相结合为一个广域的虚拟专用网络,为了实现小厂站与主站的数据交换传输,自动化终端与主站系统的双向通信链路开发需提上日程。因为要实现电网系统自动化,所以每个工作站均有一个唯一且固定的IP地址。安全接入区遵循电网系统4级系统保护要求,布置国产联想服务器和华为网络设备,采用国产麒麟及凝思操作系统、运用达梦金仓等安全数据库。
3技术特点
智能电网调度控制系统D5000的安全接入区开发搭建时主要考虑实时库与共享内存相结合的技术,避免跨物理隔离的数据表下装难题,简单可靠。实时库是一块内存区域,它是工作站下装内存的一部分,它的本质是内存数据库,一种用实时数据模型构筑的内存数据库,是为了更新速率快的数据和需要频繁访问的数据而设置,可以提高访问数据库的速率和避免有时间局限的进程。
在实时系统与数据库技术相互碰撞的情况下,实时数据库走上历史舞台,运用数据库这把钥匙来开实时系统中数据管理这把锁,再合适不过。安全接入区的实时数据库存储的是调度自动化系统所需要的前置厂站、通道、规约、量测和参数等重要信息。为保证跨区采集数据的实时性,安全接入区大量采用共享内存,用以保存厂站实时传输的报文和实时数据等快速变化信息。
由于一区与安全接入区之间设置了正反向隔离,工程技术人员没法通过一块区域去访问另外一块区域。但是这样及其不方便,所以安全接入区与安全一区间搭建实施了多种类型的信息传输,实现电网内部数据透明便于访问和处理,方便值班人员跨区监视实时数据,维护人员有可跨区维护通道,大大增进了工作效率。这些数据交互主要包括:前置配置表、通信厂站表和通道表等配置信息,以及与厂站的通信报文、遥测遥信数据等实时信息。
4发展趋势
近年来,公网接入需求不断增加,D5000系统的安全接入区技术已较为成熟,并在湖南、河南和陕西等多地的地区调度系统中得到应用,为调度自动化系统的应用分析提供了坚实的基础数据支撑。当然,公网安全接入区技术还有一些改进和提高的地方,以适应智能电网调度控制系统发展的需要。这些方面包括:一是对应用支持的范围更加广泛,目前仅对SCADA稳态监控和PAS高级应用的基础模块提供数据,未来还可以扩展到其他方面,包括配网自动化的应用、保信应用等领域。再一个是对公网通道的适应性还可以更加广泛,目前仅能适应独占方式的固定IP的通信方式,存在一些局限性。对采用可变IP通信的终端目前只能通过增加转换设备进行通信,增加了通信成本及系统的复杂性,未来可以扩展到可变IP的通信方式支持,以适应不同通道的要求。
最后公網通道都是租赁通道,一般根据流量收费,所以需要对公网接入的通信机制进行优化,减少不必要的信息交互、节省费用。
相信在未来,安全接入区的天地会越来越广阔。