摘要:针对配电自动化主站二次系统的安全防护问题,基于“ 安全分区,网络专用,横向隔 离,纵向认证”的二次系统安全防护原则,采用对主站系统的安全分区和在系统边界部署安全防 护等措施,对宁东供电公司配电自动化主站系统进行了安全防护设计。 应用结果表明:该二次安 全防护方案有效保证了配电自动化系统和配电网的安全,稳定运行。 本文首先分析了配电自动化系统的二次安全防护 ,然后分析了二次安防应用效果。
关键字:配电系用;二次安防;构建;自动化
配电自动化系统是对配电系统中的设备 进行远方实时监控、协调及控制的自动化系统。 因配电自动化系统与多个外部信息系统进行连 接,故数据在传输过程中极易因外部系统受黑 客、病毒入侵而感染主站系统,导致配电网一 次系统事故,严重威胁配电网的安全运行。 针对安全隐患配电主站的二次安防可采 取安全分区、网络专用、纵向认证、权限管理、 身份认证、报文加密等措施,对主站进行安全 防护。此外主站还会受来自系统内部和外部的 电磁干扰,针对这种安全隐患配电主站系统可 综合利用屏蔽和滤波等技术进行二次防护,确 保配电自动化主站系统安全、可靠运行。
一、配电自动化系统的二次安全防护
(一)安全分区和横向隔离
根据主站系统内部相关业务的重要程度,将 配电自动化主站系统分为生产控制大区和信息管 理大区。 生产控制大区设备包括具有信息采集、控 制、数据处理等关键功能的服务器,如:SCADA 服 务器、前置采集服务器,历史服务器,接口服务器 及各工作站等。 管理信息大区主要设备包括数 据发布系统的 WEB 服务器及交换机和通过公网 进行数据采集的公网采集服务器及交换机。 为防 止黑客, 病毒等从系统薄弱环节的管理信息大区 入侵至系统关键部分的生产控制大区, 造成配电 自动化系统的破坏, 甚至导致配电网一次系统的 事故, 应在生产控制大区和信息管理大区间部署 正反向隔离装置。 正向隔离是指经安全过滤后的 信息从生产控制大区流向信息管理大区, 反向隔 离指经安全过滤后的信息从信息管理大区向生产 控制大区传输。 正反向隔离装置将传输数据进行 安全过滤并保证数据的单向流动, 将安全隐患阻 挡在生产控制大区以外。
(二) 网络专用
配电自动化系统与被控对象之间的数据通信应采用多种专用数据网络,如光纤通信,无线电通 信,电力线载波等方式。 其中光纤通信相对其他通 信方式传输速度快,具有极低的传输损耗,抗电磁 干扰能力强等优点, 在配电自动化系统中使用较 为普遍。 对于无法满足光纤通信条件的,或不具备 专网条件的常采用共用通信网络, 如 GPRS, CDMA 等, 但是 GPRS 在数据传输速度上较光纤 传输方式慢。 一般配电自动化信息传输系统采取 光纤通信与 GRPS 通信互为主备的通信方式。 为 防止病毒在不同通信通道中传播蔓延, 各通信方 式应独立运行,禁止通道互联。
(三) 纵向认证
为防止病毒入侵至与信息交互总线连接的各外部系统, 例如电网 GIS 平台系统、 生产管理系 统、95598 客服系统、用电采集系统及调度自动化 系统等,造成电力主干网故障,应在配电自动化主 站系统和调度自动化系统的边界及配电自动化主 站系统和信息交互总线间部署纵向加密认证装 置。 纵向加密认证装置为配电自动化主站系统与 其它系统之间的广域网通信提供认证与加密服 务,实现数据传输的机密性、完整性保护。
期刊文章分类查询,尽在期刊图书馆 对于没 有条件加装纵向加密认证装置的, 可以采用防火 墙临时替代, 例如配电自动化系统和调度自动化 系统设备同时安装在 1 个机房内或短距离连接的 情况,可直接在边界加装防火墙进行安全隔离。
(四) 权限管理
配电自动化系统不同岗位人员应配置不同的操作权限,以达到安全防护的目的,采用多角色的 权限设置,可有效避免误操作,例如可设置调控员 权限,自动化维护人员权限,WEB 浏览权限等。 一 般调控员权限可设置为系统人机界面的浏览,开关三遥信息操作等。 自动化运维人员的权限一般 设置为系统维护功能的权限,例如数据库维护,图 形编辑等。 WEB 浏览人员权限一般仅限于在浏览 器查看线路遥信、 遥测及线路运行状态等实时遥 信、遥测信息,但对于告警窗信息、数据库内容等 无法进行查看和操作。
二、二次安防应用效果
(一)将配电自动化主站系统进行安全分区后, 确定了系统中设备的不同安全等级和防护要求, 在生产控制大区和管理信息大区间安装正反向隔 离装置, 有效地将安全隐患阻断在生产控制大区 以外, 保证了主站系统关键服务器和工作站的安 全、稳定运行。
(二) 在配电自动化主站系统的生产控制大区 与广域网边界安装纵向加密装置, 实现了两端设 备的身份认证和传输数据信息的加密和访问控 制, 有效杜绝了病毒在配电自动化系统的上下级 间传播。
(三)配电自动化主站系统与终端采用纵向加密认证和采用复合加密遥控报文, 保证了在黑客冒 充主站入侵终端时, 无法对遥控报文进行篡改和 复制,确保了开关遥控操作的可靠性。
(四) 对配电自动化系统不同岗位人员设置相应 权限, 有效杜绝了非自动化人员对配电自动化系 统数据库,配网模型等的更改和误操作。
三、结论
(一) 配电自动化主站二次安防系统基于“ 安全分区,网络专用,横向隔离,纵向认证”的二次系 统安全防护原则设计,功能满足《 配电二次系统安 全防护方案》( 电监安全( 2006)34 号令)的要求,可 为同行业配电自动化二次系统运维人员提供技术支持。
(二) 配电自动化主站二次安防系统的应用, 有效保证了宁东配电网安全,稳定运行。
(三) 该配电自动化系统二次安全防护方案不 仅适用于配电自动化主站系统也试用于调度自动化主站系统。
参考文献:
[1]王宗耀,苏浩益. 配网自动化系统可靠性成本效益分析[J]. 电力系统保护与控制,2014,42(06):98-103.
[2]何剑军. 地区电网配电自动化最佳实践模式研究[D].华南理工大学,2011.
[3]陈志茂. 配电自动化项目建设过程中的难点及解决方案[J]. 技术与市场,2017,24(10):241-242.
[4]李剑峰. 兖州矿区供配电系统自动化的研究与实践[J]. 电源世界,2017(10):39-43+38.
[5]刘恩德. 日本关西电力公司的高级配电自动化系统[J]. 国际电力,2003(01):33-35.
[6]吴林. 计及馈线自动化的配电网可靠性分析[D].重庆大学,2016.
论文作者:杨振宇
论文发表刊物:《电力设备》2018年第25期
论文发表时间:2019/2/13
标签:系统论文; 主站论文; 大区论文; 自动化系统论文; 纵向论文; 权限论文; 信息论文; 《电力设备》2018年第25期论文;