前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的电力网络安全的重要性主题范文,仅供参考,欢迎阅读并收藏。
[关键词] 电力系统 网络安全 风险控制
0 引言
对于电力部门来说,保奥运,确保电网和系统安全,是目前各发电集团公司、国家电网公司、南方电网公司的头等大事。保护电力业务系统的安全,其核心在于保护电力数据的安全,包括数据存储、传输的安全。影响电力系统网络安全的因素很多,有些因素可能是有意的,也可能是无意的误操作;可能是人为的或是非人为的;也有可能是内部或外来攻击者对网络系统资源的非法使用。
电力系统一直以来网络结构和业务系统相对封闭,电力系统出现的网络安全问题也基本产生于内部。但是,随着近年来与外界接口的增加,特别是与政府、金融机构等合作单位中间业务的接口、网上服务、三网融合、数据大集中应用、内部各系统间的互联互通等需求的发展,其安全问题不仅仅局限于内部事件了,来自外界的攻击也越来越多,已经成为电力系统不可忽视的威胁来源。但是,据我所知,未来电力系统网上服务所采用的策略一般是由各省公司做统一对外服务出口,各级分局或电力公司和电厂将没有对外出口;从内部业务应用的角度来看,除大量现存的C/S结构以外,还将出现越来越多的内部B/S结构应用。所以,对于电力系统整体来说,主要问题仍有一大部分是内部安全问题。其所面临的威胁大体可分为两种:一是对网络中通讯、信息的威胁;二是对网络中设备的威胁,造成电力系统瘫痪。对于电力系统来说,主要是保护电力业务系统的安全,其核心在于保护电力数据的安全,包括数据存储,数据传输的安全。
(1)人为的无意失误
如果网络安全配置不当造成的安全漏洞,包括安全意识、用户口令、账号、共享信息资源等都会对网络安全带来威胁。主机存在系统漏洞,通过电力网络入侵系统主机,并有可能登录其它重要应用子系统服务器或中心数据库服务器,进而对整个电力系统造成很大的威胁。
(2)人为的恶意攻击
这是计算机网络所面临的最大威胁,黑客的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的可用性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成直接的极大的危害,并导致机密数据的泄漏和丢失。由于windows操作系统的漏洞不断出现,针对windows操作系统漏洞的各种电脑病毒攻击也日益多了起来。尤其是2003年8月份和2006年5月出现的冲击波蠕虫病毒和恶意程序给全世界80%的计算机造成了破坏,安徽省省电力公司系统内也有多个供电企业的信息系统遭到病毒的破坏,这一事件给网络安全再次敲响了警钟!
2 网络安全风险和威胁的具体表现形式
电力系统网络的安全性和可靠性已成为一个非常紧迫的问题。电力安全方案要能抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击,特别是能够抵御集团式攻击,防止由此导致的一次系统事故或大面积停电事故,二次系统的崩溃或瘫痪,以及有关信息管理系统的瘫痪。必须提出针对以上事故的各种应急预案。 随着计算机技术、通信技术和网络技术的发展,电力系统网上开展的业务及应用系统越来越多,要求在业务系统之间进行的数据交换也越来越多,对电力网络的安全性、可靠性、实时性提出了新的严峻挑战。其安全风险和威胁的具体表现形式如下:
(1)UNIX和Windows主机操作系统存在安全漏洞。
(2)Oracle,Sybase、MS SQL等主要关系型数据库的自身安全漏洞。
(3)重要应用系统的安全漏洞,如:MS IIS或Netscape WEB服务应用的“缓存区溢出”等,使得攻击者轻易获取超级用户权限。核心的网络设备,如路由器、交换机、访问服务器、防火墙存在安全漏洞。
(4)利用TCP/IP等网络协议自身的弱点(DDOS分布式拒绝服务攻击),导致网络瘫痪。网络中打开大量的服务端口(女IIRPC、FTP、TELNET、SMTP、FINGER等),容易被攻击者利用。黑客攻击工具非常容易获得,并可以轻易实施各类黑客攻击,如:特洛伊木马、蠕虫、拒绝服务攻击、分布式拒绝服务攻击、同时可利用ActiveX、Java、JavaScript、VBS等实施攻击。造成网络的瘫痪和关键业务数据的泄漏、篡改甚至毁坏。在电力内部网络中非法安装和使用未授权软件。对网络性能和业务造成直接影响。系统及网络设备的策略(如防火墙等)配置不当。
