前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇電網(wǎng)辭職信范文,相信會為您的寫作帶來幫助,發(fā)現(xiàn)更多的寫作思路和靈感。
關(guān)鍵詞:電力二次系統(tǒng);安全防護體系;安全區(qū);措施
中圖分類號:TM727 文獻標識碼:A 文章編號:1007-0079(2014)33-0180-02
隨著電網(wǎng)自動化、計算機網(wǎng)絡(luò)及通信技術(shù)的飛速發(fā)展,電力系統(tǒng)自動化、信息化水平迅速提高。同時,電力調(diào)度系統(tǒng)的業(yè)務(wù)也不斷豐富,很多系統(tǒng)存在著相互之間的數(shù)據(jù)業(yè)務(wù)交換,這些對系統(tǒng)的網(wǎng)絡(luò)安全問題提出了更高的要求,電力二次系統(tǒng)的安全防護也變得更加重要和嚴峻起來。[1]為此,針對調(diào)度系統(tǒng)二次安全防護,相繼出臺了原國家電監(jiān)會第5號令《電力二次系統(tǒng)安全防護規(guī)定》以及《電力二次系統(tǒng)安全防護總體方案》等指導(dǎo)性文件從政策和技術(shù)的層面明確了電力調(diào)度部門信息安全建設(shè)的具體措施。
為保障地區(qū)電網(wǎng)安全、穩(wěn)定運行,抵御黑客、病毒、惡意代碼等通過各種形式對電力二次系統(tǒng)發(fā)起的惡意破壞和攻擊,特別是能夠抵御集團式攻擊,防止由此導(dǎo)致一次系統(tǒng)事故或大面積停電事故及二次系統(tǒng)的崩潰或癱瘓,依據(jù)相關(guān)政策文件,結(jié)合地區(qū)電網(wǎng)實際情況,設(shè)計和制定了地區(qū)調(diào)度控制中心二次系統(tǒng)安全防護方案。
一、電力二次系統(tǒng)安全防護體系
1.二次系統(tǒng)安全防護的相關(guān)原則
電力調(diào)度二次系統(tǒng)安全防護包括調(diào)度端、變電站內(nèi)及縱向安全防護,按照國家電力監(jiān)管委員會《電力二次系統(tǒng)安全防護規(guī)定》,電力二次系統(tǒng)安全防護的總體原則為“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認證”。安全防護主要針對網(wǎng)絡(luò)系統(tǒng)和基于網(wǎng)絡(luò)的電力生產(chǎn)控制系統(tǒng),重點強化邊界防護,提高內(nèi)部安全防護能力,保證電力生產(chǎn)控制系統(tǒng)及重要數(shù)據(jù)的安全,同時有效抵御外部的惡意攻擊,防止發(fā)生電力二次系統(tǒng)安全事件或由此導(dǎo)致的一次系統(tǒng)事故、大面積停電事故,達到保障電網(wǎng)安全穩(wěn)定運行的目的。[2,3]
“安全分區(qū)”是電力二次系統(tǒng)安全防護體系的結(jié)構(gòu)基礎(chǔ),原則上劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)。生產(chǎn)控制大區(qū)可以分為控制區(qū)(又稱安全區(qū)I)和非控制區(qū)(又稱安全區(qū)II),管理信息大區(qū)可以分為生產(chǎn)管理區(qū)(又稱安全區(qū)III)和管理信息區(qū)(又稱安全區(qū)IV);“網(wǎng)絡(luò)專用”,是指生產(chǎn)大區(qū)的數(shù)據(jù)網(wǎng)絡(luò)必須使用專網(wǎng)――電力調(diào)度數(shù)據(jù)網(wǎng),其中電力調(diào)度數(shù)據(jù)網(wǎng)劃分為邏輯隔離的實時子網(wǎng)和非實時子網(wǎng),分別連接控制區(qū)和非控制區(qū);“橫向隔離”,是指在控制大區(qū)與管理信息大區(qū)之間必須設(shè)置經(jīng)國家指定部門檢測認證的電力專用橫向單向安全隔離裝置,隔離強度應(yīng)接近或達到物理隔離;“縱向認證”是指采用認證、加密、訪問控制等技術(shù)措施實現(xiàn)數(shù)據(jù)的遠方安全傳輸以及縱向邊界的安全防護。對于重點防護的調(diào)度控制中心、發(fā)電廠、變電站在生產(chǎn)控制大區(qū)與廣域網(wǎng)的縱向連接處應(yīng)當(dāng)設(shè)置經(jīng)過國家指定部門檢測認證的電力專用縱向加密認證裝置或者加密認證網(wǎng)關(guān)及相應(yīng)設(shè)施,實現(xiàn)雙向身份認證、數(shù)據(jù)加密和訪問控制。[4,5]
