D5000智能電網監控系統安全接入區功能實現

吳昊

緊跟電網系統規模不斷擴大的步伐，調度自動化系統需要采集監視的數據規模也越來越大，除了采集常規的電廠和變電站信息，調度自動化系統也需要接入許多地方小水電等廠站信息，這些小水電站一般都不具備獨立的專用通信通道，需要采用公網方式進行通信。另一方面，隨著信息安全的重要性日益突出，如何通過公網安全地接入這些地方小水電信息，成為調度自動化系統需要考慮的一個重要問題。

1現狀

伴隨著電力事業總量不斷增長和高新軟件行業的興起，電網體系對安全性和穩定性的需要逐步提升，電網體系迫切需要高新軟件技術為電網體系的控制系統提供全新的、能提高電網安全的數據調度解決方案，智能電網監控系統是否能持續有效地運行與數據的穩定接入和安全傳輸有著密不可分的關系。為了建立堅固的智能的電力網絡信息安全接入體系，也為了建立安全接入區的主要安全保護屏障，信息安全接入操作系統應運而生。信息安全接入操作系統克服了智能電網的多種苛刻條件，使得電力智能工作站有實時監控和安全接入的能力，電力能量控制系統會主動防御預警，是外網與電力內網之間數據傳輸和交換的技術保障。

平臺開發的目的就是為滿足用戶需要，首先多項繁雜的網絡構成其信息通道，其次是物理接入層，這樣安全接入系統就會逐漸變得成熟。再加上一些安全方面的基礎措施，如防火墻、IDS入侵檢測，如果有外網想接入安全區必須提供身份認證、安全接入，通過對用戶的篩選審核，對這些外網賬戶進行統一監管。

D5000智能電網監控系統是承載安全接入區的平臺，D5000智能電網監控系統由安全一區、安全二區和安全三區組成。每個區的分工不同但都至關重要：安全一區是一些核心應用，例如系統實時監控、專線及網絡方式的廠站接入和數據處理，還有眾多的高級應用軟件。安全二區的作用是實施已有線程的調度安排和安全排查等一些非實時操作。安全三區是信息管理大區，包括調度的進程管理、發布Web等功能。

網絡信息安全規范明確指出，一區與二區與三區兩兩之間需要十分嚴密的分隔線把它們進行隔離，這就要求在一、二區之間設置防火墻，一、三區之間應設置正反向隔離，絕對不允許它們之間有未經授權的訪問。

許多開發出來的高級應用程序需要的基礎數據日漸增多，很多地級市及縣的地方小水電廠站，也有把這些信息接入的迫切需要。地方小水電廠站，大多是地處偏遠或者電網基礎設施沒有覆蓋到的地方，他們沒有與內網專用通道連接的硬件條件和身份權限，所以接入系統必須采用公網方式，一般來說是用移動GPRS等無線通道，這樣雖然方便但是存在網絡安全隱患，例如外網可以通過這種連接方式盜取內網信息、外網用戶惡意攻擊內網，影響內網的安全運行等，這樣后果不堪設想。考慮到這種現象，D5000系統在接入使用公網方式通信的小水電站時，使用的是智能電網監控系統的安全接入區方案，這個方案的原理是設置一個公網信息采集區，公網方式廠站通過與這個信息采集區、監控系統通信進行信息采集與處理，但為了驗證身份和保證內網的信息不被竊取，小水電站所在的公網與安全一區之間的隔離手段采用的是正反向隔離的方式。

2總體設計

公網安全接入區技術方案是通過在D5000系統上使用一體化集成的方法來完成。首先要配置2臺及以上的公網前置服務器，公網是智能調度自動化系統與遠程終端進行數據傳輸的介質，傳輸過程中使用加密信息，就達到對小水電等非統調廠站遙信、遙測數據的實時監視和控制。

