火溪河流域電力二次安防與調度數據專網的建立

郎曼江

(四川華能涪江水電有限責任公司,四川成都 610041)

火溪河是涪江上游左岸最大的一級干流,位于四川省綿陽市平武縣西北部。火溪河干流全長114km,流域面積 1494km2,其中規劃河段長 64 km,落差 1245m,水量較豐沛平穩,水力資源集中,占全河 85%以上,上游具備良好的水庫地形。火溪河梯級開發方式確定為“龍頭”水庫下接一系列引水式梯級電站,自上而下為水牛家(2×35 MW,2007年 5月 1日發電)、自一里(2×65MW,2004年 12月 29日發電)、木座(2×50MW,2007年 10月 1日發電)、陰坪 (2×50MW,2009年 7月 1日發電),4級電站總裝機容量 400MW,全梯級聯合運行保證出力 14.69萬 kW,多年平均發電量 16.264億 kW?h。

1 電力二次安防規劃

根據 2004年國家電力監管委員會第 5號令《電力二次系統安全防護規定》、國家經貿委[2002]第 30號令《電網和電廠計算機監控系統及調度數據網絡安全防護的規定》及電監安全[2006]34號《電力二次系統安全防護總體方案》之規定,火溪河流域梯級電站進行了電力二次系統安全防護建設。作為四川電網第一個黑啟動試點電站——自一里電站就位于火溪河梯級電站的第二級,而隨著后續木座電站的發電,四川電網又增加了一個可黑啟動的電站,由此可見火溪河梯級電站電力二次安防建設的重要性。確?；鹣犹菁夒娬倦娏ο到y二次安防的可靠性,是確保四川電網安全穩定運行不可分割的部分。

目前我省電廠、變電站遠動系統普遍采用基于電路的獨立 64kbit/s專線通道進行串口通信,串口通信協議多數為 IEC60870-5-101和DNP3.0等,這些協議遵循基于 ISO參考模型的增強性能結構(EPA),僅用了 OSI模型(OSI模型,即開放式通信系統互聯參考模型 OpenSystem Interconnection,是國際標準化組織[ISO]提出的一個試圖使各種計算機在世界范圍內互聯為網絡的標準框架,簡稱(OIS)7層中的 3層(物理層、鏈路層、應用層)來實現數據傳輸。隨著網絡技術的迅猛發展,為滿足網絡技術在電力系統中的應用,加之通過網絡傳輸遠動信息的迫切要求,IEC國際電工委員會在 IEC60870-5-101基本遠動任務配套標準的基礎上,又制定了 IEC60870-5-104遠動傳輸規約標準,它采用平衡傳輸模式,通過 TCP/IP協議實現網絡傳輸遠動信息,適用于調度主站(中心站)EMS系統和子站(遠方站)RTU或計算機監控系統之間采用專用 Intranet網絡進行通訊。因此,四川電網籌建了既滿足電力系統二次安防要求,又滿足方便、快捷傳輸的調度數據專網。電力調度數據專網有以下兩點要求:

(1)必須在專用通道上使用獨立的網絡設備組網,在物理層面上實現與電力企業其它數據網及外部公共信息網的安全隔離。

(2)在生產控制大區與廣域網的縱向交接處應當設置經過國家指定部門檢測認證的電力專用縱向加密認證裝置或加密認證網關及相應設施。

2 安全區的實施劃分

電力二次系統的安全防護主要針對的是網絡系統和基于網絡的生產控制系統,重點強化邊界防護,提高內部安全防護能力,保證電力生產控制系統及重要敏感數據的安全。因此,安全防護的目標就是抵御黑客、病毒、惡意代碼等通過各種形式對系統發起的惡意破壞和攻擊,特別是能夠抵御集團式攻擊,防止由此導致一次系統事故或大面積停電事故及二次系統的崩潰或癱瘓?；鹣恿饔虻碾娏Χ蜗到y安全防護首先是按照"安全分區、網絡專用、橫向隔離、縱向認證"的基本原則,對各信息大區進行了安全分區。安全分區原則見圖 1。

生產控制大區:安全區Ⅰ(控制區),安全區Ⅱ(非控制區)。

管理信息大區:安全區 III(生產管理區),安全區 IV(管理信息區)。

2.1 梯級各電站內的應用系統及相關業務安全區的劃分

(1)安全區Ⅰ(控制區):各個電站自動化監控系統、安控自動裝置;