電力二次系統(tǒng)安全防護的基本原則是,系統(tǒng)中安全等級較高的系統(tǒng)不受安全等級較低系統(tǒng)的影響。電力監(jiān)控系統(tǒng)的安全等級高于電力管理信息系統(tǒng)及辦公自動化系統(tǒng),各電力監(jiān)控系統(tǒng)必須具備可靠的自身安全防護措施,不得與安全等級較低的系統(tǒng)直接連接。
2.二次系統(tǒng)中安全區(qū)的劃分
從橫向角度看,為強化安全區(qū)的隔離,采用不同強度的網(wǎng)絡(luò)安全設(shè)備,使得各安全區(qū)中的業(yè)務(wù)系統(tǒng)得到有效保護。安全區(qū)I與安全區(qū)II之間采用硬件防火墻進行隔離;生產(chǎn)控制大區(qū)與管理信息大區(qū)之間采用電力專用隔離裝置進行隔離,并且限制數(shù)據(jù)業(yè)務(wù)的流向;從安全區(qū)I、安全區(qū)II去往安全區(qū)III單向傳輸信息必須采用正向隔離裝置,由安全區(qū)III去往安全區(qū)I、安全區(qū)II的單向傳輸信息必須采用反向隔離裝置。安全區(qū)III與安全區(qū)IV之間采用硬件防火墻進行隔離。[6]
安全區(qū)I中的業(yè)務(wù)系統(tǒng)或其功能模塊的典型特征為:是電力生產(chǎn)的重要環(huán)節(jié),直接實現(xiàn)對電力一次系統(tǒng)的實時監(jiān)控,縱向使用電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)或?qū)S猛ǖ?,是安全防護的重點與核心。典型業(yè)務(wù)系統(tǒng)包括能量管理系統(tǒng)、廣域相量測量系統(tǒng)、配電自動化系統(tǒng)、變電站自動化系統(tǒng)等。
安全區(qū)II中的業(yè)務(wù)系統(tǒng)或其功能模塊的典型特征為:是電力生產(chǎn)的必要環(huán)節(jié),在線運行但不具備控制功能,使用電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò),與控制區(qū)中的業(yè)務(wù)系統(tǒng)或其功能模塊聯(lián)系緊密。典型業(yè)務(wù)系統(tǒng)包括調(diào)度員培訓(xùn)模擬系統(tǒng)、水庫調(diào)度自動化系統(tǒng)、電能量計量系統(tǒng)等。
安全區(qū)III中的業(yè)務(wù)系統(tǒng)或其功能模塊的典型特征為:實現(xiàn)電力生產(chǎn)的管理功能,但不具備控制功能,不在線運行,可不使用電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò),與調(diào)度控制中心工作人員桌面終端直接相關(guān),與安全區(qū)IV的辦公自動化系統(tǒng)關(guān)系密切。
安全區(qū)IV中的業(yè)務(wù)系統(tǒng)或其功能模塊的典型特征為:實現(xiàn)電力信息管理和辦公自動化功能,使用電力數(shù)據(jù)通信網(wǎng)絡(luò),業(yè)務(wù)系統(tǒng)的訪問界面主要為桌面終端,包括辦公自動化系統(tǒng)和管理信息系統(tǒng)等。[6]
二、地區(qū)電力二次系統(tǒng)安全防護體系
1.二次系統(tǒng)現(xiàn)有業(yè)務(wù)
某地調(diào)現(xiàn)有自動化系統(tǒng)包括:南瑞OPEN2000調(diào)度自動化系統(tǒng)、南瑞OPEN3000調(diào)度自動化系統(tǒng)、北京煜邦電能量計量采集系統(tǒng)、北京殷圖變電站圖像監(jiān)控系統(tǒng)、電力調(diào)度運行管理系統(tǒng)(OMS)等。
其中,南瑞OPEN2000調(diào)度自動化系統(tǒng)SCADA部分于2000年7月投入運行,該系統(tǒng)在電網(wǎng)調(diào)度、運方、負荷預(yù)測等方面發(fā)揮著重要的作用。南瑞OPEN3000自動化系統(tǒng)是于2010年6月正式投入運行,實現(xiàn)了對地區(qū)電網(wǎng)的可靠運行控制,保證了地區(qū)電網(wǎng)監(jiān)視、控制手段的完好,確保了地區(qū)電網(wǎng)的安全、穩(wěn)定運行。北京煜邦電能量采集系統(tǒng)主要實現(xiàn)地調(diào)所有無人值班變電站的電能量信息、瞬時量信息的采集功能,完成變電站電能量數(shù)據(jù)的采集與處理、母線平衡計算、報表統(tǒng)計、線損統(tǒng)計分析等。北京殷圖變電站圖像監(jiān)控系統(tǒng)實現(xiàn)了無人值班變電站空間范圍內(nèi)的建筑安全、防火、防盜,保障了站內(nèi)輸變電設(shè)備的正常運行,并在事故時保持與主站的圖像通信。電力調(diào)度運行管理系統(tǒng)(OMS)涵蓋了電網(wǎng)調(diào)度、運方、繼保、自動化等各專業(yè),是地調(diào)管理與生產(chǎn)的重要組成部分。
