广州南珠电控技术有限公司广东广州510000
摘要:电力二次安全防护属于一项系统工程。本文介绍了饶平海山风电场电力二次系统安全防护的实施设计,主要包括海山风电场二次系统安全防护的整体结构、实施手段、风险避免方案措施。
关键词:电力二次系统安全防护;控制区;非控制区
1、概述
为落实国家电监会关于34号文提出的“2010年建成比较完善的电力二次系统安全防护体系的要求,我司按照有关电力二次系统安全防护工作的整体部署和具体的项目要求,制定了《饶平海山风电场电力二次系统安全防护的实施设计》。
2、需求分析
2.1调度数据网现状
随着广东电网信息化的发展和建设,各项业务信息化程度的不断提高,急需有一个配备二次系统防护的高安全、高质量网络来满足广东电网各项信息业务的需要。本次工程范围包括饶平国电海山风电场的二次系统接入调度数据网的安全防护集成。
2.2业务现状
广东电网饶平调度数据网络承载的业务,根据其特性主要分为两大类(包括但不限于):
实时业务:
三、EMS(能量管理系统)与RTU或变电站自动化系统的实时数据;
四、中调与地调EMS之间的实时数据;
五、电力系统动态测量数据;
六、发电曲线下载数据;
七、保护及故障信息管理数据(带保护定值下发);
八、安稳系统管理数据;
九、AVC无功电压控制数据。
十、AGC(自动发电控制)
非实时业务:
1.DTS交互数据;
2.电能量计量数据;
3.电力市场数据;
4.风功率预测数据
饶平国电海山风电场业务情况及调度数据网接入条件如下表:
3、设计目标
海山风电场电力二次系统安全防护工作的具体目标如下:
防范病毒、木马等恶意代码的侵害;
防范入侵者的恶意攻击与破坏;
保护电力监控系统和电力调度数据网络的可用性;
保护电力调度数据网络和系统服务的连续性;
保护电力调度数据网络重要信息在存储和传输过程中的机密性、完整性;
实现应用系统和设备接入电力二次系统的身份认证,防止非法接入和非授权访问;
防止对调度数据网络和应用系统上重要系统操作的抵赖行为;
实现电力监控系统和调度应数据网安全事件可发现、可跟踪及可审计;
实现电力监控系统和调度数据网络的安全管理;
4、设计方案
4.1总体结构
国电海山风电场站端的二次安防拓扑结构与地调侧类似,本次配置4台交换机,2台纵向认证网关,4台硬件防火墙。海山风电场二次系统安全防护总体设计逻辑结构如上图。该图示意了二次系统安全区域的划分、安全区域之间横向互联的逻辑结构、安全区域的纵向互联的逻辑结构以及网络安全产品的总体部署。
(1)控制区交换机连有4个业务系统:远动装置、保信子站、AVC子站、广域相量测量。4个业务系统各自的业务主机通过双机互备对应连入两台控制区互联交换机,其中保信子站需要通过横向防火墙NAT接入非实时子网。
(2)非控制区两台交换机连有2个业务系统:电能量采集装置、风功率预测。
(3)控制区2台接入层互联交换机与非控制区2台接入层互联交换机之间通过VLAN接口互联(中间部署路由模式横向互联防火墙)。
(4)控制区接入层交换机与调度数据网汇聚交换机之间通过access模式VLAN接口相连,(中间需部署纵向加密认证网关)。VLAN100兼做纵向互联。
(5)非控制区接入层交换机与调度数据网汇聚交换机之间通过access模式VLAN接口相连,(中间需部署纵向防火墙)。VLAN200兼做纵向互联。
(6)控制区两台交换机两端口之间通过trunk模式相互为备份。
(7)非控制区两台交换机两端口之间通过trunk模式相连,互为备份。
(8)两台汇聚层交换机之间以及汇聚层交互机到厂站PE路由器之间均采用GE1000M线路。
(9)PE路由器的下行接口绑定到不同的VPN中,实现VPN和VLAN的对应。PE路由器的上行接口连入省骨干调度数据网。
4.2VLAN划分及IP地址规划
4.2.1实时业务IP规划
(1)在控制区互联交换机上,将1/8个C的实时业务IP地址平均划分为2个VLAN,各VLANID号分别为VLAN100、VLAN199。地址按从小到大,每16个地址为一个段,按顺序分别分给VLAN199、VLAN100。控制区的互联交换机两端口VLAN划分一致,并使用VRRP协议实现相互冗余,承载目前站端已有的控制区四类业务装置即远动装置、稳控执行站、保信子站、广域相量测量装置;
(2)VLAN100用于控制区(安全区Ⅰ)的纵向互联(指与调度数据网实时VPN互联),VLAN199用于控制区与非控制区的横向互联。
4.2.2非实时业务IP规划
(1)在非控制区互联交换机上,将1/8个C的实时业务IP地址平均划分为2个VLAN,各VLANID号分别为VLAN200、VLAN299。地址
按从小到大,每16个地址为一个段,按顺序分别分给VLAN299、VLAN200。非控制区的互联交换机两端口VLAN划分一致,并使用VRRP协议实现相互冗余;
(2)VLAN200用于非控制区(安全区II)的纵向互联(指与调度数据网非实时VPN互联),VLAN299用于非控制区与控制区(安全区I)的横向互联,其它VLAN用于非控制区不同类别业务系统网络通信服务器(主机)。
5、设备配置
5.1互联交换机配置
(1)所有业务网关都在互联交换机上启用,包括新旧地址的网关;
(2)互联交换机的VLAN100接口IP地址作为该交换机的远程网络管理地址;
(3)互联交换机上采用静态路由配置.
