基于電力通信網的電力調度數據網安全傳輸

任杰 王婷宇

摘?要：電力調度數據網安全傳輸是電網安全穩定運行的重要保證，因此課題對電力數據的傳輸方案及安全防護兩方面進行了設計，以保證了電力調度數據網安全可靠傳輸。

關鍵詞：電力調度數據網;安全傳輸;安全防護

數據傳輸通道是數據采集的、信息交互的載體，其功能主要是實現子站采集終端與主站進行通訊。為確保數據傳輸的穩定性，子站采集終端與主站傳輸通道采用地區電力調度數據網或內蒙古省調電力調度數據網，通訊規約采用多種擴充版本的102規約。調度數據網采用IP?over?SDH技術進行組網，基于光纜通道進行傳輸。調度數據網的可靠性、安全傳輸影響著電網的安全穩定運行，因此，課題對電力調度數據網安全傳輸及安全防護進行了研究與分析。

1?電力數據傳輸方案

電力調度數據網是成熟的、已建成的數據傳輸通道，在數據傳輸方面僅需解決子站采集終端與電力調度數據網間的通訊即可。

采集終端與電力調度數據網通訊時通信線纜采用超五類屏蔽雙絞網線，變電站電纜溝內不僅有弱電電纜，而且以強電電纜居多，強電對數據傳輸有一定的干擾，為避免干擾，保證數據傳輸可靠性應使用標準568B線序壓制網線。敷設網線時應使用建筑用絕緣電工套管，以進一步減少強電對網線的干擾。對于220kV變電站需敷設至中調和地調數據網網線各一根。

采集終端配置，采集終端應按調度自動化分配的電能量采集系統子站非實時業務IP進行配置，并配置對應子網掩碼和網關地址。配置與電能量采集系統主站通訊的前置IP地址。對于220kV變電站配置中調數據網電量業務非實時網關至電能量采集系統前置IP的靜態路由。

縱向加密設備配置，應導入地調數據網非實時業務證書，應配置對應密通隧道和策略。對于220kV變電站應同時在中調縱向加密設備上進行對應配置。

主站前置機，應配置與子站采集終端通訊的靜態路由、IP、端口等信息。

2?電力數據數據安全防護設計

系統安全防護應遵循“安全分區、網絡專用、橫向隔離、縱向認證”的總體要求;安全Ⅱ區和安全Ⅲ區之間通過電力專用安全隔離裝置進行隔離，安全Ⅱ區的數據通過電力專用正向物理隔離裝置同步到安全Ⅲ區，安全Ⅲ區的數據通過電力專用反向物理隔離裝置同步到安全Ⅱ區;廠站數據接入應通過縱向加密認證;電能量采集系統與其他系統的數據交互應通過安全防護設備。CC2000A系統CIM模型和潮流數據傳輸至電能量采集系統時按照安全防護原則僅需經過防火墻進行邏輯隔離即可，但是為確保系統對CC-2000A不產生任何不良影響，CC-2000A的CIM模型和潮流數據文件從SCADA服務器通過防火墻傳輸至內平臺服務器，再通過正向隔離裝置傳輸至WEB服務器，進而傳輸至電能量采集系統Ⅲ區網關機，最后經過反向隔離裝置傳輸至II區網關機完成數據采集。系統采用的操作系統應達到GB/T20272中4級安全防護等級的要求;系統采用的關系數據庫應達到GB/T20273中3級安全防護等級的要求;系統正式上線前應通過上線安全測評。調度數據網安全考慮主要依照國家能源局2015年36號令《電力監控系統安全防護總體方案》進行設計，內容如下圖所示。

安全分區，原則上劃分為生產控制大區和管理信息大區，具體根據二次系統各業務系統的特性和對一次系統的影響程度進行分區，所有系統都必須分置于相應的安全區內，重點保護實時控制等關鍵業務。

網絡專用，建立專用電力調度數據網絡，實現與電力企業內部網的物理隔離，實時子網、非實時子網和應急子網三個VPN在調度數據網傳輸基于不同的MPLS?VPN標簽實現邏輯隔離，相同安全區才可以在縱向通道上互聯。

橫向隔離，安全隔離使用在生產控制大區與管理信息大區之間，隔離強度應接近或達到物理隔離。

縱向認證，采用認證、加密、訪問控制等技術措施實現數據的遠方安全傳輸以及縱向邊界的安全防護。

3?結論

課題在采集終端配置、縱向加密設備配置、主站前置機方面對電力數據傳輸方案進行了研究，同時從安全分區、網絡專用、橫向隔離、縱向認證進行了電力數據數據安全防護設計。通過對電力數據傳輸方案及電力數據數據安全防護兩個方面的設計，保證電力調度數據網安全傳輸。

參考文獻：

[1]林成寧.電力調度數據網及其維護研究[J].河南科技，2017（17）：131-132.

[2]羅剛.MPLS?VPN安全性及其在貴州電力調度數據網中的應用研究[D].貴州大學，2007.