电力专用纵向加密装置标准策略配置研究

2021-11-22 05:23国网吉林省电力有限公司长春供电公司
电力设备管理 2021年11期
关键词:厂站数据网主站

国网吉林省电力有限公司长春供电公司 孙 莉

运用电力专用纵向加密装置,无论是病毒和黑客、还是恶意代码等一些恶意的破坏都能够抗拒,以避免电力二次系统受到大的损害和溃败,是保障变电站监控系统和地调自动化系统等控制生产大区安全重要的手段。

1 电力调度数据网

1.1 数据网的应用

电力二次系统是一个比较复杂的系统,由调度数据网和监控系统等构成[1-2]。保证调度数据网的安全,以及电力闭环实时监控系统,都是安全保护重要的环节,主要是抵抗一些恶意的破坏,以防系统大范围停电事故的发生。

电力调度数据网应用主要包括两个方面:其一,在调度支持系统下,调度员发远程调试操作命令,借助调度数据网向现场传达命令进行安装,致使设备遥控进行操作,是实现无功补偿装置投切和调整电网运行方式以及紧急处理事故等相关功能的基础;其二,借助接入网将电力系统厂站采集的数据传输到骨干网,主站业务主机再获取骨干网中的数据,运用调度支持系统,将电网实时运行状况和电网告警信息以及电能表数据等提供给调度员,是控制和监视电网的基础。

1.2 网络布局

厂站业务主机将交换机和路由器都接入后,主站路由器与建立的传输网相连,数据由主站路由器向骨干网进行传递,与I/Ⅱ区交换机服务器相连,运用对骨干交换机的访谒与主站业务机展开通信。横向上,根据各种业务的类型,主站侧具有安全I区和安全Ⅱ区两个业务类型,运用防火墙横向对两个区域之间进行隔离,厂站侧也具有安全I区和安全Ⅱ区两个业务类型,应用VLAN技术和VPN技术开展条理隔离;纵向上,将接入网和骨干网有效地运用,安全I区和安全Ⅱ区纵向连通厂站安全I区和安全Ⅱ区,完成传递数据,为满足纵向认证的要求,安装电力专业纵向的加密认证装备。

2 电力纵向加密装备的工作模式

电力专用纵向加密装备4种模式:网关、借用、透明以及借用1-N等相关模式[3-4]。其一网关模式。设备间连接器就是纵向加密装备,不但厂站设备和主站设备的网关地址要修改,而且还要更改网络结构;其二透明模式。连接该装备以后,无论是厂站设备还是主站设备,设备间连接器地址都不用修改,只要安装好纵向加密装备便可。运用透明模式不但网络结构不会受到不利的影响,而且单机故障出现时受到的影响也非常小。必须用大量设备为其主要的缺点,各个业务主机都必须安装1台;其三借用模式和借用1-N模式。两种模式大致相同,纵向加密装备必须通过交换机接口地址或者调度数据网中的业务地址,再利用Trunk封闭的方式连接VLAN设备。两种模式的区别在于,应用模式1个接口、只连接VLAN标签下的1个设备;利用1-N模式1个接口连接许多VLAN标签下的设备。

3 电力专用纵向加密装置的配置标准策略的方案

根据我国相关电网文件的要求,在路由器和业务主机间安装纵向加密装备,借助路由器将交换机利用为中介方式相接业务主机,因此纵向加密装置配置的方案有两种。

其一,部署在路由器与交换机中。布置在网络重要渠道就是主要优势,不同业务在主、备两个纵向装备作用下,能够使应用业务得到有效地保护。纵向设备故障若发生,影响范围很大为其主要的缺点。

其二,部署在路由器和业务主机之间。无论是厂站局域网的内部方位、还是调度中心的方位都会获取是其主要的优势,对于全网已分配方位没有影响。纵向设备出现故障时,只单个业务会受到一定程度的影响。不同业务需要大量的纵向装备为其主要的缺点,各个业务接口都要安装1台设备。

