自动化信息无线采集系统的安全防护方案是依据国家经贸委2002年第30号令《电网和电厂计算机监控系统及调度数据网络安全防护的规定》的要求,并根据我国电网调度系统的具体情况制订的,目的是规范和统一我国电网和电厂计算机监控系统及调度数据网络安全防护的规划、实施和监管,以防范对电网和电厂计算机监控系统及调度数据网络的攻击侵害及由此引起的电力系统事故,保障电力系统的安全、稳定、经济运行,保护国家重要基础设施的安全。
(1)安全区的划分
基于GPRS技术的信息采集系统,其安全防护部署是基于电力二次系统安全防护提出的,同样采用横向隔离、纵向认证、安全分区、网络专用的原则,其主要区别在于主站侧与厂站侧的通信通道及其纵向认证装置的配置。在采用GPRS的网络中,不同功能和数据的安全区划分同样按照电力二次系统安全防护的要求进行。实时数据和非实时数据通过不同的GPRS通道上送至主站端,通过不同的GPRS通道实现物理隔离,并划分到对应的安全区域内。
根据以上原则,安全区的划分应该为:
安全区Ⅰ:实时生产区,区内业务直接收发实时监控数据,如“四遥”、SOE等。
安全区Ⅱ:非控制生产区,区内业务为不具备控制功能的实时数据,如关口电量采集信息、继保及故障录波信息等。
安全区Ⅲ:生产管理区,区内的业务主要为电力生产的管理信息,不具备控制功能,不需线运行,如调度生产管理系统、统计报表系统等。
安全区IV:管理信息区,该区可实现电力信息管理和办公自动化功能。(www.xing528.com)
(2)安全区之间的隔离
由于远方电厂需要不停上送大量的SCADA实时数据、电量数据以及电压数据等,这些数据汇总分类后要与其他四个安全区进行数据交换,因此各安全区与GPRS网络之间均需选择适当安全强度的隔离装置。具体隔离装置的选择不仅需要考虑网络安全的要求,还需要考虑带宽及实时性的要求。隔离装置必须是国产的,并经过国家电力系统有关部门认证。根据安全防护规定以及要求实现的功能,GPRS网络与其他各区之间的连接如图4-3所示。
图4-3 GPRS平台配置及安全防护结构图
与安全Ⅰ区的连接:由于安全Ⅰ区为实时生产区,将地方电厂数据与安全Ⅰ区连接可以更好地让调度人员对电厂数据进行监控,统筹调度方式。但由于可能涉及Ⅰ区遥控等危险操作,因此要求其连接方式必须为单向连接,并且以模拟IEC104规约报文的方式将地方电厂纳入CC-2000的监控体系。
与安全Ⅱ区的连接:安全Ⅱ区主要是电量系统,不涉及实时数据,但由于GPRS网络为公共网络,因此也必须为单向连接。可以通过GPRS电量内网网关机模拟IEC102规约,通过网络方式接入电量系统中。
与安全Ⅲ区的连接:安全Ⅲ区是综合数据平台,大量的Web应用在Ⅲ区上运行,由于GPRS网络与Ⅲ区之间需要双向数据交换,因此设立两个物理隔离设备,分别是正向型和反向型。
地方电厂的自动化信息和电量信息上传通过了安全防御试验,试验证实系统的安全分区和隔离措施可以有效阻止外界的攻击侵害,可以避免重要信息的泄露。从运行情况看,信息的采集和传输准确、稳定,表明对偏远电厂利用GPRS技术实现无线采集的方案是成功的。它可以降低直接资金投入,减少维护成本,加强电网的统一调度,提高对地方电厂的管理水平,具有广阔的推广前景。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。