版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、调度自动化系统及调度数据网安全分析探讨 摘要:本文通过对地区调度自动化系统及调度数据网应用与发展介绍,针对现阶段电力系统调度自动化技术的迅猛发展及地区电网建设的需要,阐述了电网调度自动化系统及数据网络设备安全运行的必要性,分析存在于电力调度自动化系统防护部署中的安全隐患,对今后电网调度自动化系统安全治理模式和发展方向进行了探讨。1.引言随着电力系统电网建设步伐的加快,智能综合自动化无人值班变电站的不断增加,对电网安全、稳定、优质、经济运行提出了越来越高的要求,地区电网调度自动化系统的内涵也在不断延伸,由原来单一的EMS(能量治理系统)系统,扩展为EMS、TMR(电能量自动计量系统)、厂站自动化
2、(含厂站监控系统)、水调自动化、雷电监视、继电保护与故障录波治理系统等,还包括电力市场技术支持系统、DMIS(调度治理信息系统)、OMS(调度生产治理系统)、SGDnet(调度数据网)以及二次系统安全防护的相关内容,地区电网的运行与控制越来越依靠于完善、先进和实用的调度自动化系统。2006年池州公司电力调度数据专用网络的接进,在其网络范围内形成一个高速可靠、安全稳定的多业务数据传输平台,从而逐步实现电力调度自动化、电量计费、继电保护治理信息、电力市场技术支持等业务的网络接进功能,调度信息改为纯数字接口通讯方式进行传输。同时,充分利用该数据专网的网络迂回及自愈功能,有效地进步信息传输的可靠性及稳
3、定性,从而使“省调”与“地调”及变电站之间的信息传输容量和传输效率大大进步。2.公司能量治理系统(SCADA/EMS)设备状况及安全防护部署SCADA/EMS系统为整个电力自动化系统提供电力系统的运行状态和监控操纵手段。SCADA系统是电力系统自动化的实时数据源,为调度及其他PAS(高级应用软件)提供大量的实时数据,同时在DTS(仿真模拟培训系统)、MIS等系统中都需要用到电网的实时数据,系统从厂站接收远测、远信数据,这类数据实时性较强,每秒都有数据传输;同时向厂站发送远控、远调、校时命令及计划数据,数据可靠性要求较高,与电网安全直接相关。池州电网规模的快速发展,调度自动化系统处理的信息量越来
4、越大,直接可观测的范围越来越广,使得电网调度自动化系统成为了调度和变电的“千里眼、千里手”。公司目前电网调度自动化系统接收和处理25个厂站综自变电站的信息,在电网调度的层次之下,已建设投运三个集控中心,一个监控中心。集控中心和监控中心管辖的变电站均已全部撤人,实现无人值守。2.1早期能量治理系统(SCADA/EMS)设备状况及安全防护部署池州供电公司早期EMS系统的软件为积成电子的IES500系列软件,该软件于2001年10月投进运行至今(新系统9月份通过省公司验收后,IES500系统退出运行),期间对各项应用进行过多次修改,但主程序版本未变。随着计算机技术发展,ies500系统设计理念、软件
5、版本、硬件设备都日趋老化,已不能适应池州地区电网目前快速发展的规模。目前该系统二次安全防护,是在2005年时将SCADA内网与WEB服务器之间安装了正向隔离装置,SCADA内网通过隔离服务器并通过一套数据传输软件向WEB服务器传输数据,在数据交换量较大的情况或系统运行不稳定的情况下,有数据传输中断现象,导致外网数据保持不变,但重启后都能恢复正常,基于上述情况目前WEB数据浏览主要采用ies600系统,ies500系统WEB数据浏览做为备用存在。图1池州供电公司ies500系统配置结构示意图 2.2新能量治理系统(SCADA/EMS)设备现状安全防护部署2.2.1新能量治理系统(SCADA/EM
