发电厂自动化系统防护分析.pdfVIP

发电厂自动化系统防护分析 发电厂自动化系统防护分析 发发电电厂厂自自动动化化系系统统防防护护分分析析 薛龙 大唐鸡西热电有限责任公司 黑龙江鸡西 158100 摘 要：本文作者介绍了发电厂调度自动化系统，分析了电力二次系统安全防护工作开 展情况，提出了调度自动化系统二次防护的主要策略。 关键词：发电厂；自动化系统；防护；分析 中图分类号：TP27 文献标识码：A 文章编号： 计算机网络安全是电力生产安全密不可分的一部分。除了依据国家规定建立可靠的网络 安全技术构成的安全防护体系外，还必须建立健全完善的网络安全管理制度，形成技术和管 理双管齐下的态势，以确保网络安全这一最终目的的逐步实现。同时，调度自动化安全防护 是一个长期的、动态的工作过程。在随着人员、技术、外界风险不断变化发展，以及调度自 动化系统应用与开发环境的不断变化发展，安全目标与防护措施也随之不断发展和变化。调 度自动化系统的安全管理需要及时跟进并应用新技术，定期进行风险评估、加强管理，才能 保障电力行业调度安全稳定、可靠地长周期运行。 1 发电厂调度自动化系统概述 调度自动化系统是在对全系统运行信息进行采集分析的科学基础上，运用现代自动化技 术和可靠的通信系统，由计算机监控作出综观全局的明智判断和控制决策。包括远动装置和 调度主站系统，是用来监控整个电网运行状态的。调度自动化系统是电网调度和电网运行管 理必不可少的技术手段，是电力系统重要基础设施之一，关系到电网安全稳定运行。发电厂 调度自动化系统作为电力监控系统的重要组成部分，其安全问题一直受到国家有关部门的重 点关注。 2 电力二次系统安全防护工作开展情况 2002年，原国家经贸委发布第30号令《电网和电厂计算机监控系统及调度数据网络安 全防护规定》，提出了电网和电厂计算机监控系统及调度数据网络安全防护的基本原则，即 “电力系统中，安全等级较高的系统不受安全等级较低系统的影响”，明确要求要实现两个 隔离：电力监控系统与办公自动化系统或其他信息系统之间以网络方式互联时，必须采用经 国家有关部门认证的专用、可靠的安全隔离设施；电力调度数据网应在物理层面上与公用信 息网络安全隔离。电监会成立以后，在充分总结以往工作的基础上，明确提出了“安全分区、 网络专用、横向隔离、纵向认证”的二次系统安全防护总体策略，使电力行业二次系统安全 防护工作进入了实质建设阶段。 2005年以来，电力行业按照《电力二次系统安全防护规定》（电监会5号令）及相关 配套文件要求，从规章制度、组织体系、资金保障、人员管理及分区防御、网络安全、数据 防护等方面开展了一系列富有成效的工作，初步建立了覆盖全行业的二次系统安全防护体 系，防护能力显著提高。随着网络安全威胁的日趋严重和升级，二次系统安全防护工作所面 临的安全形势更加严峻。 3 调度自动化系统二次防护的主要策略 电力二次系统安全防护方案根据电力系统的特点及各相关业务系统的重要程序、数据流 程、目前状况和安全要求，将整个电力二次系统分为四个安全区：Ⅰ实时控制区、Ⅱ非控制 生产区、Ⅲ生产管理区、Ⅲ管理信息区。 3.1 理顺关系，合理整合接入业务 3.1.1 调度自动化系统的横向业务包括：第一、与办公区域的生产管理信息系统（MIS） 的接口。传统的访问方式是通过通信网关或WEB服务器实现数据的通信。若想达到横向安全 防护的目标，位于安全区Ⅱ的通信网关或WEB服务器与位于安全区Ⅲ的MIS系统之间必须采 用经有关部门认定核准的专用隔离装置，使MIS系统的用户终端仅可以通过专用隔离装置浏 览WEB服务器上的调度自动化信息，禁止其MIS系统向调度自动化系统发出数据请求。第二、 与电能量计量系统、竞价上网系统的接口。为使这些位于安全区Ⅱ的系统能够安全可靠地实 现数据业务的传输，就要求调度自动化系统与这些系统之间增加硬件防火墙。 3.1.2 调度自动化系统的纵向业务包括：第一、专线通道。通过专线通道和特定的通信 协议实现厂站RTU装置与调度主站EMS系统间的通信。这类接口暂不考虑安全问题。第二、 网络通信接口。通过通信网关实现厂站与调度主站间的通信。为确保处理安全区Ⅰ的各系统 能够安全可靠地实现数据业务的传输，就要求调度自动化系统与这些系统之间加设纵向加密 认证装置，再经电力通信数据网络