分析电厂侧调度数据网的安全防护设计庞晓东 摘要:我国国民经济的飞速发展和人民生活水平的显著提升极大促进了我国电力事业的发展,为了充分满足电力生产调度业务进行过程中对数据网络通信的各种需求,各级电网公司应该加强调度数据网的建设,提升网络承载调度自动化水平,强化继电保护以及电量采集等方面的管理电力企业在调度数据网建设过程中,必须要始终做好安全分区,坚持网络专用等基本原则,最大程度实现做好整个电力系统的防护工作关键词:电厂;侧调度数据网;安全防护;设计一、引言随着我国社会经济的飞速发展和人民生活水平的显著提升,社会对电力能源的需求更高了为了更好地开展电力生产调度业务,加强数据网络通信建设,实现电力行业的可持续发展,电力部门就应该充分重视调度数据网的建设过程,强化数据意识,加强对网络自动化以及电量调度的管理因为调度数据网系统直接关系到电厂日常的生产经营状况,所以也必须加强直调电厂的数据网建设,配置好相关网络设备,利用省级或者本地的传输网络进行对接,让其能够接入到数据网的汇聚层中现如今,各级电力公司逐渐认识到数据网络通信建设的重要性,开始更加关注电力调度业务的顺利开展,加强了对继电保护系统和调度管理系统的建设。
电力公司的这些行为适应了电力行业未来的发展需求,不仅有利于我国电力事业的长远发展,逐渐跟上甚至赶超世界先进水平,而且对我国各级电力企业的发展也有非常大的帮助,可以为客户提供更为优质的电力服务,从而显著提升电力企业的经济效益,实现企业的长远发展国家层面上也出台了相关规定,提出要加强电力系统安全防护工作,并且也颁发了文件明确了电力系统安全防护工作开展的要求,即要想提高直调电厂的技术水平,必须要提前做好系统的安全防护工作,积极开展安全防护系统建设,可以最大程度确保调度数据网络的安全,将病毒、黑客等外界攻击阻挡在外,防止电力系统发生较大的故障,情况严重的甚至会酿成严重的安全事故,带来不可挽回的损失,这对电力企业乃至于整个电力行业的发展来说都是致命的二、安全分区电力行业相关规范明确提出,调度数据网建设必须要始终遵循以下四个原则,首先是安全分区,其次是网络专用,然后是横向隔离,最后是纵向认证,构建安全防护系统是建设调度数据网的基本前提,其主要目的在于可以有效确保调度数据网运行的可靠性和安全性,可以最大程度抵挡各种病毒的侵袭和黑客对系统的攻击,以便保证直调电网运行的稳定性和安全性下面就侧调度数据网的接入方式进行分析,第一步在电厂通信机房中安装两台路由器,这两台路由器必须要具有PE功能,这样才能充分发挥出其应有的功能。
第二步,每台路由器需要设置一个E1端口,此端口在机房中属于传输网络中的重要设备,在传输网络连接的基础之上,使用SDH2ME1连接汇聚层节点,需要注意的是,这只能连接数据网络中最近的两个节点第三步,两个路由器的FE接口应该相互关联起来并做好备份,而且还应该在路由器上安装好备份需要的软硬件为了连接上二次安全防护设备,还需在两台路由器上安装以太网交换板卡以太网交换板卡的作用不止于此,它还能够有效划分WLAN的具体方式,提供实时或者非实时的VPN接口,此外还具有备份双机VRRP的重要功能按照安全等级进行划分,电厂业务系统主要可以分为两种类型,分别是安全Ⅰ区以及Ⅱ区,两者分别接入到调度数据网的控制和非控制区域中前者的业务系统涵盖自动发电控制和调速系统、电力系统稳定器以及远程终端等后者的业务系统主要涵盖电能量采集装置以及电力市场报价终端等三、安全设备的部署安全Ⅰ区和Ⅱ区分别对应实时和非实时的VPN区域,对二者分别部署纵向加密认证装备装置和防火墙设备装置安全Ⅰ区和安全Ⅱ区在业务上会存在或多或少的联系,所以应该在两个区之间设置必要的防火墙此外,因为安全控制大区与信息大区之间存在一些关联,所以在二者之间也需设置必要的隔离装置。
