配电自动化系统安全防护方案

1、time not only allows you to see through others, but also allows you to recognize yourself.勤学乐施天天向上（页眉可删）配电自动化系统安全防护方案 摘要论文在描述配电自动化系统的功能和结构的基础上,根据全国电力二次系统安全防护总体方案,提出了配电自动化系统的安全防护方案。 关键词配电自动化;安全防护;二次系统 随着人民生活水平的不断提高和国民经济的持续发展,我国对电能的需求量越来越大。电力用户对供电质量和供电可靠性的要求也越来越高。电力系统能否安全、经济、可靠地运行,直接关系到国计民生。近年来在美国、加拿大

2、和一些欧洲国家所发生的大面积停电事件,在国内也发生过多种局部停电事件,这给国民生活和经济建设带来了巨大的影响。因此,电力系统的安全问题目前是一个大家所重点关注的问题。电力系统的安全问题,包括电力一次系统的安全问题和二次系统的安全问题。其中,二次系统由于大量使用了通信技术、网络技术等新技术,使自身的安全问题变得更加复杂、更加紧迫。本文对二次系统中的配电自动化系统的安全问题进行了分析,提出一种利用电力专用安全隔离装置实现安全防护的方案。 1配电自动化系统的功能 配电自动化系统是对配电网的设备进行远程实时监视、协调及控制的一个集成系统。它是近些年来发展起来的一门新兴技术,是现代计算机技术和通信技术在

3、配电网监视与控制上的综合应用。实施配电自动化的主要意义有:在正常运行情况下,通过监视配电网的运行情况,优化配电网运行方式,最大限度地利用配电网的潜能;在配电网发生故障或出现异常运行情况时,能迅速查出故障区段及异常情况,快速隔离故障区段,及时恢复非故障区用户的供电,缩短用户的停电时间,减少停电面积;能根据配电网电压,合理控制无功负荷和电压水平,改善供电质量,降低线路损耗,达到经济运行的目的;能合理控制用电负荷,提高配电网设备的利用率;能实现与电能计费系统的接口,实现自动抄表计费,并保证及时、准确,从而能大幅度提高企业的经济效益和工作效率;提高配电网自动化运行的整体管理水平和服务质量,为用户提供自

4、动化的用电信息服务等。具体说,配电自动化系统的功能主要体现在以下几个方面: (1)scda功能,即数据采集和监视控制功能,是配电自动化系统的基本功能,是配电网实施自动化的基础,支持配电自动化的其它各项功能。主要包括数据采集和处理;事件及事故报警:事件顺序记录;扰动后追忆;远程控制(遥控);远程调整(遥调)等几个方面。 (2)馈线自动化fa功能:是实现馈电线路的故障检测、定位、故障隔离及正常线路的恢复供电等功能。包括故障定位、隔离和自动恢复供电;馈电线运行数据检测;就地无功平衡;馈电线电压调整等几个方面。 (3)配电网高级应用软件dpas功能:以配电网的网络结构及电网的实时、历史运行状态或假定的

5、运行状态为基础,通过理论计算分析配电网当前或未来运行状态的经济性、安全性和可靠性等指标,为配电网安全、经济运行及其规划发展提供参考,主要包括配电网络拓扑、状态估计、潮流计算、线损计算、负荷预测等功能。 (4)配电管理(am/fm/gis)功能:即自动作图/设备管理/地理信息系统am/fm/gis主要包括自动作图;设备管理;用电管理;规划设计等功能。 (5)负荷管理功能:其直观目标是通过削峰填谷使负荷曲线尽可能变得平坦,通过负荷管理来达到合理使用资源和整体节能的目的。负荷管理包括降压减载、用户可控负荷周期控制、切除用户负荷等三种方式,实际负荷管理是三种负荷控制方式的有机结合,以实现最佳的负荷控制

6、。 2配电自动化系统安全防护 随着计算机技术、通信技术和网络技术的发展,接入电力数据网络的控制系统越来越多。而随着电力改革的推进和电力市场的建立,要求在调度中心、电厂、用户等之间进行的数据交换也越来越多。另外,随着网络技术、e-mail、web和pc机的广泛使用,病毒和黑客也日益猖獗。为此,依据电网和电厂计算机监控系统及调度数据网络安全防护的规定,同时根据我国电力系统的具体情况,我国制定了全国电力二次系统安全防护总体方案,规范和统一我国电网和电厂计算机监控系统及调度数据网络安全防护的规划、实施和监管,防范对电网和电厂计算机监控系统及调度数据网络的攻击侵害及由此引起的电力系统事故,保障电力系统的

