配电自动化系统安全防护方案

配电自动化系统安全防护方案摘要论文在描述配电自动化系统的功能和结构的基础上,依据全国电力二次系统平安防护总体方案,提出了配电自动化系统的平安防护方案。关键词配电自动化;平安防护;二次系统随着人民生活水平的不断提高和国民经济的持续进展,我国对电能的需求量越来越大。电力用户对供电质量和供电牢靠性的要求也越来越高。电力系统能否平安、经济、牢靠地运行,直接关系到国计民生。近年来在美国、加拿大和一些欧洲国家所发生的大面积停电大事,在国内也发生过多种局部停电大事,这给国民生活和经济建设带来了巨大的影响。因此,电力系统的平安问题目前是一个大家所重点关注的问题。电力系统的平安问题,包括电力一次系统的平安问题和二次系统的平安问题。其中,二次系统由于大量使用了通信技术、网络技术等新技术,使自身的平安问题变得更加简单、更加紧迫。本文对二次系统中的配电自动化系统的平安问题进行了分析,提出一种利用电力专用平安隔离装置实现平安防护的方案。1配电自动化系统的功能配电自动化系统是对配电网的设备进行远程实时监视、协调及掌握的一个集成系统。它是近些年来进展起来的一门新兴技术,是现代计算机技术和通信技术在配电网监视与掌握上的综合应用。实施配电自动化的主要意义有:在正常运行状况下,通过监视配电网的运行状况,优化配电网运行方式,最大限度地利用配电网的潜能;在配电网发生故障或消失特别运行状况时,能快速查出故障区段及特别状况,快速隔离故障区段,准时恢复非故障区用户的供电,缩短用户的停电时间,削减停电面积;能依据配电网电压,合理掌握无功负荷和电压水平,改善供电质量,降低线路损耗,达到经济运行的目的;能合理掌握用电负荷,提高配电网设备的利用率;能实现与电能计费系统的接口,实现自动抄表计费,并保证准时、精确     ,从而能大幅度提高企业的经济效益和工作效率;提高配电网自动化运行的整体管理水平和服务质量,为用户供应自动化的用电信息服务等。详细说,配电自动化系统的功能主要体现在以下几个方面:(1)SCDA功能,即数据采集和监视掌握功能,是配电自动化系统的基本功能,是配电网实施自动化的基础,支持配电自动化的其它各项功能。主要包括数据采集和处理;大事及事故报警:大事挨次记录;扰动后追忆;远程掌握(遥控);远程调整(遥调)等几个方面。(2)馈线自动化FA功能:是实现馈电线路的故障检测、定位、故障隔离及正常线路的恢复供电等功能。包括故障定位、隔离和自动恢复供电;馈电线运行数据检测;就地无功平衡;馈电线电压调整等几个方面。(3)配电网高级应用软件DPAS功能:以配电网的网络结构及电网的实时、历史运行状态或假定的运行状态为基础,通过理论计算分析配电网当前或将来运行状态的经济性、平安性和牢靠性等指标,为配电网平安、经济运行及其规划进展供应参考,主要包括配电网络拓扑、状态估量、潮流计算、线损计算、负荷猜测等功能。(4)配电管理(AM/FM/GIS)功能:即自动作图/设备管理/地理信息系统AM/FM/GIS主要包括自动作图;设备管理;用电管理;规划设计等功能。(5)负荷管理功能:其直观目标是通过削峰填谷使负荷曲线尽可能变得平坦,通过负荷管理来达到合理使用资源和整体节能的目的。负荷管理包括降压减载、用户可控负荷周期掌握、切除用户负荷等三种方式,实际负荷管理是三种负荷掌握方式的有机结合,以实现最佳的负荷掌握。2配电自动化系统平安防护随着计算机技术、通信技术和网络技术的进展,接入电力数据网络的掌握系统越来越多。而随着电力改革的推动和电力市场的建立,要求在调度中心、电厂、用户等之间进行的数据交换也越来越多。另外,随着网络技术、E-mail、Web和PC机的广泛使用,病毒和黑客也日益猖獗。为此,依据《电网和电厂计算机监控系统及调度数据网络平安防护的规定》,同时依据我国电力系统的详细状况,我国制定了《全国电力二次系统平安防护总体方案》,规范和统一我国电网和电厂计算机监控系统及调度数据网络平安防护的规划、实施和监管,防范对电网和电厂计算机监控系统及调度数据网络的攻击侵害及由此引起的电力系统事故,保障电力系统的平安、稳定、经济运行。配电自动化系统作为电力二次系统的重要组成部分,其平安防护方案必需符合《全国电力二次系统平安防护总体方案》的各项规定和要求。