二次系统安全防护技术在电力配网调度自动化中的

引言

区域经济增长与能源供应密切相关,当前自动化已经逐渐渗透到能源行业,电网资源由能源部统一监管、统一分配、统一调度,以确保电网整体的有序运营。能源通过人力运输危险系数较高,而采用自动化调度运输可以降低危险性,二次系统安全防护技术的应用可以有效支撑电力能源的自动化调度运输。

1二次系统安全防护技术概述

电力二次系统的安全防护主要针对基于网络或者网络系统的生产控制系统。安全防护的总体目标是确保电力调度数据网络和监控系统的整体安全,抵御病毒、黑客、恶意代码的攻击与破坏,避免电力二次系统瘫痪或者崩溃,甚至是大规模停电事故、电力系统事故。二次系统相当于电力资源监控系统,可以实时监测与控制电力资源或者电厂生产的自动化智能设备。其中,南方电网安全防护原则是网络专用、安全分区、纵向认证、横向隔离。其安全防护的核心能力是保护、响应、检测、恢复。二次系统属于保护与控制的一次系统电力回路,目的是保护一次系统中相关电气设备,如变压器、电动机、发电机、母线等。假如一次系统发生过流、短路、过热、过压、雷击等问题时,二次系统会立即启动保护操作。

2二次系统安全防护技术在电力配网调度自动化中的应用

2.1二次安全防护系统总体应用方案

南方电网电力二次系统电网安全防护目标为:确保电力二次系统的连续性和可用性:避免病毒或恶意代码的侵袭:确保重要信息在运输和存储中的完整性和机密性:加强关键业务接入电力二次系统网络中的身份认证工作,避免非授权访问或非法接入行为:实现电力调度数据网安全事件与电力监控系统的可审计、可追踪、可发现,加强调度数据网络与电力监控系统的安全管理。南方电网的电力二次系统安全防护应用总计划中包含各级调度控制中心、变电站、配电中心、电力通信等机构。

2.2安全分区

结合电力二次系统的业务重要程度以及一次电力系统的影响度开展分区工作。南方电网二次系统主要包含管理信息大区和生产控制大区,生产控制大区包含安全区I(控制区）与安全区Ⅱ(非控制区）,其中生产控制大区应当成为二次系统主要的防护主体。此外,应开展网络专用工作。南方电网的电力调度数据网需要在专用的通道上使用单独的网络设备组网,以物理角度与外部公共信息网和综合业务数据网进行隔离。此网络利用MPLS-VPN划分出两个业务子网,也就是非实时VPN与实时VPN,两者互相进行逻辑隔离。其中实时VPN主要应用在控制区业务系统中的远程数据通信,而非实时VPN用在非控制区的业务系统远程数据通信工作中。

2.3横向隔离

南方电网的运行维护单位中的管理信息大区与生产控制大区之间需要设置电力横向专用的安全隔离装置以保证物理隔离。而管理信息大区与生产控制大区中安全区之间可以通过具有访问控制或防火墙性能的网络设备以保证逻辑隔离。例如,广东电网系统在二次系统防护建设中主要有三类安全需求:第一,非控制区与控制区之间利用双链路连接成为备份,在链路上部署防火墙,应实现两个防火墙之间可以同步信息和流量,相互作为备份开展工作。第二,在二次系统中利用的安全设备应具有快速转发和高性能的特点,对于网络容错性和传输时延具有较高的要求。因此,在二次系统安全防护过程中,广州电网公司在广州、东莞、佛山等地的供电局利用启明星辰的"天清汉马"防火墙展开保护工作。有关负责人表示该防火墙利用高配置硬件性能平台,通过专用的HA协议确保系统安全防护的可利用性,两个防火墙之间增加了业务备份和流量分担的功能,提升了二次系统实时控制业务的实用性和可靠性。

2.4纵向加密认证技术

南方电网的运行单位在调度数据网和控制区的纵向连接位置时需要安置电力纵向专用加密认证网关或认证装置,而在调度数据网与非控制区之间应安置电力纵向专用加密认证防火墙或网关,可以为调度机构、子站与主站控制系统中的调度数据网通信过程提供双向的身份认证、访问控制服务、数据加密等业务。对于刚进入网路的新设备,应在纵向互联网上设置统一的密码认证机制,专门的通道边界也应设置加密认证机制,加强安全防护设备,调度数据在边缘区域的覆盖。其中网络边缘信息的泄露属于安全隐患,主要由于网络攻击者非法进入系统进行攻击造成的。因此,保护安全区间的纵向网络边界的安全问题可以提升电力能源网络自动化调度能力,确保信息在传输中不会发生泄露,实现电力能源的正常使用和运输。

2.5单向技术的应用

其一,数据泵技术。该技术是在通信基础上只能单向传输数据,如在数据收到后确认、流量控制、差错控制等。不过数据泵中协议控制信息属于双向技术,假如协议存在漏洞,可能会通过漏洞反向发送数据。其二,单向二极管技术的应用。数据二极管技术也称信息流单向技术。该技术已经在国外实现产品化,如荷兰的Fox-IT公司、澳大利亚的Tenix公司。以owL公司为例,该公司生产的硬件单向光网卡已经逐渐形成了完备的配套软件产品,技术的关键就是经历两次单向隔离处理。珠海鸿瑞生产的网络单向隔离装置主要利用单向多模光纤光接口技术,和国外的单向二极管技术应用类型相似,其主CPU使用的是国产的龙芯2F,平均网络宽带为300MbpS,传播速度是百兆装置的6倍。

2.6对于公用网络的安全防护

生产控制大区中部分业务系统利用公用数据网路实现数据通信形式,在主站生产控制大区的通信出口利用物理隔离的方法,将公用数据网络与大区业务系统进行隔离。对于业务终端与主站端的通信应利用加密认证方法,确保数据加密和身份认证无误。另外,应加强系统设备管理,如五防电脑、监控机、信息子站等设备,避免使用USB接口以防止移动存储介质受到木马和病毒的感染,对数据网络与公用网络造成伤害:所使用的电脑设备应定期更新,或者通过操作系统进行安全加固,如通过修改注册、修改密码的形式对系统中的漏洞及时修补。同时应加强二次安防设备的入网检测能力,电力系统的二次安防应通过专业机构的认证与检验,从而确保数据传输的安全性与正确性。

2.7入侵系统检测的应用

入侵系统检测属于电力二次系统中安全防护的重要技术手段。在管理信息大区与生产控制大区的纵向、横向网络边界加设入侵检测系统,可以随时检测网络边界与关键业务系统的路径信息,保证安全事件的可审计、可追踪、可发现。IDS(入侵检测系统）主要利用模式匹配、协议分析、异常检测等技术,将交换机上的关键接入接口中的数据报文直接通过镜像传输到IDS探头或者IDS检测引擎的接入端口处,保证数据包、网络流量的记录、监测、管理操作,及时对异常事件进行警告,其中关键接入端口应包含横向互联端口与纵向互联端口。

3结语

电力调度自动化二次系统的安全防护可以在确保电网有序、稳定运行的情况下,提升信息的安全防护等级,应结合电力企业实际运行情况改进和调整二次系统安全防护运行方案,创新防护手段与技术,提升电力系统整个网络运行的可靠性和安全性,健全安全防护体系,以确保电力系统的稳定、安全运行。