淺析電力調度數據網安全防護設計與實現

李 力

國網重慶市電力公司檢修分公司

淺析電力調度數據網安全防護設計與實現

李 力

國網重慶市電力公司檢修分公司

電力調度數據網是發電廠和網局之間進行數據業務之間的實時與非實時調度的重要信息通道。如今，對于如何保證調度數據業務的安全性、穩定性、高效性以及迅速性，以及避免調度的數據遭到肆意的更改、破壞以及攻擊，避免電力數據網調度系統遭到破壞，已成為人們關注的焦點人們普遍認為做好電力調度數據網安個防護上作時解決這次問題的關鍵。本文將對電力調度數據網安個防護設計與實現展開全面探討。

電力調度數據網；安全防護；設計；實現

電力調度數據網是發電廠與網局之問傳遞生產信息的重要傳輸通道。為保證調度數據業務可靠、正確地傳輸，防止電力調度數據網遭遇黑客、病毒等攻擊，電力調度數據網安全防護工作日益重要，廠與網局之間的信息傳遞、我們知道，為了保證調度數據業務的安全性、穩定性、高效性以及迅速性、避免調度的數據遭到肆意的更改、破壞以及攻擊，避免電力數據網調度系統遭到破壞，因此，必須加強電力調度數據網安全防護的設計。設備維護人員必須高度重視調度數據網的安全防護工作，在技術措施和安全管理方面堵塞漏洞，保證安全。

1 、電力調度數據網安全防護設計

設計原則是：遵循安全要進行分區、網絡要進行專用、橫向要進行隔離、縱向要進行認證。 安全防護的重點是要實現電力調度的數據網的網絡安全，目標是：

(1)避免數據網在業務進行中的中斷 ，防止電力在生產過程中受到破壞。

(2)避免數據網的設備遭到肆意的攻擊破壞 。

(3)避免在業務端發出對整個數據網絡都有肆意攻擊與肆意破壞的惡意病毒。

1.1 數據網安全防護的設計

1)安全區劃分。據數據網安全防護設計原則，首先要進行安全區的劃分，這是電力數據網安全防護設計的前提。依據上述所指出的劃分的原則以及各個相關的業務的重要性，數據網的安全區可分為兩部分：非實時子網以及實時子網。

對于實時子網來說，安全等級高，該系統的建設尤為重要。實時子網業務包括：遠動RTU網絡系統以及功角相量PMU的系統等。

對于非實時子網來講，其業務主要包括：遠傳的電量計費信息、對于線路保護的故障的信息以及故障信息錄波遠傳、時鐘的檢測、熱點負荷數據的檢測等。

2)橫向隔離。為了保證電力調度數據網業務的安全，此網為專用網，不與發電廠內其他數據網相連。實時子網與非實時子網之問也通過M PLS-V PN 技術進行邏輯隔離。

3)網絡專用。發電廠需按照網局要求建設電力調度數據網，該網絡通過電力專用光纖通道組成一個廣域網絡，該網絡承載電力調度通信的重要業務。接入此網業務必須采取嚴格的安全防護措施，并且將方案報批網局電力調度通信中心自動化處方可。對于此網來講，一方面必須利用嚴格的安全防護措施進行設計。

4)縱向的加密認證。為了實現電力調度數據網的安全，必須在路由器與實時與非實時的交換機之間安排兩臺縱向的加密裝置，目的是進行縱向加密。當然縱向的加密裝置必須要滿足網局所頒布的入網的合格證書。另外，縱向加密認證設備需設置嚴格的安全策略。

2 、數據網安全防護的實現

2.1 數據網實時了網的業務

1)PMU(功角相量采集系統。以6臺機組為列，每2臺機組作為1個單元，共設置3面數據采集屏對各臺機組所需數據進行采集，PM U系統的所有信號均通過硬接線自接采集，沒有采用網絡通信方式從其他網絡系統獲取數據。這3而數據采集屏采集到的數據經光纖通信匯聚到集中處理屏后通過光纖通信接入調度數據網實時業務交換機。此系統不和其他外部網絡相連，且防護的重點在于，對于數據集中處理工作站來講，要進行安全處理工作的增強，對工作站的筆記本電腦的接入以及移動存儲介質要加強安全管理，要嚴格避免惡意代碼的侵入。

2)網絡EMS/RTU(遠動)系統。 遠動RTU系統為雙機切換方式，2臺RTU主機通過RTU的R S232切換裝置切換出2路串u信號，一路經通道雙路切換MODEM以101規約傳送至網調，一路經通道MODEM以CDT規約傳送至區調。2臺RTU主機同時以網口接入一臺通道交換機，交換機出口一路接入調度數據網實時交換機，目前至網局的數據傳送是通過104規約經專用通道進行的，還沒有經過電力調度數據網傳輸數據，但是網絡通道具備傳輸條件。

2.2 數據網非實時子網各業務的實現

1)電量計費遠傳系統。此系統經485串II，經過關II電能表對信號進行采集，然后與電量采集器相連，并將電能數據經調度的數據網進行上傳。6臺機組包含四臺電量采集器，且這四臺電量采集器分別于不同的網口相連，接入調度數據網非實時業務交換機的不同的端口。 作為備用手段，如調度數據與主站不能正常通信時，可通過這四臺調制電量采集器進行調制解調器的電話線進行電能量數據的上傳。

2)熱電負荷數據監測系統。熱電負荷數據監測子站通過一臺單比特應答的正向橫向隔離裝置，從1臺自DCS系統采集數據的公用數據服務器獲取所需數據，之后通過光纖接入電力調度數據網非實時交換機。由于使用了單比特應答的正向橫向隔離裝置進行通信，滿足了安全防護的要求。

3)線路保護故障及故障錄波遠傳系統。對于#5 、#6號機組的保護裝置，是通過485串I口與一臺串I口交換機進行連接，然后與三期保護故障信息子站相連。即：線路的錄波裝置、#5、#6 號機組的各個變組以及三期保護故障信息子站都是通過網口直接與1臺交換機相連，然后將這臺交換機經過光纖與電力調度數據網的非實時交換機相聯系。對于線路的錄波裝置、#5、#6 號機組的各個變組來講，接收的信號是通過硬接線的現場的信號 ，并未與其他網絡進行連接。因而滿足安全防護要求。對于一、二期的線路錄波裝置以及一、二期的具有保護故障信息的子站來講，其經過網口與另一臺交換機直接相連，然后讓該臺交換機有光纖與數據網的非實時交換機的另一端相連，這樣滿足防護的規范要求。線路保護的重點：對故障信息的子站、機組的各發電組以及線路的錄波裝置微機來講，其移動存儲介質以及筆記本電腦的接入要進行加強管理，以防止病毒的惡意入侵。

結束語：

電力調度數據網安全防護工作，是通過相關人員的不懈努力，在硬件的建設方面已取得極大的成果，但在安全防護方面還存在很多的不足，譬如管理漏洞，病毒以及不良代碼的惡意侵入等，還需要進一步的提高加強管理。

[1]程霞.淺析電力調度數據網安全防護設計與實現[J].通訊世界，2015，(07)：180-181.

[2]王曉英.電力調度數據網安全防護設計及實現[J].信息安全與通信保密，2012，(06)：76-77+80.