(5)关键主机系统及数据文件被篡改或误改,导致系统和数据不可用,业务中断等。
(6)分组协议里的闭合用户群并不安全,信任关系可能被黑客利用。
(7)应用软件的潜在设计缺陷。
(8)在内部有大批的对内网和业务系统相当熟悉的人员,据统计,70%以上的成功攻击来自于企业系统内部。与其他电力和合作单位之间的网络互通存在着极大的风险。
(9)虽然将来由省局(公司)统一的WEB网站向外信息并提供网上信息服务,但很多分局和分公司仍允许以拨号、DDN专线、ISDN等方式单独接入互联网,存在着由多个攻击入口进入电力内部网的可能。系统中所涉及的很多重要数据、参数直接影响系统安全,如系统口令、IP地址、交易格式、各类密钥、系统流程、薄弱点等,技术人员的忠诚度和稳定性,将直接关系到系统安全。
(10)各局使用的OA办公自动化系统大量使用诸如WINDOWS操作系统,可能存在安全的薄弱环节,并且有些分局可能提供可拷贝脚本式的拨号服务,拨入网络后,即可到达电力的内部网络的其它主机。
系统为电力客户提供方便服务的同时,数据的传输在局外网络和局内局域网络的传输中极有可能被窃取,通过 Sniffer 网络侦听极易获得超级用户的密码。
3 系统的网络风险基本控制策略
针对电力系统网络的安全性和可靠性,电力安全方案要能抵御通过各种形式对系统发起的恶意破坏和攻击,防止由此导致的一次系统事故或大面积停电事故,二次系统的崩溃或瘫痪,以及有关信息管理系统的瘫痪。总体来说,电力系统安全解决方案的总体策略如下:
(1)分区防护、突出重点。根据系统中业务的重要性和对一次系统的影响程度,按其性质可划分为实时控 制区、非控制生产区、调度生产管理区、管理信息区等四个安全区域,重点保护实时控制系统以及生产业务系统。所有系统都必须置于相应的安全区内,纳入统一的安全防护方案。
(2)区域隔离。采用防火墙装置使核心系统得到有效保护。
(3)网络专用。在专用通道上建立电力调度专用数据网络,实现与其他数据网络物理隔离,并通过采用MPLS-VPN形成多个相互逻辑隔离的IPSEC VPN,实现多层次的保护。
(4)设备独立。不同安全区域的系统必须使用不同的网络交换机设备。
(5)纵向防护。采用认证、加密等手段实现数据的远方安全传输。
4 电力系统的网络安全解决方案
针对电力网络安全的薄弱环节全方位统筹规划。解决方案注重防止非法入侵全网网络设备;保护电力数据中心及其设备中心的网络、服务器系统不受侵犯――数据中心与Internet间必须使用防火墙隔离,并且制定科学的安全策略;制定权限管理――这是对应用系统、操作系统、数据库系统的安全保障;考虑网络上设备安装后仍然可能存在的安全漏洞,并制定相应措施策略。
(1)在网络设备的安全管理方面,将所有网络设备上的Console口加设密码进行屏蔽,配置管理全部采用DUT-BAND带外方式,并对每个被管理的设备均设置相应的帐户和口令,只有网络管理员具有对网络设备访问配置和更改密码的权力。
(2)存网管中心通过划分不同安全区域来规范管理网络和工作网络,从逻辑上把每个部门的资源独立成一个安全区域,对安全区域的划分基于安全性策略或规则,使区域的划分更具安全性。网络管理员可根据用户需求,把某些共享资源分配到单独的安全区域中,并控制区域之间的访问。
(3)VPN和IPsec加密的使用。电力网络将通过MPLS VPN把跨骨干的广域网络变成自己的私有网络。为保障数据经VPN承载商(ISP)传输后不会对数据的完整与安全构成潜在危险,在数据进入MPLSVPN网络之前首先经过IPsec加密,在离开VPN网络后又再进行IPsec解密。
(4)通过网络设置控制网络的安全。在交换机、路由器、数据库和各种认证上,层层进行安全设置,从而确保整个网络的安全。
(5)通过专用网络防火墙控制网络边界的安全。
(6)进行黑客防范配置。通过信息检测、攻击检测、网络安全性分析和操作系统安全性分析等一系列配置,对黑客进行监控。可以部署在内网作为IDS进行监控使用,也可以部署在服务器的前端作为防攻击的IPS产品使用,前题是保障网络的安全性。
