(唐山电力建筑安装有限公司变电工程分公司 河北唐山 063000)
摘要:随着电力行业信息化的深入发展及信息技术的不断进步,尤其是近年来随着调度数据网的建成和调控一体化模式的逐步推广,电力二次系统已经成为电力系统生产、运行、管理的重要基础设施。电力二次系统的信息安全与电网调度和控制系统等安全运行分不开,如何搭建安全可靠的电力二次安全防护系统,确保电网安全稳定运行,已成为迫在眉睫的问题。
关键词:电力二次系统;安全防护技术;电力数据网络;拓扑结构;安全需要
一、引言
电力二次系统安全防护工作是通过技术手段和管理措施做好监控系统及调度数据网络的安全传输,并保证电气量和监控实时数据免受攻击,实现各种电气设备可靠运行;总体目标是通过建立完善的电力二次系统安全防护体系,保证在正常的安全策略范围内系统能够安全可靠运行,即使受到攻击时也能够迅速恢复绝大部分功能,保证系统免受损坏,或者即使受到损坏也能尽快恢复来保证电网的安全运行。
二、电力二次系统安全防护的基本原则
1.安全分区
安全分区在电力二次系统安全防护体系中是结构基础。按照内部原则,可以将发电企业、电网企业、供电企业等划分为生产控制大区和管理信息大区。对于生产控制大区来说,又可以划分为控制区(安全区Ⅰ)和非控制区(安全区Ⅱ)。
2.专用网络及构造
电力调度数据网作为专用数据网络,通常情况下是为生产控制大区提供服务的,同时承载着电力实时控制和在线生产交易等业务。按照系统性原则,在安全防护隔离强度方面,安全区的外部边界网络之间需要与所连接的安全区之间保持相互匹配。
3.横向隔离
在生产控制大区与管理信息大区之间设置经国家指定部门检测认证的电力专用横向单向安全隔离装置。同时,在生产控制大区内部的安全区之间设置具有访问控制功能的网络设备、防火墙或者相当功能的设施。
4.纵向加密认证
通常情况下采用认证、加密、访问控制等技术措施对数据的远方安全传输以及纵向边界的安全进行相应的防护。
三、电力二次系统安全防护的目标和重点
电力二次系统安全防护的目标是防止未授权的用户访问系统或进行恶意的非法操作,防止外部边界发起的攻击,避免由攻击导致的一次系统的事故和二次系统的瘫痪。
电力二次系统安全防护的重点是抵御黑客和病毒等通过各种形式发起的破坏和攻击,保证电力实时监控系统和相关调度数据网络的安全,防止由此引起的电力系统事故,确保电力系统能安全稳定运行。
四、电力二次系统安全防护常用技术措施
1.备份与恢复技术
定期对关键系统的数据进行备份,确保在数据损坏或系统崩溃的情况下,能快速准确恢复相关数据,保证系统可用,比如对调度录音系统语音文件的定期备份和对调度自动化系统数据库的定期备份等。
期刊文章分类查询,尽在期刊图书馆
对关键服务器、网络设备、电源模块和关键部件进行冗余配置,避免单点故障导致系统不可用,比如电力调度自动化系统中会对前置服务器、数据库服务器、SCADA服务器等进行双机冗余配置,使关键服务器达到N-1的安全配置要求。
对于实时控制系统,在具备条件的情况下,构建异地的系统备份,提供系统级别的容灾功能。比如云南省调建立在曲靖的调度自动化备调系统,当云南昆明遭遇重大自然灾害导致省调自动化系统瘫痪时,云南省调可以利用曲靖的备调系统进行电力调度,确保电力调度工作的正常开展。
2.交换机技术
交换机工作在数据链路层,管理和共享多个计算机以及网络设备,其特点是对网络进行以微分段的方式进行数据通信。交换机解决了两个相邻节点之间的通信问题,实现了邻节点链路上无差错、准确无误、高效快速的传输协议数据帧。
如今已有能够支持各种局域网多层的路由技术,实现了数据快速和准确转发。多层交换技术具有性价比高、易于扩展等优点,成为主要的发展趋势。交换机在数据帧交换中的核心集成电路设计、硬件体系结构设计、虚拟局域网技术等方面都会有所改进。从整体来看,交换机是向更快、更可靠、带宽更大的方向发展。
3.路由器技术
不同的网段或网络可以通过路由器连接Internet中各局域网的广域网的设备,从而构成一个更大的网络。它能够根据网络情况自动选择和设定路由,以最佳路径将数据包转发出去。
4.硬件防火墙技术
硬件防火墙作为一种重要的网络安全设备,主要用于实现网络地址转换、过滤规则配置等,其技术还在不断地发展进步。为了提高防火墙的性和稳定性,一些防火墙厂商通过专用的集成电路或者网络处理芯片来实现防火墙的核心功能。由于采用了专门的硬件处理平台,防火墙的处理能力得到了很大的提高,降低了因为防火墙检测而导致的网络延时。在功能上,防火墙在保留其核心功能的基础上,增加了地址转换、虚拟专用网络、Qos、入侵检测和病毒防御等完善网络安全管理的功能,从而构建了一套以防火墙为核心的完全防御系统。以防火墙为核心的安全防御系统是一个智能化的操作平台,能够准备地发现并及时阻挡入侵的发生和中止病毒的扩散等。
5.横向隔离技术
电力二次系统实现电网的实时监控、在线稳定控制预决策、继保信息管理、电量采集、在线生产交易等业务。由于关系到电力生产安全、社会生活稳定等重大问题,电力二次系统再长期的建设过程中,都要求与企业综合业务网和物流网进行隔离。但是信息管理系统与互联网连接,并与电力二次系统信息共享必然会引入外部安全威胁。而防火墙等在线防护技术采用逻辑隔离的方法,不能提供较高强度的安全。所以这种软隔离方法难以满足电力部门的高安全需求,必须采用一种能够提供高强度安全的技术,在保护电力二次统内部安全的同时,提供较好的数据交换功能。
五、结语
电力二次系统的安全防护有多种技术可以选用,各种安全防护技术均有其特点,各自有不同的适用环境,使用者应该依据电力二次系统的实际拓扑结构和安全需要来选择不同的安全防护技术。
在构建电力二次系统的安全防护体系时,应该遵循“安全分区、网络专用、横向隔离、纵向认证”的总体策略,这样便可以选定正确的电力安全防护技术和设备,确保自己的电力二次系统安全可靠。
参考文献:
[1] 曹茂�N,高伏英.电网调度自动化主站运行[M].北京:中国电力出版社,2011.
[2] 秦超,张涛,林为民.基于数字证书认证的电力安全拨号认证系统[J].电力系统自动化,2009,(10).
论文作者:吕秉刚
论文发表刊物:《电力设备》2017年第20期
论文发表时间:2017/11/16
标签:电力论文; 系统论文; 安全防护论文; 技术论文; 数据论文; 网络论文; 大区论文; 《电力设备》2017年第20期论文;