電力調度數據網安全防護設計探討

◆趙 巍

（國網吉林省電力有限公司 吉林 130000）

電力調度數據網安全防護設計探討

◆趙 巍

（國網吉林省電力有限公司 吉林 130000）

電力調度數據網是電廠和網局之間進行數據傳輸和業務往來的重要渠道。那么如何保證數據業務傳輸過程中的安全性、穩定性、及時性，避免調度的數據被惡意破壞就成為了重要的問題。在這種情況下，做好電力調度數據網的安全防護是人們必須解決的焦點問題，本文針對這一問題詳細地探討了電力調度數據網的安全防護的設計原則以及實現目標。希望可以給企業一些提示，借鑒完善電力調度數據網的安全防護設計。

電力調度數據網；安全防護工作；設計

0 前言

眾所周知，供電系統對于眾多企業來說是非常重要的系統，電力對于一個企業的運轉起著決定性作用，現代化的設備、日常辦公電腦電話等都離不開電力調度數據網，沒有了電力，系統就等于失去了大腦，會導致癱瘓。因此，為了保證電力調度數據網絡的安全性，避免遭到惡意攻擊侵入，我們必須加強電力調度數據網絡的安全防護設計，切實保證供電系統地安全運轉。

1 電力調度數據網安全防護設計

1.1 數據網安全防護設計的原則以及實現目標

電力調度數據網安全防護是電力調度數據的安全保證，其設計應遵循下列原則：第一點原則是要對安全區進行劃分；第二點原則是要對網絡進行專用；第三點原則是要對橫向進行隔離；第四點原則是要對縱向進行認證。遵循了上述原則后，電力調度數據網安全防護得到了極大地提升，從而避免數據業務在傳輸過程中突然中段，影響企業的正常工作運轉；防止數據網遭到黑客的惡意攻擊造成系統癱瘓；避免數據傳輸過程中遭到病毒的傳播蔓延造成企業機密的泄露。企業應重視電力調度數據網的安全防護工作，電力調度數據網的癱瘓會造成無法運轉，設備停滯，往往會泄露企業的信心數據，這不僅影響企業的經濟效益，還會使企業的核心競爭力下降，極大地影響企業的快速發展。

1.2 數據網安全防護的設計

（1）安全區劃分

依據數據網安全防護的設計原則，首要前提條件就是要對電力調度數據網的安全區進行劃分，將生產控制大區和管理信息大區隔離開來分別管理，不同安全區確定不同的安全防護要求已達到安全防護的目的。管理信息大區主要是通過非實時子網來實現運轉，業務主要包含調度生產管理系統、雷電監測系統、統計報表系統、管理信息系統、辦公自動化系統、客戶服務系統等。生產控制區主要通過實時子網來實現運轉，業務主要包括調度自動化系統、變電站自動化系統、安全自發動控制系統、功角向量PMU系統等。實時子網的安全防護等級要高于非實時子網的安全防護等級，只有劃分出安全區，，針對不同安全區實施不同的安全防護等級才可以實現數據網的安全防護工作。

（2）網絡專用

在互聯網的地址構架中，專用網絡是指遵守 RFC1918和RFC4193的規范，根據IP協議使用私有的IP地址空間的網絡。私有的專用網絡是無法直接和互聯網相連的，需要特定的公網進行轉發。該數據網需要一個專用的光纖通道來搭載，該網絡是專門用來進行數據傳輸的。網絡專用極大的提高了電力調度數據網的安全防護等級，它不直接和互聯網相連，降低了被肆意破壞攻擊的風險，提高了數據傳輸的效率。雖然開辟專用網絡的成本較大，但是其效果是明顯的，其目的是明確的，這對電力調度數據網的防護是必不可少的。對專用網絡的設計必須嚴格遵守安全防護措施切實保障專用網絡的安全，同時還應向國家相關通信部門進行報備以實現網絡的自動化處理。