四、VLAN划分在划分VLAN之前首先应该划分控制区域互联网交换机中的诸多实时业务,划分的各个VLAN的地址应该建立在调度数据网的实时VPN的业务段地址的基础上实时VLAN中的两个可以对控制区进行横向和纵向的关联工作,其他的VLAN则可以有效控制控制区中的其他业务系统而且,其他多样化的非实时业务VLAN可以通过非控制区中的互联交换机进行划分需要注意的是,VLAN的地址指的主要是调度数据网中非实时VPN的业务段地址非实时的VLAN中有两个可以应用在横纵向的互联中,其余的VLAN则应用在非控制区域中的各种各样的业务中此外,控制区域和非控制区域中的互联交换机利用ACL可以加强对VLAN访问的控制管理,防止安全区域中出现VLAN业务系统直接关联的情况五、设备故障的预案电力调度网络的安全稳定运行对保证电网运行的整体安全性和稳定性有非常大的意义尤其在实时控制区域中各种业务系统对数据的要求都非常高,诸如电能计量系统以及自动监控系统对网络的传输性也提出了更高的要求所以,在设计电力设备故障安全防护过程中应该尽量在最短的时间内恢复电厂中各种业务的顺利开展为了更好的实现保护效果,不仅要将纵向硬件防火墙设为透明方式,还需将纵向加密装置同时设为透明方式。
为了从根本上提升设计方案的科学性,在紧急恢复调度网络时应该尽量不涉及防火墙等二次防护装置,并使用直通网线连接控制和非控制区域中的互联交换机在这种设计方案下,实时和非实时的纵向业务数据既可以通过常规的路由模式进行连接,也可以通过省地市的数据网进行连接,这样就可以最大保护纵向业务不受外界的干扰,实现安全防护的最大目的,进而促进电厂侧调度数据网的安全可靠运行六、结束语综上所述,在电厂侧调度数据网中应用科学合理的安全防护设计方案,可以最大程度确保直调电厂数据网运行的安全性和稳定性随着我国电力网络规模的不断扩大以及社会对电力能源需求的持续增加,新系统的数量将会越来越多,数据网的交换也会更加地频繁,这就给调度数据网的安全防护工作带来更大的安全隐患,风险系数较之前相比有了明显的提高因此,电力企业必须要加强对调度数据网安全防护工作的重视,不断完善电厂侧调度数据网的安全防护设计水平,尽量将安全隐患扼杀在萌芽之中,给社会各行业提供安全可靠的电力来源,为广大人民群众提供更为优质的电力服务,这不仅可以促进我国国民经济发展水平的提升,而且还极大有利于我国电力事业的整体发展总之,电厂侧调度数据网安全防护工作的顺利开展对电力行业和社会经济的发展是有百利而无一害的,未来应该得到各级电力企业的充分关注。
参考文献:[1]张晓阳,方磊.电力行业二次安全防护解决方案[J].信息安全与通信保密,2008,(11).[2]黄伟,葛敏辉,方兴其.华东区域电力调度数据网应用接入规范[J].电力系统自动化,2008,(18).[3]李志杰,牛玉臣,阎明波.调度自动化二次系统安全防护体系[J].电工技术,2006,(3).[4]衷宇清,姜智.基于新一代MSTP的电力调度数据网和生产信息网探讨[J].电力系统通信,2005,(10).[5]雷云,凌玉华,廖力清.物理隔离在电力系统中的实现[J].微计算机信息,2008,(10).[6]黄伟,葛敏辉,方兴其.华东区域电力调度数据网应用接入规范[J].电力系统自动化,2008,32(18):100-103.[7]衷宇清,姜智坚.基于新一代MSTP的电力调度数据网和生产信息网探讨[J].电力系统通信,2005,26(10):34-37.[8]李志杰,牛玉臣,阎明波.调度自动化二次系统安全防护体系[J].电工技术,2006(12):24-26.[9]张晓阳,方磊.电力行业二次安全防护解决方案[J].信息安全与通信保密,2008(8):42-43. -全文完-。