摘要:智能电网的发展,要求调度技术的发展必须与之相适应。如果不保障调度支持系统的安全可靠运行,电网的安全稳定运行将无从谈起。内网监控平台将集中监视、诊断调度支持系统安全防护体系的运行情况,对各类运行风险进行实时防控,是智能电网当前和未来发展的需要。
关键词:调度支持系统;内网监控平台;安全防护
一.引言
电力二次系统是指由各级电力监控系统和调度数据网络(SPDnet)以及各级管理信息系统和电力数据通信网络(SPTnet)构成的大系统。随着电力市场的逐步开放,在调控中心、变电站、电厂、用户之间进行的数据交换也越来越频繁,系统网络组成越来越复杂,不同安全级别的系统越来越多,这势必会引起黑客、病毒、木马程序等通过各种不同形式对系统进行恶意的破坏和攻击,从而可能导致一次系统故障或大面积停电事故的发生,以及二次系统的崩溃与瘫痪。
近年来,国网兰州供电公司电力调控中心根据国家发改委第14号令《电力监控系统安全防护规定》要求,部署了大量的安全设备,建立了兰州电网电力调度数据网的二次系统安全防护体系,增强了二次系统抵御各类风险的能力,有力地保障了兰州电网的安全稳定运行。
二、项目实施背景及意义
1、项目背景
随着电力生产自动化水平的日益提高,远方控制功能的大量采用,对电力二次系统的安全性和可靠性提出了更高的要求。因此二次系统安全防护体系的建设、运行、管理应紧跟智能电网发展的需求,不断完善补充相关管理制度、安全设备等。但是,在目前的二次系统安全防护体系运行过程中,也暴露出一些问题。
第一:目前,国网兰州供电公司建设的智能电网调度技术支持系统共分为3个安全大区,安全防护系统配置情况:在安全I区和安全II区之间部署了防火墙,在I区、II区和III区之间部署了正反向物理隔离装置,实现了二次安全防护的十六字方针,即“安全分区、网络专用、横向隔离、纵向认证”的原则。但在系统内部仍然缺乏对二次系统I-II间、I-III区间安全设备的实时在线监视和运行分析的工具,无法实现对内网各调度技术支持系统安全的全面掌控,难以及时发现安全隐患。
第二:安全防护系统的各类安全信息布置于各处,无一套系统进行统计、分析、告警,特别是对各类异常访问、非法外联等重要告警信息,运行维护和管理人员无法及时全面掌控并采取相应的安全防范措施。
第三,安全审计工作十分困难,对于二次系统安全防护体系的安全审计没有相关监控、告警统计数据作为支撑。
内网监控平台的应用将解决以上问题,平台符合国家关于加强电力二次系统安全防护的相关要求,并依据国家电网公司《关于加强电力二次系统安全防护和等级保护工作的通知》(调自〔2012〕65 号)的文件要求,作为地调智能电网调度技术支持系统基础平台的重要组成部分,是提升电力二次系统的整体安全防护能力的重要标志。
期刊文章分类查询,尽在期刊图书馆
2、项目的意义
2.1目前,智能电网已成为电网技术发展的必然趋势。通信、计算机、自动化已在电网中得到深入广泛的应用,电网的智能化水平得到极大提升。具有一体化、标准化、智能化的智能电网调度技术支持系统是支撑智能电网发展的必要途径,二次系统安全防护体系则是调度支持系统的安全保障,而内网监控平台将集中监视、诊断调度支持系统、安全防护体系的运行情况。
2.2智能电网的发展,要求调度技术的发展必须与之相适应。如果不保障调度支持系统的安全可靠运行,电网的安全稳定运行将无从谈起。内网监控平台将集中监视、诊断调度支持系统、安全防护体系的运行情况,对各类运行风险进行实时防控,是智能电网当前和未来发展的需要。
2.3运用内网监控平台进行集中监视、统计分析和诊断,可以大大提升电力系统二次系统安全防护管控能力,有利于安全设备运维人员第一时间发现安全漏洞,采取相应的防御措施。
三、项目的预期目标
内网监控平台建设的预期目标是:推动电力二次系统安全防护体系由边界防护向纵深防御发展,解决智能电网调度技术支持系统对关键安全设备、服务器的日志集中采集和统一管理问题,实现对安全设备的实时告警与运行状态监测,为智能电网调度技术支持系统提供全面的安全基础支撑,及时掌握电力二次系统存在的安全隐患,采取有效措施阻止恶意攻击行为,保障电网安全稳定运行。
四、功能架构及部署方案
1、功能架构
电力二次系统安全监控主要功能,从业务角度划分为在线监视告警、审计分析、纵向加密认证装置集中管控功能。在分级部署时,平台级联通信功能,其中监视告警包括事件采集、过滤存储、分级转发、实时告警;审计分析包括统计分析、业务报表等功能。
2、部署方案
在调度支持系统安全I、II区分别部署一台内网安全服务器。
安全I区内网安全服务器部署日志采集模块,分别与I区中心交换机和I区调度数据网交换机相连,采集范围包括:安全区I调度数据网上的纵向加密装置、安全区I与安全区III之间的横向物理隔离装置(包括正、反向隔离装置)。内网安全服务器将数据发送至主调安全区I的监控平台。
安全II区内网安全服务器部署日志采集模块,分别与II区中心交换机和II区调度数据网交换机相连,采集范围包括:安全区II调度数据网上的纵向加密装置、安全区II与安全区III之间的横向物理隔离装置(包括正、反向隔离装置)、安全区II防病毒系统、入侵监测系统(IDS)、安全区I和安全区II之间防火墙。内网安全服务器将数据发送至主调安全区II的监控平台。
参考文献:
⑴石淑华 池瑞楠 计算机网络安全技术 人民邮电出版社,2016年
⑵ 谢善益 梁智强 电力二次系统安全防护设备技术 中国电力出版社,2012年
⑶谢希仁 计算机网络 电子工业出版社,2017年
论文作者:王蓉,马莉宁,彭旭
论文发表刊物:《电力设备》2017年第27期
论文发表时间:2018/1/10
标签:电网论文; 安全防护论文; 系统论文; 安全区论文; 电力论文; 内网论文; 支持系统论文; 《电力设备》2017年第27期论文;