(国网长子县供电公司 山西省长治市 046600)
摘要:数据传输通道是数据采集的、信息交互的载体,其功能主要是实现子站采集终端与主站进行通讯。为确保数据传输的稳定性,子站采集终端与主站传输通道采用地区电力调度数据网或内蒙古省调电力调度数据网,通讯规约采用多种扩充版本的102规约。调度数据网采用IP over SDH技术进行组网,基于光缆通道进行传输。调度数据网的可靠性、安全传输影响着电网的安全稳定运行,因此,课题对电力调度数据网安全传输及安全防护进行了研究与分析。
关键词:电力通信网;电力调度数据网;安全传输
前言:
现阶段,随着社会经济以及科学技术的不断发展和进步,传统的电网模式和新时代对于电力资源的要求很难满足。传统的电网当中也很容易产生很多问题,和人们高质量用电服务的要求不是很相符合。并且随着电力技术的不断进步和发展,电力调度数据网安全技术有着很重要的作用,相对于数据保护的完整性和安全性有着一定的意义,从而使得电力行业实际发展能够有着一定的促进作用。
1电力调度数据网现状及安全风险
(1)安防机制被动。目前的电网调度数据网建设中,变电站内部及调度间的二次安全防护仅依靠隔离装置、加密装置,缺乏积极主动的安全防护工具。隔离和加密装置只是网络信息系统的一道防线,已不能完全满足现代智能电网中调度自动化系统的安全防御需要。(2)系统本身安全性。电力调度数据网本身的规模和复杂性,导致了以下安全威胁:一是维护人员需深入了解网络结构、配置参数和软件,以免在维护过程中出现操作不当,配置错误可能不易在短时间内被发现,但仍是不可小视的安全隐患;二是未详细研究使用的网络设备的本身缺陷和漏洞,网络设备在设计中会不可避免地因技术更新问题而存在薄弱环节或运行bug。(3)内外部攻击。电力调度数据网是一个相对独立的网络,大部分攻击来自内部非法访问,如外部人员非法访问造成对网络设备及资源的非正常使用,或擅自扩大自身权限,越权访问信息。电力调度数据网也利用国际通用的网络协议进行通信,随着信息化的高速发展,终端的交互不断提升,病毒和木马会严重影响网络速度和数据安全。综上所述,随着各种信息技术在数据网的不断渗透,网络运行环境的复杂性大幅提升。如果没有一个系统的、多层次的安全信息事件管理平台来加以整合,就易形成一个个的安全孤岛,使得网络安全事件无法互通、无法进行统一监管。
2电力数据传输方案
电力调度数据网是成熟的、已建成的数据传输通道,在数据传输方面仅需解决子站采集终端与电力调度数据网间的通讯即可。
采集终端与电力调度数据网通讯时通信线缆采用超五类屏蔽双绞网线,变电站电缆沟内不仅有弱电电缆,而且以强电电缆居多,强电对数据传输有一定的干扰,为避免干扰,保证数据传输可靠性应使用标准568B线序压制网线。敷设网线时应使用建筑用绝缘电工套管,以进一步减少强电对网线的干扰。对于220kV变电站需敷设至中调和地调数据网网线各一根。采集终端配置,采集终端应按调度自动化分配的电能量采集系统子站非实时业务IP进行配置,并配置对应子网掩码和网关地址。配置与电能量采集系统主站通讯的前置IP地址。对于220kV变电站配置中调数据网电量业务非实时网关至电能量采集系统前置IP的静态路由。
纵向加密设备配置,应导入地调数据网非实时业务证书,应配置对应密通隧道和策略。对于220kV变电站应同时在中调纵向加密设备上进行对应配置。主站前置机,应配置与子站采集终端通讯的静态路由、IP、端口等信息。
3电力数据数据安全防护设计
