关于电力调度自动化系统的安全防护思考
仪器信息网 · 2009-05-20 21:40 · 32875 次点击
摘要:本文分析了电力调度自动化系统的安全防护措施,供大家参考。
关键词:电力调度自动化安全防护
0引言
电力生产与发展是国民经济发展的动脉,其安全问题的重要性不言而喻。随着通讯技术、网络技术和电力市场的发展,在调度中心、集控中心、变电站、小水电、用户之间进行的数据交换也越来越频繁,系统的网络组成也越来越复杂。这对调度中,二次系统的安全性、可靠性、实时性提出了新的严峻挑战,同时也使得电力调度二次系统的安全防护问题成为调度中心日常工作中的重要内容。本文依据国电《全国电力二次系统安全防护总体方案》的要求,并根据地区级电业局电力调度二次系统安全防护实施的具体情况,对电力调度二次系统安全防护策略、技术方案及其应用作简单阐述。
1安全防护体系依据
电网二次系统可分为三种类型:第一为实时系统,第二为生产管理系统,第三为电力信息系统。这三类系统的安全等级根据排名依次递减。电力二次系统安全防护方案根据电力系统的特点及各相关业务系统的重要程度、数据流程、目前状况和安全要求,将整个电力二次系统分为四个安全区:I实时控制区、II非控制生产区、III生产管理区、IV管理信息区。其中安全区I的安全等级最高,安全区II次之,其余依次类推。不同的安全区要求具备不同的安全防护,需要实现不同的安全等级和防护水平、隔离强度。电力二次系统网络隔离目标是确保电力实时闭环监控系统及调度数据网络的安全,抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击,防止由此导致一次系统事故或大面积停电事故,及二次系统的崩溃或瘫痪。
2地区级电业局调度自动化网络体系状况
各地区级电业局调度自动化系统一般包括变电站监控系统、调度主站系统、PAS系统(含AVC功能)、PMS系统、远程抄表系统、DMIS系统、继保故障信息系统和集控中心系统。调度自动化系统内部为双网冗余结构,由两套前置机组、两台主服务器和若干工作站组成,WIN2000操作系统和SQL2000数据库,系统内采用NETBUI协议。采用NETBUI协议传实时数据、历史数据、报表和操作到第三服务器,然后通过第三服务器的第三块网卡连接到局内办公管理MIS网,进行实时数据和历史数据、报表的WEB发布。地区级电业局电力调度二次系统安全防护的实现安全区的划分。
2.1安全区I:实时控制区安全保护的核心凡是具有实时监控功能的系统或其中的监控功能部分均应属于安全区I。电网调度自动化系统中的变电站监控系统、地调和集控SCADA系统(及以后规划需要运行的PAS系统、配网自动化系统)属于安全区I。其面向的使用者为调度员、继保工程师和运行操作人员,数据实时性为秒级,外部边界的通信均经由SPDnet的实时VPN。
2.2安全区Ⅱ:非控制实时业务区不直接进行控制但和电力生产控制有很大关系,短时间中断就会影响电力生产的系统均属于安全区Ⅱ。属于安全区Ⅱ的典型系统为电量采集系统、继保故障信息系统。其面向的使用者为运行方式、计划工作人员。数据的实时性是分级、小时级、日、月甚至年。该区的外部通信边界为SPDnet的非实时VPN。
2.3安全区lII:生产管理区该区的系统为进行生产管理的系统,现有系统为DMIS系统。该区中公共数据库内的数据可提供运行管理人员进行web浏览。该区的外部通信边界为电力数据通信网SPInet。
2.4安全区IV:办公管理系统包括办公自动化系统或办公管理信息系统。该区的外部通信边界为SPInet或因特网。
3网络安全技术对策
不同的网络结构,应采用不同的安全对策。原则上,其他应用网络所采用的安全策略都适用于调度自动化系统,但是由于调度自动化系统是一个具有专用通信网络的信息实时传输处理的系统,因此必须考虑其实时性的要求。
3.1提高网络操作系统的可靠性操作系统是计算机网络的核心,应选用运行稳定、具有完善的访问控制和系统设计的操作系统,若有多个版本供选择,应选用用户少的版本。笔者认为在目前条件许可的情况下,可选用U—NIX或LINUX。不论选用何种操作系统,均应及时安装最新的补丁程序,提高操作系统的安全性。
3.2防病毒防病毒分为单机和网络两种。随着网络技术的快速发展,网络病毒的危害越来越大,因此,必须采用单机和网络防毒结合的防毒体系。单机防毒程序安装在工作站上,保护工作站免受病毒侵扰。主机防护程序安装在主机上,主机的操作系统可以是WINDOWS、UNIX、LINUX等。群件防毒程序安装在Exchange、Lotus等群件服务器中。防病毒墙安装在网关处,对出入网关的数据包进行检查,及时发现并杀死企图进入内网的网络病毒。防毒控管中心安装在某台网络的机器上,主要用以监控整个网络的病毒情况,由于网络中多台机器安装了防病毒程序,每台机器都要进行定期升级,比较麻烦,防毒控管中心可以主动升级,并把升级包通过网络分发给各个机器,完成整个网络的升级。