(4)在互联交换机上连接业务系统的各VLAN接口(逻辑接口)上,设置扩展访问列表.VLAN上的访问控制策略配置使用黑名单方式,即禁止交换机上所有与本VLAN无关的其它VLAN的业务系统对本VLAN的访问,策略最后允许远程(调度端)与本VLAN关的实时和非实时业务地址段对本VLAN的访问;
(5)在交换机里配置PVLAN,使各业务系统进行二层的隔离.
5.2纵向加密装置配置
(1)纵向加密装置(下称:装置)上不允许配置默认路由;
(2)装置上路由配置细化到有通信关系的业务系统所在业务网段;
(3)在装置上为每一互联的远程站点(主站端)分别建立加密隧道;
(4)业务远程通信一律必须经过加密隧道;
(5)网络服务功能除开通ICMP外,其他网络服务一律禁止开通。
5.3纵向互联防火墙配置
(1)互联防火墙采用路由模式工作,部署在子站业务交换机与调度数据网设备非实时接口之间;
(2)互联防火墙配置NAT功能,用于实现保信系统等非实时业务的IP地址转换,要实现一一对应的实时到非实时的IP地址转换;
(3)回传路由目的地址应细化到站端的具体业务主机地址,出网路由目的地址应细化到主站相应的业务VLAN的IP地址段;
(4)互联防火墙的安全策略以白名单方式进行配置,即只开放与远程(主站端)有相互通信关系的业务系统通信主机IP地址,端口号,策略最后以一条全部禁止的策略作为结尾.网络服务功能除开通ICMP外,其它网络服务一律禁止。
6风险避免方案设计
由于本次二次系统安全防护项目的实施风险点基本集中在安全防护设备上,因此我们针对认证加密装置以及硬件防火墙等安全防护设备制定风险避免应急预案。
本项目所部署的纵向安全防护装置:纵向加密装置以及纵向硬件防火墙皆为透明模式,因此,当我们需要对调度系统进行紧急恢复时,可临时绕过所有的二次系统安全防护设备(加密装置、防火墙),使用直通网线把控制区纵向互联交换机、非控制区互联交换机与自动化PE路由器进行连接。此时,实时以及非实时的纵向业务数据可通过传统路由模式与地市调度数据网以及省调度数据网进行连通,保证纵向业务的不受影响。
各站点的风险避免应急预案架构图如下所示:
7结语
电力二次系统安全防护是一项系统工程,工作的重点是通过有效的技术手段和管理措施保护电力实时闭环监控系统及调度数据网络的安全。本文对海山风电场电力二次系统安全防护的实施设计,对于建立健全的潮州供电局电力二次系统安全防护体系,是一个很好的补充。
参考文献:
[1]国家电监会5号令《电力二次系统安全防护规定》
[2]国家电监会【2006】34号“关于印发《电力二次系统安全防护总体方案》等安全防护方案的通知”
[3]《南方电网电力二次系统安全防护技术实施规范》
[4]《广东电网电力二次系统安全防护实施规范》
[5]《广东电力调度数据网及调度生产业务系统IP地址规划(潮州供电局分册)》
[6]《广东电力调度数据网业务段IP地址使用说明-地区供电局部分》
[7]《广东电网电力二次系统安全防护项目之设备命名指导意见》
[8]《地区供电局电力二次系统安全防护项目之安全策略配置指南》