6、S)简介池州供电公司目前试运行ies600能量治理系统,是积成电子股份有限公司在iES500系统基础上全新开发的升级换代产品,采用了国内外电子信息技术和SCADA/PAS/DTS系统技术的最新研究成果,该系统的应用层主要是电网数据采集与监控系统、高级应用软件、调度员培训仿真系统三部分。具有技术先进、实用性强、安全稳定、高度智能化、配置灵活、维护方便等特点。2008年8月份开始组建,2009年3月份开始投进试运行。图2池州供电公司ies600系统配置结构示意图 由图二可知:ies600系统各功能模块更趋完善,PAS高级应用软件(含AVC、DTS相关功能应用模块)。整个EMS系统由数据采集和数据通
7、讯服务器、SCADA实时服务器、历史数据服务器、PAS服务器(含AVC及DTS服务器)、调度集控工作站(青阳集控中心)、维护工作站、PAS工作站、WEB服务器等主要节点构成。2.3公司能量治理系统(SCADA/EMS)与其它系统间互联二次防护部署情况及存在缺陷自动化系统(SCADA/EMS)通过WEB服务器并经安氏防火墙、交换机与公司生产治理系统(局MIS)连接,以实现整个实时系统的对外信息发布。池州电网调度自动化系统与各变电站远动装置的数据传送通过传统远动专用通道进行;与安徽省调电网调度自动化系统通讯通过两种方式进行:一种是通过安徽省调至池州地调的传统专用远动通道,使用调制解调器与省调调度自
8、动化系统进行上、下行数据的实时传送。另一种是通过SCADA系统内一台专用的通讯网关机,使用Tase.2协议,经安徽电力调度数据网中的实时业务逻辑子网,与安徽省调实时的进行上、下行数据的传送。调度治理系统(OMS)、调度生产治理系统(DMIS)其主要通过安徽调度数据网中的非实时业务逻辑子网,访问省调内部网站,从而完成诸如:报表、工作票申报、三项分析等业务。池州PDM2000电能量系统。主站系统网络采用双网、双服务器、双前置结构,构成网络化、功能分布式的体系结构。厂站采用2种采集终端,省公司关口电量的变电站采用兰吉尔FFC型远方采集终端,其它变电站均采用PSM-ID电能量远方采集终端。接收的所有厂
9、站端(25个厂站端,其中8个厂站是省调关口站),主站与厂站通讯方式采用网络及拨号两路电量数据采集通道,一主一备,使电能量系统运行更加稳定可靠。与电网调度自动化系统(SCADA/EMS)通过防火墙相连,内网数据通过正向型隔离装置送至WEB服务器,WEB服务器与公司MIS网相连。调度员仿真(DTS)系统采用先进技术,实现地调DTS系统既可以进行联网运行又可以进行单机运行,既可以用于调度员培训模拟,又可为调度、方式、保护、电网规划等电网专业职员提供一个数字化、图形化的电力系统运行分析平台,具备省调、地调联合反事故演习的功能。经防火墙与电网调度自动化系统(SCADA/EMS)WEB服务器相连。图3为池
10、州电网调度自动化系统(ies500系统)2005年后与其它系统间互联拓扑示意图 在2005年之前调度端系统防护只有一台安氏防火墙,ies500系统易受外网黑客和蓄意破坏者和病毒的攻击。同时,在省公司二次防护工作未开展之前,电力调度的自动化系统治理职员和其它系统应用职员对计算机网络安全和信息安全的意识不够强,缺乏系统的安全口令长度限制治理和关键信息加密传输,自动化系统内部存有不安全进口,使系统的网络安全和数据信息安全得不到有效保护。图4为池州电网调度自动化系统(ies600系统)与其它系统间互联拓扑示意图 由图3、4可见,调度自动化系统与多个系统互联,中间严格采用安全分区、网络专用、横向隔离、纵
11、向认证的原则,所有I区、II区业务没有跨接III区的现象。但要使调度自动化系统安全、可靠运行。二次防护部署目前亟待解决如下题目:1)由于池州地区调度二次安全防护系统的设备由多厂家组成,防火墙防护策略配置不够全面,不标准。2)池州地区调度所辖范围内所有厂站端二次系统安全防护设备配置较少,不能完全符合二次安全防护规定,建议由省公司同一对各变电站安装二次安全防护设备,在220kV变电站区出口全部布置纵向认证加密装置,区出口全部布置防火墙,在重要的110kV变电站配置防火墙。各防火墙按照安装部位及防护要求,对其策略进行同一规定,配置。3)防火墙无法防范病毒和内部攻击,且只能按照固定的工作模式来防范已知