5 电力系统局域网内部网络安全解决方案
外部攻击影响巨大,但内部攻击危害巨大,为了解决内网安全问题,在一个电力/电厂系统的局域网内部,可以使用防火墙对不同的网段进行隔离,并且使用IPS设备对关键应用进行监控和保护。同时,使用IPS设备架设在相应的安全区域,保证访问电力系统内部重要数据的可监控性,可审计性以及防止恶意流量的攻击。并且实现以下的主要目的:
(1)网络安全:防火墙可以允许合法用户的访问以及限制其正常的访问,禁止非法用户的试图访问。
(2)防火墙负载均衡:网络安全性越来越成为电力系统担心的问题了,网络安全已经成为了关键部门关注的焦点。网络安全技术将防火墙作为一种防止对网络资源进行非授权访问的常用方法。
(3)服务器负载均衡:执行一定的负载均衡算法,可以针对电厂内关键的服务器群动态分配负载。
6 广域网整体安全解决方案
对于整个广域网,为了端对端,局对局的安全性,本着不受他系统影响/不影响他系统的安全原则,可对防火墙以及IPS设备进行分布式部署。
通过过滤的规则设置可以使得我们方便地控制网络内部资源对外的开放程度,特别是针对国家电网公司、当地政府以及Internet仅仅开放某个IP的特殊端口,有效地限制黑客的侵入。
通过过滤、IP地址以及客户端认证等规则的应用,可以确定不同的内部用户享受不同的访问外部资源的级别,对于内部用户严格区分网段,而且可以利用独特的内置LDAP的功能对客户端进行认证。通过这种方式可以有效地限制内部用户主动将信息通过网络向外界传递。
双机热备(负载均衡):为了提高系统的可靠性,通过监控设备的CPU Loading来确认谁转发流量,极大的提高了防火墙的吞吐量。
友好的用户界面:只需作简单的培训,用户即可进行规则配置、系统管理、统计。
7 参考文献
[1] 《StoneSoft电力系统网络安全解决方案》StoneSoft
公司,2005。
[2] 王桂娟,张汉君。《网络安全的风险分析》[J].中南民族
大学学报,2007,(11)。
[3] 陈 伟、鲍 慧.《电力系统网络安全体系研究》[丁].电
力系统通信,2008,(1).
【关键词】电力企业 计算机 网络安全
由于电力系统一直以来网络结构和业务系统的相对封闭性,电力系统出现的网络安全问题也基本产生于内部。但是,随着近年来与外界接口的增加,特别是与银行等合作单位中间业务的接口、网上电力服务、三网融合、数据大集中应用、内部各系统间的互联互通等需求的发展,其安全问题不仅仅局限于内部事件了,来自外界的攻击已越来越多,已经成为电力不可忽视的威胁来源。我们所要做的就是未雨绸缪尽,最大的努力建立一个相对安全的网络。
一、电力系统中存在的网络安全风险
在电力企业中通常会将生产控制系统与信息管理系统分隔开来,通过这种方法来避免外来因素对生产系统造成严重损害。在生产控制系统中其风险多来自于生产设备与系统的故障,还有可能存在内部人员的破坏的风险。管理网络中的常见风险则有系统合法或者非法用户造成的危害、组建系统的过程中带来的威胁、来自于物理环境的威胁。这些威胁中常见的有系统与软件存在漏洞、合法用户的不正确操作、设备故障、数据误用、数据丢失、行为抵赖、内部或者外部人员的攻击、物理破坏(各种自然灾害或者其他不可抗力带来的危害)、各种木马和病毒等。这些风险造成的后果通常是数据丢失或数据错误,从而大大的降低了数据的可用性。网络中的链接中断、被入侵、感染病毒、假冒他人言论等风险都会大大降低数据的完整性与保密性。正是由于这许多风险,所以必须加强网络安全的建设。
二、增强电力系统网络安全的策略
(一)物理安全
计算机网络的物理安全指的是对计算机硬件设备、计算机系统、网络服务器、打印机等硬件的安全防护,同时还包括了对通信链路等各种连接设备进行保护,避免被人为的破坏和各种自然灾害带来的损失。在物理安全中海需要为各种硬件设备提供一个良好的电磁兼容工作环境。
