变电站二次系统安全防护策略的研究

变电站二次系统安全防护策略的研究

邵健 于波 王建军

国网山东省电力公司枣庄供电公司 山东枣庄 277100

摘要：随着电力事业的不断进步和提高，变电站在电网中得到了广泛应用和发展。变电站对信息数字化要求高，所以要对变电站网络信息进行有效的安全防护，保证电网运行的安全性和可靠性。因此，分析变电站二次系统安全防护目标和特点，将计算机技术和自动化技术应用于变电站二次系统安全防护，结合变电站二次系统安全防护的实际要求，提出变电站二次系统安全防护的策略，以期为我国变电站的发展提供借鉴。

关键词：变电站；二次系统；安全防护策略

引言

随着当前我国社会经济发展速度不断提升，在社会各个行业的发展过程中，对电力的需求量不断上升，同时，基于网络的智能化，变电站生产控制型业务向调度数据网传输数据量不断增多，对变电站的工作效率、供电质量、供电安全以及供电的稳定性方面提出了更高要求。电力监控系统和调度数据网络的安全问题，是当前人们关注的重点问题，尤其是智能变电站二次系统的安全防护，对变电站的供电效率以及供电的安全性方面有着重要影响。在经过了相关电力研究人员的分析之后，提出了智能变电站自动化控制方式，系统内部横向有效安全隔离与纵向加密认证的安全防护设计方案，对保证变电站的供电效率和提升系统工作安全性方面起到了至关重要的作用。

1变电站二次系统安全防护特点

变电站二次系统在安全防护方面具有动态闭合性特点。二次系统动态闭合性是二次系统在安全防护过程中，所有的程序运行都安照顺序进行执行。二次系统安全防护首先要构建二次系统安全防护体系，通过系统防护的检测方式检测危险源，再通过系统检测的结果制定相应的防护响应措施。二次系统安全防护的闭环性主要是二次系统的安全防护在防护和检测过程中形成一个封闭的环形体系。智能变电站二次系统安全防护的动态闭环性特点，如图1所示。变电站二次系统安全防护体系建立要具有系统性原则，以弥补系统安全防护的不足，突出自身安全防护的优势。遵守可靠性原则可以及时应对黑客攻击，并对攻击行为进行防护。全面性原则要可以做到安全防护的实时性和连续性，强化边界安全防护，建立统一的安全防护体系。

图1　智能变电站二次系统安全防护动态闭环性特点

2变电站二次系统存在的安全风险

由于近些年电子计算机技术发展迅速，英特网、环球网和电子邮件等开始被人们广泛使用，网络病毒凭借这些平台开始大肆传播。计算机病毒会破坏计算机数据或功能，导致计算机不能正常使用，并且还可以进行自我恢复，具有极强的复制性、破坏性和传染性。美国微软公司曾经发布了一条安全报告，网络罪犯把中国的电脑用户当作最主要的侵害目标。而且在近一段时间，我国病毒侵害事件的发生率正逐步增长，给我国带来了巨大的经济损失。在现阶段，变电站二次系统病毒主要是借助网络、U盘、局域网等来进行传播，设计安全防护方案时最重要的就是预防，并且能够使病毒攻击的可能性得到最大限度的降低。其中，最主要的风险包括：第一，网络入侵者通过发送非法控制的命令，进而使电力系统出现事故，更甚者会造成系统瓦解；第二，未经授权就使用电力监控系统的网络资源或者计算机，导致负载过重，进而使系统出现故障；第三，将大量数据发送给通信网关或者电力调度数据网，进而使监控系统或者网络瘫痪。

3二次系统的安全防护策略

二次系统的安全防护首先需要确定正确的防护原则，在以上技术分析的基础上。可以以“网络专用，安全分区，横向隔离，纵向认证”为基本的防护原则。安全防护主要针对的二次系统回路是监控系统回路。当然其它回路系统也需要定时检查确保设备没有处于“带病”工作状态。监控系统回路是以通信技术为支撑，需要强化边界防护，加强内部数据安全，以及网络、主机、通信链路安全。从全局考虑，应落实安全防护制度，严格人员、设备、系统建设、系统运维的管理，提高整体安全。电力系统的安全防护是一个复杂的体系工程，其总体的安全水平取决于最薄弱点的安全水平。它的安全防护是一个长期的、动态的防护过程，应该形成一个监测、响应、实施、评估的闭环工程。

