何璟德

（中国能源建设集团江苏省电力设计院有限公司，江苏 南京 211100）

数据网二次安防在风电场的应用

何璟德

（中国能源建设集团江苏省电力设计院有限公司，江苏 南京 211100）

本文阐述了调度数据网面临的主要风险，从防护目标、原则、安全分区、认证隔离、专通通道、路由选择等方面详细介绍了二次系统安全防护的设计，并结合风电场实践情况分析了防护方案和施工调试过程中的风险，提出风险控制办法。

调度数据网；安全防护；风险控制。

随着我国大规模风电厂接入系统，电网的电源结构发生了比较大的改变，接入的电源数量成倍增长，电力调度数据网的安全问题日益突出，目前电力调度数据网覆盖面大，承载业务越来越多，对数据交互的安全性提出了更高的要求。电力二次系统安全是全方位的工程，网络安全是系统安全的重要组成部分。因此，在电网建设时形成有效的网络安全防护体系非常重要。

1　数据网络风险分析

网络信息安全是连接电力系统的生命线，厂站终端与主站通过数据网络进行信息交互的过程中存在信息泄漏、篡改和破坏的风险，如果遭到非法入侵，将会严重影响到电力系统的安全运行。因此，需要加强电力二次系统的安全防护，增强信息的安全防护和自主控制，防止关键业务信息被窃取和篡改。在规划数据网二次安全防护时，必须认清数据网面临的主要风险，才能有效地解决安全隐患。数据网面临的主要安全风险见表1。

2　二次安防的设计

2.1 防护目标

调度数据网二次安全防护的目标是保障电力系统安稳地运行，规范二次安全防护方案的规划和建设，重点防范由于黑客、病毒等通过网络对电力控制系统进行恶意攻击和破坏，及由此引起的大范围停电事故。

表1　安全风险

2.2防护原则

二次安防的总体原则是“安全分区、横向隔离、网络专用、纵向认证”。

分区防护、突出重点：根据电力系统业务的重要性及与电力一次系统安全的关联程度进行划分区域，对影响电力安全生产相关的业务进行重点防护。

横向隔离：通过隔离装置在不同的安全区之间实现逻辑和物理横向隔离。

网络专用：通过BGP/MPLS VPN（边界网关协议Border Gateway Protocol/多协议标签交换虚拟专用网络Multi-Protocol Label Switching Virtual Private Network）技术部署多个相互隔离的业务专用网络通道，为数据网提供多层次防护。

纵向认证：采用IP认证加密方式在纵向边界部署加密装置，实现各区数据在广域网传输过程中的安全防护。

2.3安全区划分

调度数据网作为电网调度生产数据的基本传输和应用平台，承载了生产调度、运行管理等诸多业务。其中数据采集与监控系统 SCADA（Supervisory Control And Data Acquisition）、 能 量 管 理 系 统EMS（energy management system）和广域向量测量系统等监控业务具有很高的实时性要求，按照设计规定实时数据的传输周期应为秒级，而生产管理类业务信息数据交换量大呈现出较强的随机性，优先级程度并不高。为使安全等级不同的业务相互隔离，保证网络信息的安全性、可靠性，调度业务根据安全级别划分为两大区即生产控制大区和信息管理大区，生产控制大区又分为控制区与非控制区，它们的业务类型和要求见表2。

表2　调度数据网业务类型及要求

2.4边界防护

网络纵向边界是网络流量的必经之地，也是各种网络攻击的突破口。在网络纵向边界上部署电力纵向加密认证装置是一种行之有效的防御措施。通过数字证书认证并进行严密的隧道与策略配置，可以阻挡绝大多数外来攻击、病毒和恶意代码。还可以通过对纵向加密认证装置服务日志进行配置来发现异常流量和恶意攻击等网络威胁。

在生产控制区（安全Ⅰ区和安全Ⅱ区）与信息管理区边界处，必须采用具备隔离强度高于防火墙的物理隔离装置。横向隔离装置基于“信息摆渡”的原理，采用两个高性能嵌入式微处理器保证内外两个安全区域不在同一时刻连通，同时又实现两个大区之间的非网络方式的高速数据交换。