计算机系统在工作时,系统的显示屏、机壳缝隙、键盘、连接电缆和接口等处会发生信息的电磁泄漏,而电磁泄漏也会泄漏机密。所以在物理安全策略中如何抑制与防止电磁泄漏是一个十分重要的问题。目前主要的措施有:第一种是对计算机设备内部产生和运行串行数据信息的部件、线路和区域采取电磁辐射发射抑制措施和传导发射滤波措施,并视需要在此基础上对整机采取整体电磁屏蔽措施,减小全部或部分频段信号的传导和辐射发射,对电源线和信号传输线则采取接口滤波和线路屏蔽等技术措施,最大限度的达到抑制电磁信息泄漏源发射的目的;第二种是使用电磁屏蔽技术,将计算机设备或系统放置在全封闭的电磁屏蔽室内;第三是使用噪声干扰法,即在信道上增加噪声,从而降低窃收系统的信噪比,使其难以将泄漏信息还原。
(二)进行访问控制
网络安全的目的是将企业信息资源分层次和等级进行保护,而访问控制的主要任务就是保证网络资源不被非法使用和非常访问。
访问控制是进行网络安全防范和与保护网络的主要手段。它是对网络安全进行保护的核心策略。访问控制手段有多种,其中主要的有以下的几种手段。第一种是入网控制。它是第一层的网络访问控制,其重要性不言而喻。入网访问控制是对用户可以登录的时间和允许他们可以登入的工作站进行控制。第二种是网络权限控制,其主要目的是防止各种可能出现的网络非法操作,它的做法是根据用户组与用户的身份赋予相应的权限,并对用户与用户组可以访问哪些资源和进行什么操作进行规定限制。第三种是目录级安全控制。该种控制指的是对用户在目录一级的文件和子目录的权限进行控制,例如用户的读权限、写权限等。第四种是属性安全控制。属性安全控制指的是网络管理员根据需求为给各种文件和目录所指定相应的安全访问属性。第五种是服务器安全控制。该种控制指的是为服务器设置口令、登录时间限制、非法访问者检测等,以防止非法用户对信息的修改和破坏等。最后的是防火墙控制。防火墙控制,在内部网与外部网的节点上安装防火墙对一些危险的数据信息进行过滤已形成一个较为安全的网络环境。
(三)对数据进行加密
数据加密的目的是为了隐蔽和保护具有一定密级的信息。对于网络上的数据加密方法常用的有以下三种,分别是链路加密、端点加密和节点加密。链路加密是传输数据仅在物理层前的数据链路层进行加密,它必须要求节点本身是安全的,否则其加密也相当于没有加密;端到端加密允许数据在从源点到终点的传输过程中始终以密文形式存在,与链路加密和节点加密相比更可靠,更容易设计、实现和维护,它的目的是对源端用户到目的端用户的数据提供保护;节点加密的目的是对源节点到目的节点之间的传输链路提供保护。而各个电力企业应该根据其自身的需求去选择合适的加密算法。
(四)制定完善的管理制度
在进行网络安全管理的过程中,除了拥有良好的技术方法和措施,还必须拥有一个完善的管理制度。如果没有一个晚上的管理制度,再好的措施在执行时都会出现不同程度的问题,而对于网络安全来说是容不得一点失误的,任何失误都有可能为网络安全带来不确定的影响。所以还必须做到如下几点:对安全管理等级和完全管理范围进行明确的划分;制定出完善的网络操作使用规程和人员出入机房管理制度;最后是制定出网络系统的维护制度和应急措施等。
三、结语
计算机网络对电力企业有着十分重要的作用,然而对于计算机网络在电力系统中的安全防护问题,电力企业还有许多的工作需要做,这些都需要整个电力企业的员工共同的努力,逐步的完善,计算机网络安全的建设任重而道远。
参考文献:
近几年, 随着国家对电力系统的关注与扶持,我国在电网调度自动化建设方面取得了比较理想的成果,电网调度数据作作为直接为电力调度生产提供服务的专用型数据网络得到了推广、普及,全国范围内所有省级调度都已基本建成并投入正常使用。随着各级网络技术的延伸与扩展, 网络规模日趋庞大,技术成分更加复杂,电网调度在自身规划中的安全隐患与设计缺陷不断暴露,成为我国电网安全运行的重大阻碍。因此积极推动实现电力调度数据网安全技术升级改良成为电力系统安全调度的重点工作。
一、制度健全,管理高效安全
制度管理是电力调度数据网安全运行的前提与基础,要想实现网络运行期间的网络安全首先要编制合理的管理制度,保证制度的合理与安全,实现数据网的功能最大发挥。制度安全涉及项目众多,除了基本的安全保障制度还需要健全安全防护组织机构、人员管理制度及机房管理制度、设备网络管理制度、安全操作管理制度等,除了制度上的健全与规范,安全管理运行离不开科学的防范管理体系,建立完善的防范管理体系可以保证制度管理方案的正常运行,增强电力网络部门之间的稳定性,增强网络威胁的应对能力,提前做好应急预案及演练管理工作,确保在发生危险时网络安全依然可以稳定高效运行。