(2)安全區Ⅱ(非控制區):各個電站電能量計量系統子站設備(電量采集系統)、繼電保護及故障信息管理子站系統、故障錄波裝置、電量報價系統及水情測報系統。

2.2 電力調度數據專網與生產控制大區之間存在縱向加密認證裝置實施安全防護

火溪河流域采用成都衛士通信息產業股份有限公司出品的衛士通縱向加密認證裝置,該產品已由國家電網公司信息網絡安全實驗室測試通過。按照四川省調統一規劃,安全區Ⅰ(控制區)的各應用系統接入電力調度數據專網前應加裝縱向加密認證裝置,而安全區Ⅱ(非控制區)的各應用系統在接入電力調度數據專網前,從最初的加裝防火墻也已改為加裝縱向認證加密裝置。

2.3 采用防火墻實現安全 I、II區之間的數據交換,從而實施橫向安全防護

(1)安全區Ⅰ(控制區)和安全區Ⅱ(非控制區)的各應用系統之間網絡互聯安裝了防火墻,實施邏輯隔離措施,在控制策略上允許安全區Ⅰ(非控制區)對安全區Ⅱ(控制區)可執行讀寫操作,而安全區 II(控制區)對安全區 I(非控制區)僅能執行 Ping操作。

圖 1 安全分區原則示意圖

(2)生產控制大區與各個電站內管理信息大區內的生產管理系統之間的互聯均通過安全區Ⅱ(非控制區)實現。當管理信息大區需要訪問生產控制大區實時數據時,直接訪問的是安全區Ⅱ(非控制區)的數據,不直接聯系安全區Ⅰ(控制區)的數據庫,從而實現了多層防護,徹底避免了外部數據對與發電生產息息相關的安全區Ⅰ(控制區)的干擾。

3 數據專網光纖的選型

在各生產管理信息大區有了劃分詳細的安全區后,為進一步保證實時與非實時數據上送打下了堅實的基礎。為確保上送下達數據的通道可靠,火溪河流域電站于 2007年 10月開始搭建白馬集控中心及各個梯級電站的調度數據專網?？傮w規劃是保留原有 IEC101規約下“四線”電路遠動信息傳送,同時新搭建了一個 IEC104規約下、擁有獨立通道的調度數據專網通道。

新搭建的通道與原有通道有所不同。自白馬集控中心上送四川省調的通道實際上是采用雙物理通道互備冗余實現的。

主用通道在選擇物理傳輸介質時,為了即可靠、又經濟耐用,實際上存在三種選擇。一是OPGW光纜,二是 OPPC光纜,三是 ADSS光纜。這三種光纜到底具有什么優缺點呢?

OPGW,復合光纜地線,或稱光纖復合架空地線(Opticalfibercompositeoverheadgroundwire)。OPGW是一種利用輸電線路構成的線,這種線同時達到接地及通訊的目的。OPGW線包含一個管狀結構,內含一或多條光纜,而外圍由鋼及鋁組成。由于該光纖具有抗電磁干擾、自重輕等特點,它可以安裝在輸電線路桿塔頂部而不必考慮最佳架掛位置和電磁腐蝕等問題。因而 OPGW具有較高的可靠性、優越的機械性能、成本也較低等顯著特點。這種技術在新敷設或更換現有地線時尤其合適和經濟。

OPPC(OpticalphaseConductor,簡稱 OPPC)是電力通信系統的一種新型特種光纜,是在傳統的相線結構中將光纖單元復合在導線中的光纜,是充分利用電力系統自身的線路資源,特別是電力配網系統,避免在頻率資源、路由協調、電磁兼容等方面與外界的矛盾,使之具有傳輸電能及通信的雙重功能。OPPC因其導線內裝光纖束管,結構獨特,所以,安裝時必須采用預絞絲金具以保護光纖。采用預絞絲金具具有三點優勢:一是施工簡便快捷,不用再拉著笨重的壓縮機、壓接鉗等設備上現場,勞動效率提高,體力勞動減少;二是預絞絲金具為良導體,導電性能好,節能效果顯著;三是預絞絲金具安裝于線路與導線接觸面加大、長度增加、受力均勻,減少了導線的疲勞,延長了導線壽命,提高了防震能力。

ADSS光纜是 AllDielectricSelf-Supporting(全介質自承式)的縮寫。全介質即光纜所用的是全介質材料;自承式是指光纜自身加強構件能承受自重及外界負荷。這一名稱點明了這種光纜的使用環境及其關鍵技術:因為是自承式,所以其機械強度舉足輕重;使用全介質材料是因為光纜處于高壓強電環境中,必須能耐受強電的影響;由于是在電力桿塔上架空使用,所以必須有配套的掛件將光纜固定在桿塔上。ADSS光纜有三個關鍵技術:光纜機械設計、懸掛點的確定和配套金具的選擇與安裝。ADSS光纜機械性能主要體現在光纜的最大運行張力、平均運行張力及極限抗拉強度等。普通光纜的國家標準明確規定了不同使用方式(如架空、管道、直埋等)的光纜應具有的機械強度。而 ADSS光纜是自承式架空光纜,所以,它除了必須承受自身重力的長期作用外,還必須能經受住自然環境的洗禮。如果 ADSS光纜機械性能設計不合理、與當地天氣不相適應,則光纜就會存在安全隱患,壽命就會打折扣。因此,每個ADSS光纜工程都必須根據光纜路由所處的自然環境和跨距等采用專業軟件嚴格設計,以確保光纜具有足夠的機械強度。