2.5安全区拓扑结构

三个安全区之间可组成链式、三角和星型形三种拓扑结构，见图1。

链式拓扑：控制区与非控制区通过防火墙连接，非控制区与信息管理区再通过隔离装置进行安全防护，三个安全区形成一条链式连接结构。

三角拓扑：控制区与非控制区之间通过防火墙防护，信息管理区通过2台隔离装置分别与控制区和非控制区连接，三个安全区形成三角连接。

图1　安全区网络拓扑

星形拓扑：非控制区直接接入网络汇聚点，控制区通过防火墙与汇聚点连接，汇聚点与信息管理区通过隔离装置进行安全防护。

2.6专用通道的部署

为保证各个安全区应用业务之间的相互隔离，需要部署VPN来满足业务系统的信息安全要求。采用BGP/MPLS VPN技术可将控制区、非控制区、信息管理区分割成3个相对独自的逻辑专网，通过路由隔离、地址隔离和信息隐藏等手段提供安全保证。一个BGP/MPLS VPN网络由用户边缘设备CE（Customer Edge），用户边缘路由器PE（Provider Edge）和服务商路由P（Provider）组成。控制区和非控制区业务通过交换机CE分别接入到业务边缘路由器PE，并在PE上划分VPN实现路由的隔离。厂站PE与主站P通过边界网关协议BGP实现VPN路由信息的传递，并使用MPLS转发VPN流量。

2.7路由设备的要求

网络路由的可靠性和安全性依赖于路由器的性能，在BGP/MPLS VPN网络中尤其需要注重P和PE路由器的选择。在可靠性方面选取全分布式架构的路由器可以实现转发与控制的分离，设备引擎负责路由的计算，分布式线卡完成数据的转发，大大提高了网络收敛时间，控制了包丢失率。同时各个线卡相互独立，某一线卡故障时不会影响其他数据的转发，整机可靠性随着线卡数量而提升；为了保证信息的安全性，在路由器内嵌入安全模块，通过对安全接口的调用实现身份认证、数据加密、签名验证等功能。

3　工程实践与风险控制

3.1工程实践

中电投东海马陵风电数据网的接入部分严格按照上述二次安防总体原则进行规划设计，数据网第一、第二平面采用两套独立的网络接入设备，实现生产控制区业务接入的冗余，另建立一条以太网到E1的转发网关，实现信息管理区业务的接入。

第一、第二平面均配置2台H3C LS3900以太网交换机担当CE，分别命名为实时CE和非实时CE，用于安全Ⅰ区和安全Ⅱ区纵向数据的汇集接入，以及安全区之间的横向互联，安全Ⅰ区及安全Ⅱ区业务终端均配置两块以太网卡，分别接入两台CE；双平面均采用H3C MSR5040作为接入点路由器PE，PE通过2M E1接口接入华为Metro3000光端机进入省光传输网，在PE与CE之间部署两台NARI NetKeeper2000纵向加密装置，进行本地与远方业务系统之间数据通信的身份认证、数据的加密与解密；安全Ⅲ区为孤岛运行状态，单独配置一面MIS网机柜，通过一台H3C MSR5040路由器和H3C LS3900交换机建立一条以太网到E1的转发网关与Ⅰ、Ⅱ区VPN通道隔离，在交换机与路由器之间部署一台TG-1509硬件防火墙，实现数据交互包过滤和访问控制。

为禁止低级别安全区向高级别区域访问，在安全Ⅰ区和安全Ⅱ区CE间配置一台硬件防火墙，通过网线级联，一方面实现两区的逻辑隔离，另一方面让分区业务同时使用实时VPN和非实时VPN与中调进行数据传输，提高效率。生产控制大区与信息管理大区之间部署正、反向隔离装置各一台，其中生产控制区到管理信息区的单向数据传递采用SysKeeper2000（正向型）安全隔离装置；管理信息区到生产控制区的单向数据传递则采用SysKeeper2000（反向型）安全隔离装置使数据的交互形式为纯文本数据或语言数据。

3.2风险控制

虽然本期工程的数据网二次安防建设已经满足了《电网和电厂计算机监控系统及调度数据网络安全防护规定》和《电力二次系统安全防护规定》的要求，构建了多层次网络安全防护体系，但在防护策略和工程实施中仍存在以下风险，需要对风险点加以控制。

