◆赵 巍

（国网吉林省电力有限公司 吉林 130000）

电力调度数据网安全防护设计探讨

◆赵 巍

（国网吉林省电力有限公司 吉林 130000）

电力调度数据网是电厂和网局之间进行数据传输和业务往来的重要渠道。那么如何保证数据业务传输过程中的安全性、稳定性、及时性，避免调度的数据被恶意破坏就成为了重要的问题。在这种情况下，做好电力调度数据网的安全防护是人们必须解决的焦点问题，本文针对这一问题详细地探讨了电力调度数据网的安全防护的设计原则以及实现目标。希望可以给企业一些提示，借鉴完善电力调度数据网的安全防护设计。

电力调度数据网；安全防护工作；设计

0 前言

众所周知，供电系统对于众多企业来说是非常重要的系统，电力对于一个企业的运转起着决定性作用，现代化的设备、日常办公电脑电话等都离不开电力调度数据网，没有了电力，系统就等于失去了大脑，会导致瘫痪。因此，为了保证电力调度数据网络的安全性，避免遭到恶意攻击侵入，我们必须加强电力调度数据网络的安全防护设计，切实保证供电系统地安全运转。

1 电力调度数据网安全防护设计

1.1 数据网安全防护设计的原则以及实现目标

电力调度数据网安全防护是电力调度数据的安全保证，其设计应遵循下列原则：第一点原则是要对安全区进行划分；第二点原则是要对网络进行专用；第三点原则是要对横向进行隔离；第四点原则是要对纵向进行认证。遵循了上述原则后，电力调度数据网安全防护得到了极大地提升，从而避免数据业务在传输过程中突然中段，影响企业的正常工作运转；防止数据网遭到黑客的恶意攻击造成系统瘫痪；避免数据传输过程中遭到病毒的传播蔓延造成企业机密的泄露。企业应重视电力调度数据网的安全防护工作，电力调度数据网的瘫痪会造成无法运转，设备停滞，往往会泄露企业的信心数据，这不仅影响企业的经济效益，还会使企业的核心竞争力下降，极大地影响企业的快速发展。

1.2 数据网安全防护的设计

（1）安全区划分

依据数据网安全防护的设计原则，首要前提条件就是要对电力调度数据网的安全区进行划分，将生产控制大区和管理信息大区隔离开来分别管理，不同安全区确定不同的安全防护要求已达到安全防护的目的。管理信息大区主要是通过非实时子网来实现运转，业务主要包含调度生产管理系统、雷电监测系统、统计报表系统、管理信息系统、办公自动化系统、客户服务系统等。生产控制区主要通过实时子网来实现运转，业务主要包括调度自动化系统、变电站自动化系统、安全自发动控制系统、功角向量PMU系统等。实时子网的安全防护等级要高于非实时子网的安全防护等级，只有划分出安全区，，针对不同安全区实施不同的安全防护等级才可以实现数据网的安全防护工作。

（2）网络专用

在互联网的地址构架中，专用网络是指遵守 RFC1918和RFC4193的规范，根据IP协议使用私有的IP地址空间的网络。私有的专用网络是无法直接和互联网相连的，需要特定的公网进行转发。该数据网需要一个专用的光纤通道来搭载，该网络是专门用来进行数据传输的。网络专用极大的提高了电力调度数据网的安全防护等级，它不直接和互联网相连，降低了被肆意破坏攻击的风险，提高了数据传输的效率。虽然开辟专用网络的成本较大，但是其效果是明显的，其目的是明确的，这对电力调度数据网的防护是必不可少的。对专用网络的设计必须严格遵守安全防护措施切实保障专用网络的安全，同时还应向国家相关通信部门进行报备以实现网络的自动化处理。

（3）横向的隔离

在电力调度数据网实现了网络专用的前提上进行横向的隔离也是至关重要的。横向隔离是为了满足生产网络的安全性，将网络的恶意破坏信息隔离在工业网络控制外，从而保证网络的信息交流安全。横向隔离主要包括防火墙隔离、DCS系统的自身隔离、设置防病毒和域控服务器、路由器隔离等，这些隔离方式过滤掉了互联网中的恶意信息，使那些破坏信息无所遁形，无法对电力调度的数据网络进行肆意破坏攻击，极大的提升了数据网络的安全，保证了生产效率的提高。横向隔离技术是电力调度数据网的保护膜，只要这层膜不损坏，电力调度数据网的安全性就得到了有效的保障。