經過對以上三種物理介質進行對比,結合火溪河流域常年發生塌方、泥石流的具體情況,考慮到 OPGW光纜這種技術不僅在新敷設或更換現有地線時比較合適和經濟,同時,在架空地線的機械、電氣特性上也相當出色,因此,我們在主用通道上選用了 OPGW光纜。

備用通道我們采用租用電信專屬155M通道的方式實現。首先,我們摒棄了衛星通道的想法,因為衛星通道不僅價格昂貴、響應時間長,而且對于數據的可靠性也不能得到保證。在選用通道供應商的問題上,我們有中國聯通、中國電信兩家供應商可供選擇。經過對比租賃年費價格、光纖衰耗、維護成本、事故響應時間等因素,我們選擇了相對數據質量好、價格差異小、事故響應時間快的中國電信作為 155M通道的供應商。

4 數據專網安全網絡設備

火溪河流域各電站在站內 PE設備(路由器)和 CE設備(交換機)之間加裝了 NetEye防火墻3.2升級版,此類防火墻是 NetEye防火墻系列中的最新版本,該系統在性能、可靠性、管理性等方面大大提高,保證了從數據鏈路層到應用層的完全、高性能過濾,可以進行應用級插件的及時升級,攻擊方式的及時響應,實現動態的保障網絡安全。圍繞流過濾平臺,我們構建了網絡安全響應小組、應用升級包開發小組、網絡安全實驗室,實現了流過濾不僅能夠帶給用戶高性能的應用層保護,還包括新的應用的及時支持,特殊應用的定制開發,安全攻擊事件的及時響應。集成的 VPN功能簡單、人性化的虛擬通道設置,有效地提高了VPN部署的靈活性、可擴展性,大大降低了部署、維護的成本;完善的 VPN產品線,適合于大規模的網絡部署。系統的主要模塊工作在操作系統的內核模式下,并對協議的處理進行了優化,性能接近線速,高吞吐量、低延遲、零丟包率、強大的緩沖能力,千兆版本能夠利用多處理器的能力,完全滿足高速、對性能要求苛刻網絡的應用 。經國家權威部門檢測,NetEye防火墻 3.2符合 GB/T18019-1999(包過濾防火墻安全技術要求)和 GB/T 18020-1999(應用級防火墻安全技術要求)兩個標準的技術要求,其功能特點為:

(1)流過濾實現動態保護網絡安全。

流過濾機制是 NetEye防火墻 3.0的一大特色,NetEye防火墻 3.1保留了這一個特色,并對其性能、穩定性進行了進一步的優化,NetEye防火墻 3.2對流過濾引擎進行了優化,進一步提高了其性能和穩定性,同時豐富了應用級插件、安全防御插件,并且提升了開發相應插件的速度。網絡安全本身是動態的,其變化非常迅速,每天都有可能有新的攻擊方式產生。安全策略必須能夠隨著攻擊方式的產生而進行動態的調整,這樣才能夠動態的保護網絡的安全?；跔顟B包過濾的流過濾體系結構,具有動態保護網絡安全的特性。

(2)擴展協議支持。

該功能是對原有 NetEye防火墻 3.0動態規則特性的完善,使其更容易擴展,用戶可以通過簡單的下載、升級模塊,達到對新的、復雜應用的支持。這也是流過濾體系結構優良可擴展性的體現。由于現在的應用協議日益繁多,每天都可能有新的應用協議產生,某些應用協議并不僅僅使用一個連接和一個端口,往往是通過一系列相關聯的連接完成一個應用層的操作。防火墻推出之時很難支持所有的應用,這就要求防火墻能夠有很好的可擴展性,以便將來能夠根據需要進行擴展。在流過濾的平臺基礎上,我們可以方便、快捷的進行應用級插件的開發和升級,使防火墻可以不斷適應新的應用協議?，F在支持的這種應用協議包括 FTP,RTSP,PNM,H.323、Oracle數據庫訪問等。

