火溪河流域电力二次安防与调度数据专网的建立

郎曼江

(四川华能涪江水电有限责任公司,四川成都 610041)

火溪河是涪江上游左岸最大的一级干流,位于四川省绵阳市平武县西北部。火溪河干流全长114km,流域面积 1494km2,其中规划河段长 64 km,落差 1245m,水量较丰沛平稳,水力资源集中,占全河 85%以上,上游具备良好的水库地形。火溪河梯级开发方式确定为“龙头”水库下接一系列引水式梯级电站,自上而下为水牛家(2×35 MW,2007年 5月 1日发电)、自一里(2×65MW,2004年 12月 29日发电)、木座(2×50MW,2007年 10月 1日发电)、阴坪 (2×50MW,2009年 7月 1日发电),4级电站总装机容量 400MW,全梯级联合运行保证出力 14.69万 kW,多年平均发电量 16.264亿 kW◦h。

1 电力二次安防规划

根据 2004年国家电力监管委员会第 5号令《电力二次系统安全防护规定》、国家经贸委[2002]第 30号令《电网和电厂计算机监控系统及调度数据网络安全防护的规定》及电监安全[2006]34号《电力二次系统安全防护总体方案》之规定,火溪河流域梯级电站进行了电力二次系统安全防护建设。作为四川电网第一个黑启动试点电站——自一里电站就位于火溪河梯级电站的第二级,而随着后续木座电站的发电,四川电网又增加了一个可黑启动的电站,由此可见火溪河梯级电站电力二次安防建设的重要性。确保火溪河梯级电站电力系统二次安防的可靠性,是确保四川电网安全稳定运行不可分割的部分。

目前我省电厂、变电站远动系统普遍采用基于电路的独立 64kbit/s专线通道进行串口通信,串口通信协议多数为 IEC60870-5-101和DNP3.0等,这些协议遵循基于 ISO参考模型的增强性能结构(EPA),仅用了 OSI模型(OSI模型,即开放式通信系统互联参考模型 OpenSystem Interconnection,是国际标准化组织[ISO]提出的一个试图使各种计算机在世界范围内互联为网络的标准框架,简称(OIS)7层中的 3层(物理层、链路层、应用层)来实现数据传输。随着网络技术的迅猛发展,为满足网络技术在电力系统中的应用,加之通过网络传输远动信息的迫切要求,IEC国际电工委员会在 IEC60870-5-101基本远动任务配套标准的基础上,又制定了 IEC60870-5-104远动传输规约标准,它采用平衡传输模式,通过 TCP/IP协议实现网络传输远动信息,适用于调度主站(中心站)EMS系统和子站(远方站)RTU或计算机监控系统之间采用专用 Intranet网络进行通讯。因此,四川电网筹建了既满足电力系统二次安防要求,又满足方便、快捷传输的调度数据专网。电力调度数据专网有以下两点要求:

(1)必须在专用通道上使用独立的网络设备组网,在物理层面上实现与电力企业其它数据网及外部公共信息网的安全隔离。

(2)在生产控制大区与广域网的纵向交接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置或加密认证网关及相应设施。

2 安全区的实施划分

电力二次系统的安全防护主要针对的是网络系统和基于网络的生产控制系统,重点强化边界防护,提高内部安全防护能力,保证电力生产控制系统及重要敏感数据的安全。因此,安全防护的目标就是抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击,特别是能够抵御集团式攻击,防止由此导致一次系统事故或大面积停电事故及二次系统的崩溃或瘫痪。火溪河流域的电力二次系统安全防护首先是按照"安全分区、网络专用、横向隔离、纵向认证"的基本原则,对各信息大区进行了安全分区。安全分区原则见图 1。

生产控制大区:安全区Ⅰ(控制区),安全区Ⅱ(非控制区)。

管理信息大区:安全区 III(生产管理区),安全区 IV(管理信息区)。

2.1 梯级各电站内的应用系统及相关业务安全区的划分

(1)安全区Ⅰ(控制区):各个电站自动化监控系统、安控自动装置;

(2)安全区Ⅱ(非控制区):各个电站电能量计量系统子站设备(电量采集系统)、继电保护及故障信息管理子站系统、故障录波装置、电量报价系统及水情测报系统。

2.2 电力调度数据专网与生产控制大区之间存在纵向加密认证装置实施安全防护

火溪河流域采用成都卫士通信息产业股份有限公司出品的卫士通纵向加密认证装置,该产品已由国家电网公司信息网络安全实验室测试通过。按照四川省调统一规划,安全区Ⅰ(控制区)的各应用系统接入电力调度数据专网前应加装纵向加密认证装置,而安全区Ⅱ(非控制区)的各应用系统在接入电力调度数据专网前,从最初的加装防火墙也已改为加装纵向认证加密装置。