3.1安全分区

安全防护系统可以划分为生产控制大区和信息管理大区。生产控制大区又可分为控制区（安全区1）和非控制区（安全区2）。控制区直接纵向的调度电力信息数据和专用通道，是电力防护系统的重点和核心。非控制区是电力运行不可缺少的地方，可以在线运行，但不具有控制功能。信息管理大区即信息管理系统，分为内部网数据调度系统，内部电话及网络系统，调度管理系统等。监控系统控制区的设备主要有：厂级分散控制系统（DCS系统，该系统位于控制区，分为机组单元控制，自动发电控制，辅机控制，机组保护和公共系统等），轮机控制系统（TCS），自动电压控制系统（AVC），厂级信息监控系统，升压站监控系统，相量测量装置PMU，自动发电控制系统（AGG），变电站自动化系统。位于非控制区的有：故障录波系统RTU和电能量采集装置。其中，DCS、TCS、厂级信息监控系统、火警探测、管理系统都是变电站内部监控设备，其它设备是与调度中心有关的监控系统。

3.2生产控制大区的安全防护

（1）生产控制大区安全等级大于管理信息大区。禁止生产控制大区使用邮件服务，控制区禁止使用web服务。（2）重要数据采取加密手段，例如电力交易数据，SCADA/AGC/AVC等。（3）特殊情况下允许非控制区使用web服务，但也应采取专用协议。（4）内部主站端和重要端口必须采用恶意代码防护系统。防止病毒攻击。（5）根据边界防护原则，在大区边界上采用入侵检测手段。（6）对于生产大区中的拨号访问，都应使用经过国家检测认证的加固系统。（7）强化安全审计系统，严格进行登录认证和授权。

3.3信息管理大区的安全防护

统一部署防火墙，定时进行病毒库更新。确保病毒库、木马库经过安全检测，更新时注意离线进行更新。部署桌面终端防护系统。在满足国家安全防护的要求下，将信息录入安全监管系统。网络专用。进行网络路由防护，采用虚拟专网技术。针对控制区和非控制区划分独立的实时子网和非实时子网，保证高水平的网络质量；进行网络边界防护，经过授权的节点才可以接入电力数据系统；进行合理的安全配置以及分层分区设置。

3.4横向隔离

在生产大区和信息管理大区之间进行严格的横向隔离。必须设置经过国家检测的电力隔离设备，横向隔离强度应无限接近或达到物理隔离水平。生产控制大区内各个安全区之间也应严格进行控制访问，进行逻辑隔离。专用的横向隔离设备需要满足信息的正向或反向传递要求，能够实时、准确的传输信息。

结束语

随着变电站在电力系统的应用，变电站二次系统的安全防护可以有效保证变电站运行的安全性和可靠性，提高电力系统运行的质量和水平。对变电站的二次系统进行安全防护，可以有效防止外界入侵对变电站造成的破坏，保证了电力系统的稳定运行。

参考文献

[1]顾植彬，杨鹏飞，彭春荣，等.MEMS结构的带电作业电场测量预警系统[J].传感器与微系统，2019，36（4）：111-113.

[2]洪　林，陈　鹏.基于IEC104规约的水电厂远动通信实时性及安全性的优化措施[J].水电与抽水蓄能，2020，（3）：96-101.

[3]代远哲，林　毅，张品高.信息系统风险评估在电厂二次系统安全防护项目中的应用分析[J].电力技术，2019，（8）：68-72.

[4]朱炳铨，任雁铭，姜健宁，等.变电站自动化系统实现IEC61850的过渡期策略[J].电力系统自动化，2019.29（23）：123-131.