電力調(diào)度自動化網(wǎng)絡(luò)安全防護(hù)系統(tǒng)

1、電力調(diào)度自動化網(wǎng)絡(luò)安全防護(hù)系統(tǒng)摘要：在現(xiàn)代電網(wǎng)調(diào)度系統(tǒng)中，調(diào)度自動化是重要組成部分，也是電網(wǎng)穩(wěn)定、 安全運(yùn)行的保障條件。隨著電力調(diào)度自動化網(wǎng)絡(luò)朝著集成化、現(xiàn)代化的方向發(fā)展， 用戶與系統(tǒng)之間的數(shù)據(jù)信息越來越多，這對于其網(wǎng)絡(luò)的安全性就提出了相應(yīng)的要 求?；诖?，本文中詳細(xì)分析電力調(diào)度自動化網(wǎng)絡(luò)安全防護(hù)系統(tǒng)。關(guān)鍵詞：電力調(diào)度；自動化網(wǎng)絡(luò)；安全防護(hù)本文在闡述電力調(diào)度自動化網(wǎng)絡(luò)安全防護(hù)系統(tǒng)本身具有作用的基礎(chǔ)上，通過 實(shí)際的電力調(diào)度自動化應(yīng)用分析，希望可以滿足網(wǎng)絡(luò)安全防護(hù)系統(tǒng)安全高效運(yùn)行 的要求。1、電力調(diào)度自動化網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的作用電網(wǎng)運(yùn)行狀態(tài)的實(shí)時監(jiān)控。在網(wǎng)絡(luò)安全防護(hù)系統(tǒng)運(yùn)行中，實(shí)時監(jiān)控電網(wǎng)運(yùn)行 電

2、負(fù)荷、電壓以及頻率等各項(xiàng)指標(biāo)；針對電網(wǎng)運(yùn)行中出現(xiàn)的熱能變化、水能變化 以及設(shè)備安裝位置等情況做好針對性調(diào)度，并且進(jìn)一步做好相關(guān)數(shù)據(jù)的整理與收 集，就可以滿足規(guī)范用戶用電行為的要求。電網(wǎng)運(yùn)行狀態(tài)的分析。保證電力系統(tǒng)穩(wěn)定，電網(wǎng)運(yùn)行安全性是關(guān)鍵，如果沒 有考慮到電網(wǎng)設(shè)計(jì)安全問題，很可能埋下安全隱患。同時，隨著電網(wǎng)運(yùn)行規(guī)模的 擴(kuò)大，由于諸多因素的影響，也可能出現(xiàn)電網(wǎng)運(yùn)行故障，直接威脅電網(wǎng)運(yùn)行安全 性。因此，進(jìn)行電力調(diào)度自動化網(wǎng)絡(luò)安全防護(hù)體系的完善是非常必要的，其能夠 發(fā)現(xiàn)電網(wǎng)運(yùn)行中潛在的故障，并且預(yù)測即將發(fā)生的故障，針對不同的故障類型， 做好自動的防護(hù)，在控制電網(wǎng)運(yùn)行故障率的同時，還可以提升整體的電網(wǎng)

3、運(yùn)行質(zhì) 量。2、安全防護(hù)技術(shù)常見措施2.1網(wǎng)絡(luò)設(shè)備安全配置不使用默認(rèn)路由，網(wǎng)絡(luò)邊界路由器關(guān)閉OSPF路由功能，采用安全增強(qiáng)的 SNMPv2及以上版本的網(wǎng)管協(xié)議，記錄設(shè)備日志，設(shè)置8位以上符合復(fù)雜度要求 的密碼并定期進(jìn)行修改，對訪問控制列表進(jìn)行配置，封閉空閑的網(wǎng)絡(luò)端口等。2.2安全備份及恢復(fù)技術(shù)在電網(wǎng)調(diào)度自動化系統(tǒng)的安全防護(hù)技術(shù)中的備份及恢復(fù)技術(shù)就是要對系統(tǒng)中 的關(guān)鍵運(yùn)行數(shù)據(jù)進(jìn)行定期的備份，這樣才能夠有效的保障在運(yùn)行數(shù)據(jù)丟失或者是 電力運(yùn)行系統(tǒng)崩潰情況出現(xiàn)的情況下，有效并且準(zhǔn)確快速的進(jìn)行相關(guān)運(yùn)行關(guān)鍵數(shù) 據(jù)的恢復(fù)，最大限度的保障電力系統(tǒng)的有效運(yùn)行及可用。備份及恢復(fù)技術(shù)能夠有 效的處理和規(guī)劃電力系統(tǒng)