7、安全、稳定、经济运行。 配电自动化系统作为电力二次系统的重要组成部分,其安全防护方案必须符合全国电力二次系统安全防护总体方案的各项规定和要求。 21电力二次系统安全防护总体策略 电力二次系统安全防护策略吸收了安全防护技术的最新成果,根据电力系统的特点,综合采用先进实用的计算机和网络安全技术及隔离技术、公钥技术、证书技术等,形成电力二次系统安全防护的总体策略。电力二次系统安全防护总体策略可概括为安全分区、网络专用、横向隔离、纵向认证四部分。 (1)安全分区:根据系统中各业务的重要性和对一次系统的影响程度划分为四个安全区,即控制区(实时控制区)、生产区(非控制生产区)、管理区(生产管理区)、信息区

8、(管理信息区),所有系统都置于相应的安全区内,对实时控制系统等关键业务则采用认证、加密等技术进行重点保护。 (2)网络专用:在专用通道上建立调度专用数据网络,实现与其他数据网络的物理隔离,并通过采用多协议标椥槟饨换煌?mpls?vpn在专网上形成多个相互逻辑隔离的vpn,保障上下级各安全区的纵向互联仅在相同安全区进行,避免安全区纵向交叉。 (3)横向隔离:采用不同强度的安全隔离设备使各安全区中的业务系统得到有效保护,关键是将生产控制系统与管理信息系统及办公自动化系统等实行有效安全隔离,隔离强度应接近或达到物理隔离。 (4)纵向认证:采用认证、加密、访问控制等技术实现生产控制数据的远程安全传输以

9、及纵向边界的安全防护。 22配电自动化系统安全防护方案 根据电力二次系统安全防护的总体策略,配电自动化系统的安全防护方案如下: (1)配电自动化系统的安全区划分 按照配电自动化系统各个子系统所包含的业务性质和所处的网络位置,配电自动化系统四个安全区可划分为:scada系统、da系统、负荷管理系统和配网实时计算系统等系统因具有实时控制功能而分在安全区;配电工作管理、运行计划和优化、配网调度员培训等在线运行的非控制模块在安全区;另外,由于反向型电力专用安全隔离装置的研制尚未成熟,为了便于配电生产、控制区对gis的调用,安全区中设有gis副本;am/fm/gis、配网扩展规划 和电能交易等管理功能模

10、块在安全区;客户查询和客户账户管理等系统因与外部公共网相连而分在安全区中。 (2)各安全区之间的横向隔离措施安全区与安全区的业务系统都属电力生产系统,采用电力调度数据网络,在线运行,数据交换较多,关系比较密切,故、区之间采用硬件防火墙进行逻辑隔离,禁止e-mail、web、telnet、rlogin等服务穿越安全区之间的隔离设备。 安全区与安全区的业务系统都属管理信息系统,采用电力数据通信网络,数据交换较多,关系比较密切。、区之间采用硬件防火墙进行逻辑隔离。安全区、与安全区之间采用经有关部门认定核准的专用横向安全隔离装置?椀缌冒踩衾胱爸媒懈衾搿影踩瘛蛲踩蟛捎谜虬踩衾胱爸玫虼湫畔?由安全区往安全

11、区或采用反向安全隔离装置单向传输信息。严格禁止e-mail、web、telnet、rlogin等b/s或c/s方式的网络服务和数据库访问功能穿越专用安全隔离装置,仅允许纯数据的单向安全传输。反向安全隔离装置采取签名认证和数据过滤措施,仅允许纯文本数据通过,并严格进行病毒、木马等恶意代码的查杀。 (3)安全区与远方通信的纵向安全防护措施安全区、与国家电力调度数据网spdnet(广域网)相连。spdnet采用mpls?vpn技术构造两个逻辑隔离的子网,即实时子网vpn1和非实时子网vpn2,为安全区、分别提供广域通信服务。安全区、接入spdnet时,配置纵向加密认证装置,实现网络层双向身份认证、数

12、据加密和访问控制等安全措施。安全区与国家电力数据通信网sptnet(广域网)相连。安全区通过硬件防火墙接入sptnet,以保证安全。安全区通过与硬件防火墙与信息vpn和外部公共网相连。 (4)各安全区内部的安全防护措施 各安全区内部安全防护的措施有:禁止安全区/内部的e-mail服务;禁止跨越安全区的web服务;允许安全区的纵向web服务;web浏览工作站与区业务系统工作站不得共用,而且必须由业务系统向web服务器单向主动传送数据;安全区/的重要业务(如scada/agc、电力交易)采用认证加密机制;安全区/内的相关系统间采取访问控制等安全措施;对安全区/的拨号访问,采取认证、加密、访问控制等安全防护措施;安全区/采取防恶意代码措施,病毒库和木马库等软件的更新必须离线进行,不得直接从因特网下载;安全区允许开通e-mail、web服务;对