(3)簡單、易用的 VPN。

集成的 VPN功能采用標準的 IPSec協議,支持 NAT穿越,可以應用于 ADSL、ISDN、撥號、DDN等多種網絡環境,基于 PKI的密鑰管理架構、人性化的虛擬通道設置,有效提高了 VPN的部署靈活性、可擴展性,大大降低了部署、維護的成本?？梢苑奖恪⒖旖莸牟渴鸶鞣N形式的 VPN應用,包括企業內部的 VPN,用于連接企業的各個分支機構;企業外部的 VPN用于企業與其合作伙伴等企業外部的組織進行連接;撥號 VPN用于連接在各地的移動辦公、家庭辦公人員安全的接入企業網絡,是國密辦批準生產、銷售的 VPN產品(SJW20網絡密碼機)。完善的 VPN產品線,使得我們可以適合于大規模的部署。

(4)網絡永不間斷。

NetEye防火墻 3.2的硬件采用了由 Intel專門為東軟設計生產的設備,其硬件體系結構完全采用了 Intel用于電信級的服務器的標準,同時,設備的關鍵部件 CPU、內存、電源等部件完全冗余,從而保證了系統的高可靠性運行。NetEye防火墻 3.2提供了帶內、帶外的雙重控制通道,具有最短僅需一秒的雙機熱備自動切換功能,保證了網絡的永不間斷。

另外,NetEyeFW3.2對 FW3.1的圖形管理界面(GUI)、身份認證、審計、雙向網絡地址轉換(NAT)、事件報警 、支持 VLANTrunk、IP與 MAC地址綁定、流量管理、網絡實時監控、支持 SNMP、多播協議的支持等功能也進行了多方面的優化,使得系統的穩定性進一步提高。

白馬集控中心在實時業務交換機、非實時業務交換機與路由器之間加裝了 Westone縱向加密裝置,縱向加密裝置將確保通信數據的機密性、完整性,并對網絡訪問進行有效的身份認證,它把整個用戶網絡劃分為內部網絡和外部網絡。

(1)從外部網絡到內部網絡的通信。首先,裝置對外部用戶的身份進行驗證,這個驗證基于數據包的 IP地址;然后,根據配置的安全策略,丟棄沒有通過身份認證的數據包,解密通信對方進行了安全保護的數據包(加密、認證);最后,將通過安全處理的數據包轉發給內部網絡。

圖 2 縱向加密認證裝置體系結構圖

(2)對于從內部網絡到外部網絡的通信,裝置檢查了內部用戶是否有權限訪問外部網絡,如果沒有權限,將禁止其通信。對于有權限的用戶,對網絡通信進行了安全保護(加密、認證),并通過外部網絡轉發通信對方。

裝置對訪問自身的通信進行了非常嚴格的保護,只有持有管理中心發出的 IC卡(代表管理員身份)才能訪問裝置,并對系統進行安全策略、安全設置等的操作。系統主要的功能性模塊由主處理模塊、密鑰協商模塊、加密報文模塊、IP報文過濾模塊、安全管理模塊、雙機備份模塊、設備監控模塊等七大部分組成,系統主要功能模塊結構見圖 2。

(1)主處理模塊功能。

主處理模塊是裝置的核心處理部分。它負責數據包的過濾、安全規則匹配、數據包加解密、數據包封裝、網絡數據包接收和發送、內存管理、文件系統管理等功能。

(2)密鑰協商模塊功能。

密鑰協商模塊主要負責裝置之間數據密鑰的協商,其過程包括:①裝置身份認證部分;②會話密鑰交換部分,并且支持雙機備份工作模式下的密鑰協商。

(3)加密報文模塊功能。

加密報文模塊在處理數據包時,采用特定協議號進行封包處理。除了對原有的數據包進行加密,還要在原數據包前面根據通道封裝一個新 IP頭。

(4)IP報文過濾模塊功能。

裝置利用 IP報文過濾實現安全策略的目的。裝置對進出系統的所有數據包實施基于安全策略的檢查,數據包的過濾檢查有入、轉發和出三次檢查。根據安全規則的設置,對通過的 IP數據包的協議類型、協議選項、源 /目的地址、源 /目的端口等過濾條件進行判斷,并做相應的處理。處理種類包括對數據包的允許、丟棄、加/解密三項。所有處理均在操作系統內核層進行。

5 結 語

經過三年時間的持續建設,形成了火溪河流域調度數據專網(圖 3)。該數據專網試運行一年多以來,面對汶川 5.12大地震等惡劣環境,白馬集控中心的雙通道 IEC101、IEC104一直穩定運行,不僅為下一步實現全流域優化調度、全站AGC、AVC打下了基礎,而且為火溪河集控中心遠撤成都做出了巨大的貢獻。2008年 12月,火溪河成都集控中心已建成投入使用,標志著火溪河建設之初提出的 “網絡控制、數字電站、無人值班、關門運行”的科學規劃已基本實現。