4、關(guān)鍵運(yùn)行服務(wù)器以及電力網(wǎng)絡(luò)設(shè)備，電力運(yùn)行電源關(guān)鍵 模塊部件，并且能夠有效的規(guī)避由于系統(tǒng)運(yùn)行過程中單點(diǎn)運(yùn)行故障導(dǎo)致的電力系 統(tǒng)的癱瘓。例如電力調(diào)度系統(tǒng)能夠?qū)?shù)據(jù)服務(wù)器進(jìn)行冗余相關(guān)配置，讓數(shù)據(jù)服務(wù) 器達(dá)到相關(guān)的技術(shù)要求以及安全標(biāo)準(zhǔn)要求。2.3橫向隔離安全技術(shù)正向橫向安全隔離裝置用于生產(chǎn)控制大區(qū)到管理信息大區(qū)的單向數(shù)據(jù)傳送， 實(shí)現(xiàn)兩個安全分區(qū)之間的非網(wǎng)絡(luò)方式的數(shù)據(jù)傳輸，比如地調(diào)調(diào)度生產(chǎn)管理功能在 管理信息大區(qū)部署網(wǎng)關(guān)機(jī)，該功能模塊與生產(chǎn)控制大區(qū)的數(shù)據(jù)通信必須采用專用 橫向單向安全隔離裝置實(shí)現(xiàn)強(qiáng)隔離。通過正向橫向單向隔離裝置從生產(chǎn)控制大區(qū) 向生產(chǎn)控制大區(qū)傳輸實(shí)時數(shù)據(jù)和交易信息等，通過反向橫向單向隔離裝

5、置從管理 信息大區(qū)向生產(chǎn)控制大區(qū)傳輸計(jì)劃數(shù)據(jù)和氣象信息等。3、電力調(diào)度自動化系統(tǒng)安全防護(hù)系統(tǒng)設(shè)計(jì)調(diào)度自動化系統(tǒng)的兩端為廠站以及CSSDA中上級調(diào)度機(jī)構(gòu)，即廠站與主站， 按照不同的功能要求，其安全需求也會有所差異，本章節(jié)對廠站的安防設(shè)計(jì)與實(shí) 現(xiàn)進(jìn)行分析。在對調(diào)度自動化系統(tǒng)廠站安全防護(hù)設(shè)計(jì)方案的設(shè)計(jì)中，以220kV變 電站為例。該系統(tǒng)實(shí)時子網(wǎng)業(yè)務(wù)直接接入變電站的實(shí)時控制區(qū)，而非實(shí)時子網(wǎng)業(yè) 務(wù)則直接接入非實(shí)時控制區(qū)之中?；诰W(wǎng)絡(luò)特性，建立二次安全保障技術(shù)，提升 整體的網(wǎng)絡(luò)安全；就系統(tǒng)安全而言，需要開展屏障保護(hù)，做好二次安全防護(hù)系統(tǒng) 的建立健全；在物理安全上，為了做好二次防護(hù)，設(shè)備本身的加固不可少；在

6、安 全應(yīng)用方面，需要直接清除死角，確保360無死角。3.1網(wǎng)絡(luò)安全安全區(qū)I之中有兩臺縱向加密認(rèn)證網(wǎng)關(guān)，直接連接生產(chǎn)控制區(qū)的調(diào)度數(shù)據(jù)網(wǎng) 交換機(jī)?？紤]到數(shù)據(jù)傳輸?shù)膶?shí)時性一定要滿足數(shù)據(jù)傳輸?shù)目煽啃砸螅?，?產(chǎn)控制區(qū)域應(yīng)該開展安全方面的隔離處理。為了防范出現(xiàn)偽裝、竊聽信息等問題， 在具體劃分上，可以通過VLAN來實(shí)現(xiàn)，按照不同的測量與保護(hù)，實(shí)現(xiàn)邏輯方面 的業(yè)務(wù)節(jié)點(diǎn)隔離。為了避免因?yàn)楣蚕斫M播傳輸導(dǎo)致網(wǎng)絡(luò)沖突不斷加劇的問題發(fā)生， 可以將I與II之間的安全隔離利用站控層來實(shí)現(xiàn)，有利于實(shí)時性目標(biāo)的達(dá)成。在 開展生產(chǎn)控制的時候，會將互聯(lián)交換機(jī)直接劃分成為若干VLAN，并且每一個都 屬于數(shù)據(jù)網(wǎng)實(shí)時業(yè)務(wù)地址的

7、調(diào)度；當(dāng)然，對于實(shí)時的業(yè)務(wù)VLAN而言，其還擁有 橫向與縱向兩個方面的互聯(lián)。非控制生產(chǎn)區(qū)域的兩臺縱向互聯(lián)硬件防火墻可以實(shí)現(xiàn)與調(diào)度數(shù)據(jù)網(wǎng)以及非控 制生產(chǎn)區(qū)互聯(lián)交換機(jī)之間的相互連接。在數(shù)據(jù)傳輸過程中，利用身份認(rèn)證，通過SSL/TLS，就能滿足密鑰下發(fā)和雙向認(rèn)證需求。對于直接通過明文來進(jìn)行 傳送的報(bào)文，如AES256，對重要信息以及相對敏感的信息，都應(yīng)該做好泄密的有 效防護(hù)。而非控制生產(chǎn)區(qū)連接交換機(jī)，則需要進(jìn)行非實(shí)時業(yè)務(wù)VLAN劃分，每一 個VLAN的地址是調(diào)度數(shù)據(jù)網(wǎng)非實(shí)時的業(yè)務(wù)地址；非實(shí)時業(yè)務(wù)VLAN之中又包含 了橫向與縱向互聯(lián)。在業(yè)務(wù)系統(tǒng)中，故障信息系統(tǒng)和繼電保護(hù)系統(tǒng)與廣域相量測量系統(tǒng)擁有實(shí)時

