电网调度自动化二次系统安全防护实践

电网调度自动化二次系统安全防护实践

黄小明

国网福建省电力有限公司南安市供电公司 福建省 362300

摘要:近些年来，我国发电系统从分散控制发展到了微机控制阶段，已经取得了较大的进步。但还是和世界先进水平还有不小的差距，例如管控手段不足，设备有代差，安全防护缺乏全局性等等，这些因素制约了我国电网进一步的发展。

关键词:电力二次系统;安全防护体系;运行策略

1二次系统的技术分析

与输变电直接相关的仪器设备称为一次设备，相对的，对一次系统进行测量、监控、控制和保护的系统就是二次回路系统，简称为二次系统。二次回路可以分为继电保护回路、直流操作电源回路、自动装置回路、测量回路、控制回路以及信号装置回路。

1.1继电保护系统

继电保护回路是保证系统安全运行最重要的回路。它是一个完整的体系，能够根据电气元件的故障状态及时动作于断路器跳闸或发出信号。其中最常见的故障状态就是短路，例如三相短路，线圈匝间短路等。发变电站主要的继电保护分为四类。分别是发电机、变压器、母线以及线路的继电保护。如何分辨正常与故障状态的关键，就是找出正常和故障状态下的电气参数变化规律，差别越大，继电保护性能越佳。

1.2直流操作电源回路

直流操作系统是对信号和各种自动装置提供电源，保证监测、控制系统的安全运行。直流操作电源系统有蓄电池式、整流式以及电容直流式，在我国最常用的是蓄电池式。蓄电池式也分为铅酸式蓄电池和碱性蓄电池。碱性电池虽然操作简单、维护方便，但其渗漏问题还没解决，发变电站中使用较少。铅酸蓄电池使用时间过长，会出现肿胀释放大量的酸性气体。高频开关和微型充电装置都是铅酸蓄电池，安全性较好。

2存在的问题

2.1防病毒措施

在电力相关的公司的日常管理中，有些企业员工通常认为，物理隔离装置、二次回路系统的安装将完全可以发挥有关预防病毒的作用，其他任何事情无须操心。这样的观念将导致在防病毒方面，相关人员缺乏系统性的日常安全意识。

2.2数据备份

当执行数据保护和备份中，整体备份方法相对单调。一旦电网系统的安全性受到威胁与损坏时，电网中数据将会彻底丢失或严重损坏，从而对整个电网系统的运行有着很大的影响。因此，有必要建立数据备份和数据保护系统防线。

2.3防护结构

目前，很多单一的控制系统常用于许多的电力系统中，并在整体控制、业务方面涉及较少，并且之间常常缺乏交流。目前，很多电力企业的二次安全防护结构相对简单，并且许多二次防护结构存在诸多问题。比如，相应的安全防护措施没有安装好，安装好的防护措施远远达不到实现系统的要求。还有很多地方的隔离设备的技术指标不及格，一些隔离装置与所需的要求技术指标不相符合。现在有很多公司都在升级安全防护系统，制定一流企业的标准，重新定义安全保护规范网络技术的要求。

2.4防护管理

如今，经济科学技术不断发展，整体技术水平的知识的更新速度十分迅速。随着计算机技术的快速进步，许多系统维护管理员和系统维护的技术人员在了解网络黑客和网络安全知识问题方面存在不足，有些人员的安全技术的水平已经远远落后于时代的发展。此外，由于缺乏自动化系统的有效保护技术措施，相关管理工作越来越难以进行。

3.电力二次系统安全防护

3.1VLAN技术的应用

有文献详细介绍了VLAN技术在电力二次系统中的应用，指出在生产控制大区一个生产控制系统对应于一个接口单元，该接口单元采用一个支持端口VLAN划分的交换机，该交换机不能访问每个接口单元，以避免各系统相互影响。数据库服务器、交换机、接口单元部署在安全区Ⅱ中，而管理信息大区的安全区Ⅲ/Ⅳ部署了一个数据库镜像服务器来访问MIS，实现数据库服务器和数据库镜像服务器的实时同步传输。由于在两个大区间进行访问，在大区之间部署单向专用安全隔离设备以确保数据单方面传输，并使用双隔离设备热备份来提高网络的高可用性和数据实时性。

