引言

區(qū)域經(jīng)濟增長與能源供應密切相關,當前自動化已經(jīng)逐漸滲透到能源行業(yè),電網(wǎng)資源由能源部統(tǒng)一監(jiān)管、統(tǒng)一分配、統(tǒng)一調度,以確保電網(wǎng)整體的有序運營。能源通過人力運輸危險系數(shù)較高,而采用自動化調度運輸可以降低危險性,二次系統(tǒng)安全防護技術的應用可以有效支撐電力能源的自動化調度運輸。

1二次系統(tǒng)安全防護技術概述

電力二次系統(tǒng)的安全防護主要針對基于網(wǎng)絡或者網(wǎng)絡系統(tǒng)的生產控制系統(tǒng)。安全防護的總體目標是確保電力調度數(shù)據(jù)網(wǎng)絡和監(jiān)控系統(tǒng)的整體安全,抵御病毒、黑客、惡意代碼的攻擊與破壞,避免電力二次系統(tǒng)癱瘓或者崩潰,甚至是大規(guī)模停電事故、電力系統(tǒng)事故。二次系統(tǒng)相當于電力資源監(jiān)控系統(tǒng),可以實時監(jiān)測與控制電力資源或者電廠生產的自動化智能設備。其中,南方電網(wǎng)安全防護原則是網(wǎng)絡專用、安全分區(qū)、縱向認證、橫向隔離。其安全防護的核心能力是保護、響應、檢測、恢復。二次系統(tǒng)屬于保護與控制的一次系統(tǒng)電力回路,目的是保護一次系統(tǒng)中相關電氣設備,如變壓器、電動機、發(fā)電機、母線等。假如一次系統(tǒng)發(fā)生過流、短路、過熱、過壓、雷擊等問題時,二次系統(tǒng)會立即啟動保護操作。

2二次系統(tǒng)安全防護技術在電力配網(wǎng)調度自動化中的應用

2.1二次安全防護系統(tǒng)總體應用方案

南方電網(wǎng)電力二次系統(tǒng)電網(wǎng)安全防護目標為:確保電力二次系統(tǒng)的連續(xù)性和可用性:避免病毒或惡意代碼的侵襲:確保重要信息在運輸和存儲中的完整性和機密性:加強關鍵業(yè)務接入電力二次系統(tǒng)網(wǎng)絡中的身份認證工作,避免非授權訪問或非法接入行為:實現(xiàn)電力調度數(shù)據(jù)網(wǎng)安全事件與電力監(jiān)控系統(tǒng)的可審計、可追蹤、可發(fā)現(xiàn),加強調度數(shù)據(jù)網(wǎng)絡與電力監(jiān)控系統(tǒng)的安全管理。南方電網(wǎng)的電力二次系統(tǒng)安全防護應用總計劃中包含各級調度控制中心、變電站、配電中心、電力通信等機構。

2.2安全分區(qū)

結合電力二次系統(tǒng)的業(yè)務重要程度以及一次電力系統(tǒng)的影響度開展分區(qū)工作。南方電網(wǎng)二次系統(tǒng)主要包含管理信息大區(qū)和生產控制大區(qū),生產控制大區(qū)包含安全區(qū)I(控制區(qū)）與安全區(qū)Ⅱ(非控制區(qū)）,其中生產控制大區(qū)應當成為二次系統(tǒng)主要的防護主體。此外,應開展網(wǎng)絡專用工作。南方電網(wǎng)的電力調度數(shù)據(jù)網(wǎng)需要在專用的通道上使用單獨的網(wǎng)絡設備組網(wǎng),以物理角度與外部公共信息網(wǎng)和綜合業(yè)務數(shù)據(jù)網(wǎng)進行隔離。此網(wǎng)絡利用MPLS-VPN劃分出兩個業(yè)務子網(wǎng),也就是非實時VPN與實時VPN,兩者互相進行邏輯隔離。其中實時VPN主要應用在控制區(qū)業(yè)務系統(tǒng)中的遠程數(shù)據(jù)通信,而非實時VPN用在非控制區(qū)的業(yè)務系統(tǒng)遠程數(shù)據(jù)通信工作中。

2.3橫向隔離

南方電網(wǎng)的運行維護單位中的管理信息大區(qū)與生產控制大區(qū)之間需要設置電力橫向專用的安全隔離裝置以保證物理隔離。而管理信息大區(qū)與生產控制大區(qū)中安全區(qū)之間可以通過具有訪問控制或防火墻性能的網(wǎng)絡設備以保證邏輯隔離。例如,廣東電網(wǎng)系統(tǒng)在二次系統(tǒng)防護建設中主要有三類安全需求:第一,非控制區(qū)與控制區(qū)之間利用雙鏈路連接成為備份,在鏈路上部署防火墻,應實現(xiàn)兩個防火墻之間可以同步信息和流量,相互作為備份開展工作。第二,在二次系統(tǒng)中利用的安全設備應具有快速轉發(fā)和高性能的特點,對于網(wǎng)絡容錯性和傳輸時延具有較高的要求。因此,在二次系統(tǒng)安全防護過程中,廣州電網(wǎng)公司在廣州、東莞、佛山等地的供電局利用啟明星辰的"天清漢馬"防火墻展開保護工作。有關負責人表示該防火墻利用高配置硬件性能平臺,通過專用的HA協(xié)議確保系統(tǒng)安全防護的可利用性,兩個防火墻之間增加了業(yè)務備份和流量分擔的功能,提升了二次系統(tǒng)實時控制業(yè)務的實用性和可靠性。

