配电自动化主站系统二次安防的构建

配电自动化主站系统二次安防的构建

杨振宇

（国网辽宁省电力有限公司阜新供电公司辽宁阜新123000）

摘要：针对配电自动化主站二次系统的安全防护问题,基于“安全分区,网络专用,横向隔离,纵向认证”的二次系统安全防护原则,采用对主站系统的安全分区和在系统边界部署安全防护等措施,对宁东供电公司配电自动化主站系统进行了安全防护设计。应用结果表明:该二次安全防护方案有效保证了配电自动化系统和配电网的安全,稳定运行。本文首先分析了配电自动化系统的二次安全防护，然后分析了二次安防应用效果。

关键字：配电系用；二次安防；构建；自动化

配电自动化系统是对配电系统中的设备进行远方实时监控、协调及控制的自动化系统。因配电自动化系统与多个外部信息系统进行连接,故数据在传输过程中极易因外部系统受黑客、病毒入侵而感染主站系统,导致配电网一次系统事故,严重威胁配电网的安全运行。针对安全隐患配电主站的二次安防可采取安全分区、网络专用、纵向认证、权限管理、身份认证、报文加密等措施,对主站进行安全防护。此外主站还会受来自系统内部和外部的电磁干扰,针对这种安全隐患配电主站系统可综合利用屏蔽和滤波等技术进行二次防护,确保配电自动化主站系统安全、可靠运行。

一、配电自动化系统的二次安全防护

（一）安全分区和横向隔离

根据主站系统内部相关业务的重要程度,将配电自动化主站系统分为生产控制大区和信息管理大区。生产控制大区设备包括具有信息采集、控制、数据处理等关键功能的服务器,如:SCADA服务器、前置采集服务器,历史服务器,接口服务器及各工作站等。管理信息大区主要设备包括数据发布系统的WEB服务器及交换机和通过公网进行数据采集的公网采集服务器及交换机。为防止黑客,病毒等从系统薄弱环节的管理信息大区入侵至系统关键部分的生产控制大区,造成配电自动化系统的破坏,甚至导致配电网一次系统的事故,应在生产控制大区和信息管理大区间部署正反向隔离装置。正向隔离是指经安全过滤后的信息从生产控制大区流向信息管理大区,反向隔离指经安全过滤后的信息从信息管理大区向生产控制大区传输。正反向隔离装置将传输数据进行安全过滤并保证数据的单向流动,将安全隐患阻挡在生产控制大区以外。

（二）网络专用

配电自动化系统与被控对象之间的数据通信应采用多种专用数据网络,如光纤通信,无线电通信,电力线载波等方式。其中光纤通信相对其他通信方式传输速度快,具有极低的传输损耗,抗电磁干扰能力强等优点,在配电自动化系统中使用较为普遍。对于无法满足光纤通信条件的,或不具备专网条件的常采用共用通信网络,如GPRS,CDMA等,但是GPRS在数据传输速度上较光纤传输方式慢。一般配电自动化信息传输系统采取光纤通信与GRPS通信互为主备的通信方式。为防止病毒在不同通信通道中传播蔓延,各通信方式应独立运行,禁止通道互联。

（三）纵向认证

为防止病毒入侵至与信息交互总线连接的各外部系统,例如电网GIS平台系统、生产管理系统、95598客服系统、用电采集系统及调度自动化系统等,造成电力主干网故障,应在配电自动化主站系统和调度自动化系统的边界及配电自动化主站系统和信息交互总线间部署纵向加密认证装置。纵向加密认证装置为配电自动化主站系统与其它系统之间的广域网通信提供认证与加密服务,实现数据传输的机密性、完整性保护。对于没有条件加装纵向加密认证装置的,可以采用防火墙临时替代,例如配电自动化系统和调度自动化系统设备同时安装在1个机房内或短距离连接的情况,可直接在边界加装防火墙进行安全隔离。

（四）权限管理

配电自动化系统不同岗位人员应配置不同的操作权限,以达到安全防护的目的,采用多角色的权限设置,可有效避免误操作,例如可设置调控员权限,自动化维护人员权限,WEB浏览权限等。一般调控员权限可设置为系统人机界面的浏览,开关三遥信息操作等。自动化运维人员的权限一般设置为系统维护功能的权限,例如数据库维护,图形编辑等。WEB浏览人员权限一般仅限于在浏览器查看线路遥信、遥测及线路运行状态等实时遥信、遥测信息,但对于告警窗信息、数据库内容等无法进行查看和操作。

二、二次安防应用效果

(一)将配电自动化主站系统进行安全分区后,确定了系统中设备的不同安全等级和防护要求,在生产控制大区和管理信息大区间安装正反向隔离装置,有效地将安全隐患阻断在生产控制大区以外,保证了主站系统关键服务器和工作站的安全、稳定运行。

(二)在配电自动化主站系统的生产控制大区与广域网边界安装纵向加密装置,实现了两端设备的身份认证和传输数据信息的加密和访问控制,有效杜绝了病毒在配电自动化系统的上下级间传播。

(三)配电自动化主站系统与终端采用纵向加密认证和采用复合加密遥控报文,保证了在黑客冒充主站入侵终端时,无法对遥控报文进行篡改和复制,确保了开关遥控操作的可靠性。

(四)对配电自动化系统不同岗位人员设置相应权限,有效杜绝了非自动化人员对配电自动化系统数据库,配网模型等的更改和误操作。

三、结论

(一)配电自动化主站二次安防系统基于“安全分区,网络专用,横向隔离,纵向认证”的二次系统安全防护原则设计,功能满足《配电二次系统安全防护方案》(电监安全(2006)34号令)的要求,可为同行业配电自动化二次系统运维人员提供技术支持。

(二)配电自动化主站二次安防系统的应用,有效保证了宁东配电网安全,稳定运行。

(三)该配电自动化系统二次安全防护方案不仅适用于配电自动化主站系统也试用于调度自动化主站系统。

参考文献：

[1]王宗耀,苏浩益.配网自动化系统可靠性成本效益分析[J].电力系统保护与控制,2014,42(06):98-103.

[2]何剑军.地区电网配电自动化最佳实践模式研究[D].华南理工大学,2011.

[3]陈志茂.配电自动化项目建设过程中的难点及解决方案[J].技术与市场,2017,24(10):241-242.

[4]李剑峰.兖州矿区供配电系统自动化的研究与实践[J].电源世界,2017(10):39-43+38.

[5]刘恩德.日本关西电力公司的高级配电自动化系统[J].国际电力,2003(01):33-35.

[6]吴林.计及馈线自动化的配电网可靠性分析[D].重庆大学,2016.