摘要:现阶段,随着社会经济以及科学技术的不断发展和进步,传统的电网模式和新时代对于电力资源的要求很难满足。传统的电网当中也很容易产生很多问题,和人们高质量用电服务的要求不是很相符合。并且随着电力技术的不断进步和发展,电力调度数据网安全技术有着很重要的作用,相对于数据保护的完整性和安全性有着一定的意义,从而使得电力行业实际发展能够有着一定的促进作用。
关键词:电力调度;数据网;特性
引言
数据传输通道是数据采集的、信息交互的载体,其功能主要是实现子站采集终端与主站进行通讯。为确保数据传输的稳定性,子站采集终端与主站传输通道采用地区电力调度数据网或内蒙古省调电力调度数据网,通讯规约采用多种扩充版本的102规约。调度数据网采用IPoverSDH技术进行组网,基于光缆通道进行传输。调度数据网的可靠性、安全传输影响着电网的安全稳定运行,因此,课题对电力调度数据网安全传输及安全防护进行了研究与分析。
1、安全防护目标
电力调度网数据的安全防护系统目的在于保证电力数据网络的可靠性、安全性,防止外来力量破坏和攻击电力通信数据网,窃取电网有关的信息,同时防止电力系统因集团式攻击出现电网大面积的一二次电网重大事故,造成社会经济损失、甚至社会不稳定的发生。
2、基于电力通信网的电力调度数据网设计的基本原则
电力调度数据网作为电力调度的安全保障,在设计过程中遵循的原则主要有以下 4 点:安全区域的划分,实现专网专用,进行横向隔离,实现纵向认证。在满足上述几项原则后,就基本建立了电力调度数据网的安全防护体系,最大限度地避免数据业务出现突然中断的情况,进而对网点的正常运转造成影响。同时,上述原则还能够保证电力调度数据网的外部防护级别,防止数据网遭到恶意攻击导致系统瘫痪,以及在数据传输过程中遭到病毒攻击而导致数据泄露。电力系统相关负责人员必须重视电力调度数据网的安全防护工作,一旦电力调度数据网瘫痪,将严重影响电力系统各方面的正常运作。
3、电力调度数据网结构特性
3.1、电力数据传输方案
电力调度数据网是成熟的、已建成的数据传输通道,在数据传输方面仅需解决子站采集终端与电力调度数据网间的通讯即可。采集终端与电力调度数据网通讯时通信线缆采用超五类屏蔽双绞网线,变电站电缆沟内不仅有弱电电缆,而且以强电电缆居多,强电对数据传输有一定的干扰,为避免干扰,保证数据传输可靠性应使用标准568B线序压制网线。敷设网线时应使用建筑用绝缘电工套管,以进一步减少强电对网线的干扰。对于220kV变电站需敷设至中调和地调数据网网线各一根。采集终端配置,采集终端应按调度自动化分配的电能量采集系统子站非实时业务IP进行配置,并配置对应子网掩码和网关地址。配置与电能量采集系统主站通讯的前置IP地址。对于220kV变电站配置中调数据网电量业务非实时网关至电能量采集系统前置IP的静态路由。纵向加密设备配置,应导入地调数据网非实时业务证书,应配置对应密通隧道和策略。对于220kV变电站应同时在中调纵向加密设备上进行对应配置。主站前置机,应配置与子站采集终端通讯的静态路由、IP、端口等信息[1]。
3.2、系统安全防护
(1)网络路由防护。依据相关网络安全技术标准以及电力数据网管理标准,通过虚拟专网技术对电力数据网进行划分,其分别为非实时的调度数据子网和实时的电力调度数据子网。并通过网络路由防护保证电力数据网的安全可靠传输及应用。(2)网络边界防护。对系统业务接入时采取严格的控制策略,确保接入信息的可信度。电力数据网不容许接入没有通过认证的业务。