2.4縱向加密認證技術

南方電網(wǎng)的運行單位在調度數(shù)據(jù)網(wǎng)和控制區(qū)的縱向連接位置時需要安置電力縱向專用加密認證網(wǎng)關或認證裝置,而在調度數(shù)據(jù)網(wǎng)與非控制區(qū)之間應安置電力縱向專用加密認證防火墻或網(wǎng)關,可以為調度機構、子站與主站控制系統(tǒng)中的調度數(shù)據(jù)網(wǎng)通信過程提供雙向的身份認證、訪問控制服務、數(shù)據(jù)加密等業(yè)務。對于剛進入網(wǎng)路的新設備,應在縱向互聯(lián)網(wǎng)上設置統(tǒng)一的密碼認證機制,專門的通道邊界也應設置加密認證機制,加強安全防護設備,調度數(shù)據(jù)在邊緣區(qū)域的覆蓋。其中網(wǎng)絡邊緣信息的泄露屬于安全隱患,主要由于網(wǎng)絡攻擊者非法進入系統(tǒng)進行攻擊造成的。因此,保護安全區(qū)間的縱向網(wǎng)絡邊界的安全問題可以提升電力能源網(wǎng)絡自動化調度能力,確保信息在傳輸中不會發(fā)生泄露,實現(xiàn)電力能源的正常使用和運輸。

2.5單向技術的應用

其一,數(shù)據(jù)泵技術。該技術是在通信基礎上只能單向傳輸數(shù)據(jù),如在數(shù)據(jù)收到后確認、流量控制、差錯控制等。不過數(shù)據(jù)泵中協(xié)議控制信息屬于雙向技術,假如協(xié)議存在漏洞,可能會通過漏洞反向發(fā)送數(shù)據(jù)。其二,單向二極管技術的應用。數(shù)據(jù)二極管技術也稱信息流單向技術。該技術已經(jīng)在國外實現(xiàn)產品化,如荷蘭的Fox-IT公司、澳大利亞的Tenix公司。以owL公司為例,該公司生產的硬件單向光網(wǎng)卡已經(jīng)逐漸形成了完備的配套軟件產品,技術的關鍵就是經(jīng)歷兩次單向隔離處理。珠海鴻瑞生產的網(wǎng)絡單向隔離裝置主要利用單向多模光纖光接口技術,和國外的單向二極管技術應用類型相似,其主CPU使用的是國產的龍芯2F,平均網(wǎng)絡寬帶為300MbpS,傳播速度是百兆裝置的6倍。

2.6對于公用網(wǎng)絡的安全防護

生產控制大區(qū)中部分業(yè)務系統(tǒng)利用公用數(shù)據(jù)網(wǎng)路實現(xiàn)數(shù)據(jù)通信形式,在主站生產控制大區(qū)的通信出口利用物理隔離的方法,將公用數(shù)據(jù)網(wǎng)絡與大區(qū)業(yè)務系統(tǒng)進行隔離。對于業(yè)務終端與主站端的通信應利用加密認證方法,確保數(shù)據(jù)加密和身份認證無誤。另外,應加強系統(tǒng)設備管理,如五防電腦、監(jiān)控機、信息子站等設備,避免使用USB接口以防止移動存儲介質受到木馬和病毒的感染,對數(shù)據(jù)網(wǎng)絡與公用網(wǎng)絡造成傷害:所使用的電腦設備應定期更新,或者通過操作系統(tǒng)進行安全加固,如通過修改注冊、修改密碼的形式對系統(tǒng)中的漏洞及時修補。同時應加強二次安防設備的入網(wǎng)檢測能力,電力系統(tǒng)的二次安防應通過專業(yè)機構的認證與檢驗,從而確保數(shù)據(jù)傳輸?shù)陌踩耘c正確性。

2.7入侵系統(tǒng)檢測的應用

入侵系統(tǒng)檢測屬于電力二次系統(tǒng)中安全防護的重要技術手段。在管理信息大區(qū)與生產控制大區(qū)的縱向、橫向網(wǎng)絡邊界加設入侵檢測系統(tǒng),可以隨時檢測網(wǎng)絡邊界與關鍵業(yè)務系統(tǒng)的路徑信息,保證安全事件的可審計、可追蹤、可發(fā)現(xiàn)。IDS(入侵檢測系統(tǒng)）主要利用模式匹配、協(xié)議分析、異常檢測等技術,將交換機上的關鍵接入接口中的數(shù)據(jù)報文直接通過鏡像傳輸?shù)絀DS探頭或者IDS檢測引擎的接入端口處,保證數(shù)據(jù)包、網(wǎng)絡流量的記錄、監(jiān)測、管理操作,及時對異常事件進行警告,其中關鍵接入端口應包含橫向互聯(lián)端口與縱向互聯(lián)端口。

3結語

電力調度自動化二次系統(tǒng)的安全防護可以在確保電網(wǎng)有序、穩(wěn)定運行的情況下,提升信息的安全防護等級,應結合電力企業(yè)實際運行情況改進和調整二次系統(tǒng)安全防護運行方案,創(chuàng)新防護手段與技術,提升電力系統(tǒng)整個網(wǎng)絡運行的可靠性和安全性,健全安全防護體系,以確保電力系統(tǒng)的穩(wěn)定、安全運行。