12、的威胁,因此需在系统加装进侵检测系统(IDS),在内外网联接处的两侧和重要工作站加装网络监测器和控制台,为网络提供实时的进侵检测。4)目前池州地区四个县调通过专线或模拟通道接收我公司转发远测、远信量,在安全部署与治理方面,我们自动化部分不具备直接治理权限,他们的安全部署与防护策略应充分考虑到系统安全隔离措施,以防存在系统漏洞,造成之间可以互联的情况发生。5)为了维护调度实时数据网络和变电站系统间信息的安全传输,应提倡对远控、重要远测、重要远信报文进行加密传输。系统攻击事件:事件一:2000年10月某日,四川某水电厂自动控制系统收到异常信号,造成停机事件。事件二:2007年,我国互联网木马病毒和
13、僵尸网络攻击造成各地调度自动化系统安全题目日益严重事件。事件总结:由于对第三方职员设备接进控制不当,各地操纵系统使用弱口令,登录没有上限限制。措施:建议由省公司对各防火墙按照安装部位及防护要求,对其策略进行同一规定,配置,以达到高效防护要求,对口令及对第三方接进系统职员予以严把关。3.电力调度数据专用网络现状与安全防护措施目前电力调度数据专用网络(SGDnet)在电力系统中的应用日益广泛,已经成为不可或缺的基础设施。电力调度数据网络是电网调度自动化系统的重要支撑平台,网络安全是系统安全的保障,专用数据网络是整体安全防护体系的基础,专网体现在网络互联、网络边界、网络用户的可管性和可控性。我公司调
14、度数据专用网络一期工程在2006年9月正式接进,迄今已运行三年,到2010年二期工程规划开通运行。池州地区调度数据网主要功能是,传输区的实时数据、控制命令,区的非实时业务,以及对调度数据网本身的软硬件进行配置治理。3.1池州地区调度数据网网络配置及架构池州公司调度数据专用网络主设备为华为公司生产的各型号路由器,共25台,主站端设备有调度数据网网管机一台(hpDL360proLiant),核心路由器共两台,型号分别是QuidwayNE-08和QuidwayNE-40,均安装在自动化机房。其余路由器安装在各变电站。厂站广域网数据通道通道采用SDH下发的2ME1通道互联,备用通道采用专线通道。主要变
15、电站在拓扑上构成环路,形成双链路,保证可靠性。图5为池州电力调度数据专用网络(SGDnet)拓扑示意图 电力调度数据专用网络采用层次化设计结构,可划分为核心层、骨干层和接进层。从功能上说,核心层主要负责整个网络的数据交换,骨干层主要负责整个网络的数据汇聚,接进层则主要负责各应用系统的接进功能。池州调度数据专用网络覆盖本地区具备通道条件的220kV变电站、110kV变电站、35kV变电站、集控站。3.2安徽省调度数据网网络配置及架构安徽电力地区调度数据网络工程,它利用在SDH光纤传输通道上建立高带宽、高性能、透明的、以调度数据为主要承载对象的数据通讯网络,主要为安徽电力相关单位的电力调度业务提供
16、服务。安徽电力地区调度数据网作为安徽电力调度数据网的有机组成部分,主要基于IP-over-SDH技术构成。已建的安徽电力调度数据网采用层次化设计,分为三层:核心层、骨干层和接进层。其核心层6个(包括安徽省调),骨干层12个节点,分设在安徽省12个地调;接进节点则含盖各电厂和变电站。3.3池州调度数据网设备配置池州地区调度数据网络设备及软件选型如下:l核心层路由器:NE40-8;NE40-4;l骨干层路由器:NE40-4;l接进层路由器:AR4620;l以太网交换机;l网管系统:华为网管平台1套;硬件平台:1台主流服务器。3.4池州调度数据网业务接进现状本地调度数据专网由变电站节点,路由设备、交
17、换设备、安全设备、网关设备和网管设备等组成。池州调度数据专用网络建成后,承载了调度自动化系统、电量计费PDM2000系统、保护故障录波治理系统等,实时控制区业务主要包括:RTU、EMS;生产区业务主要包括:电量计费、保护故障录波治理系统。是保障安池州电网安全、优质、经济运行的基础设施。不同结构层面上所接进的业务也有所不同,具体如下:l变电站接进的业务有:RTU、电量计费、保护故障录波治理系统;l地调接进的业务有:EMS、电量计费;l电厂接进的业务有:RTU、电量计费。3.5池州调度数据网安全防护建立调度数据专网安全防护体系,首先要制定安全防护策略。应用系统的安全策略位于安全防范的最高一级,是决
