分析電廠側調度數據網的安全防護設計

陳澤旺

摘 要：隨著我國經濟水平的不斷提高，推動了我國電力行業(yè)的快速發(fā)展。為了不斷的滿足電力生產調度中的不同業(yè)務對數據網絡通信的要求，各個省市的電網公司通過建設調度數據網，實現對網絡承載調度的自動化、電量采集以及繼電保護等方面實現控制和管理。在建設調度數據網的過程匯總，要堅持安全分區(qū)、網絡專用、橫向隔離以及縱向認證的原則，實現電力二次系統(tǒng)的安全防護。

關鍵詞：側調度數據網；安全防護；設計

中圖分類號：TM73 文獻標識碼：A 文章編號：1006-8937（2013）21-0055-02

隨著我國電網的迅速發(fā)展，人們對電力生產提出了越來越高的要求。為了達到電力生產調度業(yè)務能夠滿足數據網絡通信的要求，通過建立調度數據網，來對網絡承載調度的繼電保護、自動化以及電量采集進行調度的控制和管理。由于調度數據網系統(tǒng)和直調電廠的生產經營息息相關，因此，也需要對直調電廠進行調度數據網的建設。在直調電廠中進行調度數據網的接入，要對直調電廠進行接入層網絡設備的配置，運用省傳輸網或者地區(qū)傳輸網進行匯接，使其接入到調度數據網的匯聚層設備中。本文對某直調電廠的調度數據網的安全防護設計要點進行分析。

1 安全分區(qū)

我國相關的電監(jiān)相關規(guī)范文件明確規(guī)定，建設安全的調度數據網要遵循安全分區(qū)、網絡專用、橫向隔離以及縱向認證的原則，在對直調電網進行骨干調度數據網之前，首先要建立一個安全的防護系統(tǒng)。建立防護系統(tǒng)的主要目的在于保證調度數據網和互聯(lián)控制系統(tǒng)的安全性和穩(wěn)定性，使其能夠有效的對黑客、惡意代碼、病毒等不同形式的攻擊進行抵御，進而促進直調電網的安全、穩(wěn)定運行。

某電廠的測調度數據網主要運用以下接入方式：首先在電廠的通信機房中配置兩臺具有PE功能的路由器，將其作為PE路由器；然后在每臺路由器中配置1個端口，該端口為E1端口，這個端口在連接通信的機房中進行傳輸網設備的E1端口，在連接傳輸網的前提下，運用SDH 2M E1來將骨干調度數據網的最近的兩個匯聚層節(jié)點進行連接。在路由器之間實現二層GE或者FE接口的互聯(lián)，對其進行備份，并且在路由器上設置互相備份的硬件與軟件。另外，在每一臺路由器上通過配置一個以太網交換板卡來對二次安全防護系統(tǒng)設備進行連接，并且運用交換板卡對雙機VRRP進行備份，并在此交換板卡上對WLAN的方式進行劃分，并為其提供實時的VPN與非實時的VPN接口。

電廠的業(yè)務系統(tǒng)在安全等級上主要分為安全Ⅰ區(qū)和安全Ⅱ區(qū)。其中，安全Ⅰ區(qū)主要接入到調度數據網的控制區(qū)域中，安全Ⅱ區(qū)主要接入到調度數據網的非控制區(qū)。安全Ⅰ區(qū)的業(yè)務系統(tǒng)主要包括火電機組控制系統(tǒng)的DCS、自動發(fā)電控制功能和調速系統(tǒng)、無功電壓控制功能與勵磁系統(tǒng)、遠動終端、穩(wěn)控系統(tǒng)執(zhí)行站、相量測量裝置PMU、AVC子站、五防系統(tǒng)、電力系統(tǒng)穩(wěn)定器PSS、快門氣門裝置以及具備設置功能的保信子站等。安全Ⅱ區(qū)的業(yè)務主要包括故障錄波子站、電能量采集裝置、無設置功能的保信子站以及電力市場報價終端等。

2 安防設備的部署

在實時的VPN區(qū)域，也就是安全Ⅰ區(qū)，對其進行縱向加密認證裝置設備的部署；對于非實時VPN區(qū)域，也就是安全Ⅱ區(qū)，對其進行縱向防火墻設備裝置的部署。另外，考慮到安全Ⅰ區(qū)和安全Ⅱ區(qū)在業(yè)務的聯(lián)系上會出現互訪的現象，因此，需要在兩者之間設置防火墻。除此之外，由于安全生產控制大區(qū)的業(yè)務和信息大區(qū)的業(yè)務存在有互訪的現象，因此，需要在兩者之間進行橫向隔離裝置的部署。