（4）纵向的加密认证

为了更好地实现电力调度数据网的安全防护，进一步保障数据网的安全，避免数据传输中的信息被不安分子盗取，对电力调度数据网的纵向加密也是必不可少的。在电力调度数据网的摄制过程中，必须在主战侧路由器和交换机之间设置多台纵向加密网关，对数据传输中的节点进行数据加密进一步提升电力调度数据网的安全全防护等级。在这种情况下，如果交换机存在收发报文转发路径不一致的情况，防火墙装置会自动丢弃所有报文，并通知通信网关发出警告信号，提醒工作人员电力调度数据网可能被人侵入恶意破坏，维修人员可以根据警告信号及时查看，避免造成重大经济损失。对电力调度数据网的纵向加密可以有效的防范互联网的恶意攻击，降低了数据传输遭到侵犯的可能性，进一步提升了数据网的安全。

2 数据网安全防护设计实现

2.1 数据网实时子网的业务

数据网子网业务通过功角向量系统和网络远动系统两部分来实现，功角向量系统PMU设置了3面的数据采集屏幕用于实现各台交换机的数据采集工作，此系统的数字信号都是经过专用网络进行直接收集的，而不是通过互联网从其他渠道获得。PMU系统的核心通过数据采集屏幕的集中聚焦处理，统一将信号发送给交换机进行数据交换，极大地保证了其安全性。防护重点主要在于对安全管理人员的素质培养、对工作站电脑接入以及移动存储接入的监控防范，严格避免外来人员进行接触。网络运动系统EMS主要通过2台RTU来实现，RTU中的RS232接口通过切换装置将数据传输信号变成串口信号。2台RTU通关网口于同一台交换机相连接，交换机的出口与数据网的实时交换机相连接，提升了系统的实时防护等级。PMU和RTU的相互配合连接，有效地预防了病毒侵入的可能性，切实的对数据调度网络进行了实时的防护工作，其重要性不言而喻。

2.2 非实时子网业务的实现

非实时子网的电量计费系统经过486串口，经过电能表对输电信号进行采集，然后与电量采集器相连，并将采集的电力调度数据通过专用网络上传到交换机，再通过纵向加密技术传输到服务器。不同的采集器分别与不同的网口相连，接入不同的非实时业务的子网调度交换机端口。对于 5、6号机组的保护装置，通过485串口与其它数据交换机相连接，然后通过交换机与故障信息子站相连。这两个保护装置没有和其它网络进行相连，而是通过专用网络直接向服务器传输现场信号，因而很好的完成了电力调度数据网络的防护工作。数据监控系统通过 DCS系统进行单独采集样本数据，然后由专用网络光纤通道和交换机相连，实现了数据网络非实时防护的安全要求。数据网络中非实时子网业务的实现和实时子网业务的实现相互融合，将安全防护划分等级，有效的保障了数据调度网络的安全防护工作。

3 结语

综上所述，电力调度数据网是进行数据传输的重要渠道，在现代社会中，由于网络的日益完善，很多不良信息和病毒通过网络恶意攻击破坏电力调度数据网络，对供电系统造成了极大破坏。在这种情况下，我们必须高度重视电力调度数据网络的安全防护工作，进行安全区划分，横向隔离和纵向隔离相结合的手段进行有效防范。只有这样才能更好的保障电力调度数据网络的安全性，使供电系统更好地运转、更健康可持续地发展。

[1] 潘维．智能电网保护控制信息流建模仿真研究[D]．华南理工大学，2016．

[2] 王景川．基于智能电网的电力调度数据网运维管理研究[D]．华北电力大学，2016．

[3] 崔子倜．应急灾备电网调度系统改造的设计与实现[D]．内蒙古大学，2015．