二、物理环境安全稳定
物理安全主要指电力周边设施对电力调度数据网安全的影响,这是调度数据网络安全的前提。安全高效的物理环境可以保护数据网免受水灾、火灾等环境事故及个人操作事物的影响。物理环境主要包括基本的机房环境、电力调度场地及对应的供电设备安全。积极做好机房环境优化,设置必要的设备防盗防护体系, 处理好日常的防雷、防静电等,在物理环境的优化上要根据具体数据网的特点进行合理布置。
三、网络运行的安全技术分析
除了上述提到的制度与物理环境的安全,在电力调度数据中最关键的是网络运行的安全,调动数据网是否能够安全运行主要取决于网络设备、网络结构及对用的安全审计等多个方面的防护措施安全程度。
(一) 网络设备安全分析
在网络设备安全中主要涉及到四个方面。首先是网络账号安全。电力调度数据网安全技术设置一定的账号方便账号管理工作,对用户进行身份验证,保证电网信息的安全不泄露。其次是配置安全,主要是基于电力数据网内的关键数据信息进行定期备份处理, 每一次关键信息的备份处理都在设备上留有痕迹, 保证档案信息有效。再次是审计安全,我国明确要求整个电力调度数据网具备审计功能,做好审计安全可以保证系统设备运行状况、 网络流量计用户日常信息更新, 为日后查询提供方便。 最后是维护安全, 要求定期安排技术人员进行设备巡视, 对于设备中存在的配置漏洞与书写错误进行检查修复, 防止系统漏洞造成的系统崩溃及安全问题。
(二) 网络结构安全分析
在计算机网络结构技术分析中我们为了保证电力调度数据网的结构安全可以从以下四个方面入手做好技术升级与完善。首先使用冗余技术设计完成网络拓扑结构,为电力调度提供主要的网络设备及通信线路硬件冗余。 其次依据业务的重要性制定带宽分配优先级别,从而保证网络高峰时期的重要业务的宽带运行。再次积极做好业务系统的单独划分安全区域, 保证每个安全区域拥有唯一的网络出口。最后定期进行维护管理, 绘制网络拓扑图、填写登记信息,并对这些信息进行定期的更新处理。在网络安全结构的设计分析上采用安全为区分与网络专用的原则,对本区的调度数据网进行合理的前期规划,将系统进行实时控制区、非控制生产区及生产管理区的严格区分。坚持“横向隔离,纵向认证”的原则,在网络中部署好必要的安全防护设备。 优先做好VLAN及VPN的有效隔离。 最后不断优化网络服务体系。网络服务是数据运输及运行的保证,积极做好网络服务可以避免数据信息的破损入侵,在必要情况下关闭电力设备中存在的不安全或者不必要的非法控制入侵行为,切实提高电力调度数据网的安全性能。
四、 系统安全管理技术分析
电力调度数据网本身具有网络系统的复杂性, 只有积极做好网络系统的安全管理才能实现电力的合理调度。系统管理工作涉及项目繁多,涉及主要的设备采购及软件开发、工程建设、系统备案等多个方面。在进行系统安全管理时要积极做好核心设备的采购、自行或外包软件开发过程中的安全管理、设置必要的访问限制、安全日志及安全口令、 漏洞扫描,为系统及软件的升级与维护保驾护航。
五、 应用接入安全技术分析
在电力调度的数据网安全技术中,应用接入安全是不可忽视的重要组成部分。目前由于电力二次系统设备厂家繁多,目前国家没有明确统一的指导性标准可供遵循,导致生产厂家的应用接入标准不一,无形之中为安全管理工作带来诸多不便。因此在优化电力调度数据网安全系统时,可以依据调度数据网本身的运行需求,从二次系统业务的规范接入、通信信息的完整性及剩余信息的保护等方面着手,制定出切实可行的安全防护机制,从根本上保障电力调度数据网络的安全稳定。
结束语
电力调度数据网安全技术升级与优化是动态发展的过程,具有一定的复杂性与长期性。随着当前信息技术的发展,电力业务的大量扩展, 电力系统漏洞威胁越来越明显,而电力调度的数据网安全技术更新升级与推广也具有了现实的迫切性。 目前我国电网公司已经根据电网调度数据网安全性要求加大对安全性技术的研发力度, 配套部署了部分安全防护型产品及安全防护技术, 但是做好电力调度数据网的安全技术管理依然是任重而道远, 需要我们付出不懈的努力。
关键词:电力调度;数据安全;IP技术
中图书分类号:TM734 文献标识码:A 文章编号:1006-8937(2012)32-0108-02
