電力專用縱向加密裝置標準策略配置研究

國網(wǎng)吉林省電力有限公司長春供電公司 孫 莉

運用電力專用縱向加密裝置，無論是病毒和黑客、還是惡意代碼等一些惡意的破壞都能夠抗拒，以避免電力二次系統(tǒng)受到大的損害和潰敗，是保障變電站監(jiān)控系統(tǒng)和地調(diào)自動化系統(tǒng)等控制生產(chǎn)大區(qū)安全重要的手段。

1 電力調(diào)度數(shù)據(jù)網(wǎng)

1.1 數(shù)據(jù)網(wǎng)的應(yīng)用

電力二次系統(tǒng)是一個比較復雜的系統(tǒng)，由調(diào)度數(shù)據(jù)網(wǎng)和監(jiān)控系統(tǒng)等構(gòu)成[1-2]。保證調(diào)度數(shù)據(jù)網(wǎng)的安全，以及電力閉環(huán)實時監(jiān)控系統(tǒng)，都是安全保護重要的環(huán)節(jié)，主要是抵抗一些惡意的破壞，以防系統(tǒng)大范圍停電事故的發(fā)生。

電力調(diào)度數(shù)據(jù)網(wǎng)應(yīng)用主要包括兩個方面：其一，在調(diào)度支持系統(tǒng)下，調(diào)度員發(fā)遠程調(diào)試操作命令，借助調(diào)度數(shù)據(jù)網(wǎng)向現(xiàn)場傳達命令進行安裝，致使設(shè)備遙控進行操作，是實現(xiàn)無功補償裝置投切和調(diào)整電網(wǎng)運行方式以及緊急處理事故等相關(guān)功能的基礎(chǔ)；其二，借助接入網(wǎng)將電力系統(tǒng)廠站采集的數(shù)據(jù)傳輸?shù)焦歉删W(wǎng)，主站業(yè)務(wù)主機再獲取骨干網(wǎng)中的數(shù)據(jù)，運用調(diào)度支持系統(tǒng)，將電網(wǎng)實時運行狀況和電網(wǎng)告警信息以及電能表數(shù)據(jù)等提供給調(diào)度員，是控制和監(jiān)視電網(wǎng)的基礎(chǔ)。

1.2 網(wǎng)絡(luò)布局

廠站業(yè)務(wù)主機將交換機和路由器都接入后，主站路由器與建立的傳輸網(wǎng)相連，數(shù)據(jù)由主站路由器向骨干網(wǎng)進行傳遞，與I/Ⅱ區(qū)交換機服務(wù)器相連，運用對骨干交換機的訪謁與主站業(yè)務(wù)機展開通信。橫向上，根據(jù)各種業(yè)務(wù)的類型，主站側(cè)具有安全I區(qū)和安全Ⅱ區(qū)兩個業(yè)務(wù)類型，運用防火墻橫向?qū)蓚€區(qū)域之間進行隔離，廠站側(cè)也具有安全I區(qū)和安全Ⅱ區(qū)兩個業(yè)務(wù)類型，應(yīng)用VLAN技術(shù)和VPN技術(shù)開展條理隔離；縱向上，將接入網(wǎng)和骨干網(wǎng)有效地運用，安全I區(qū)和安全Ⅱ區(qū)縱向連通廠站安全I區(qū)和安全Ⅱ區(qū)，完成傳遞數(shù)據(jù)，為滿足縱向認證的要求，安裝電力專業(yè)縱向的加密認證裝備。

2 電力縱向加密裝備的工作模式

電力專用縱向加密裝備4種模式：網(wǎng)關(guān)、借用、透明以及借用1-N等相關(guān)模式[3-4]。其一網(wǎng)關(guān)模式。設(shè)備間連接器就是縱向加密裝備，不但廠站設(shè)備和主站設(shè)備的網(wǎng)關(guān)地址要修改，而且還要更改網(wǎng)絡(luò)結(jié)構(gòu)；其二透明模式。連接該裝備以后，無論是廠站設(shè)備還是主站設(shè)備，設(shè)備間連接器地址都不用修改，只要安裝好縱向加密裝備便可。運用透明模式不但網(wǎng)絡(luò)結(jié)構(gòu)不會受到不利的影響，而且單機故障出現(xiàn)時受到的影響也非常小。必須用大量設(shè)備為其主要的缺點，各個業(yè)務(wù)主機都必須安裝1臺；其三借用模式和借用1-N模式。兩種模式大致相同，縱向加密裝備必須通過交換機接口地址或者調(diào)度數(shù)據(jù)網(wǎng)中的業(yè)務(wù)地址，再利用Trunk封閉的方式連接VLAN設(shè)備。兩種模式的區(qū)別在于，應(yīng)用模式1個接口、只連接VLAN標簽下的1個設(shè)備；利用1-N模式1個接口連接許多VLAN標簽下的設(shè)備。

3 電力專用縱向加密裝置的配置標準策略的方案

根據(jù)我國相關(guān)電網(wǎng)文件的要求，在路由器和業(yè)務(wù)主機間安裝縱向加密裝備，借助路由器將交換機利用為中介方式相接業(yè)務(wù)主機，因此縱向加密裝置配置的方案有兩種。

其一，部署在路由器與交換機中。布置在網(wǎng)絡(luò)重要渠道就是主要優(yōu)勢，不同業(yè)務(wù)在主、備兩個縱向裝備作用下，能夠使應(yīng)用業(yè)務(wù)得到有效地保護。縱向設(shè)備故障若發(fā)生，影響范圍很大為其主要的缺點。