21电力二次系统平安防护总体策略电力二次系统平安防护策略汲取了平安防护技术的最新成果,依据电力系统的特点,综合采纳先进有用的计算机和网络平安技术及隔离技术、公钥技术、证书技术等,形成电力二次系统平安防护的总体策略。电力二次系统平安防护总体策略可概括为平安分区、网络专用、横向隔离、纵向认证四部分。(1)平安分区:依据系统中各业务的重要性和对一次系统的影响程度划分为四个平安区,即掌握区Ⅰ(实时掌握区)、生产区Ⅱ(非掌握生产区)、管理区Ⅲ(生产管理区)、信息区Ⅳ(管理信息区),全部系统都置于相应的平安区内,对实时掌握系统等关键业务则采纳认证、加密等技术进行重点爱护。(2)网络专用:在专用通道上建立调度专用数据网络,实现与其他数据网络的物理隔离,并通过采纳多协议标椥槟饨换煌?MPLS?VPN在专网上形成多个相互规律隔离的VPN,保障上下级各平安区的纵向互联仅在相同平安区进行,避开平安区纵向交叉。(3)横向隔离:采纳不同强度的平安隔离设备使各平安区中的业务系统得到有效爱护,关键是将生产掌握系统与管理信息系统及办公自动化系统等实行有效平安隔离,隔离强度应接近或达到物理隔离。(4)纵向认证:采纳认证、加密、访问掌握等技术实现生产掌握数据的远程平安传输以及纵向边界的平安防护。22配电自动化系统平安防护方案依据电力二次系统平安防护的总体策略,配电自动化系统的平安防护方案如下:(1)配电自动化系统的平安区划分根据配电自动化系统各个子系统所包含的业务性质和所处的网络位置,配电自动化系统四个平安区可划分为:SCADA系统、DA系统、负荷管理系统和配网实时计算系统等系统因具有实时掌握功能而分在平安区Ⅰ;配电工作管理、运行方案和优化、配网调度员培训等在线运行的非掌握模块在平安区Ⅱ;另外,由于反向型电力专用平安隔离装置的研制尚未成熟,为了便于配电生产、掌握区对GIS的调用,平安区Ⅱ中设有GIS副本;AM/FM/GIS、配网扩展规划和电能交易等管理功能模块在平安区Ⅲ;客户查询和客户账户管理等系统因与外部公共网相连而分在平安区Ⅳ中。(2)各平安区之间的横向隔离措施平安区Ⅰ与平安区Ⅱ的业务系统都属电力生产系统,采纳电力调度数据网络,在线运行,数据交换较多,关系比较亲密,故Ⅰ、Ⅱ区之间采纳硬件防火墙进行规律隔离,禁止E-mail、Web、Telnet、Rlogin等服务穿越平安区之间的隔离设备。平安区Ⅲ与平安区Ⅳ的业务系统都属管理信息系统,采纳电力数据通信网络,数据交换较多,关系比较亲密。Ⅲ、Ⅳ区之间采纳硬件防火墙进行规律隔离。平安区Ⅰ、Ⅱ与平安区Ⅲ之间采纳经有关部门认定核准的专用横向平安隔离装置??椀缌ㄓ冒踩衾胱爸媒懈衾搿４影踩瘛ⅱ蛲踩蟛捎谜虬踩衾胱爸玫ハ虼湫畔?由平安区Ⅲ往平安区Ⅰ或Ⅱ采纳反向平安隔离装置单向传输信息。严格禁止E-mail、WEB、TELnet、Rlogin等B/S或C/S方式的网络服务和数据库访问功能穿越专用平安隔离装置,仅允许纯数据的单向平安传输。反向平安隔离装置实行签名认证和数据过滤措施,仅允许纯文本数据通过,并严格进行病毒、木马等恶意代码的查杀。(3)平安区与远方通信的纵向平安防护措施平安区Ⅰ、Ⅱ与国家电力调度数据网SPDnet(广域网)相连。SPDnet采纳MPLS?VPN技术构造两个规律隔离的子网,即实时子网VPN1和非实时子网VPN2,为平安区Ⅰ、Ⅱ分别供应广域通信服务。平安区Ⅰ、Ⅱ接入SPDnet时,配置纵向加密认证装置,实现网络层双向身份认证、数据加密和访问掌握等平安措施。平安区Ⅲ与国家电力数据通信网SPTnet(广域网)相连。平安区Ⅲ通过硬件防火墙接入SPTnet,以保证平安。平安区Ⅳ通过与硬件防火墙与信息VPN和外部公共网相连。(4)各平安区内部的平安防护措施各平安区内部平安防护的措施有:禁止平安区Ⅰ/Ⅱ内部的E-mail服务;禁止跨越平安区Ⅰ的WEB服务;允许平安区Ⅱ的纵向WEB服务;WEB扫瞄工作站与Ⅱ区业务系统工作站不得共用,而且必需由业务系统向WEB服务器单向主动传送数据;平安区Ⅰ/Ⅱ的重要业务(如SCADA/AGC、电力交易)采纳认证加密机制;平安区Ⅰ/Ⅱ内的相关系统间实行访问掌握等平安措施;对平安区Ⅰ/Ⅱ的拨号访问,实行认证、加密、访问掌握等平安防护措施;平安区Ⅰ/Ⅱ实行防恶意代码措施,病毒库和木马库等软件的更新必需离线进行,不得直接从因特网下载;平安区Ⅲ允许开通E-mail、WEB服务;对平安区Ⅲ