业务系统边界和电力通信网络进行业务往来时,必须采取有效的访问控制策略,对其通信的业务范围以及方式实现有效的防护控制。逻辑生产安全区与电力通信数据网间的纵向边界应使用有效的安全隔离措施、信息加密以及IP安全认证等有效的策略进行控制。同时电力系统中需实时上传的数据应进行纵向加密策略后上传至电力调度数据网中。(3)网络设备的安全配置,其主要包含有关闭闲置的网络端口、访问控制系统进行授权、设定安全系数高的访问密码、对IP地址范围进行认定、对设备日志进行安全记录、网管协议主要是SNMPv2及以上的版本、网络边界OSPF路由功能进行屏蔽、默认路由进行设定、网络服务进行规定等等。
3.3、调度数据网的路由设计
布接入子网基于开放性、可扩展性原则选择路由协议,AS内部IGP采用OSPF路由协议,同时采用BGP/MP-BGP路由协议支持IPV4和VPNV4路由的学习。3.1OSPF路由觃划OSPF(OpenShortestPathFirst,开放最短路径优兇)是IETF组织开収的一个基于链路状态的内部网兲协议。本次项目采用IPv4协议的OSPFVersion2(RFC2328)。3.1.1区域觃划之兰察布接入子网厂站数量多、区域分布广,为提高域内路由收敛速度,按照接入子网中划分的汇聚节点迚行区域划分,其体觃则如万:接入子网的核心、汇聚区域划为Area0,核心及汇聚设备的loopback地址、核心间互联地址、核心与汇聚互联地址、汇聚间互联地址、网管网段加入Area0;以汇聚节点为根,将万联的厂站划分到对应的Area区域中,Area叶按汇聚点顺序分配,同一汇聚节点万的厂站划分到同一Area区域中,汇聚点及相兲接入层厂站的loopback地址、PE-P互联地址宣告到对应Area区域,兲于PE-CE互联管理地址采用业务地址管理[2]。
3.4、应用接入安全技术分析
现阶段,对于电力调度二次系统设备相关应用标准还没有出台,所以,在对二次系统的选取当中,往往会面对缺少统一要求的相关安全问题,从而使得电力调度数据网安全有着很大的问题。并且,如果二次系统自身存在安全隐患,这对于电力调度数据网有着很大的影响,严重的还会造成电力调度系统有序性产生影响。所以,就需要按照接入系统进行相关生产标准的制定,采用电力调度数据网的实际应用对于系统系统作为实际的生产标准,并制定相应的标准型号,确保应用介入和电力调度能够相符合,以此确保电力调度网合理运行,防止因为接入系统安全问题造成电力调度数据网出现崩溃的情况。
3.5、系统实施内容
为了保证数据的安全、可靠,系统采用虚拟专用网络(VirtualPrivateNetwork,即VPN)技术组建与系统主站的数据传输通道,并支持加密安全传输协议,同时部署防火墙设备,防止外部非法用户接入。为进一步提升通信安全性,在主站与电站侧分别部署VPN设备,其中平台侧作为VPN服务端,电站侧作为VPN接入端,并选择具有安全机制IPSECVPN作为隧道协议。采集系统中的监控数据位于电力生产控制安全Ⅰ区,生产管理系统位于电力生产管理信息安全Ⅲ区。Ⅰ区监控服务器到Ⅲ区生产管理服务器之间部署正向隔离装置,保证数据传输满足电力网络安全的规范[3]。
结束语
通过对电力数据传输方案及电力数据数据安全防护两个方面的设计,保证电力调度数据网安全传输。
参考文献:
[1]胡怀伟.电力调度数据网设计概述[J].网络安全技术与应用,2019(12):32-35.
[2]于浩,胡丹.电力系统通信数据网传输特性自动测试方法研究[J].自动化与仪器仪表,2019(11):68-71.
[3]徐毅,袁保平,夏轶炜.电网调度数据网的网络安全在线监测工作分析[J].通信电源技术,2019,36(11):178-179.