(济南荣耀合创电力科技有限公司 山东省济南市)
摘要:电力调度数据网安全传输是电网安全稳定运行的重要保证,因此课题对电力数据的传输方案及安全防护两方面进行了设计,以保证了电力调度数据网安全可靠传输。
关键词:电力调度数据网;安全传输;安全防护
引言
数据传输通道是数据采集的、信息交互的载体,其功能主要是实现子站采集终端与主站进行通讯。为确保数据传输的稳定性,子站采集终端与主站传输通道采用电力调度数据网,通讯规约大多采用IEC60870远动设备及系统第5部分传输规约。调度数据网采用IP over SDH技术进行组网,基于光缆通道进行传输。调度数据网的可靠性、安全传输影响着电网的安全稳定运行,因此,课题对电力调度数据网安全传输及安全防护进行了研究与分析。
1、调度自动化系统及数据网络安全防护简述
1.1调度自动化系统及数据网络安全防护的特点
根据电网调度的安全等级对其进行分类,可以分为两大类,分别是管理信息传输功能和生产数据传输功能。数据网络又可分为传输网络和专用网络。由于电网数据具有准确性、实时性等特点,其对传输速率和业务实时性都有较高要求。为了确保数据网络的安全,需要及时检查数据的可靠性,并对数据内容保密,防止出现信息泄露问题。一旦出现系统破坏情况,自动化系统无法及时将电网信息传送至工作人员,导致电网的安全运行受到影响,这就需要健全电网安全防护体系。
1.2安全防护的必要性分析
在科学技术快速发展的21世纪,各行各业中都开始运用计算机技术和电子信息工程,不仅实现了网络资源的共享,操作的智能化和自动化,还大大提高了行业人员的工作效率。在我国技术快速发展下,我国的电力系统也在不断优化改造。过去单一的EMS模式已经无法满足时代的需求,自动化模式成为了新的发展方向。在电力调度工作中应用计算机技术,不仅使得自身结构更加完善,同时也提高了电网体系的运作效率。虽然自动化模式大大减少了工作人员的操作难度,但其中也存在着较多的安全风险。互联网是一个开放的网络环境,以互联网为载体的资料和信息,其他网络用户都可随意访问,怎样保障电力调度系统数据的安全成为了大家关心的问题。在网络防护系统不断升级的情况下,数据网络保护的方式和手段也越来越多,虽然拥有多种防护手段,电力系统被破坏的情况时有发生,这主要在于电力调度系统在运行过程中,各个数据串口之间需要进行高密度的数据交换,从而使得数据网络的负荷压力增加,导致系统出现故障;此外,在进行数据网络架构时,设计人员没有认识到安全防护工作的重要性,导致系统安全设计不够严密,使得调度自动化系统缺乏对网络病毒和非法访问的防范能力。由于调度自动化系统对数据安全有较高要求,这就需要在网络数据运行中,采取安全防护措施,避免数据泄露或丢失,工作人员需要提高防护墙的防护能力,从而维护企业的经济效益。
2、安全防护技术在电力配网调度自动化中的应用
2.1二次安全防护系统总体应用方案
电力电网安全防护目标为:确保电力的连续性和可用性;避免病毒或恶意代码的侵袭;确保重要信息在运输和存储中的完整性和机密性;加强关键业务接入电力网络中的身份认证工作,避免非授权访问或非法接入行为;实现电力调度数据网安全事件与电力监控系统的可审计、可追踪、可发现,加强调度数据网络与电力监控系统的安全管理。电力安全防护应用包含各级调度控制中心、变电站、配电中心、电力通信等机构。
2.2安全分区
结合电力的业务重要程度以及一次电力系统的影响度开展分区工作。主要包含管理信息大区和生产控制大区,生产控制大区包含安全区Ⅰ(控制区)与安全区Ⅱ(非控制区),其中生产控制大区应当成为主要的防护主体。此外,应开展网络专用工作。电力调度数据网需要在专用的通道上使用单独的网络设备组网,以物理角度与外部公共信息网和综合业务数据网进行隔离。