2.3 采用防火墙实现安全 I、II区之间的数据交换,从而实施横向安全防护

(1)安全区Ⅰ(控制区)和安全区Ⅱ(非控制区)的各应用系统之间网络互联安装了防火墙,实施逻辑隔离措施,在控制策略上允许安全区Ⅰ(非控制区)对安全区Ⅱ(控制区)可执行读写操作,而安全区 II(控制区)对安全区 I(非控制区)仅能执行 Ping操作。

图 1 安全分区原则示意图

(2)生产控制大区与各个电站内管理信息大区内的生产管理系统之间的互联均通过安全区Ⅱ(非控制区)实现。当管理信息大区需要访问生产控制大区实时数据时,直接访问的是安全区Ⅱ(非控制区)的数据,不直接联系安全区Ⅰ(控制区)的数据库,从而实现了多层防护,彻底避免了外部数据对与发电生产息息相关的安全区Ⅰ(控制区)的干扰。

3 数据专网光纤的选型

在各生产管理信息大区有了划分详细的安全区后,为进一步保证实时与非实时数据上送打下了坚实的基础。为确保上送下达数据的通道可靠,火溪河流域电站于 2007年 10月开始搭建白马集控中心及各个梯级电站的调度数据专网。总体规划是保留原有 IEC101规约下“四线”电路远动信息传送,同时新搭建了一个 IEC104规约下、拥有独立通道的调度数据专网通道。

新搭建的通道与原有通道有所不同。自白马集控中心上送四川省调的通道实际上是采用双物理通道互备冗余实现的。

主用通道在选择物理传输介质时,为了即可靠、又经济耐用,实际上存在三种选择。一是OPGW光缆,二是 OPPC光缆,三是 ADSS光缆。这三种光缆到底具有什么优缺点呢?

OPGW,复合光缆地线,或称光纤复合架空地线(Opticalfibercompositeoverheadgroundwire)。OPGW是一种利用输电线路构成的线,这种线同时达到接地及通讯的目的。OPGW线包含一个管状结构,内含一或多条光缆,而外围由钢及铝组成。由于该光纤具有抗电磁干扰、自重轻等特点,它可以安装在输电线路杆塔顶部而不必考虑最佳架挂位置和电磁腐蚀等问题。因而 OPGW具有较高的可靠性、优越的机械性能、成本也较低等显著特点。这种技术在新敷设或更换现有地线时尤其合适和经济。

OPPC(OpticalphaseConductor,简称 OPPC)是电力通信系统的一种新型特种光缆,是在传统的相线结构中将光纤单元复合在导线中的光缆,是充分利用电力系统自身的线路资源,特别是电力配网系统,避免在频率资源、路由协调、电磁兼容等方面与外界的矛盾,使之具有传输电能及通信的双重功能。OPPC因其导线内装光纤束管,结构独特,所以,安装时必须采用预绞丝金具以保护光纤。采用预绞丝金具具有三点优势:一是施工简便快捷,不用再拉着笨重的压缩机、压接钳等设备上现场,劳动效率提高,体力劳动减少;二是预绞丝金具为良导体,导电性能好,节能效果显著;三是预绞丝金具安装于线路与导线接触面加大、长度增加、受力均匀,减少了导线的疲劳,延长了导线寿命,提高了防震能力。

ADSS光缆是 AllDielectricSelf-Supporting(全介质自承式)的缩写。全介质即光缆所用的是全介质材料;自承式是指光缆自身加强构件能承受自重及外界负荷。这一名称点明了这种光缆的使用环境及其关键技术:因为是自承式,所以其机械强度举足轻重;使用全介质材料是因为光缆处于高压强电环境中,必须能耐受强电的影响;由于是在电力杆塔上架空使用,所以必须有配套的挂件将光缆固定在杆塔上。ADSS光缆有三个关键技术:光缆机械设计、悬挂点的确定和配套金具的选择与安装。ADSS光缆机械性能主要体现在光缆的最大运行张力、平均运行张力及极限抗拉强度等。普通光缆的国家标准明确规定了不同使用方式(如架空、管道、直埋等)的光缆应具有的机械强度。而 ADSS光缆是自承式架空光缆,所以,它除了必须承受自身重力的长期作用外,还必须能经受住自然环境的洗礼。如果 ADSS光缆机械性能设计不合理、与当地天气不相适应,则光缆就会存在安全隐患,寿命就会打折扣。因此,每个ADSS光缆工程都必须根据光缆路由所处的自然环境和跨距等采用专业软件严格设计,以确保光缆具有足够的机械强度。

