分析电厂侧调度数据网安全防护设计.docVIP

分析电厂侧调度数据网安全防护设计 　　摘 要：随着我国经济水平的不断提高，推动了我国电力行业的快速发展。为了不断的满足电力生产调度中的不同业务对数据网络通信的要求，各个省市的电网公司通过建设调度数据网，实现对网络承载调度的自动化、电量采集以及继电保护等方面实现控制和管理。在建设调度数据网的过程汇总，要坚持安全分区、网络专用、横向隔离以及纵向认证的原则，实现电力二次系统的安全防护。 　　关键词：侧调度数据网；安全防护；设计 　　中图分类号：TM73 文献标识码：A 文章编号：1006-8937（2013）21-0055-02 　　随着我国电网的迅速发展，人们对电力生产提出了越来越高的要求。为了达到电力生产调度业务能够满足数据网络通信的要求，通过建立调度数据网，来对网络承载调度的继电保护、自动化以及电量采集进行调度的控制和管理。由于调度数据网系统和直调电厂的生产经营??息相关，因此，也需要对直调电厂进行调度数据网的建设。在直调电厂中进行调度数据网的接入，要对直调电厂进行接入层网络设备的配置，运用省传输网或者地区传输网进行汇接，使其接入到调度数据网的汇聚层设备中。本文对某直调电厂的调度数据网的安全防护设计要点进行分析。 　　1 安全分区 　　我国相关的电监相关规范文件明确规定，建设安全的调度数据网要遵循安全分区、网络专用、横向隔离以及纵向认证的原则，在对直调电网进行骨干调度数据网之前，首先要建立一个安全的防护系统。建立防护系统的主要目的在于保证调度数据网和互联控制系统的安全性和稳定性，使其能够有效的对黑客、恶意代码、病毒等不同形式的攻击进行抵御，进而促进直调电网的安全、稳定运行。 　　某电厂的测调度数据网主要运用以下接入方式：首先在电厂的通信机房中配置两台具有PE功能的路由器，将其作为PE路由器；然后在每台路由器中配置1个端口，该端口为E1端口，这个端口在连接通信的机房中进行传输网设备的E1端口，在连接传输网的前提下，运用SDH 2M E1来将骨干调度数据网的最近的两个汇聚层节点进行连接。在路由器之间实现二层GE或者FE接口的互联，对其进行备份，并且在路由器上设置互相备份的硬件与软件。另外，在每一台路由器上通过配置一个以太网交换板卡来对二次安全防护系统设备进行连接，并且运用交换板卡对双机VRRP进行备份，并在此交换板卡上对WLAN的方式进行划分，并为其提供实时的VPN与非实时的VPN接口。 　　电厂的业务系统在安全等级上主要分为安全Ⅰ区和安全Ⅱ区。其中，安全Ⅰ区主要接入到调度数据网的控制区域中，安全Ⅱ区主要接入到调度数据网的非控制区。安全Ⅰ区的业务系统主要包括火电机组控制系统的DCS、自动发电控制功能和调速系统、无功电压控制功能与励磁系统、远动终端、稳控系统执行站、相量测量装置PMU、AVC子站、五防系统、电力系统稳定器PSS、快门气门装置以及具备设置功能的保信子站等。安全Ⅱ区的业务主要包括故障录波子站、电能量采集装置、无设置功能的保信子站以及电力市场报价终端等。 　　2 安防设备的部署 　　在实时的VPN区域，也就是安全Ⅰ区，对其进行纵向加密认证装置设备的部署；对于非实时VPN区域，也就是安全Ⅱ区，对其进行纵向防火墙设备装置的部署。另外，考虑到安全Ⅰ区和安全Ⅱ区在业务的联系上会出现互访的现象，因此，需要在两者之间设置防火墙。除此之外，由于安全生产控制大区的业务和信息大区的业务存在有互访的现象，因此，需要在两者之间进行横向隔离装置的部署。 　　3 VLAN划分 　　在进行VLAN划分的过程中，首先在控制区域的互联网交换机中对若干的实时业务VLAN进行划分，所划分的各个VLAN的地址要以调度数据网的实时VPN的业务段地址为主。在实时VLAN时，其中，两个VLAN被用来对控制区进行横向互联与纵向互联工作，其余的VLAN被用来对控制区中各个类别的业务系统的接入进行控制。另外，在非控制区中的互联交换机中对多种不同的非实时业务VLAN进行划分，各个VLAN的地址主要指的是调度数据网中非实时VPN的业务段地址。在非实时VLAN中，其中的两个VLAN分别运用在非控制区域的横向互联与纵向互联中，其他的VLAN主要运用在非控制区域中的各个不同类型的业务系统的介入中。另外，在控制区域中的互联交换机与非控制区域的互联交换机中通过使用ACL功能，能够实现对各个VLAN进行访问控制的实施，有效的防止在安全区域中出现各个VLAN业务系统的直接互通现象。 　　4 设备故障的预案 　　电力调度网络运行的是否安全、稳定对于电网整体的安全、稳定运行具有直接的影响。特别是在实时控制区域中，调动自动化系统SCA-DA/EMS、继电保护系统、电厂的自动监控系统以及电能量计量系统等各种业务系统都对实时数据有严格的要求，并对网络的传输时延、容错性等