在工业化高度发展的今天,电力产业无疑是流淌在国家日益强大躯体内的血液,是关系着工业建设和居民生活等国计民生方面的命脉。随着我国经济的快速发展,工业和居民用电量持续增长、用电负荷急剧增加、用电质量愈加严格,使得我国的电力供应经常处于紧张状态,严重影响了国民经济的发展。
按照电力工业的发展势头,在未来的很长一段时间内我国仍需要在电力局基础设施和电力输送领域加大投入,持续深化电力体制改革。基于此,我国就电力网络的扩展和升级出台了一系列的措施,包括厂网分离、国有电力资产重组、竞价上网、设立电监会等,而国内的电力企业也积极响应,纷纷通过提升技术水平来力争做好电力服务工作,提升自己的营运收入。
在所有的技术革新中,积极建设电力二次系统的电力调度通信网络也是电力企业谋求发展的重点工作之一,目前我国的电力调度数据网正从传统的电路交换向统一的包交换过渡,在技术、经验方面还不是很成熟,再加之其在电网生产和运行中的重要作用,使得调度数据本身的安全性值得认真研究并提出全方位的解决措施。
1 电力调度数据网的现状和发展
1.1 电力调度数据网概况
电力调度数据网络(SPDnet)负责电力调度实时数据、生产管理数据、通信监测数据等电力生产实时信息的传输,在协调电力系统发、送、变、配、用电等方面作用重大。电力数据网络的承载业务基于其最为基础和核心的EMS/SCADA得到了很大范围的拓展,业务系统的不断发展对调度数据网络提出了更高的要求,如何在同一数据网络中互不影响的并行传输多个关键系统,并同时保证传输可靠和数据安全,成为电力调度数据网络建设的重要课题。
1.2 电力调度数据网络结构
我国的SPDnet网络由上至下按照国家、地区、省、地市、县等级分别对应建立工五级网络,覆盖各级调度中心和直调发电厂、变电站。目前国家及网络已经建设完成投入使用,地区和省级网络正加紧实施,少数地市甚至经济发达县区的建设也已经开始。
本文拟采用IP路由交换设备组成广域网,采用IP over SDH的技术体制,各二级及以下网络均采用相类似的方式分层组网,网络对于IP路由和交换设备、相配套的安全系统技术要求如下:
①电力调度数据网的关键、重要环节需采用电信级别高的设备,关键部件如主控单元、总线、电源等应有冗余设置,业务处理板应支持热插拔特性,可实现在线维护和升级。
②电力调度数据的传输应配合MPLS VPN技术和QOS技术,具备准确、实时、可靠的性能,另外还需具备高转发和端到端转发延迟功能。
③在进行不同业务系统数据的传输时,要根据业务类别及其重要程度进行有效隔离,通过建立安全分区进行有效的防护和管理,通过构建时间、空间、网络三个层面的集成安全体系架构对外网、内网进行监测,实现网络层、用户层、业务层端到端的安全保护。
2 IP网络的安全状况分析
IP网络以其技术开放、设置简单、扩展功能强大和应用范围已经成为现代网络技术应用的核心,但其广受欢迎的特点却与电力调度数据保密性、安全性等要求相冲突。因此,如何使IP技术很好的融入到电力调度数据网络当中,在实现高效、可靠传输的同时能够保证数据安全显得至关重要。
据统计,目前应用TCP/IP协议的网络系统受到的主要威胁和攻击方式有欺骗攻击、否认服务、拒绝服务、数据截取和数据篡改等。基于此,IP网络建立了较为完整的网络安全方案,其中常用的安全工具有认证与签权、防火墙、入侵检测、隔离器等。
在预防攻击的方法和经验的积累中,IP技术还形成了自己全面的网络安全策略,其中包括:广域网中设置隔离、自治域及冗余备份;局域网按照功能和级别划分,设置口令,加强维护、管理;操作系统中设置权限,记录登录信息,及时升级、弥补漏洞;通过磁盘、服务器和网络进行数据备份。
3 电力调度数据安全整体解决方案
3.1 电力调度数据网安全策略
综合考虑电力调度数据网的特点、功用以及易受攻击的部位和所造成的威胁等情况,得出其安全策略为:调度网内部分层建立和部署安全体制,网内网外建立有效的隔离措施,关键点建立实时检测与审计工具。以上策略覆盖了电力调度数据网从低到高,由内至外,事前起到事后终的全部范围,是全面解决方案的基本依据和核心所在,针对以上调度数据网的安全策略,本文以下内容分三个方面详细介绍。
3.2 调度数据网内部安全方案