18、定系统的安全要素。从大的方面讲,安全策略决定了一个系统要达到的安全级别及可以付出的代价;从小的方面讲,安全策略的具体规则用于说明哪些行为是答应的,哪些行为是禁止的。系统是否安全,很大程度上依靠于最初设计时制定的安全策略,由于今后的安全措施,都围绕这一策略来选择和使用,假如在安全策略上出了题目,将会给今后的应用系统带来安全隐患,从而使将来的安全建设处于十分被动的局面。从应用和连接方式来看,内部网络有两类:一类是与公网完全隔离、在链路层上建立的企业内部网络一般称为专用网络;另一类是连接于公网、并利用公网作为通道的企业内部网。第一类网络除了面临来自物理层面的安全题目外,主要面临内部的机犯罪题目,如违
19、规或越权使用某些业务、查看修改机密文件或数据库等,以及从内部发起的对计算机系统或网络的恶意攻击。第二类网络除了具有上述安全题目外,还要承受来自公网的攻击和威胁,由于公网上黑客、病毒盛行,网络安全的攻击与反攻击比较集中地体现在公网上。1池州公司按照省公司安全防护要求,根据电力生产业务对数据网络安全性、可靠性、实时性方面的特殊要求,并遵照国家对涉密单位和重要设施在网络安全方面的有关规定。首先应根据网络的规模、目的、服务对象、实时程度、安全级别等综合考虑,确定最基本的网络技术防护体制。3.5池州调度数据网存在安全题目池州调度数据网目前亟待解决如下题目:1)部分厂站节点是单线接进调度数据网,一旦单线通
20、讯中断,就将影响自身及下属变电站与整个调度数据网的通讯,影响网络运行的可靠性。2)同时承载着调度控制业务和治理信息业务,应当在将来资源答应的条件下,将现有电力调度数据网上的业务逐步分离出往,改造成为实时控制业务专用的数据网络。3)省公司应每年对路由器等关键设备进行巡检维护,内部防护设置,IP地址配置也应考虑完备。因远控远调与电网安全直接相关,可靠性要求较高;与计费相关的电力市场业务对安全性有特殊要求,不仅要求可靠,原始数据还要求保密。4)传输的连续性,需要恒定带宽。4.地区调度自动化系统及调度数据网安全治理对策地区调度自动化系统及调度数据网在制定了各自安全防护策略的基础上,还必须做到技术措施和治理制度左右开弓,才有可能从根本上保障信息和控制系统的安全。在治理制度方面应做到:1)对全网实施监管,EMS系统与电力调度数据网连接的节点都必须在有效的治理范围内,保障安全的系统性和全局性。2)加强职员治理,建立一支高素质的网络治理队伍,防止来自内部的攻击、越权、误用及泄密。3)加强运行治理,建立健全运行治理及安全规章制度,建立安全联防制度,将网络与EMS系统安全维护作为经常性的工作。将调度数据网设备运行维护纳进调度自动化系统正常运行值班工作中,设备的运行状况应在OMS
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 漯河食品职业学院《机械工程材料与成形技术》2023-2024学年第一学期期末试卷
- 2024年版:版权许可及发行外包合同2篇
- 2025签订房屋租赁合同要审查哪些要点
- 2024年标准个人汽车短期租赁协议范本版
- 单位人事管理制度范例合集
- 旅游挑战之旅服务合同
- 外墙修复工程安全协议
- 娱乐产业合同工管理方案
- 2024年标准化园林材料采购合同版B版
- 2024双方智能电网建设与运营合作承诺书3篇
- GB/T 33336-2016高纯工业品三氯氧磷
- FZ/T 07019-2021针织印染面料单位产品能源消耗限额
- 低利率时代家庭财富管理课件
- 舌尖上的台州课件
- 全国硕士研究生入学统一考试英语(二)模拟卷
- 拆除、报废记录表
- 生命密码-课件
- 动画制作员职业技能鉴定考试题库-下(多选、判断题部分)
- 急救中心急救站点建设标准
- 高中化学《元素周期表和元素周期律的应用》优质课教学设计、教案
- 工序标准工时及产能计算表
评论
0/150
提交评论