李慧聪马晓红朱玉锦白英伟
(国网山东省电力公司调度控制中心济南市250001)
摘要:伴随我国经济的高速发展,智能变电站的工作强度也开始不断提高,所以针对变电站的二次预防保护体系,已经成为保障变电站稳定运行的一个重要组成,因而在进行设计时,需要尤其注意这个预防保护体系,确保其设计是合理科学的。
关键词:智能变电站;二次安全保护系统;设计;应用
一、变电站安全区划分
变电站中的安全区是构成第二次安全预防保护系统的重要基础部分,可以分成自动化、五防系统、继电保护、广域相量测量、自动安全等多个部分。按照智能化系统的优势,以及这些彼此间管理的业务系统在重要情况、数据获取流程、当前情况和安全方面的不一样点,可以把变电站电力二次体系划分成三块:第一个块是实时进行控制的区域,第二块是不是实时进行控制的区域,最后是管理区域。不一样的安全区,对于预防措施的要求是不一样的,这也使得安全等级以及预防水准出现彼此间的差异,而第一个安全区是拥有最高级别安全等级的区域,其次是第二个安全区域,最后是第三个管理区域。智能二次预防保护系统在整体上的逻辑的结构由下面的图形说明,其中囊括了安全区彼此间的横向以及纵向的安全互联逻辑构造。
智能变电站二次系统安全分区图
在上图里,标号为Ⅰ的安全区域指的是实时控制的区域,它的主要作用是实现对模块的实时控制功能,这也是是电力生产里的一个重要步骤,当系统开始运行的时候,需要用到数据网络以及专门设置的信道。在图中标号为Ⅱ的安全区指的是不用实时进行控制的生产区域,它时电力生产里面的一个必须环节,但是没有控制的功效,需要用到数据网络,当系统运行时,和上面的安全区域中的部分模块有着密切的联系。变电站安全区Ⅱ中典型应用有故障录波装置、电能采集装置等。图中安全区Ⅲ为生产管理区,其业务系统或功能模块的最显著特征是为能够完成电力生产的管理,但是同样的不能控制,可以不调用电力数据网络,这直接关联到相关工作人员的终端上。变电站安全区Ⅲ中典型应用有生产管理系统、内部用户OA系统等。
二、智能变电站二次系统存在的安全问题分析
因为最近这几年,计算机进入了高速发展的阶段,Internet以及Email已经进入人们的生活中,这也使得病毒出现大量滋生的情况。这些病毒会导致计算机的数据或者功能出现失效的情况,从而无法正常的使用,另外,这些病毒还能够自我修复,其复制、破坏以及传播的能力十分强大。微软曾给出过一个安全方面的报告,报告中指出,网络犯罪的目标已经开始逐渐转到我国国内。近几年,国内出现的病毒事件也确实越来越多,造成了很大的经济损失。
目前,变电站二次系统中存在的病毒,大多是通过网络、U盘以及局域网这些途径出现的,预防是最佳的安全策略,可以把遭受病毒侵袭的情况降低到最少。危险主要有三个方面:(1)黑客会使用不合法的控制命令,操纵电力系统,导致其产生故障,更严重的情况时会致使系统发生崩溃;(2)没有授权就使用电力监控系统中的网络和设备,这也可能会造成负载家中,使得系统产生事故;(3)向电力数据网同时发送大规模数据,会造成监控系统出现网络瘫痪的事故。
三、智能变电站二次系统安全预防保护设计与应用
1、总体预防保护设计
变电站二次系统的五防,在针对安全预防保护策略进行设计的时候,还需要设计出全国的电力二次系统的预防保护策略,大方针是“安全分区,网络专用,纵向认证,横向隔离”这四句话。
2、安全区之间横向隔离设计
第一和第二个安全区之间,需要做逻辑上的隔离,选用的隔离设施、硬件或者防火墙等需要通过相关部门的检查,对于E-mail、Web、Telnet、Rlogin等服务,应明令禁止,明确规定不能通过安全区之间的隔离设备。
第一和第二个安全区之间不允许出现直接联系的情况。三个安全区彼此之间都要使用电力上专业的单向安全隔离装置,做好隔离工作,同样,选用的隔离设施、硬件或者防火墙等需要通过相关部门的认证。
对于E-mail、Web、Telnet、Rlogin等网络服务以及以B/S或C/S方式的数据访问功能,应明令禁止,明确规定不能通过专用安全隔离装置。专用安全隔离装置中只能单向安全传输纯数据。
3、纵向安全预防保护设计
电力调度的数据网络是用来连接第一和第二个安全区的,还需要进一步的分割电力调度数据网,又可以分成有逻辑隔离的实时以及非实时子网,实时子网连接到实时控制区域上,而非实时子网则连接到非控制生产区域上。
4、加装硬件防火墙
在几个安全区间,需要设置好防火墙,以此作为基础,展现出两个区之间的逻辑隔离、访问控制、过滤报文等各种功能。以业务流量的IP地址、方向、协议和应用端口号为基础的报文过滤功能,是十分关键的防火墙安全防护措施。因此,在实施集控五防的项目时,五防的纵向服务器端以及在自动化后台里的通讯连接,基本上都是通过五防子站进行的,这些子站也都设置上了硬件防火墙,以此对子站进行隔离。
5、二次系统安全加固设计
基础是设计好的集控五防变电站二次系统的安全预防保护措施,主需要在对账号密码、网络服务、数据访问以及审计方面的措施进行加固。
账号密码的加固内容有,重新分配账户名的权限,第一时间把用不到的账户删掉,防止有人通过Guest登录到系统中,还要加大各类安全性的设置,禁止自动登录的情况发生。以实现“五防”机的严格管理和安全登录使用。
加固网络服务,具体操作方法为:将无用服务、无关网络连接、远程桌面全部关闭,并禁止再行打开,进行访问控制策略设置,禁止匿名用户连接和默认共享。以使网络的安全运行得到充分保障,避免出现数据泄露或恶意破坏现象的发生。
加固数据访问控制,具体操作内容包括:对特定执行文件的权限进行限制,禁止文件共享,避免文件完全控制。
加固审计策略,进行系统审核策略的更新配置,并根据实际情况对日志大小进行调整,此外还需进行进一步的统一安全审计。
6、加装网络版杀毒软件
基础是设计好的集控五防变电站二次系统的安全预防保护措施,安装网络类型的病毒预防的相关软件。当更新病毒特征码的时候,还要注意,网络一定是断开的,而这种更新还必须及时。另外,但凡是涉及到集控五防二次系统的子站和服务器,都需要安装上电力企业专门使用的版杀毒软件,并且设定好时间,做好一级服务器里面的病毒库的定期升级,从而降低维护的频率和次数,提高工作效率。
四、结语
在分析了智能变电站的二次预防保护系统的设计策略以后,能够看到,智能变电站将会成为生产厂家广泛使用二次系统设施的一个发展趋势,工作人员需要充分理解和掌握这种设计方法,设计和使用虚端,不断改善二次保护系统的设计方案,促进变电站提供的服务水平,更好的满足人们生活要求。
参考文献
[1]李涛,杨桂丹.智能变电站二次安全预防保护系统设计与应用研究[J].电气应用,2013(1):26-29.
[2]张军.110kV变电站二次系统设计及应用[J].电工技术:理论与实践,2015(9):250.