摘要:近年来,居民生活水平不断的提高,对于电力系统的需求也不断的增大,在这种形势背景下,一方面为电力系统提供了更为广阔的发展空间,促进了电力系统的发展,另一方面也对电力系统提出了新的要求和挑战。在电力发展过程中,科学技术的发展进步为电力系统自动化水平的提高提供了条件,电力二次自动化系统的运用意义重大。
关键词:电力二次;自动化;安全防护设计
一、电站二次系统安全防护方案设计
1.1安全分区
安全分区是电力二次系统安全防护体系中的一个基础结构,其原理是基于计算机与网络技术应用系统将其划分成为生产控制区与信息管理区。其中,生产控制区又可分为控制区与非控制区,而MIS系统则属于管理信息区。控制区又叫做安全区I,控制区内部的业务系统和功能模块的主要特性是:在电力生产过程中可以对电力一次系统进行实时监控,同时对电力调度数据网络和专用通道进行纵向使用,是安全防护中的重点和核心。控制区的业务系统主要包含:同步信息的采集和处理系统、微机五防系统、风机信息管理系统、保护装置、火灾报警系统、安全自动控制子站、计算机监控系统、SIS系统、输煤程控系统等。控制区主要的使用者是电力调度员和相关的运行操作人员,数据传输的实时性为毫秒级或者是微秒级,其中的数据通信主要是通过电力调度数据网络中的实时子网或是专用通道进行数据传输。非控制区又叫做安全区II:非控制区内部的业务系统和功能模块的特性是:在电力生产的必要环节中实现在线运行检测功能,但其控制功能相对较弱;对电力调度数据网络进行纵向使用,将其和控制区内的业务系统与其功能模块进行紧密联接。非控制区包含的典型业务系统主要有远方电能量计量系统和故障信息远传系统,主要由电力调度员、继电保护人员以及电力市场交易人员等进行使用。非控制区数据采集的频度为分钟级或小时级,其数据通信主要是对电力调度数据网中的非实时子网进行使用。
1.2网络专用
电力调度数据网的存在主要是为了给生产控制区提供一种专用数据网络的服务,其功能是对电力系统进行实时控制、实现在线生产检测以及隔离安全区外部边界的网络。安全防护的隔离强度需要与所连接安全区之间的安全防护隔离强度相匹配。电力调度数据网除网络通道外,还设有专用通道,在专用通道上对独立的网络设备进行组网使用,其原理是通过使用SDH/PDH中的不同通道、光波长以及不同纤芯,来达到在物理层面上与电力企业的其他数据网和外部公共信息网进行安全隔离的目的。电力调度数据网可以划分为逻辑隔离实时子网与非实时子网,两者分别连接到控制区与非控制区中;并且可以利用MPLS-VPN技术、PVC技术、安全隧道技术以及静态路由等构建出子网。
1.3横向隔离
所谓横向隔离,主要指的是做好电站二次安全防护体系中的横向防线。通过不同强度的安全设备对各个安全区进行隔离。在生产控制区和信息管理区之间,设置由国家指定部门检测认证的电力专用横向单向的安全隔离装置,隔离的强度应接近或满足物理隔离的标准且具有访问控制功能,如防火墙、正反向隔离装置或者是其它具有同等功能的设备,以确保其安全隔离的效果。横向单向安全隔离装置可分为正向型与反向型。正向安全隔离装置主要在生产控制区与管理信息区之间进行非网络式单向数据传输时使用,反向安全隔离装置主要在管理信息区与生产控制区之间进行单向数据传输时使用。安全隔离装置是管理信息区至生产控制区之间唯一的数据传输途径。反向安全隔离装置可以对管理信息区发往生产控制区的数据进行集中接收,并对其进行签名验证、有效性检查以及内容过滤之后,再将处理后的数据转发到生产控制区内部的接收程序中。在选择隔离装置时,应确保装置满足实时性、可靠性以及足够的流量传输能力等条件。其次,控制区和非控制区之间尽量采用国产的硬件防火墙、具备访问控制功能的设备或者是具有相同功能的其他设备对其进行逻辑性的隔离。
期刊文章分类查询,尽在期刊图书馆
1.4纵向认证