3.1 厂站侧配置的方案

I区通常厂站侧的通信网关机设备有2台,一台安全监测装置为VLAN101、业务地址有三个。Ⅱ区安全监测装置有1台、电量装备2台。但Ⅱ区主要以电量数据采集为主、实时性较低,因此有些厂电量装备就1台,厂站侧VLAN201中有2~3个业务方位。

其一,部署在交换机与路由器之间,纵向加密装置部署在厂部侧交换机与路由器之间(图1)。厂站侧纵向加密装置无需一一地对应实际业务主机,只要结合路由器安装链路数量就可以,在调度数据网结构没变化情况,固定将纵向加密装备2台进行应用。

图1 电力调度数据网的拓扑结构

其二,部署在业务主机与交换机之间。每一个业务方位都要连接1台纵向加密装备,纵向加密装备单台可以连接2个业务方位,为实现要求需要应用三台纵向加密装备。与业务通信连接以后加密隧道建立起来,必须用3纵向加密装备,建立3~4条隧道,构建13~18项的相关策略。

3.2 主部侧位的配置方案

主部侧具有监控支持系统、技术支持系统、采集电量系统以及配电网信息系统等多个系统[5]。许多业务主机都要采集数据,主站侧在交换机和业务主机之间部署纵向加密装置不适合。主站侧运用在路由器与交换机之间部署纵向加密装置的方式,实际进行应用时,在骨干交换机与I/Ⅱ交换机之间部署纵向加密装置,应用1-I模式,安装纵向加密装备2台,每台装备都布置VLAN40、VLAN30、VLAN20以及VLAN10等4个方位,从而使双机热备更好地应用。主站侧纵向加密装备的网络构造,见图2所示。

图2 主站侧纵向加密装备的网络构造

厂站侧与主站侧建立纵向加密装备隧道时,隧道方式可以应用很多,不但系统冗余程度很高,而且隧道指向方式也非常灵活。参照该策略,将安全策略配置给厂站侧和主站侧以后,数据纵向加密结束。纵向加密装备需2台、建设2条隧道、选用8项策略,该隧道的数量不会因厂部侧业务主机数量变化而发生变化。

3.3 比较2种配备方案

比较2种配备方案:交换机-路由器工作模式为借用1-N模式,交换机-业务机工作模式为透明模式,二者装备的数量分别为2/3,隧道的数量分别为2/3~4,策略的数量分别为8/12~16。交换机-路由器模式优点为厂部侧设备网络模型比较稳定,新增加的业务设备,无需增加装置,后期维护的成本比较低。缺点为占用少量的业务地址,无论隧道还是策略需要配置的数都很多,初设网络时业务量较重;交换机-业务机工作模式优点是无需占用业务地址,隧道和策略的配置数量都比较少,网络模型比较简单,容易管理。缺点是需要很多的部署装置,新增加业务设备,必须增加纵向加密装置对应,并且相应策略也要增加,部置成本和管理成本都比较高。

布置在交换机与路由器间的模式,厂站VLAN占用少量业务方位,方位存量比较丰富,实际业务不会受到影响。厂站侧业务有可能扩展,成本维护也要考虑到,应该将纵向加密装置部署在交换机与路由器之间。

综上,在调度数据网中有效应用网络新技术,是提高调度数据网技术主要的方法,纵向加密装备能够将电力二次系统没有纵向安全防护问题解决,从而使变电站和发电厂以及调度中心等控制生产大区系统纵向连接的安全得以保障。

猜你喜欢
厂站数据网主站
基于供区的输电网接线图厂站网格布局算法
BIM技术在燃气厂站的应用
铁路信号安全数据网安全分析
厂站自动化与调度自动化的现状与技术发
EtherCAT主站与主站通信协议的研究与实现*
多表远程集抄主站系统
全新网优解决方案-亨通大数据网优平台
全新网优解决方案-亨通大数据网优平台
铁路信号系统安全数据网口令攻击技术初探
基于改进经济压差算法的主站AVC的研究