其中,OPEN2000調(diào)度自動化系統(tǒng)、OPEN3000調(diào)度自動化系統(tǒng)、電能量計量采集系統(tǒng)、變電站圖像監(jiān)控系統(tǒng)等均為獨立建設(shè)的自動化系統(tǒng),同時均開通了Web瀏覽業(yè)務(wù)。
2.二次系統(tǒng)安全防護的實施
依據(jù)電力二次系統(tǒng)安全防護方案,結(jié)合地區(qū)電網(wǎng)實際情況,電力二次系統(tǒng)劃分為三個安全區(qū)。安全區(qū)I為內(nèi)網(wǎng),安全區(qū)III、安全區(qū)IV為外網(wǎng),內(nèi)網(wǎng)和外網(wǎng)之間通過電力二次系統(tǒng)專用安全隔離裝置保證了內(nèi)網(wǎng)和外網(wǎng)之間的安全程度很高的可控通信。
安全區(qū)I的網(wǎng)絡(luò)邊界通過電力通信專用網(wǎng)與三級數(shù)據(jù)網(wǎng)進行通信。安全區(qū)I的數(shù)據(jù)通過匯聚交換機和安全隔離裝置實現(xiàn)與安全區(qū)III實時Web的通信。
安全區(qū)III的網(wǎng)絡(luò)邊界通過電力通信專用網(wǎng)與三級數(shù)據(jù)網(wǎng)進行通信,同時通過防火墻過濾與安全區(qū)IV的通信,安全區(qū)III的主要業(yè)務(wù)是電力市場模擬系統(tǒng)、開放了Web瀏覽業(yè)務(wù)的各系統(tǒng)等。安全區(qū)IV直接面向廣域網(wǎng),通過防火墻過濾與安全區(qū)III的通信,主要業(yè)務(wù)包括信息通信中心OA系統(tǒng)。
電力二次系統(tǒng)安全防護的實施選用的相關(guān)主要網(wǎng)絡(luò)設(shè)備包括:
(1)安全隔離裝置。通過部署安全隔離裝置保證安全區(qū)I的網(wǎng)絡(luò)安全性,使得整個二次系統(tǒng)網(wǎng)絡(luò)的規(guī)劃完全符合電力二次系統(tǒng)安全防護方案的部署要求,保證電力二次系統(tǒng)的安全性。
(2)華為網(wǎng)絡(luò)交換機。為適應(yīng)對電力二次系統(tǒng)的安全分區(qū)的改造,在安全區(qū)I布置了一臺二層交換機,在安全區(qū)III布置了一臺三層核心交換機,通過部署這兩臺交換機起到了分區(qū)隔離、專網(wǎng)專用的作用。同時,也是將安全區(qū)III和安全區(qū)IV劃分清楚的重要措施。
(3)天融信防火墻。通過在安全區(qū)III、安全區(qū)IV之間部署國產(chǎn)防火墻,起到報文過濾的作用,保證安全區(qū)III的相對安全性。
(4)瑞星企業(yè)防病毒套件。為了進一步保證安全區(qū)III的安全穩(wěn)定運行,在安全區(qū)III安裝瑞星企業(yè)防病毒軟件,增加安全區(qū)III的防病毒的能力。
3.二次系統(tǒng)安全防護設(shè)備的部署
正向隔離裝置涉及到的業(yè)務(wù)為安全區(qū)I內(nèi)EMS系統(tǒng)的實時通信、報表同步和負荷預(yù)測文本傳輸。其中EMS系統(tǒng)運行在主備網(wǎng)絡(luò)結(jié)構(gòu)上,主要的通信通過A網(wǎng)進行,實時通信和報表同步通過同一條鏈路實現(xiàn)。為了完成EMS系統(tǒng)的應(yīng)用改造,通過在安全區(qū)I的華為S3025C二層交換機上劃分一個單獨的VLAN與正向隔離裝置內(nèi)網(wǎng)口的通信;外網(wǎng)直接接入安全區(qū)III的核心交換機華為S6502的專用于安全隔離裝置的VLAN接口上。對于安全區(qū)I與安全區(qū)III的通信,安全區(qū)I的華為S3025C交換機與安全隔離裝置相連的方式為普通二層交換機的連接方式,而安全區(qū)III與安全隔離裝置外網(wǎng)的連接是基于路由的模式,需要配置MAC綁定和ARP報文通信。