电力调度网可以在纵向范围内看作分层管理的独立专网,通过WAN连接各级调度LAN以及主机或终端设备。调度数据网内部安全主要包含物理安全、网络安全、操作系统安全、应用安全和人员管理共5个层面的内容。
物理安全主要指预防自然灾害、故障、失窃、数据丢失等造成硬件、线路等的损坏。目前,物理层面的通信主要采用SDH传输体制来实现复用段或通道的自愈保护,安全性方面主要注意各类生产调度数据的有效隔离。而MPLS VPN技术则是此方面应用的最好选择,其体系结构如图1所示。
交换路由器(LSR)作为基本组成单元构成MPLS网络区域,LSR可位于MPLS域边缘用于外联亦可位于域内部用作内联,其具体设备可以是路由器或Ethernet交换机。在电力调度数据传输时,可以根据其实时性要求是否严格进行划分,并将其分别归属于两个MPLS VPN(VPN1、VPN2)进行有效隔离。
由于广域网覆盖范围较大、涉及的服务节点较多,所以应重点做好其安全防护。局域网作为各级调度机构的内部网络,涉及最核心的应用服务和相关信息,是黑客攻击的目标所在,安全防护的薄弱环节。在具体防护中可以应用以下方法:在网络建设时做链路备份;建立与上级网络的紧密联系;优化路由及网络结构,必要时设定TCP侦听功能;分散应用所在的主机和物理地点,避免一损俱损;划分区域,加强口令管理,形成操作制度;设置防火墙和病毒防护。
3.3 调度数据网内外隔离方案
在做好调度数据网内部安全之后,还需要关注其与电力信息管理系统中各级调度部横向的连接,只有做好内部网和公共网物理隔离,才能真正保证调度数据的安全可靠。
本文中采用链式结构部署隔离器来实现调度数据网内外的隔离,其链式结构如图2所示。该隔离装置的引入可以过滤不安全的服务,禁止不安全协议进出,阻止源路由攻击,并将以上类型攻击的报文并通知网络隔离装置管理员。通过将所有的访问都经过网络隔离装置,以便做好访问日志记录,并提供网络使用情况的统计数据。当发生可疑动作时,网络隔离装置能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。
4 结 语
本文在对电力调度数据网运行现状以及当今广泛应用的IP网络技术安全状况进行分析的基础上,给出了基于IP技术的电力调度数据网络安全方案。高效、经济的电力调度数据网安全方案意义重大,随着网络基础设备、操作系统、数据库、网络隔离器等方面技术的发展,与之相关的网络安全问题一定会得到更多的重视和研究。
参考文献:
[1] 罗汉武,李昉,张栋.安全数据网的构建及其在河南电力调度数据网应用[J].电力自动化设备,2007,27(1).
[2] 阙凌燕,陈利跃,黄斌.新一代数据保护技术在浙江电力调度管理信息系统中的应用[J].浙江电力,2010,29(2).
【关键词】变电站;电气一次设计;220KV高压变电站
随着社会经济的飞速发展,我国人们在日常生活和生产中所需要的电量不断增加。在这种时代背景下,人们对变电站设计工作提出了新要求,这主要因为变电站设计关系到变电站工作能力的发挥,决定着电力供应稳定性和安全性。这里我们主要对220KV高压变电站的一次设计工作做了分析,旨在保证电网运行安全性和可靠性。
1、变电站的重要性
变电站是电力系统中不可或缺的一部分,它在人们日常生活、生产中占据着重要的地位,承担着电压变换、接受电能并对之进行分配,从而达到控制电流流向、调整电压的重担。它是电网之间相互联系的纽带,通过变压器将各级电压、电网结合起来,从而将电压转换成为能直接供人们使用的电能,已达到保证电网安全运行的目的。
变电站在应用中最主要的目的是实现高压、低压电能的相互转换。在目前的工作中,常见的变电站主要可以分为两种,即升压和降压两种,其中升压变电站主要是同电厂结合在一起的变电站,这种变电站的主要作用是将低压电能转变为高压电能,从而保证电能传输率和稳定性,进而减少长途传输中造成的电能耗损。降压变电站通常都是和用户离的较近,是将远方传输过来的高压电能转换成电压电能,从而供人们直接使用。变电站中最主要的设施就是变压器,它能够直接将变电站中接收到的高压电能转换为低压,转变成为的低压电能是一个安全的电压。同时,变电站除了变压器之外,变电站设备还有这控制闭路开关、互感器、母线以及调度装置等。