（1）安全区的拓扑采用的是链式拓扑结构，虽然有效地将三个安全区进行了隔离，但由于互通链路的唯一性存在单链路故障的高风险。如果采用三角形拓扑结构，一是两台隔离装置成本较高，二是控制区与信息管理区直接连接，只有一层防护，控制区将承担较大风险，采用星形连接的话风险程度将更高。因此建议链式结构基础上增加冗余线路的设计，并配置双链路互备互通，降低单点故障风险。

（2）尽管在纵向网络边界配置了防火墙和加密装置，但仍存在漏洞，需要引入入侵检测系统IDS（Intrusion Detection Systems）来补充。本工程后期新增一套ICEYE 204D四探针百兆入侵检测设备，其IDS探头主要部署在安全区横向网络边界点以及与调度中心纵向互联的接入点，实时检测入侵行为、风险分析及安全审计。

（3）由于本站属于无人值守类型，为方便运行人员远程监控管理，中电投马陵风电通过专用公网将本站信息传输至其盐城监控中心。由于此公网采集数据与调度数据采集自同一终端，因此配置内外网双主机，采用“双机非网”结构模式，内网主机与终端通过以太网连接，外网主机与公网接连，内外网主机以高速串口非网络协议方式连接，有效地进行网隔离。

（4）工程实施中交换机的纵向互联与横向互联需要配置不同的VLAN（Virtual Local Area Network，虚拟局域网），纵向与横向防火墙的安全策略也不尽相同，需根据不同的网络防护要求实施；加密装置应设置成透明模式，可使PE与CE通过网线直连，避免装置故障引起数据中断；网线必须采用屏蔽双绞线，RJ45水晶头制作时双绞线裸露部分不超过12 mm，否则会造成近端串扰和回波损耗，引起通讯质量的下降和误报警。

4　结论

通过对单独风电厂接入系统的安全防护措施分析，提出在风电厂接入电网时除需根据调度数据网的“安全分区、横向隔离、网络专用、纵向认证”的基本防护原则确定数据网二次安防的总体架构，还需要通过优化安全拓扑结构，排除单点故障风险，如加入IDS弥补安全防护的不足、采取“双机非网”结构实现内外网隔离等防护策略，提出施工调试时的注意事项，排除人为安全隐患。调度自动化安全是一个动态发展过程，不能仅仅依靠安全产品的堆积来实现，只有在不断完善安全防护体系的同时加强对风险的控制，才能使电力二次系统的安全防护更加坚固可靠。

［1］ 彭清卿.国家电力调度数据网组网研究［J］.电力系统自动化术，2004，（8）.

［2］ 刘丽榕.国家电网调度数据网建设方案研究 ［J］.电力系统通信，2011，（220）.

［3］ 潘路.电力二次系统网络信息安全防护的设计与实现［D］.华南理工大学硕士学位论文，2014.

［4］ 电监安全［2006］34号文.电力二次系统安全防护总体方案 ［S］.

［5］ 李芹.电力调度数据网测试模型［J］.电力系统自动化，2015，（1）.

［6］ 李高望.电力调度数据网传输特性分析［N］.中国电机工程学报，2012，（22）.

［7］ 刑宁哲.华北电力调度数据网若干问题分析和研究［J］.华北电力技术，2008，（03）.

［8］ 彭竹.电力行业工控终端设备安全接入系统的设计与实现［D］.中国科学院大学硕士学位论文，2015.

Application of Data Network Secondary Security Protection in Wind Power Plant

HE Jing-de
（Jiangsu Electric Power Design Institute， Nanjing 211100， China）

This paper describes the main risk of dispatching electric power data network， and the design of secondary security protection is introduced from the aspects of protection goal， principle， security division， authentication and isolation， access channel， route selection. Finally， analyses the protection scheme and construction risk in the process of debugging combine with the practice of wind farm， put forward the risk control measures.

dispatching data network； security protection； risk management.

TM614

B

1671-9913（2016）04-0072-04

2016-03-10

何璟德（1990- ），男，江苏常州人，助理工程师，电气工程及其自动化专业。