数事技术与率用
发电厂调度自动化系统二次防护探讨
王菊
(马鞍山当涂发电有限公司安徽马鞍山243102)
安全技术
次防护体系，实现调度白动化系统与办公区域、生产区城间地物理隔高，有效地阻止黑客入侵及网络病毒的侵入，并减少网络事故，保障调度白动化系统的稳定可靠及电网地安全运行
关键调：调度自动化网络安全二次防护中图分类号：TP29
文献标识码：A
1、引言
文章编号：1007-9416(2012)09-0181-02
4.1理顺关系，合理整合接入业务
(1)调度自动化系统的横向业务包括：第一，与办公区域的生产
电力工业是关系国计民生的重要基础产业和公用事业，电力系统安全稳定运行和电力可靠供应直接关系到国民经济发展和人民生命财产安全，关系到国家安全和社会稳定。现代电力系统生产运行高度依赖于计算机、通信和控制技术，电力监控系统、电力通信及数据网络等电力二次系统已经成为电网运行控制不可须史或缺的重要组成部分。
2、发电厂调度自动化系统概述
调度自动化系统是在对全系统运行信息进行采集分析的科学基础上，运用现代自动化技术和可靠的通信系统，由计算机监控作出综观全局的明智判断和控制决策，包括远动装置和调度主站系统，是用来监控整个电网运行状态的。调度自动化系统是电网调度和电网运行管理必不可少的技术手段，是电力系统重要基础设施之，关系到电网安全稳定运行。发电厂调度自动化系统作为电力监控系统的重要组成部分，其安全问题一直受到国家有关部门的重点关注。
3、电力二次系统安全防护工作开展情况
2002年，原国家经贸委发布第30号令电网和电厂计算机监控系统及调度数据网络安全防护规定》，提出了电网和电厂计算机监控系统及调度数据网络安全防护的基本原则，即"电力系统中，安全等级较高的系统不受安全等级较低系统的影响”，明确要求要实现两个隔离：电力监控系统与办公自动化系统或其他信息系统之间以网络方式互联时，必须采用经国家有关部门认证的专用、可靠的安全隔离设施，电力调度数据网应在物理层面上与公用信息网络安全隔离。电监会成立以后，在充分总结以往工作的基础上，明确提出了“安全分区，网络专用、横向隔离、纵向认证"的二次系统安全防护总体策略，使电力行业二次系统安全防护工作进人了实质建设阶段。
2005年以来，电力行业按照《电力二次系统安全防护规定》（电监会5号令及相关配套文件要求，从规章制度、组织体系、资金保障、人员管理及分区防御、网络安全，数据防护等方面开展了一系列富有成效的工作，初步建立了覆盖全行业的二次系统安全防护体系，防护能力显著提高。随着网络安全威胁的日趋严重和升级，二次
系统安全防护工作所面临的安全形势更加严峻。 4、调度自动化系统二次防护的主要策略
电力二次系统安全防护方案根据电力系统的特点及各相关业务系统的重要程序、数据流程、目前状况和安全要求，将整个电力二次系统分为四个安全区：I实时控制区，Ⅱ非控制生产区、Ⅱ生产管理区、Ⅱ管理信息区。
管理信息系统(MIS)的接口。传统的访问方式是通过通信网关或 WEB服务器实现数据的通信。著想达到横向安全防护的目标，位于安全区ⅡI的通信网关或WEB服务器与位于安全区Ⅱ的MIS系统之间必须采用经有关部门认定核准的专用隔离装置，使MIS系统的用户终端仅可以通过专用隔离装置浏览WEB服务器上的调度自动化信息，禁止其MIS系统向调度自动化系统发出数据请求，第二，与电能量计量系统、竞价上网系统的接口。为使这些位于安全区Ⅱ的系统能够安全可靠地实现数据业务的传输，就要求调度自动化系统与这些系统之间增加硬件防火墙，
(2)调度自动化系统的纵向业务包括：第一、专线通道。通过专线通道和特定的通信协议实现厂站RTU装置与调度主站EMS系统间的通信。这类接口暂不考虑安全问题。第二，网络通信接口。通过通信网关实现厂站与调度主站间的通信。为确保处理安全区1的各系统能够安全可靠地实现数据业务的传输，就要求调度自动化系统与这些系统之间加设纵向加密认证装置，再经电力通信数据网络(SPTnet)进行通信。第三、远程维护接口。系统维护人员或开发商可以通过拨号方式进行系统维护和故障处理，应加强口令的严格管理，在未采取安全防护措施前，不得开通通过拨号服务器接人远程局城网的服务。
4.2分区隔离，实施安全防护和加密认证
(1)纵向加密认证：在纵向传输防护方面，发电厂调度自动化系统依据传输业务的实时性和重要性进行分类传输保护。远动装置 RTU采集数据、脱硫数据、同步相量采集装置PMU采集数据，电压自动控制系统AVC采集数据作为I实时控制区数据直接接人区内专用交换机，并通过纵向认证装置接人路由器。电量信息，保护信息子站数据等作为Ⅱ非控制生产区数据业务直接接人区内专用交换机，经防火墙连接至路由器。
各业务系统均直接通过专用交换机实现与上级调度部门的相应业务实现对口通信。为实现对不同安全区域的业务隔离，调度数据网通过纵向认证装置和防火墙实现对I区和Ⅱ区的安全隔离，两个区域之间的业务不能通过网络彼此通信。从而减少数据传输的中间环节，缩短了传输时间，有效地兼顾了二次系统对安全防护强度和数据传输实时性的要求。
工作票申请系统、报价系统作为发电厂的Ⅱ区业务接人相应的电力信息专网。以发电厂工作票申请系统为例，由于电力网调度生产信息网为电力内网，终端用户接人网内时需要进行安全加固和安全隔离。也就是要做到内外网物理隔离，专机专用，同时增加网络防
...下转第183页
作者简介：王菊(1977年一)，女，大学本科，安微准南人，工程师，研究方向：发电厂调度自动化。
181