2、变电站电气一次设计要点
2.1 主接线设计
变电站的主接线电器设计是电气设计的重要组成部分,它是根据电网中的地位、出线数量、回路数以及设备的特点来确定的,同时在设计的过程中我们还需要注意供电荷载控制,在满足供电可靠性、运行灵活性以及操作方便的基础上节约能源,同时扩大要求,也就是我们常说的经济、灵活和可靠性要求。
在经济性方面,变电站电气主接线设计要从方便维修、操作,节约投入成本、扩大建设规模等方面进行,同变电站高压侧采用断路器较小或者之间不采用断路器来进行接线。在电气设计中,以一次设备的选择除了保证接线有效、科学、安全的同时,我们要尽可能的选择经济、合理的电气设备和线路,对于变电站的占地面积、主接线设计等工作都应当尽可能的选择合理的技术和方法。以220KV变电站的电气接线设计为例进行分析。接线设计的过程中要采用双母线、单母线两种线路配合,从接线的方式上选择科学的线路开关设计标准,从断路器中推出设备,并且将电气线路投入到使用中,以此作为变压器、设备检修的格力体系,取消那些没有必要的系统安全运行情况。考虑到上述种种原因,取消220KV侧出现开关、隔离开关以及断路器开关都需要严格按照控制目标进行。综上述种种原因分析,我们在220KV的变电站设计中,我们可以取消那些除了侧出现之外的侧进隔离开关。对于那些敞开式的设备而言,在断路器的选择上我们还可以设置一些现场检修要点,必要的时候还可以直接设置安全隔离带,从而保证周围设备运行环境安全。在这个过程中,组合器是断路器的重要组成部分,隔离开关、电流电压互感器是一个集成设备,通常都是按照绝缘结构进行维修的。
随着设备制造水平的提高,设备可靠性大为提高,因此为开关检修设计的断 路器两侧隔离开就关失去(或者说极大地消弱)了存在的必要性和实际应用价值。
2.2 220kV变电站的典型接线方式
在220kV的变电站电气设计中,主要考虑的就是终端变电站以及中间变电站。前者变电站则接近220kV变电站负荷中心,并在其中分为两路进线,从而将电能分配给低压用户,而实现这一分配的主要是通过两台主变来实现的。终端变电站的高压侧主接线形式有三种:单母线接线;内桥接线以及线路变压器组接线。对于单母线接线方式,主要是用在220kV变电站的高压侧主接线,且单母线分段的接线方式则是用在220kV变电站的低压侧主接线。
3、变压器及的选择
在变压器的选择上,应根据变电站的情况而定。如果变电站的季节性负荷较大,或者有大量的一级负荷或者二级负荷时,应考虑安装两台或以上的变压器。如变电站可由中、低压侧电力网取得足够容量的备用电源时,可装设一台主变压器。在对变电站中变压器台数的确定时,应根据该变电站中的具体指标来进行选择,该指标有主变的总容量、变压器制造容量的限制、变电站的占地面积以及对配电装置的投资、对变压器的投资、短路情况下的电流水平等,根据这些指标可以确定变电所中对变压器的数量选择。
4、配电装置及平面设计
高压配电装置的设计除了要认真的贯彻国家的技术经济政策以外,还应该根据当地的自然环境特点、电力系统要求和运行检修要求,结合线路出线走廊,制定出合理的设计方案并选择适宜的设备。高压配电装置要尽可能的采用新的材料、新的设备和新布置,在运用先进的设计技术的同时,保证设备的安全可靠的运行、巡视检修方便、经济合理。
在《变电站总布置设计技术规定》中明确的规定,变电站的的总平面布置因地制宜、努力创新,在充分利用现有的技术经济的基础上精心设计、合理布置。在变电站改建过程中,应该尽量的利用当地的劣地、坡地和荒地,最好做到少占或是不占当地的耕地资源,在以保证整个电力网络安全可靠运行的基础上,选择最佳的设计方案,做到技术与经济效益并重。
5、结语
综上所述,变电站电气的一次设计是一个综合工程,它是电力系统项目设计中的一个重要组成部分。要想做到变电站电气一次设计的完美实现,除了有一份成功的变电站电气设计方案之外,还需要注意诸如配电器、电气设备以及接线方式等方面的选择问题,只有这样,才能使变电站在实际的运行中获得最大的效益,才能使变电站电力系统实现用电的安全性,才能最终确保电力系统较高的经济效益以及社会效益。
参考文献
[1]吕欣.220kV变电站部分电气一次设计[J].北京电力高等专科学校学报,2010.