探析电力通信网的调度数据网安全传输

潘海捷，李韩军，吴展

（中国铁塔股份有限公司上海市分公司，上海 200070）

1 电力调动数据网研究现状

伴随电力调度网被人们关注，研究方向趋于明确化，主要涉及两方面内容:其一，电力要读往结构特性进行分析，主要研究数据结构在电力调度数据网中作用，在其具体研究中，通常应用复杂网络理论对结构特性进行分析；其二，调度数据网安全性研究，主要将信息安全为核心，若调度数据网信息安全受威胁，对整个电网正常运行造成影响。

随着科技水平不断提升，电力调度数据网肩负各类业务，逐渐将多层次及多方位特征展现，所以数据网需拥有较高的信息传输能力，才能满足各类业务要求。近年来，研发的EMS 等监控业务具有较高实时性，不仅满足调度信息实现交互，而且确保调度执行命令可靠。其中涵盖生产管理类业务展现数据流量随机性，所以必须避免调度数据网出现信息阻塞现象，对正常业务运行造成影响，给电力系统正常运作构成威胁。网络传输特性，给调度数据网及电力系统安全性及可靠性具有较大影响，对网络传输特性进行分析具有重要意义，对电力调度数据网设计进行优化完善具有积极作用。

2 电力调度数据传输方案

近年来，各类科学技术不断完善及成熟，成为电力调度数据网建设核心支撑，使电力调度数据网建设趋于成熟。对电力调度数据进行分析进程中，主要核心落脚点为子站集终端与电力调度数据网间，进行可靠通讯问题。整套电力调度数据网，主要核心组网技术为 IP over SDH，结合光缆通道可满足安全传输要求。首先，采集终端与电力调度数据网通信进程中，需对通信网线加以关注，选取5 类屏蔽双绞网线。变电站电缆中除弱电电缆，还存在大量强电电缆，给数据传输造成一定影响，为切实保障数据传输安全性，选取标准为568B 线序的压制网线。在网线进行敷设时，选优绝缘电工套管，以此减弱强电电缆对网线干扰。其次，在采集终端配置进程中，需充分应用电网调度自动化分配，严格按照子站非实时性业务IP 进行配置，且生成与之匹配的网关地址及子网掩码，完成与电能采集系统主站相吻合的IP 地址。此外，对纵向设备进行加密进程中，需将数据网非实时性业务证书输入，构建相对应的密通隧道。最后，主站前置机配置进程中，生成静态路由、IP 及端口信息，且需与子站点采集终端相匹配。

3 电力调度数据网设计原则

在电力通信网基础上，电力调度数据传输安全保障为电力调度数据网，在电力调度数据网具体设计中，为切实满足数据传统安全性及可靠性，应严格遵循“安全分区、网络专用、横向隔离、纵向认证”原则。在与上述原则符合基础上，完成电力调度数据网安全防护体系构建，避免电力数据传输进程中，出现瞬时性现象，影响网点正常运作。此外，除上述原则外，确保电力调度数据网，对外部防护级别设计需吻合规约准则，防止恶意攻击数据网，增加数据网瘫痪或数据泄露风险。电力通信网相关人员，需对电力调度数据网安全防护工作加以重视，避免对电力系统造成影响。

4 电力调度数据网安全防护设计措施

图1 电力调度数据网安全传输防护设计结构示意图

为切实满足电力调度数据网传输安全性及可靠性要求，需对电力数据进行数据安全防护设计，应积极秉持“安全分区、网络专用、横向隔离、纵向认证”原则。安全二区与三区进行隔离时，需尽可能选取电力专用安全隔离装置。二区数据通过电力专用装置，与三区实现同步，三区数据在电力专用反物理隔离装置基础上，实现与二区同步目标。需注意电力调度数据网进程中，CC-2000A系统的CIM 模型及潮流数据传输至电能采集系统时，需进行逻辑隔离。为防止CC-2000A 系统遭受影响，确保数据传输具有安全性及可靠性，将与潮流文件相关内容及CIM 模型，服务器终端传输至平台服务器时，需以正向隔离装置传输为基础，完成传输任务，顺利到达Web 平台，再通过电能采集系统三区网关及反向物理隔离装置，最终完成数据传输目标。整套安全防护系统正常运行，需与安全防护4 级要求吻合，关系数据库应满足规范中3级安全防护要求，电力调度数据网安全传输防护设计具体结构图如图1 所示。

4.1 安全分区

在电力调度数据网安全设计原则基础上，以电力调度数据网安全区为核心，进行科学、合理的划分，主要涉及管理信息分区及生产分区，其主要异同点为防护要求及标准，可与安全防护实际所需吻合。就安全防护职责而言，管理信息分区，需在电力数据网实际运行时，将非实性子网状况实现系统化运转，以电力资源调度为业务核心，主要设计天气监测、电力统计报表生成、客户服务及自动化服务等系统运转。生产分区主要职能为，使电力调度自动化系统保持正常运行，确保其系统正常运行的同时，实现变电站自动化控制及安全自发性控制目标。与非实时性子网安全防护等级而言，实施性子网对应等级及标准均高，所以只有将安全区域进行科学、合理划分，才能为电力调度数据网安全做以支撑，确保其安全防护系统处于最佳状况。

4.2 专网专用

在互联网网址基础上，专网将RFC4193 和RFC1918为相关规范标准，严格遵循IP 协议应用私有地址网络。数据实际传输中，在IP 协议基础上，网络与互联网无法直接连通，需通过公网进行转发后，才能实施正常传输及使用。所以在电力调度数据网传输进程中，需以专用光纤为基础，满足网络通信实际所需，实现数据传输高效性。立足于专网专用模式，最大限度将安全防护等级提升，避免网络数据传输进程中，受各类因素影响，遭受不良攻击及损害，虽投入成本较高，但可保证数据调度安全性及可靠性。

4.3 横向隔离

鉴于专网专用背景下，为将电力数据网安全防护水平提升，可通过横向隔离方式。横向隔离措施应用，将生产网络安全水平提升，将恶意破坏信息遏制于专网外，为内部网络信息交互传输提供安全保障。一般选取的隔离措施较多，如路由器隔离、防火墙隔离、DCS 系统隔离等。主要将互联网中不良信息隔断，提升生产效率，确保数据网络安全及可靠性，具体而言安全防护系统中，构建横向隔离，类似给予电力调度数据网传输保护膜，对电力调度数据网传输安全性具有积极作用。

4.4 纵向认证

设计纵向认证措施，核心将电力调度数据网安全防护等级提升，避免信息传输进程中，出现恶心盗用。电力调度数据网设置时，可在主路由器及交换机中间，根据特定比例增设纵向加密网关，针对电力调度数据传输见所有节点进行加密处理，提升安全防护等级。在保护机制作用下，若交换机接收及发出信息不一，通信网关会立即给予安全预警工作指令，将安全保护自行切换至启动状况。因此，纵向认证实施，可切实将互联网数据传输进程中的恶意信息进行拦截，提升安全防护等级。

5 结语

电力调度数据网，为电力通信网电力数据传输核心途径，信息化进程不断深入，互联网技术持续发展背景下，电力调度数据网遭受较大外部风险攻击，给供电稳定性造成严重影响。为确保电力调度数据传输安全性及稳定性，需将安全传输加以重视，积极构建系统性防护。在电力通信网基础上，将电力调动数据网研究现状阐述，提供相关基本传输方案及数据网设计原则，之后将具体结构划分为4 个模块，即为安全分区、专网专用、横向隔离及纵向认证，切实为数据传输提供安全保障。