系统安全防护应遵循“安全分区、网络专用、横向隔离、纵向认证”的总体要求;安全Ⅱ区和安全Ⅲ区之间通过电力专用安全隔离装置进行隔离,安全Ⅱ区的数据通过电力专用正向物理隔离装置同步到安全Ⅲ区,安全Ⅲ区的数据通过电力专用反向物理隔离装置同步到安全Ⅱ区;厂站数据接入应通过纵向加密认证;电能量采集系统与其他系统的数据交互应通过安全防护设备。CC2000A系统CIM模型和潮流数据传输至电能量采集系统时按照安全防护原则仅需经过防火墙进行逻辑隔离即可,但是为确保系统对CC-2000A不产生任何不良影响,CC-2000A的CIM模型和潮流数据文件从SCADA服务器通过防火墙传输至内平台服务器,再通过正向隔离装置传输至WEB服务器,进而传输至电能量采集系统Ⅲ区网关机,最后经过反向隔离装置传输至II区网关机完成数据采集。系统采用的操作系统应达到GB/T20272中4级安全防护等级的要求;系统采用的关系数据库应达到GB/T20273中3级安全防护等级的要求;系统正式上线前应通过上线安全测评。调度数据网安全考虑主要依照国家能源局2015年36号令《电力监控系统安全防护总体方案》进行设计。
安全分区,原则上划分为生产控制大区和管理信息大区,具体根据二次系统各业务系统的特性和对一次系统的影响程度进行分区,所有系统都必须分置于相应的安全区内,重点保护实时控制等关键业务。网络专用,建立专用电力调度数据网络,实现与电力企业内部网的物理隔离,实时子网、非实时子网和应急子网三个VPN在调度数据网传输基于不同的MPLS VPN标签实现逻辑隔离,相同安全区才可以在纵向通道上互联。横向隔离,安全隔离使用在生产控制大区与管理信息大区之间,隔离强度应接近或达到物理隔离。
4电力调度数据网安全管理的策略研究
4.1重视对电网调度数据软件的开发应用
计算机技术应用发展的同时,对一些软阿金应用的需求也逐渐增多,所以结合现阶段的电力产业发展实际情况,在原有的应用软件基础之上,进一步的开展软件改进以及优化是提升电网调度数据安全管理工作的基础条件。针对企业的系统平台访问的信息验证环节,可以对浏览者设置内部的密码输入获取信息,同时爱需要利用防火墙以及安全管理的相关软件,通过系统性的安全管理措施应用,能够将系统平台内的数据信息的安全性与稳定性有效提升。同时加强对安全管理部门的人员培训以及管理指导,定期组织开展维修维护工作人员会议,并开展软件开发的要素以及结构设置的讨论,通过技术人员的更新与处理,并结合电力企业的内部制度,将防范的目标顺利完成。
4.2调强对一些防控病毒入侵技术的应用
病毒入侵对电力系统信息的危害性较大,很多安全方面的问题都是由此导致的。现阶段部分通信企业的病毒处理以及预防技术还亟待加强,无论是从外部引进防御技术还是一些针对性的病毒清除处理技术,都需要结合攻击性的病毒种类开展进一步的研究与讨论。
对专业性的防控技术应用,能够从源头上控制一些计算机病毒入侵的情况,此时工作人员将入侵病毒的类型以及入侵方式方法进行搜集处理,这样在采用防控技术的同时,还能给日后的类似问题处理带来参考依据条件。目前还有针对病毒类型分析技术手段方法,主要是从计算机病毒的类型辨别入手的,通过对不同的计算机病毒类型进行控制处理,能够将计算机病毒排查工作系统性展开,发现病毒侵袭征兆及时的采取一些防控处理方法。现阶段还有一些点力企业单位以及网络公司,已经开始根据网络病毒的类型以及特征,开展针对性的预防控制技术研发应用,但是目前这方面的技术发展还有很大的进步与发展空间,未来能够将一些常规性的计算机病毒处理的同时,还能积极应对一些具备特殊性的计算机病毒。
5结束语
计算机调度网安全管理体系建设以及安全管理研究是一个重要的项目工程。所以企业单位根据自己不同的发展目标,将一些技术以及软件等资源合理利用起来,并加强对内部员工的管理与协调引导,这样一个细致化的网络安全管理体系也逐步建立起来。电力调动数据网安全管理期间存在的问题也能及时的排除,还能将网络的内部信息安全进一步维护,提升数据信息的应用价值,促进企业长远发展进步。
参考文献:
[1]林成宁.电力调度数据网及其维护研究[J].河南科技,2017(17):131-132.
[2]罗刚.MPLS VPN安全性及其在贵州电力调度数据网中的应用研究[D].贵州大学,2017