8、與非實(shí)時數(shù)據(jù)的縱向傳輸，可以直接提供VPN傳輸?shù)膶?shí)時數(shù)據(jù)，同時也可以利用 非實(shí)時的VPN來進(jìn)行數(shù)據(jù)傳輸。當(dāng)然，在VPN之間不會有縱向交叉連接的形成。 因此，針對非實(shí)時數(shù)據(jù)傳輸通信外網(wǎng)口 IP地址，可以選擇橫向互聯(lián)防火墻，在經(jīng) 過實(shí)時VPN業(yè)務(wù)端地址后，轉(zhuǎn)換形成非實(shí)時段地址。然后，通過防火墻來針對性 地處理轉(zhuǎn)換之后的地址。3.2系統(tǒng)安全監(jiān)管節(jié)點(diǎn)需要對電力二次系統(tǒng)廠站端的內(nèi)部節(jié)點(diǎn)進(jìn)行逐一的梳理，不得連接 到任何非生產(chǎn)管理大區(qū)，確保每一個節(jié)點(diǎn)管理的有效性，最終滿足電力調(diào)度自動 化網(wǎng)絡(luò)安全本身的全局性和系統(tǒng)性要求。在廠站端建設(shè)以及技改實(shí)施過程中，需 要落實(shí)運(yùn)行反饋，盡量縮減設(shè)備缺陷。對測控裝置、保護(hù)信

9、息子站、遠(yuǎn)動機(jī)等都 應(yīng)該開展日常的檢查，做好適當(dāng)?shù)木S護(hù)，一旦出現(xiàn)共性問題，必須依托設(shè)備升級 與技術(shù)改造，最大限度減少缺陷的出現(xiàn)，保證在電力生產(chǎn)中穩(wěn)步而成熟地應(yīng)用新 技術(shù)。另外，應(yīng)在廠站端的關(guān)鍵設(shè)備上應(yīng)用容災(zāi)備份技術(shù)。針對電力調(diào)度自動化 網(wǎng)絡(luò)之中調(diào)度數(shù)據(jù)網(wǎng)交換機(jī)的關(guān)鍵性資源，就應(yīng)該確保自動切換與雙機(jī)備份操作 的實(shí)現(xiàn)，防范因?yàn)楣收隙鴰頁p失的增加。對于橫向、縱向互聯(lián)設(shè)備，包含業(yè)務(wù) 系統(tǒng)當(dāng)中的互聯(lián)交換機(jī)、正向隔離裝置、調(diào)度數(shù)據(jù)網(wǎng)、橫向互聯(lián)硬件防火墻、控 制區(qū)縱向加密認(rèn)證網(wǎng)關(guān)以及非控制區(qū)縱向硬件防火墻等網(wǎng)絡(luò)設(shè)備，都一使用冗余 備用結(jié)構(gòu)。3.3物理安全對于廠站端而言，測控裝置、遠(yuǎn)動機(jī)是其最重要的二次安全

10、防護(hù)，其配置程 序與硬件都存在一定差異。測控裝置的缺陷在于數(shù)據(jù)上傳速度較慢，很容易出現(xiàn) 死機(jī)。遠(yuǎn)動機(jī)在大部分情況下，都需要借助廠家的配合才能實(shí)現(xiàn)維護(hù)人員對數(shù)據(jù) 庫配置的更改，但是由于廠家人員存在較大流動性，再加上素質(zhì)與能力的影響， 計(jì)算機(jī)設(shè)備就可能與互聯(lián)網(wǎng)相互的連接，為后續(xù)的操作埋下安全隱患。因此，設(shè) 備招標(biāo)質(zhì)量一定要嚴(yán)格控制，確保所選擇的廠家能夠滿足一系列要求；施工關(guān)卡 也需要嚴(yán)格控制，在具體的操作環(huán)節(jié)，需要規(guī)范廠家嚴(yán)格遵守計(jì)算機(jī)備的使用規(guī) 定；嚴(yán)格把竣工驗(yàn)收大關(guān)，在驗(yàn)收環(huán)節(jié)對重要的遙調(diào)、遙控信號等逐一實(shí)施預(yù)置 測試。在電力調(diào)度自動化網(wǎng)絡(luò)系統(tǒng)的運(yùn)行環(huán)節(jié)，必須盡可能區(qū)別設(shè)備正常運(yùn)行， 能夠時常進(jìn)行巡檢，對于設(shè)備選擇雙機(jī)自動切換技術(shù)，需要在發(fā)現(xiàn)缺陷的時候， 第一時間內(nèi)分析與上報(bào)，并且按照缺陷，做好嚴(yán)格的處理，按照制度來進(jìn)行數(shù)據(jù) 的維護(hù)以及裝置備件等。4、結(jié)語在電力系統(tǒng)調(diào)度自動化建設(shè)中，需要基于網(wǎng)絡(luò)安全防護(hù)的基本原則出發(fā)，能