用來數據采集的服務器是由模擬小廠站的公網前置服務器搭建而成，是一個單獨的應用，實時系統和它的連接方式通常稱為正反向隔離。從全局來看，外網的前置服務器等于是電力系統安全一區數據采集服務器的外接設備，它的設置加大了安全一區的數據采集區域，一區實時系統還承擔著數據信息的維護工作。也就是說，在日常操作過程中，工作人員只需維護一區的數據信息，D5000系統通過正向隔離把安全一區和公網接入區的信息實時同步，方便簡潔。由于電力行業是國民生活的基礎設施，電力保護行業具有不容出錯的性質，公網數據采集服務器使用的是主機正常工作，備用機器24小時待命的方式多機配置，當主機出現問題時第一時間切到備用設備，接收無線公網通道傳輸的數據。通信規約通常使用的是101規約，也有使用104規約的。數據經公網接入前置服務器處理后，通過反向隔離裝置傳送到內網系統。

公網安全接入區與小電站通過縱向加密裝置進行數據交換，公網接入信息化服務器通信機房的方式是通過電信運營商提供的網絡專線，連接到通信機房后再通過無線網絡連接至公網專用路由器。通信終端為D5000監控系統為公網的數據交換提供可能，而主站與外網的數據交換則是通過專用網線直接連接。如果每個小廠站要連接到通信網絡，那么每個小廠站的通信終端就必須使用專屬的接入點名稱，小廠站的通信終端通過身份認證后就可以取得公網的私有IP地址。小廠站的通信終端與主站系統相結合為一個廣域的虛擬專用網絡，為了實現小廠站與主站的數據交換傳輸，自動化終端與主站系統的雙向通信鏈路開發需提上日程。因為要實現電網系統自動化，所以每個工作站均有一個唯一且固定的IP地址。安全接入區遵循電網系統4級系統保護要求，布置國產聯想服務器和華為網絡設備，采用國產麒麟及凝思操作系統、運用達夢金倉等安全數據庫。

3技術特點

智能電網調度控制系統D5000的安全接入區開發搭建時主要考慮實時庫與共享內存相結合的技術，避免跨物理隔離的數據表下裝難題，簡單可靠。實時庫是一塊內存區域，它是工作站下裝內存的一部分，它的本質是內存數據庫，一種用實時數據模型構筑的內存數據庫，是為了更新速率快的數據和需要頻繁訪問的數據而設置，可以提高訪問數據庫的速率和避免有時間局限的進程。

在實時系統與數據庫技術相互碰撞的情況下，實時數據庫走上歷史舞臺，運用數據庫這把鑰匙來開實時系統中數據管理這把鎖，再合適不過。安全接入區的實時數據庫存儲的是調度自動化系統所需要的前置廠站、通道、規約、量測和參數等重要信息。為保證跨區采集數據的實時性，安全接入區大量采用共享內存，用以保存廠站實時傳輸的報文和實時數據等快速變化信息。

由于一區與安全接入區之間設置了正反向隔離，工程技術人員沒法通過一塊區域去訪問另外一塊區域。但是這樣及其不方便，所以安全接入區與安全一區間搭建實施了多種類型的信息傳輸，實現電網內部數據透明便于訪問和處理，方便值班人員跨區監視實時數據，維護人員有可跨區維護通道，大大增進了工作效率。這些數據交互主要包括：前置配置表、通信廠站表和通道表等配置信息，以及與廠站的通信報文、遙測遙信數據等實時信息。

4發展趨勢

近年來，公網接入需求不斷增加，D5000系統的安全接入區技術已較為成熟，并在湖南、河南和陜西等多地的地區調度系統中得到應用，為調度自動化系統的應用分析提供了堅實的基礎數據支撐。當然，公網安全接入區技術還有一些改進和提高的地方，以適應智能電網調度控制系統發展的需要。這些方面包括：一是對應用支持的范圍更加廣泛，目前僅對SCADA穩態監控和PAS高級應用的基礎模塊提供數據，未來還可以擴展到其他方面，包括配網自動化的應用、保信應用等領域。再一個是對公網通道的適應性還可以更加廣泛，目前僅能適應獨占方式的固定IP的通信方式，存在一些局限性。對采用可變IP通信的終端目前只能通過增加轉換設備進行通信，增加了通信成本及系統的復雜性，未來可以擴展到可變IP的通信方式支持，以適應不同通道的要求。

最后公網通道都是租賃通道，一般根據流量收費，所以需要對公網接入的通信機制進行優化，減少不必要的信息交互、節省費用。

相信在未來，安全接入區的天地會越來越廣闊。