其二，部署在路由器和業(yè)務(wù)主機之間。無論是廠站局域網(wǎng)的內(nèi)部方位、還是調(diào)度中心的方位都會獲取是其主要的優(yōu)勢，對于全網(wǎng)已分配方位沒有影響。縱向設(shè)備出現(xiàn)故障時，只單個業(yè)務(wù)會受到一定程度的影響。不同業(yè)務(wù)需要大量的縱向裝備為其主要的缺點，各個業(yè)務(wù)接口都要安裝1臺設(shè)備。

3.1 廠站側(cè)配置的方案

I區(qū)通常廠站側(cè)的通信網(wǎng)關(guān)機設(shè)備有2臺，一臺安全監(jiān)測裝置為VLAN101、業(yè)務(wù)地址有三個。Ⅱ區(qū)安全監(jiān)測裝置有1臺、電量裝備2臺。但Ⅱ區(qū)主要以電量數(shù)據(jù)采集為主、實時性較低，因此有些廠電量裝備就1臺，廠站側(cè)VLAN201中有2～3個業(yè)務(wù)方位。

其一，部署在交換機與路由器之間，縱向加密裝置部署在廠部側(cè)交換機與路由器之間（圖1）。廠站側(cè)縱向加密裝置無需一一地對應(yīng)實際業(yè)務(wù)主機，只要結(jié)合路由器安裝鏈路數(shù)量就可以，在調(diào)度數(shù)據(jù)網(wǎng)結(jié)構(gòu)沒變化情況，固定將縱向加密裝備2臺進行應(yīng)用。

圖1 電力調(diào)度數(shù)據(jù)網(wǎng)的拓撲結(jié)構(gòu)

其二，部署在業(yè)務(wù)主機與交換機之間。每一個業(yè)務(wù)方位都要連接1臺縱向加密裝備，縱向加密裝備單臺可以連接2個業(yè)務(wù)方位，為實現(xiàn)要求需要應(yīng)用三臺縱向加密裝備。與業(yè)務(wù)通信連接以后加密隧道建立起來，必須用3縱向加密裝備，建立3～4條隧道，構(gòu)建13～18項的相關(guān)策略。

3.2 主部側(cè)位的配置方案

主部側(cè)具有監(jiān)控支持系統(tǒng)、技術(shù)支持系統(tǒng)、采集電量系統(tǒng)以及配電網(wǎng)信息系統(tǒng)等多個系統(tǒng)[5]。許多業(yè)務(wù)主機都要采集數(shù)據(jù)，主站側(cè)在交換機和業(yè)務(wù)主機之間部署縱向加密裝置不適合。主站側(cè)運用在路由器與交換機之間部署縱向加密裝置的方式，實際進行應(yīng)用時，在骨干交換機與I/Ⅱ交換機之間部署縱向加密裝置，應(yīng)用1-I模式，安裝縱向加密裝備2臺，每臺裝備都布置VLAN40、VLAN30、VLAN20以及VLAN10等4個方位，從而使雙機熱備更好地應(yīng)用。主站側(cè)縱向加密裝備的網(wǎng)絡(luò)構(gòu)造，見圖2所示。

圖2 主站側(cè)縱向加密裝備的網(wǎng)絡(luò)構(gòu)造

廠站側(cè)與主站側(cè)建立縱向加密裝備隧道時，隧道方式可以應(yīng)用很多，不但系統(tǒng)冗余程度很高，而且隧道指向方式也非常靈活。參照該策略，將安全策略配置給廠站側(cè)和主站側(cè)以后，數(shù)據(jù)縱向加密結(jié)束。縱向加密裝備需2臺、建設(shè)2條隧道、選用8項策略，該隧道的數(shù)量不會因廠部側(cè)業(yè)務(wù)主機數(shù)量變化而發(fā)生變化。

3.3 比較2種配備方案

比較2種配備方案：交換機-路由器工作模式為借用1-N模式，交換機-業(yè)務(wù)機工作模式為透明模式，二者裝備的數(shù)量分別為2/3，隧道的數(shù)量分別為2/3～4，策略的數(shù)量分別為8/12～16。交換機-路由器模式優(yōu)點為廠部側(cè)設(shè)備網(wǎng)絡(luò)模型比較穩(wěn)定，新增加的業(yè)務(wù)設(shè)備，無需增加裝置，后期維護的成本比較低。缺點為占用少量的業(yè)務(wù)地址，無論隧道還是策略需要配置的數(shù)都很多，初設(shè)網(wǎng)絡(luò)時業(yè)務(wù)量較重；交換機-業(yè)務(wù)機工作模式優(yōu)點是無需占用業(yè)務(wù)地址，隧道和策略的配置數(shù)量都比較少，網(wǎng)絡(luò)模型比較簡單，容易管理。缺點是需要很多的部署裝置，新增加業(yè)務(wù)設(shè)備，必須增加縱向加密裝置對應(yīng)，并且相應(yīng)策略也要增加,部置成本和管理成本都比較高。

布置在交換機與路由器間的模式，廠站VLAN占用少量業(yè)務(wù)方位，方位存量比較豐富，實際業(yè)務(wù)不會受到影響。廠站側(cè)業(yè)務(wù)有可能擴展，成本維護也要考慮到，應(yīng)該將縱向加密裝置部署在交換機與路由器之間。

綜上，在調(diào)度數(shù)據(jù)網(wǎng)中有效應(yīng)用網(wǎng)絡(luò)新技術(shù)，是提高調(diào)度數(shù)據(jù)網(wǎng)技術(shù)主要的方法，縱向加密裝備能夠?qū)㈦娏Χ蜗到y(tǒng)沒有縱向安全防護問題解決，從而使變電站和發(fā)電廠以及調(diào)度中心等控制生產(chǎn)大區(qū)系統(tǒng)縱向連接的安全得以保障。