电力调度自动化网络安全防护系统

电力调度自动化网络安全防护系统

高莹

（国网渭南供电公司陕西渭南714000）

摘要：在现代电网调度系统中，调度自动化是重要组成部分，也是电网稳定、安全运行的保障条件。随着电力调度自动化网络朝着集成化、现代化的方向发展，用户与系统之间的数据信息越来越多，这对于其网络的安全性就提出了相应的要求。基于此，本文中详细分析电力调度自动化网络安全防护系统。

关键词：电力调度；自动化网络；安全防护

本文在阐述电力调度自动化网络安全防护系统本身具有作用的基础上，通过实际的电力调度自动化应用分析，希望可以满足网络安全防护系统安全高效运行的要求。

1、电力调度自动化网络安全防护系统的作用

电网运行状态的实时监控。在网络安全防护系统运行中，实时监控电网运行电负荷、电压以及频率等各项指标；针对电网运行中出现的热能变化、水能变化以及设备安装位置等情况做好针对性调度，并且进一步做好相关数据的整理与收集，就可以满足规范用户用电行为的要求。

电网运行状态的分析。保证电力系统稳定，电网运行安全性是关键，如果没有考虑到电网设计安全问题，很可能埋下安全隐患。同时，随着电网运行规模的扩大，由于诸多因素的影响，也可能出现电网运行故障，直接威胁电网运行安全性。因此，进行电力调度自动化网络安全防护体系的完善是非常必要的，其能够发现电网运行中潜在的故障，并且预测即将发生的故障，针对不同的故障类型，做好自动的防护，在控制电网运行故障率的同时，还可以提升整体的电网运行质量。

2、安全防护技术常见措施

2.1网络设备安全配置

不使用默认路由，网络边界路由器关闭OSPF路由功能，采用安全增强的SNMPv2及以上版本的网管协议，记录设备日志，设置8位以上符合复杂度要求的密码并定期进行修改，对访问控制列表进行配置，封闭空闲的网络端口等。

2.2安全备份及恢复技术

在电网调度自动化系统的安全防护技术中的备份及恢复技术就是要对系统中的关键运行数据进行定期的备份，这样才能够有效的保障在运行数据丢失或者是电力运行系统崩溃情况出现的情况下，有效并且准确快速的进行相关运行关键数据的恢复，最大限度的保障电力系统的有效运行及可用。备份及恢复技术能够有效的处理和规划电力系统关键运行服务器以及电力网络设备，电力运行电源关键模块部件，并且能够有效的规避由于系统运行过程中单点运行故障导致的电力系统的瘫痪。例如电力调度系统能够对数据服务器进行冗余相关配置，让数据服务器达到相关的技术要求以及安全标准要求。

2.3横向隔离安全技术

正向横向安全隔离装置用于生产控制大区到管理信息大区的单向数据传送，实现两个安全分区之间的非网络方式的数据传输，比如地调调度生产管理功能在管理信息大区部署网关机，该功能模块与生产控制大区的数据通信必须采用专用横向单向安全隔离装置实现强隔离。通过正向横向单向隔离装置从生产控制大区向生产控制大区传输实时数据和交易信息等，通过反向横向单向隔离装置从管理信息大区向生产控制大区传输计划数据和气象信息等。

3、电力调度自动化系统安全防护系统设计

调度自动化系统的两端为厂站以及CSSDA中上级调度机构，即厂站与主站，按照不同的功能要求，其安全需求也会有所差异，本章节对厂站的安防设计与实现进行分析。在对调度自动化系统厂站安全防护设计方案的设计中，以220kV变电站为例。该系统实时子网业务直接接入变电站的实时控制区，而非实时子网业务则直接接入非实时控制区之中。基于网络特性，建立二次安全保障技术，提升整体的网络安全；就系统安全而言，需要开展屏障保护，做好二次安全防护系统的建立健全；在物理安全上，为了做好二次防护，设备本身的加固不可少；在安全应用方面，需要直接清除死角，确保360°无死角。

