探討國家電網調度數據網的網絡組織及安全防護

李慶良/國網山西忻州供電公司

探討國家電網調度數據網的網絡組織及安全防護

李慶良/國網山西忻州供電公司

近幾年來，我國特高壓電網的快速發展以及智能電網建設工作的建設加速，各類生產控制數據對電網調度數據網的安全可靠傳輸提出了更高的要求。本文從電力調度數據網的傳輸現狀入手，分析國家電網調度數據網的網絡組織，并對國家電網調度數據網的安全防護進行探討。

電網公司；調度數據網；網絡組織；安全防護

一、引言

當前，我國的電力系統通信方式已基本實現了由傳統的載波、微波通信升級為光纖化網絡傳輸，并隨著計算機與網絡技術的發展，我國電力系統已經具備實現電網調度數據網的運用要求。經過幾年的建設，現階段已在應用層面取得了很大的實效，但仍不能完全滿足智能電網及“大運行”技術需求。因此，為調度各應用領域數據傳輸提供安全可靠的網絡平臺已成為當前調度系統中的一項重要任務。本文通過在調度業務需求和電力通信實際情況的基礎上，綜合考慮目前調度管理體制，結合國家電力調度數據網的網絡設計，對調度數據網的組網優化方案進行探討。

二、國家電網調度數據網的網絡組織

（一）電力調度數據網現狀

國家電力調度數據網節點多，網絡規模大，其總體結構應采取分級、分層、多自治域設計。目前，全國已形成四級調度數據網系統，電力調度數據網主要由國家電力調度數據一級網，區域二級網，省級三級網和地市（縣）四級網，覆蓋各級調度中心和直調發電廠、變電站。骨干網核心層節點包括國調、網調及部分省調，骨干層由省（市）調節點構成，接入層為電廠和變電站。核心層為網絡業務的交匯中心，通常情況下只完成數據交換功能；骨干層位于核心層和接入層之間，負責層內數據交換以及層間業務的匯聚、分發；接入層將用戶業務接入網絡，實現質量保證和訪問控制。骨干網為一個自治域，每個省網分別為各自獨立的自治域[1]。

（二）數據網可靠性保障要求

為提高網絡運行的可靠性，避免通道中斷導致網絡故障，從電路組織看，通道應至少滿足N-1原則，即應避免由于通信電路單點故障導致網絡多條鏈路的同時中斷，從而造成數據網絡分區分裂或迂回鏈路過載使網絡癱瘓。核心層是網絡拓撲的中心，既是路由交換的核心，也是跨區信息流的骨干通道，應具有較高的拓撲冗余度。另外，核心層節點之間、核心層與骨干層之間、骨干層節點之間的鏈路連接均應滿足冗余性，即均有兩條路由不同的電路和以保證層內、層間的迂回路由。

隨著智能電網和大運行體系的不斷推進和深化，作為電力調度系統的承載網，電力調度數據網的首要要求就是可靠穩定、安全的運行，保證調度自動化系統對電網的實時監控準確、不間斷進行，故調度數據網絡二平面建設工作也開始提速，通過完善調度數據網網絡結構，并獨立建設數據網二平面骨干網和接入網系統，與一平面數據網形成硬件獨立、通道冗余、核心路由千兆互通的兩個平面數據網絡。同時，調度接入廠站遠動通信管理機應實行雙機管理機制，若其中的一臺出現異常，則可以使用備用設備接入到不同的數據網絡中，以確保調度數據傳輸的安全、可靠、不間斷運行。

三、電力調度數據網的安全防護措施

（一）加強電網調度數據網絡的安全設施

電力調度數據網是我國智能電網中的一個十分重要的信息傳輸系統，其包括了電網實時監控、電力應急、繼電保護以及電力調度指令等關鍵信息，若數據系統遭到電子黑客入侵，則會對我國電網的正常運行造成極大的威脅。在這種情況下，電網公司必須加強電網調度數據網絡的安全建設，增強調度數據網絡的安全防護性能，提升調度數據網絡的數據安全[3]。

由于調度數據網絡與傳統的通信網絡在結構和系統上具有極高的相似度，因此，在安全防護措施的選擇與使用方面也存在相似的特點，包括日常運用到的物理隔離、數據加密及驗證、系統防火墻、訪問控制、數據備份和查殺木馬等防護措施。通常，企業在數據網絡安全防護方面主要運用的措施有安全路由器、防火墻、郵件安全以及網頁安全等。

（二）電力二次系統安全防護原則及措施

在我國電力調度數據網二次安全防護網絡的部署中，主要遵循“安全分區、網絡專用、橫向隔離、縱向防護”這四個原則，網絡安全防護措施主要以防火墻和縱向加密技術為主，同時采用MPLS VPN技術，將實時控制業務、非控制生產業務分割成幾個相對獨立的邏輯專網：路由各自獨立，在網絡路由層面不能互通，其中實時EMS-VPN還保證了實時業務的網絡服務質量QoS；而網管業務隔離在幾個業務VPN之外。通常，在調度數據網絡中心端口以及調度廠站端口縱向邊界進行縱向加密認證部署，即在數據網絡Router與實時控制業務及非實時控制業務之間實行專用加密認證，進而達到數據網絡端口實時防護的效果。數據網絡實行專用加密認證的目的是為了避免調度數據在網絡傳輸過程中被惡意破壞甚至數據被篡改，以確保數據網絡的運行安全。電網公司通過限制非電網用戶對調度數據網絡的訪問權限，有效防止了信息遭到泄密及破壞[4]，防止電網實時控制業務遭到攻擊導致的電網大面積停電事故。

（三）二次安全防護管理

安全防護體系建立的原則是“三分技術，七分管理”。完善的技術措施是基礎，嚴格的管理體系才能充分發揮技術措施的作用。首先，應健立健全各項安全防護規章制度，如：建立并嚴格執行機房及重要場所管理制度、各應用系統維護管理制度、各安全防范系統維護管理制度、安全評估安全審計管理等制度；其次，對網絡設備運行管理應采取必要的技術措施，以保證運行安全。如：關閉或限定網絡服務、禁止缺省口令登錄、避免使用默認路由、網絡邊界關閉OSPF路由功能以及采用安全增強的SNMPv2及以上版本的網管系統等措施。

四、結束語

綜上所述，我國的電網調度數據網絡已經得到了進一步的優化升級。數據信息系統的優化能夠給調度數據網絡傳輸和信息共享帶來質的飛越，然而，若對電網調度數據網絡的安全防護不當，便會留下安全隱患，基于此，必須高度重視電網調度數據網的日常安全防護工作，采取積極的應對措施，確保我國電網的安全性。

[1]熊道兵.電網系統調度自動化數據網絡的安全防護探討 [J].中國新技術新產品，2010,05（22）：56-57.

[2]朱一欣，戚軍.電力綜合數據網建設分析[J].電力系統通信，2010,12（11）：98-99.

[3]林鳴.MPLS VPN技術在電力調度數據網中的應用 [J].中國科技信息，2010,20（02）：241-242.

[4]胡睿.電網調度管理和自動化系統的安全防護 [J].科技資訊，2011,13（20）：162-163.

李慶良，男，大學本科，工程師，現就職于國網山西忻州供電公司調控中心。