随着计算机网络技术的突飞猛进,数据网络在电力系统中的应用日益普遍,曾经成为不可或缺的根底设备。但是,开放的信息系统必然存在众多潜在的平安隐患,黑客和反黑客、毁坏和反毁坏的斗争仍将继续。在这样的斗争中控制工程网版权一切,平安技术作为一个共同的范畴越来越遭到全球网络建立者的关注。近年来调度自动化系统的内涵有了较大的延伸,由原来单一的SCADA系统扩展为EMS、DMS、TMS、厂站自动化、水调自动化、电力市场技术支持系统和调度消费管理系统等,数据网络是支持调度自动化系统的重要技术平台,承当着实时、准实时控制业务及管理信息业务。调度自动化信息还需求与省调自动化系统、局MIS衔接,网络应用率较高,平安级别较低的业务与平安级别较高的业务混用,存在很多平安隐患。这就使保证信息的平安变得格外重要,有必要树立依据调度自动化系统中各种应用的不同特性,优化电力调度数据网,树立调度自动化系统的平安防护体系。
1 系统与网络现状
1.1 能量管理系统(SCADA/EMS)
1.1.1 系统业务
淮北供电公司调度所采用的是OPEN-2000能量管理系统,主要包括数据采集和监控系统(SCADA)、PAS高级应用软件,系统从厂站接纳遥测、遥信数据,这类数据实时性较强,每秒都有数据传输;同时向厂站发送遥控、遥调、校时命令及方案数据,这类数据牢靠性请求较高,与电网平安直接相关。
1.1.2 数据交流方式
主站各工作站、效劳器经过100M/10M自顺应HUB互连,系统内装置了数据备份系统,备份重要的应用程序和数据。该系统防止了单点失败呈现,大到效劳器、工作站、存储设备,小到适配器,均是冗余容错的;无论是主机或通道呈现毛病,均可经过主/备切换来保证通讯和数据的完好性;万一主数据中心数据呈现不测灾难,系统能够自动切换到备份数据中心。系统提供了需停止身份认证的拨号访问供远程维护的需求,并且经过WEB效劳器把信息传至其它部门。
1.1.3 平安防护技术
SCADA/EMS系统的物理边境有4个:拨号网络(远程维护)边境、传统专用远动通道、纵向网络衔接(调度数据网与省主调衔接)与公司MIS系统之间的横向网络衔接。
采取的措施有:
(1) 拨号网络边境采用身份考证功用;
(2) 传统专用远动通道暂不思索其它平安问题;
(3) SCADA/EMS系统中装置数据备份系统,用于备份重要的系统和数据;
(4) SCADA/EMS系统和公司MIS系统之间采用WEB效劳器,并装置了硬件防火墙。
1.2 电量采集系统
1.2.1 系统业务
淮北地域电网电量采集系统运用的是YJD-953系统,该电量采集系统功用简单,仅仅具有召测电量和简单的统计功用。主站端自动或人工召测变电站的关口电量并停止总加,同时向厂站发送对时数据,召测的关口电量可被省调或其它单位召测。
1.2.2 数据交流方式
只能主站端单向拨号厂站端,电表(脉冲)接入厂站端的电量采集安装。
1.2.3 平安防护技术
该系统相对独立,与公司MIS系统完整没有物理衔接,主要运用拨号MODEN与变电站的采集终端相连,与厂站端的其它系统别离。
1.3 淮北地域电力调度数据网
1.3.1 系统业务
在调度数据网实时业务运转的是淮北地域电网调度自动化系统实时网络通讯,范围包括:4个220 kV变电站、8个110 kV变电站、4个35 kV变电站和淮北电厂、淮北二厂等实时采集信息,与省调EMS系统之间,经过通讯网关机,完成满足TASE.2协议的实时网络通讯。
1.3.2 数据交流方式
淮北地域电力调度数据网作为数据网络6个子域中的一个子域,经过路由器向安徽电力调度传输数据。
1.3.3 平安防护技术
采用IP路由技术体制,构建在SDH/PDH的n×2 M专用通道上面,完成了与其它数据网络的物理层面的平安隔离。
2 存在的问题
2.1 设备管理方面
对各系统设置的专职维护人员没有明白其对设备的平安维护职责,没有严厉限制在系统计算机上做任何与系统无关的事情,没有提供必要的工具对系统的运转状况停止监控,保证系统平安、非连续运转。
2.2 平安管理方面
淮北地域电网调度自动化信息网络主要包括能量管理系统、电量采集及计费系统、调度专线数据网。不同系统之间存在着信息资源的交互,对外开放的功用较多,如一些不需求运用且不平安的系统功用FTP效劳、WWW效劳和telnet效劳等,这些效劳的开放,在客观上降低了整个系统的平安运转程度;同时由于电网调度自动化系统不同的运用者对平安的了解存在差别,采取的平安措施存在差异。有些中央为了运用便当,采取一些不契合规则的办法,将衔接在调度数据网中的计算机和外网中的计算机相连,大大降低了整个网络的平安程度。
2.3 运转管理
以往应用系统的施行,较多地会思索到应用层面上的平安,例如双机热备、系统冗余等,较少从运转管理上思索到系统和网络平安,没有制定一定的运转管理制度,如网络平安技术管理制度、运转维护制度和运用管理制度等,形成改动网络和系统变卦的随意性。
3 平安技术措施
(1) 由于调度自动化系统应用的特殊性控制工程网版权一切,仅保证网络系统的正常运转还远远不够,必需同时保证数据的秘密性、完好性和不可承认性。关于从外部拨号访问的用户,必需严厉控制其平安性。首先CONTROL ENGINEERING China版权一切,应严厉限制拨号上网用户所访问的系统信息和资源;其次,应增强对拨号用户的身份认证,在身份考证过程中采用加密手腕,减少用户口令泄露的可能性。此外,还可在效劳器上配置回拨功用,限定某拨号用户只能从特定电话拨入,特别是直接存取专业数据网络资源的拨号帐号。
(2) 调度数据专用网络依据不同的业务系统,可采取网络平安访问控制技术、加密通讯技术(主要用于避免重要或敏感信息被泄露或窜改)、身份认证技术(用于网络设备和远程用户的身份认证,避免非受权运用网络资源)、备份和恢复技术。
(3) 必需树立面向企业、应用系统、个人工作站的分级多层次和动态的平安战略体系。
(4) 增强人员管理CONTROL ENGINEERING China版权一切,树立一支高素质的网络管理队伍,避免来自内部的攻击、越权、误用及泄密。
(5) 增强运转管理,树立健全运转管理及平安规章制度,树立平安联防制度,将网络及系统平安作为经常性的工作来抓。
总之,调度自动化信息网络平安是一个综合性的课题,触及技术、管理、运用等许多方面。只要经过严厉的失密制度、牢靠的平安战略以及高素质的网络管理人才才干全面、实时地保证信息的完好性和正确性,确保网络的平安运转。