经过对以上三种物理介质进行对比,结合火溪河流域常年发生塌方、泥石流的具体情况,考虑到 OPGW光缆这种技术不仅在新敷设或更换现有地线时比较合适和经济,同时,在架空地线的机械、电气特性上也相当出色,因此,我们在主用通道上选用了 OPGW光缆。

备用通道我们采用租用电信专属155M通道的方式实现。首先,我们摒弃了卫星通道的想法,因为卫星通道不仅价格昂贵、响应时间长,而且对于数据的可靠性也不能得到保证。在选用通道供应商的问题上,我们有中国联通、中国电信两家供应商可供选择。经过对比租赁年费价格、光纤衰耗、维护成本、事故响应时间等因素,我们选择了相对数据质量好、价格差异小、事故响应时间快的中国电信作为 155M通道的供应商。

4 数据专网安全网络设备

火溪河流域各电站在站内 PE设备(路由器)和 CE设备(交换机)之间加装了 NetEye防火墙3.2升级版,此类防火墙是 NetEye防火墙系列中的最新版本,该系统在性能、可靠性、管理性等方面大大提高,保证了从数据链路层到应用层的完全、高性能过滤,可以进行应用级插件的及时升级,攻击方式的及时响应,实现动态的保障网络安全。围绕流过滤平台,我们构建了网络安全响应小组、应用升级包开发小组、网络安全实验室,实现了流过滤不仅能够带给用户高性能的应用层保护,还包括新的应用的及时支持,特殊应用的定制开发,安全攻击事件的及时响应。集成的 VPN功能简单、人性化的虚拟通道设置,有效地提高了VPN部署的灵活性、可扩展性,大大降低了部署、维护的成本;完善的 VPN产品线,适合于大规模的网络部署。系统的主要模块工作在操作系统的内核模式下,并对协议的处理进行了优化,性能接近线速,高吞吐量、低延迟、零丢包率、强大的缓冲能力,千兆版本能够利用多处理器的能力,完全满足高速、对性能要求苛刻网络的应用 。经国家权威部门检测,NetEye防火墙 3.2符合 GB/T18019-1999(包过滤防火墙安全技术要求)和 GB/T 18020-1999(应用级防火墙安全技术要求)两个标准的技术要求,其功能特点为:

(1)流过滤实现动态保护网络安全。

流过滤机制是 NetEye防火墙 3.0的一大特色,NetEye防火墙 3.1保留了这一个特色,并对其性能、稳定性进行了进一步的优化,NetEye防火墙 3.2对流过滤引擎进行了优化,进一步提高了其性能和稳定性,同时丰富了应用级插件、安全防御插件,并且提升了开发相应插件的速度。网络安全本身是动态的,其变化非常迅速,每天都有可能有新的攻击方式产生。安全策略必须能够随着攻击方式的产生而进行动态的调整,这样才能够动态的保护网络的安全。基于状态包过滤的流过滤体系结构,具有动态保护网络安全的特性。

(2)扩展协议支持。

该功能是对原有 NetEye防火墙 3.0动态规则特性的完善,使其更容易扩展,用户可以通过简单的下载、升级模块,达到对新的、复杂应用的支持。这也是流过滤体系结构优良可扩展性的体现。由于现在的应用协议日益繁多,每天都可能有新的应用协议产生,某些应用协议并不仅仅使用一个连接和一个端口,往往是通过一系列相关联的连接完成一个应用层的操作。防火墙推出之时很难支持所有的应用,这就要求防火墙能够有很好的可扩展性,以便将来能够根据需要进行扩展。在流过滤的平台基础上,我们可以方便、快捷的进行应用级插件的开发和升级,使防火墙可以不断适应新的应用协议。现在支持的这种应用协议包括 FTP,RTSP,PNM,H.323、Oracle数据库访问等。