此网络利用MPLS-VPN划分出两个业务子网,也就是非实时VPN与实时VPN,两者互相进行逻辑隔离。其中实时VPN主要应用在控制区业务系统中的远程数据通信,而非实时VPN用在非控制区的业务系统远程数据通信工作中。
2.3横向隔离的运行维护
单位中的管理信息大区与生产控制大区之间需要设置电力横向专用的安全隔离装置以保证物理隔离。而管理信息大区与生产控制大区中安全区之间可以通过具有访问控制或防火墙性能的网络设备以保证逻辑隔离。例如,广东电网系统在防护建设中主要有三类安全需求:第一,非控制区与控制区之间利用双链路连接成为备份,在链路上部署防火墙,应实现两个防火墙之间可以同步信息和流量,相互作为备份开展工作。第二,在中利用的安全设备应具有快速转发和高性能的特点,对于网络容错性和传输时延具有较高的要求。因此,在安全防护过程中,供电局可利用防火墙展开保护工作,防火墙利用高配置硬件性能平台,通过专用的HA协议确保系统安全防护的可利用性,两个防火墙之间增加了业务备份和流量分担的功能,提升了实时控制业务的实用性和可靠性。
2.4纵向加密认证技术的运行
单位在调度数据网和控制区的纵向连接位置时需要安置电力纵向专用加密认证网关或认证装置,而在调度数据网与非控制区之间应安置电力纵向专用加密认证防火墙或网关,可以为调度机构、子站与主站控制系统中的调度数据网通信过程提供双向的身份认证、访问控制服务、数据加密等业务。对于刚进入网路的新设备,应在纵向互联网上设置统一的密码认证机制,专门的通道边界也应设置加密认证机制,加强安全防护设备,调度数据在边缘区域的覆盖。其中网络边缘信息的泄露属于安全隐患,主要由于网络攻击者非法进入系统进行攻击造成的。因此,保护安全区间的纵向网络边界的安全问题可以提升电力能源网络自动化调度能力,确保信息在传输中不会发生泄露,实现电力能源的正常使用和运输。
2.5单向技术的应用
其一,数据泵技术。该技术是在通信基础上只能单向传输数据,如在数据收到后确认、流量控制、差错控制等。不过数据泵中协议控制信息属于双向技术,假如协议存在漏洞,可能会通过漏洞反向发送数据。其二,单向二极管技术的应用。数据二极管技术也称信息流单向技术。该技术已经在国外实现产品化,如荷兰的Fox-IT公司、澳大利亚的Tenix公司。以OWL公司为例,该公司生产的硬件单向光网卡已经逐渐形成了完备的配套软件产品,技术的关键就是经历两次单向隔离处理。珠海鸿瑞生产的网络单向隔离装置主要利用单向多模光纤光接口技术,和国外的单向二极管技术应用类型相似,其主CPU使用的是国产的龙芯2F,平均网络宽带为300Mbps,传播速度是百兆装置的6倍。
结束语
综上所述,电力生产事关国计民生,因此电力调度自动化系统及数据网络系统的安全防护至关重要,应当引起相关部门的高度重视。要求相关部门能够清晰认识到调度自动化系统及数据网络安全防护技术的重要性,并结合实际状况制定针对性的改善对策。
参考文献:
[1]徐毅,袁保平,夏轶炜.电网调度数据网的网络安全在线监测工作分析[J].通信电源技术,2019,36(11):178-179.
[2]王彬筌.地区供电网调度实时数据网络安全分析[J].通讯世界,2019,26(11):181-182.
[3]郦鑫.关于电力调度自动化网络安全与实现技术[J].通讯世界,2019,26(11):206-207.
[4]郑雷涛.电网调度网络安全防护体系结构及关键技术[J].电子元器件与信息技术,2019,3(11):105-106+109.
[5]赵泓.浅谈电力网络及调度自动化系统的安全防护[J].中国新技术新产品,2019(17):141-142.
[6]李昱潼.电力调度自动化二次系统安全防护技术[J].自动化应用,2019(08):56-57+84.