纵向加密认证功能是二次系统安全防护体系中的纵向防护。通过认证、加密以及访问控制等技术,来达到对数据进行远程安全传输和纵向边界安全防护的目的。对于需重点防护的电站,在生产控制区与广域网进行纵向连接时,需使用经过国家指定部门检测的电力专用纵向加密认证装置、加密认证网关或相应设备,必须达到双向身份认证、访问控制以及数据加密的要求。如果暂时满足不了该条件,则可以采用硬件防火墙或是网络设备的访问控制技术进行代替。
二、电力二次自动化系统的安全预防措施
2.1网络隔离方法
经过使用IPsec—VPN亦或者MPLS--VPN于专网上构成互相逻辑分离的多个VPN,进而完成于专用渠道上创建调度专用数据网络,完成和其他数据网络物理分离的目标。方便确保各安全区的纵向相连仅在共同安全区实施,防止安全区的纵向交叉链接。此外,切勿应用DHCP、SNMP和Web等网络服务,倘若有需要,也需非常谨慎和安全的情况下进行。倘若采取远程访问,虽能有利于系统的程度的保护,完成厂家的在线技术支持,但经过Internet的访问,所有的系统内容将全部暴露,该有利于恶意攻击从访问端口侵入,大量网络病毒将伺机攻击系统,造成严重的网络瘫痪。
2.2纵向防护措施
使用加密、访问控制和认证等方法完成数据的远方安全运送与向边界的安全防护。安全区I、安全区II内部的纵向通信流程,一般具备2个系统间的认证,可思考采取IP认证加密装备之间的认证完成,主要方法为:①针对传输的数据经过数据加密和签名实施数据整体性和机密性维护。②IP认证加密装备间可试验数字证书方式来验证,可实现定向认证加密。③具备传输协议、IP、应用端口号的访问控制和整合报文过滤作用。④实现透明性质的工作方法和网关工作方法。⑤具备NAT功能作用。⑥支持装备间的智能调节,动态调节的安全战略。
2.3加强网络操作系统的安全度
电力二次自动化操作系统需选择运行性能较为稳定的系统,同时具备健全的系统设计与访问控制机制。一般情况下选择应用量较少的系统版本,有利于整个系统运行过程中缺少障碍。针对选择不同版本的操作系统,都需立即设定和安装全新安全有效的修补补丁,加强整个网络操作系统的稳定度和安全度。
2.4提高预防病毒的方法
互联网的病毒入侵速率远远超出人们的预想,虽互联网上的杀毒软件会进一步升级病毒库,但安全区I的自动化系统不能立即远程升级特征库代码。常规的杀毒方法为经专业的维护人员定期采取移动介质将下载好的病毒代码自动革新至防病毒中心。但不管为使用移动设备,或者是经过网络连接的形式革新病毒库,均把系统内部的资料短暂显露于安全防护系统以外,而设计一台独立的病毒升级服务器即可处理该难题。病毒服务器能设定在安全区III,服务器能使用Linux系统为操作平台,然后增加预防病毒软件系统,使用KDE系统的文件管理作用解决收取的病毒特征库文件,通过该平台的杀毒操作后,通过物理分离工具供给于总线连接的EMS网络装置,进而完成系统设备病毒库的安全防毒升级。此外,需把EMS供给的I/O设置和服务器隔开,避免产生系统障碍和崩溃。
结语
综上所述,在电力系统中,电力二次自动化系统的应用使电力进入到一个新的发展阶段。但是,电力二次自动化系统运行过程中还存在一些安全隐患,给电力系统的正常运行造成了严重威胁。因此,为了适应新时期的电力发展需要,我们要设计一个安全防护平台,保证电力二次自动化系统的安全运行,使电力系统更好地为我国经济社会发展和人们生产生活服务。
参考文献
[1]杨非,戴承栋,李东风.水电厂二次自动化系统安全防护的设计与研究[J].水电厂自动化,2011.
[2]许巧云.浅谈电力二次自动化系统安全防护设计[J].城市建设理论研究(电子版),2014.
论文作者:贾俊涛
论文发表刊物:《电力设备》2017年第6期
论文发表时间:2017/6/13
标签:控制区论文; 电力论文; 系统论文; 安全区论文; 纵向论文; 数据论文; 安全防护论文; 《电力设备》2017年第6期论文;