(3)简单、易用的 VPN。

集成的 VPN功能采用标准的 IPSec协议,支持 NAT穿越,可以应用于 ADSL、ISDN、拨号、DDN等多种网络环境,基于 PKI的密钥管理架构、人性化的虚拟通道设置,有效提高了 VPN的部署灵活性、可扩展性,大大降低了部署、维护的成本。可以方便、快捷的部署各种形式的 VPN应用,包括企业内部的 VPN,用于连接企业的各个分支机构;企业外部的 VPN用于企业与其合作伙伴等企业外部的组织进行连接;拨号 VPN用于连接在各地的移动办公、家庭办公人员安全的接入企业网络,是国密办批准生产、销售的 VPN产品(SJW20网络密码机)。完善的 VPN产品线,使得我们可以适合于大规模的部署。

(4)网络永不间断。

NetEye防火墙 3.2的硬件采用了由 Intel专门为东软设计生产的设备,其硬件体系结构完全采用了 Intel用于电信级的服务器的标准,同时,设备的关键部件 CPU、内存、电源等部件完全冗余,从而保证了系统的高可靠性运行。NetEye防火墙 3.2提供了带内、带外的双重控制通道,具有最短仅需一秒的双机热备自动切换功能,保证了网络的永不间断。

另外,NetEyeFW3.2对 FW3.1的图形管理界面(GUI)、身份认证、审计、双向网络地址转换(NAT)、事件报警 、支持 VLANTrunk、IP与 MAC地址绑定、流量管理、网络实时监控、支持 SNMP、多播协议的支持等功能也进行了多方面的优化,使得系统的稳定性进一步提高。

白马集控中心在实时业务交换机、非实时业务交换机与路由器之间加装了 Westone纵向加密装置,纵向加密装置将确保通信数据的机密性、完整性,并对网络访问进行有效的身份认证,它把整个用户网络划分为内部网络和外部网络。

(1)从外部网络到内部网络的通信。首先,装置对外部用户的身份进行验证,这个验证基于数据包的 IP地址;然后,根据配置的安全策略,丢弃没有通过身份认证的数据包,解密通信对方进行了安全保护的数据包(加密、认证);最后,将通过安全处理的数据包转发给内部网络。

图 2 纵向加密认证装置体系结构图

(2)对于从内部网络到外部网络的通信,装置检查了内部用户是否有权限访问外部网络,如果没有权限,将禁止其通信。对于有权限的用户,对网络通信进行了安全保护(加密、认证),并通过外部网络转发通信对方。

装置对访问自身的通信进行了非常严格的保护,只有持有管理中心发出的 IC卡(代表管理员身份)才能访问装置,并对系统进行安全策略、安全设置等的操作。系统主要的功能性模块由主处理模块、密钥协商模块、加密报文模块、IP报文过滤模块、安全管理模块、双机备份模块、设备监控模块等七大部分组成,系统主要功能模块结构见图 2。

(1)主处理模块功能。

主处理模块是装置的核心处理部分。它负责数据包的过滤、安全规则匹配、数据包加解密、数据包封装、网络数据包接收和发送、内存管理、文件系统管理等功能。

(2)密钥协商模块功能。

密钥协商模块主要负责装置之间数据密钥的协商,其过程包括:①装置身份认证部分;②会话密钥交换部分,并且支持双机备份工作模式下的密钥协商。

(3)加密报文模块功能。

加密报文模块在处理数据包时,采用特定协议号进行封包处理。除了对原有的数据包进行加密,还要在原数据包前面根据通道封装一个新 IP头。

(4)IP报文过滤模块功能。

装置利用 IP报文过滤实现安全策略的目的。装置对进出系统的所有数据包实施基于安全策略的检查,数据包的过滤检查有入、转发和出三次检查。根据安全规则的设置,对通过的 IP数据包的协议类型、协议选项、源 /目的地址、源 /目的端口等过滤条件进行判断,并做相应的处理。处理种类包括对数据包的允许、丢弃、加/解密三项。所有处理均在操作系统内核层进行。

5 结 语

经过三年时间的持续建设,形成了火溪河流域调度数据专网(图 3)。该数据专网试运行一年多以来,面对汶川 5.12大地震等恶劣环境,白马集控中心的双通道 IEC101、IEC104一直稳定运行,不仅为下一步实现全流域优化调度、全站AGC、AVC打下了基础,而且为火溪河集控中心远撤成都做出了巨大的贡献。2008年 12月,火溪河成都集控中心已建成投入使用,标志着火溪河建设之初提出的 “网络控制、数字电站、无人值班、关门运行”的科学规划已基本实现。