3 VLAN劃分

在進行VLAN劃分的過程中，首先在控制區(qū)域的互聯(lián)網交換機中對若干的實時業(yè)務VLAN進行劃分，所劃分的各個VLAN的地址要以調度數據網的實時VPN的業(yè)務段地址為主。在實時VLAN時，其中，兩個VLAN被用來對控制區(qū)進行橫向互聯(lián)與縱向互聯(lián)工作，其余的VLAN被用來對控制區(qū)中各個類別的業(yè)務系統(tǒng)的接入進行控制。另外，在非控制區(qū)中的互聯(lián)交換機中對多種不同的非實時業(yè)務VLAN進行劃分，各個VLAN的地址主要指的是調度數據網中非實時VPN的業(yè)務段地址。在非實時VLAN中，其中的兩個VLAN分別運用在非控制區(qū)域的橫向互聯(lián)與縱向互聯(lián)中，其他的VLAN主要運用在非控制區(qū)域中的各個不同類型的業(yè)務系統(tǒng)的介入中。另外，在控制區(qū)域中的互聯(lián)交換機與非控制區(qū)域的互聯(lián)交換機中通過使用ACL功能，能夠實現對各個VLAN進行訪問控制的實施，有效的防止在安全區(qū)域中出現各個VLAN業(yè)務系統(tǒng)的直接互通現象。

4 設備故障的預案

電力調度網絡運行的是否安全、穩(wěn)定對于電網整體的安全、穩(wěn)定運行具有直接的影響。特別是在實時控制區(qū)域中，調動自動化系統(tǒng)SCA-DA/EMS、繼電保護系統(tǒng)、電廠的自動監(jiān)控系統(tǒng)以及電能量計量系統(tǒng)等各種業(yè)務系統(tǒng)都對實時數據有嚴格的要求，并對網絡的傳輸時延、容錯性等提出了非常高的要求。因此，在對設備的故障安全防護進行考慮時，要確保在最短的時間內將電廠的各項業(yè)務運行進行恢復，對其進行方案的設計時，將縱向加密裝置和縱向硬件防火墻設置為透明方式。為了確保該設計方案的順利、有效實施，在對調度網絡進行緊急恢復時，繞過全部的二次系統(tǒng)安全防護裝置設備，例如加密裝置和防火墻等，并運用直通網線對控制區(qū)域縱向互聯(lián)交換機、自動化PE路由器以及非控制區(qū)域的互聯(lián)交換機進行連接。這時，實時的縱向業(yè)務數據與非實時的縱向業(yè)務數據能夠通過運用傳統(tǒng)的路由模式、地市調度數據網和省調度數據網來實現對其的連接，進而能夠有效的確?？v向業(yè)務系統(tǒng)不受到影響，并達到防護的目的，實現電廠測調度數據網的安全、穩(wěn)定、快速運行。

5 結 語

總而言之，通過對某直調電廠的調度數據網的安全防護設計要點進行分析，該電廠側調度數據網的安全防護設計方案得到了很好的應用。隨著我國電網的健康、穩(wěn)定、快速發(fā)展，新系統(tǒng)不斷的接入，數據網的交換將會更加頻繁，調度數據網的安全防護工作可能將會具有更大的風險，因此，需要對其進行持續(xù)不斷的關注并逐漸完善，旨在有效的促進我國電廠的健康、穩(wěn)定發(fā)展。

參考文獻：

[1] 張曉陽，方磊.電力行業(yè)二次安全防護解決方案[J].信息安全與通信保密，2008，（11）.

[2] 黃偉，葛敏輝，方興其.華東區(qū)域電力調度數據網應用接入規(guī)范[J].電力系統(tǒng)自動化，2008，（18）.

[3] 李志杰，牛玉臣，閻明波.調度自動化二次系統(tǒng)安全防護體系[J].電工技術，2006，（3）.

[4] 王益民.國家電力調度數據網的設計與實施[J].電網技術，2005，（11）.

[5] 衷宇清，姜智.基于新一代MSTP的電力調度數據網和生產信息網探討[J].電力系統(tǒng)通信，2005，（10）.

[6] 雷云，凌玉華，廖力清.物理隔離在電力系統(tǒng)中的實現[J].微計算機信息，2008，（10）.