电网调度自动化信息网络安全技术示范文本

电网调度自动化信息网络安全技术示范文本

In The Actual Work Production Management, In Order To Ensure The Smooth Progress Of The Process, And Consider The Relationship Between Each Link, The Specific Requirements Of Each

Link To Achieve Risk Control And Planning

某某管理中心

XX年XX月

电网调度自动化信息网络安全技术示范

文本

使用指引：此解决方案资料应用在实际工作生产管理中为了保障过程顺利推进，同时考虑各个环节之间的关系，每个环节实现的具体要求而进行的风险控制与规划，并将危害降低到最小，文档经过下载可进行自定义修改，请根据实际需求进行调整与使用。

〔摘要〕通过对淮北供电公司调度所自动化系统与网

络现状、数据交换方式、安全防护技术的介绍，指出了在

目前运用的设备管理、安全管理、运行管理等方面存在的

安全隐患，提出严格拨号上网用户的管理，采用网络安全

访问控制技术、加密通信技术、身份认证技术、备份和恢

复技术等更完善的调度自动化系统的安全技术措施和管理

措施，以充分满足电网调度数据安全性、可靠性、实时性

的特殊要求。

〔关键词〕能量管理系统；调度数据网；电量采集系

统

随着计算机网络技术的突飞猛进，数据网络在电力系统中的应用日益广泛，已经成为不可或缺的基础设施。然而，开放的信息系统必然存在众多潜在的安全隐患，黑客和反黑客、破坏和反破坏的斗争仍将继续。在这样的斗争中，安全技术作为一个独特的领域越来越受到全球网络建设者的关注。近年来调度自动化系统的内涵有了较大的延伸，由原来单一的SCADA系统扩展为EMS、DMS、TMS、厂站自动化、水调自动化、电力市场技术支持系统和调度生产管理系统等，数据网络是支持调度自动化系统的重要技术平台，承担着实时、准实时控制业务及管理信息业务。调度自动化信息还需要与省调自动化系统、局MIS连接，网络利用率较高，安全级别较低的业务与安全级别较高的业务混用，存在很多安全隐患。这就使保证信息的安全变得格外重要，有必要建立根据调度自动化系统

中各种应用的不同特点，优化电力调度数据网，建立调度自动化系统的安全防护体系。

1系统与网络现状

1.1能量管理系统(SCADA/EMS)

1.1.1系统业务

淮北供电公司调度所采用的是OPEN-2000能量管理系统，主要包括数据采集和监控系统(SCADA)、PAS高级应用软件，系统从厂站接收遥测、遥信数据，这类数据实时性较强，每秒都有数据传输；同时向厂站发送遥控、遥调、校时命令及计划数据，这类数据可靠性要求较高，与电网安全直接相关。

1.1.2数据交换方式

主站各工作站、服务器通过100M/10M自适应HUB 互连，系统内安装了数据备份系统，备份重要的应用程序和数据。该系统避免了单点失败出现，大到服务器、工作

站、存储设备，小到适配器，均是冗余容错的；无论是主机或通道出现故障，均可通过主/备切换来保证通信和数据的完整性；万一主数据中心数据出现意外灾难，系统可以自动切换到备份数据中心。系统提供了需进行身份认证的拨号访问供远程维护的需要，并且通过WEB服务器把信息传至其它部门。

1.1.3安全防护技术

SCADA/EMS系统的物理边界有4个：拨号网络(远程维护)边界、传统专用远动通道、纵向网络连接(调度数据网与省主调连接)与公司MIS系统之间的横向网络连接。

采取的措施有：

(1) 拨号网络边界采用身份验证功能；

(2) 传统专用远动通道暂不考虑其它安全问题；

(3) SCADA/EMS系统中安装数据备份系统，用于备份重要的系统和数据；

(4) SCADA/EMS系统和公司MIS系统之间采用WEB 服务器，并安装了硬件防火墙。

1.2电量采集系统

1.2.1系统业务

淮北地区电网电量采集系统使用的是YJD-953系统，该电量采集系统功能简单，仅仅具有召测电量和简单的统计功能。主站端自动或人工召测变电站的关口电量并进行总加，同时向厂站发送对时数据，召测的关口电量可被省调或其它单位召测。

1.2.2数据交换方式

只能主站端单向拨号厂站端，电表(脉冲)接入厂站端的电量采集装置。

1.2.3安全防护技术

该系统相对独立，与公司MIS系统完全没有物理连接，主要使用拨号MODEN与变电站的采集终端相连，与

厂站端的其它系统分离。 1.3淮北地区电力调度数据网

1.3.1系统业务

在调度数据网实时业务运行的是淮北地区电网调度自动化系统实时网络通信，范围包括：4个220 kV变电站、8个110 kV变电站、4个35 kV变电站和淮北电厂、淮北二厂等实时采集信息，与省调EMS系统之间，通过通信网关机，实现满足TASE.2协议的实时网络通信。

1.3.2数据交换方式

淮北地区电力调度数据网作为数据网络6个子域中的一个子域，通过路由器向安徽电力调度传输数据。

1.3.3安全防护技术

采用IP路由技术体制，构建在SDH/PDH的n×2 M 专用通道上面，实现了与其它数据网络的物理层面的安全隔离。

2存在的问题

2.1设备管理方面

对各系统设置的专职维护人员没有明确其对设备的安全维护职责，没有严格限制在系统计算机上做任何与系统无关的事情，没有提供必要的工具对系统的运行情况进行监控，保证系统安全、非间断运行。

2.2安全管理方面

淮北地区电网调度自动化信息网络主要包括能量管理系统、电量采集及计费系统、调度专线数据网。不同系统之间存在着信息资源的交互，对外开放的功能较多，如一些不需要使用且不安全的系统功能FTP服务、WWW服务和telnet服务等，这些服务的开放，在客观上降低了整个系统的安全运行水平；同时由于电网调度自动化系统不同的使用者对安全的理解存在差异，采取的安全措施存在差别。有些地方为了使用方便，采取一些不符合规定的方法，将连接在调度数据网中的计算机和外网中的计算机相