3.2MPLS-VPN技术的应用

MPLS-VPN技术就是利用MPLS（多协议标签交换）将网络中的IP地址按照逻辑的不同划分为企业专网，用于解决企业之间互联或实现跨区域、高速、安全的业务数据通信。基于MPLS-VPN技术将电力调度数据网中的VPN划分为实时控制子网和非实时控制子网，分别承载着安全Ⅰ区和安全Ⅱ区的业务数据。有文献指出电厂中的每个业务系统都通过VPN隔离或采用不同的交换机访问路由器，而不同安全区域中的企业隔离为不同的VPN，为控制区和非控制区中的企业电力系统分配相对独立的逻辑通道，在局域网与电力调度数据网之间的安全区域Ⅰ中安装垂直加密身份验证设备，以确保纵向传输中的数据完整性、数据机密性和数据真实性。

3.3生产控制大区的安全防护

（1）生产控制大区安全等级大于管理信息大区。禁止生产控制大区使用邮件服务，控制区禁止使用web服务。（2）重要数据采取加密手段，例如电力交易数据，SCADA/AGC/AVC等。（3）特殊情况下允许非控制区使用web服务，但也应采取专用协议。（4）内部主站端和重要端口必须采用恶意代码防护系统。防止病毒攻击。（5）根据边界防护原则，在大区边界上采用入侵检测手段。（6）对于生产大区中的拨号访问，都应使用经过国家检测认证的加固系统。（7）强化安全审计系统，严格进行登录认证和授权。

4.电力二次系统安全防护主要设备

4.1交换机

电力二次系统安防策略中规定了安全分区的原则，而交换机主要用于各区业务划分、业务接入以及ACL访问控制。交换机一般工作在OSI模型数据链路层上，其中三层交换机，结合了二层交换机和三层路由技术，克服了传统路由器的不足。在对VLAN的划分上有效的保证了网络效能。

4.2路由器

路由器就是根据路由表来转发分组数据的网络设备，路由器主要实现数据信息的转发与交换。路由器的主要功能是转发数据包和选择最佳的转发路径，此外路由器还具有流量控制、网络管理和访问控制等功能。

4.3防火墙

防火墙根据特定的规则，允许或限制数据通过。其基本功能在于隔离网络，硬件防火墙还具有负载均衡、网络地址转换、虚拟专用网和身份认证等功能。在上述的规则中，防火墙可以对两个网络之间进行流量监控，仅让那些通过审核的、安全的信息进入或流出内部网络等。

4.4横向隔离装置

横向隔离装置主要采用双机加存储器的结构，即内部处理机、存储器和外部处理机。由于内外部处理机和外部处理机不能同时对存储器进行读写操作，这样内外两个网络就相当于是相互隔离的，从而达到物理隔离安全级别。按照数据的通信方向，电力二次系统横向隔离装置分为正向型和反向型。

4.5纵向加密认证装置

纵向加密认证装置指采用认证、加密、访问控制等技术实现数据的远方安全传输以及纵向边界安全防护。其实现原理主要基于加密技术和身份认证技术。

结束语

对电力二次系统网络安全防护，需同时从软件、硬件、网络、基础装置等角度进行，才能够抵挡现在网络环境快速发展带来的隐患。管理人员应当提升电力信息系统的安全防护等级，更有效的防止因错误、防护不当或防御能力不强导致电力系统瘫痪、故障的事故。

参考文献

[1]邬伟波.二次系统安全防护技术在电力配网调度自动化中的运用研究[J].机电信息,2019(35):125+127.

[2]李昱潼.电力调度自动化二次系统安全防护技术[J].自动化应用,2019(08):56-57+84.

[3]杜明亮.智能变电站二次系统安全防护研究[J].通信电源技术,2019,36(07):40-41.

[4]马一杰.电力二次系统安全风险评估与安全加固要点[J].电子技术与软件工程,2019(09):206-207.

[5]孙晓达.二次系统安全防护技术在地区电力配网调度自动化中的有效应用[J].电子测试,2019(Z1):110-112.