反向隔離裝置涉及到的業(yè)務(wù)為:安全區(qū)IV負荷預(yù)測計劃信息文本反向傳入安全區(qū)I內(nèi)的EMS工作站。對于安全區(qū)I與安全區(qū)IV的通信,安全區(qū)I華為S3025C交換機與安全隔離裝置相連的方式,相當(dāng)于普通二層交換機的連接方式,而安全區(qū)IV與安全隔離裝置外網(wǎng)的連接是基于路由的模式,需要配置MAC綁定和ARP報文通信。
在不改變安全區(qū)IV的網(wǎng)絡(luò)通信環(huán)境,維持現(xiàn)有的工作狀況下,將相關(guān)的系統(tǒng)劃分到安全III區(qū),接入到華為S6502網(wǎng)絡(luò)核心交換機,基于不影響安全區(qū)IV原有網(wǎng)絡(luò)通信環(huán)境的原則,防火墻運行在路由模式下應(yīng)用地址轉(zhuǎn)換規(guī)則,可以將安全區(qū)III和安全區(qū)IV的網(wǎng)段完全劃分開來。
三、二次系統(tǒng)安全防護的有效措施
病毒防護是實時系統(tǒng)與數(shù)據(jù)網(wǎng)絡(luò)的安全措施之一,病毒的防護應(yīng)該覆蓋所有安全區(qū)I、III、IV的主機與工作站。安全區(qū)I的病毒特征碼要求必須以離線的方式及時更新。
主機安全防護主要的方式包括:安全配置、安全補丁和安全主機加固。安裝主機加固軟件,強制訪問符合定義的主機安全策略,防止主機權(quán)限被濫用。通過及時更新系統(tǒng)安全補丁,消除系統(tǒng)內(nèi)核漏洞與后門。
通過合理設(shè)置系統(tǒng)配置、服務(wù)、權(quán)限,減少安全弱點。禁止不必要的應(yīng)用,作為調(diào)度業(yè)務(wù)系統(tǒng)的專用主機或者工作站,嚴格管理系統(tǒng)及應(yīng)用軟件的安裝與使用。定期對關(guān)鍵應(yīng)用的數(shù)據(jù)與應(yīng)用系統(tǒng)進行備份,確保數(shù)據(jù)損壞及系統(tǒng)崩潰情況下快速恢復(fù)數(shù)據(jù)與系統(tǒng)的可用性。[4]
縱向安全防護體系的建設(shè),可以完善電力二次系統(tǒng)的安全防護體系,避免出現(xiàn)安全防護中的“木桶現(xiàn)象”??v向加密認證是安全防護核心的縱向防線,其具體實現(xiàn)是通過專用的電力加密認證網(wǎng)關(guān)來實現(xiàn),目的是通過采用認證、加密、訪問控制等技術(shù)措施實現(xiàn)數(shù)據(jù)的遠方安全傳輸以及縱向邊界的安全防護[7]。
四、結(jié)語
地區(qū)電力調(diào)度控制中心電力二次系統(tǒng)的安全運行是地區(qū)電網(wǎng)安全運行的重要保證,根據(jù)電力調(diào)度控制中心電力二次系統(tǒng)的實際情況,嚴格按照“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認證”的電力二次系統(tǒng)安全防護總體原則,設(shè)計、制訂并實施了地區(qū)電力調(diào)度控制中心二次系統(tǒng)安全防護方案,就二次系統(tǒng)安全防護設(shè)備的部署以及防護方案的具體實施進行了詳細的敘述,結(jié)合行之有效的各種措施,有力保障了電力二次系統(tǒng)的安全運行。
同時,鑒于電力二次系統(tǒng)安全防護工程是一個長期的動態(tài)工程,二次系統(tǒng)的安全防護體系要在實施過程中根據(jù)生產(chǎn)實際需要不斷加以修正和完善,以滿足政策和文件中對電力二次系統(tǒng)安全防護所要求的系統(tǒng)性原則和螺旋上升的周期性原則。
參考文獻:
[1]謝善益,梁智強.電力二次系統(tǒng)安全防護設(shè)備技術(shù)[M].北京:中國電力出版社,2012.
[2]陳霖.淺談地區(qū)電網(wǎng)二次系統(tǒng)的安全防護[J].江西電力,2005,
29(3):10-12.
[3]張建庭,朱輝強.電力二次系統(tǒng)安全防護體系建設(shè)要點淺析[J].信息通信,2012,(6):279.
[4]周小燕,楊宏宇,崔恒志,等.地區(qū)電力調(diào)度中心二次系統(tǒng)安全防護[J].江蘇電機工程,2005,24(2):50-52.
[5]臧琦,鄒倩,郭娟莉,等.電網(wǎng)調(diào)度自動化二次系統(tǒng)安全防護實踐[J].電子設(shè)計工程,2011,19(20):47-49.