（3）橫向的隔離

在電力調度數據網實現了網絡專用的前提上進行橫向的隔離也是至關重要的。橫向隔離是為了滿足生產網絡的安全性，將網絡的惡意破壞信息隔離在工業網絡控制外，從而保證網絡的信息交流安全。橫向隔離主要包括防火墻隔離、DCS系統的自身隔離、設置防病毒和域控服務器、路由器隔離等，這些隔離方式過濾掉了互聯網中的惡意信息，使那些破壞信息無所遁形，無法對電力調度的數據網絡進行肆意破壞攻擊，極大的提升了數據網絡的安全，保證了生產效率的提高。橫向隔離技術是電力調度數據網的保護膜，只要這層膜不損壞，電力調度數據網的安全性就得到了有效的保障。

（4）縱向的加密認證

為了更好地實現電力調度數據網的安全防護，進一步保障數據網的安全，避免數據傳輸中的信息被不安分子盜取，對電力調度數據網的縱向加密也是必不可少的。在電力調度數據網的攝制過程中，必須在主戰側路由器和交換機之間設置多臺縱向加密網關，對數據傳輸中的節點進行數據加密進一步提升電力調度數據網的安全全防護等級。在這種情況下，如果交換機存在收發報文轉發路徑不一致的情況，防火墻裝置會自動丟棄所有報文，并通知通信網關發出警告信號，提醒工作人員電力調度數據網可能被人侵入惡意破壞，維修人員可以根據警告信號及時查看，避免造成重大經濟損失。對電力調度數據網的縱向加密可以有效的防范互聯網的惡意攻擊，降低了數據傳輸遭到侵犯的可能性，進一步提升了數據網的安全。

2 數據網安全防護設計實現

2.1 數據網實時子網的業務

數據網子網業務通過功角向量系統和網絡遠動系統兩部分來實現，功角向量系統PMU設置了3面的數據采集屏幕用于實現各臺交換機的數據采集工作，此系統的數字信號都是經過專用網絡進行直接收集的，而不是通過互聯網從其他渠道獲得。PMU系統的核心通過數據采集屏幕的集中聚焦處理，統一將信號發送給交換機進行數據交換，極大地保證了其安全性。防護重點主要在于對安全管理人員的素質培養、對工作站電腦接入以及移動存儲接入的監控防范，嚴格避免外來人員進行接觸。網絡運動系統EMS主要通過2臺RTU來實現，RTU中的RS232接口通過切換裝置將數據傳輸信號變成串口信號。2臺RTU通關網口于同一臺交換機相連接，交換機的出口與數據網的實時交換機相連接，提升了系統的實時防護等級。PMU和RTU的相互配合連接，有效地預防了病毒侵入的可能性，切實的對數據調度網絡進行了實時的防護工作，其重要性不言而喻。

2.2 非實時子網業務的實現

非實時子網的電量計費系統經過486串口，經過電能表對輸電信號進行采集，然后與電量采集器相連，并將采集的電力調度數據通過專用網絡上傳到交換機，再通過縱向加密技術傳輸到服務器。不同的采集器分別與不同的網口相連，接入不同的非實時業務的子網調度交換機端口。對于 5、6號機組的保護裝置，通過485串口與其它數據交換機相連接，然后通過交換機與故障信息子站相連。這兩個保護裝置沒有和其它網絡進行相連，而是通過專用網絡直接向服務器傳輸現場信號，因而很好的完成了電力調度數據網絡的防護工作。數據監控系統通過 DCS系統進行單獨采集樣本數據，然后由專用網絡光纖通道和交換機相連，實現了數據網絡非實時防護的安全要求。數據網絡中非實時子網業務的實現和實時子網業務的實現相互融合，將安全防護劃分等級，有效的保障了數據調度網絡的安全防護工作。

3 結語

綜上所述，電力調度數據網是進行數據傳輸的重要渠道，在現代社會中，由于網絡的日益完善，很多不良信息和病毒通過網絡惡意攻擊破壞電力調度數據網絡，對供電系統造成了極大破壞。在這種情況下，我們必須高度重視電力調度數據網絡的安全防護工作，進行安全區劃分，橫向隔離和縱向隔離相結合的手段進行有效防范。只有這樣才能更好的保障電力調度數據網絡的安全性，使供電系統更好地運轉、更健康可持續地發展。

[1] 潘維．智能電網保護控制信息流建模仿真研究[D]．華南理工大學，2016．

[2] 王景川．基于智能電網的電力調度數據網運維管理研究[D]．華北電力大學，2016．

[3] 崔子倜．應急災備電網調度系統改造的設計與實現[D]．內蒙古大學，2015．