3.1网络安全

安全区I之中有两台纵向加密认证网关，直接连接生产控制区的调度数据网交换机。考虑到数据传输的实时性一定要满足数据传输的可靠性要求，所以，生产控制区域应该开展安全方面的隔离处理。为了防范出现伪装、窃听信息等问题，在具体划分上，可以通过VLAN来实现，按照不同的测量与保护，实现逻辑方面的业务节点隔离。为了避免因为共享组播传输导致网络冲突不断加剧的问题发生，可以将I与II之间的安全隔离利用站控层来实现，有利于实时性目标的达成。在开展生产控制的时候，会将互联交换机直接划分成为若干VLAN，并且每一个都属于数据网实时业务地址的调度；当然，对于实时的业务VLAN而言，其还拥有横向与纵向两个方面的互联。

非控制生产区域的两台纵向互联硬件防火墙可以实现与调度数据网以及非控制生产区互联交换机之间的相互连接。在数据传输过程中，利用身份认证，

通过SSL/TLS，就能满足密钥下发和双向认证需求。对于直接通过明文来进行传送的报文，如AES256，对重要信息以及相对敏感的信息，都应该做好泄密的有效防护。而非控制生产区连接交换机，则需要进行非实时业务VLAN划分，每一个VLAN的地址是调度数据网非实时的业务地址；非实时业务VLAN之中又包含了横向与纵向互联。

在业务系统中，故障信息系统和继电保护系统与广域相量测量系统拥有实时与非实时数据的纵向传输，可以直接提供VPN传输的实时数据，同时也可以利用非实时的VPN来进行数据传输。当然，在VPN之间不会有纵向交叉连接的形成。因此，针对非实时数据传输通信外网口IP地址，可以选择横向互联防火墙，在经过实时VPN业务端地址后，转换形成非实时段地址。然后，通过防火墙来针对性地处理转换之后的地址。

3.2系统安全

监管节点需要对电力二次系统厂站端的内部节点进行逐一的梳理，不得连接到任何非生产管理大区，确保每一个节点管理的有效性，最终满足电力调度自动化网络安全本身的全局性和系统性要求。在厂站端建设以及技改实施过程中，需要落实运行反馈，尽量缩减设备缺陷。对测控装置、保护信息子站、远动机等都应该开展日常的检查，做好适当的维护，一旦出现共性问题，必须依托设备升级与技术改造，最大限度减少缺陷的出现，保证在电力生产中稳步而成熟地应用新技术。另外，应在厂站端的关键设备上应用容灾备份技术。针对电力调度自动化网络之中调度数据网交换机的关键性资源，就应该确保自动切换与双机备份操作的实现，防范因为故障而带来损失的增加。对于横向、纵向互联设备，包含业务系统当中的互联交换机、正向隔离装置、调度数据网、横向互联硬件防火墙、控制区纵向加密认证网关以及非控制区纵向硬件防火墙等网络设备，都一使用冗余备用结构。

3.3物理安全

对于厂站端而言，测控装置、远动机是其最重要的二次安全防护，其配置程序与硬件都存在一定差异。测控装置的缺陷在于数据上传速度较慢，很容易出现死机。远动机在大部分情况下，都需要借助厂家的配合才能实现维护人员对数据库配置的更改，但是由于厂家人员存在较大流动性，再加上素质与能力的影响，计算机设备就可能与互联网相互的连接，为后续的操作埋下安全隐患。因此，设备招标质量一定要严格控制，确保所选择的厂家能够满足一系列要求；施工关卡也需要严格控制，在具体的操作环节，需要规范厂家严格遵守计算机备的使用规定；严格把竣工验收大关，在验收环节对重要的遥调、遥控信号等逐一实施预置测试。在电力调度自动化网络系统的运行环节，必须尽可能区别设备正常运行，能够时常进行巡检，对于设备选择双机自动切换技术，需要在发现缺陷的时候，第一时间内分析与上报，并且按照缺陷，做好严格的处理，按照制度来进行数据的维护以及装置备件等。

4、结语

在电力系统调度自动化建设中，需要基于网络安全防护的基本原则出发，能够主动积极探索各种安全防护措施，确保其能正常的运行，并且保证其安全性，确保人们生产生活之中所需要的电能都能得到提供。

参考文献：

[1]管劲清.电力调度自动化中安全管理与网络的维护手段分析[J].建材与装饰，2017（47）：225-226.

[2]赵巍.电力调度数据网安全防护设计探讨[J].网络安全技术与应用，2017（11）：90+92.