繼電保護及故障信息系統二次安防研究

孫祥瑞 于波 張涵

摘要：繼電保護及故障信息系統的建設，將從整體上提升電網調度運行管理的信息化、智能化水平，使二次裝置運行、管理的各個環節“可控、在控”，并實現繼電保護專業管理現代化。而信息系統的建設和運行往往伴隨著信息安全問題，特別對實時和準實時生產系統，安全問題尤為重要。

關鍵詞：繼電保護;故障信息系統;安防措施

在科學技術快速發展的背景下，電力系統中應用了大量的安全自動裝置、故障錄波器和微機型繼電保護，逐漸朝著智能化和自動化的方向發展，依托于網絡技術和信息技術的繼電保護及故障信息系統，取得了良好發展。該系統可以顯著提升電網調度運行管理信息化和智能化水平，同時有助于電力企業工作人員更好地控制二次裝置。不過，該系統在運行過程中容易產生信息安全問題，對此項課題進行研究意義重大。

1繼電保護及故障信息系統的框架

繼電保護及故障信息系統由兩個部分構成，分別為主站和子站，二者之間需要通過電力信息傳輸網絡相連。其功能可以分為兩種，一個是繼電保護運行管理，另一個是電網故障分析。其中，前者的管理范圍涵蓋設備、保護信息和定值，可以實現對日常工作的保護;而后者屬于高級應用，功能較為全面，分別為網絡、故障定位、濾波分析、短路電流分析等。Brower/Server是系統的主要結構，每個子站在系統中的定位是數據服務器，集信息管理、數據采集和信息發布服務等功能于一體，在運行過程中子站需要積極響應主站的任務要求。

2安全區域的劃分

2.1生產控制大區的安全區劃分

2.1.1控制區

控制區中的業務系統和其他功能模塊具有一定的典型特征，主要表現為在電力生產過程中，業務系統和其他功能模塊屬于重要環節，能夠實時監控電力一次系統，此外，安全防護的重點還包括縱向使用的電力調度數據網絡和專用通道。電力數據和監控系統，屬于繼電保護及故障信息系統的重要功能，除此之外，能量管理、配網自動化、變電站自動化等系統同樣關鍵。由相關資料可知，系統的數據傳輸速率非常高，主要原因是數據傳輸使用了專用通道，所受限制較小。專用通道控制系統同樣是生產控制區的業務系統，如安全自動控制、負荷管理、繼電保護等系統，這些系統對數據傳輸速率提出了非常嚴格的要求，需要傳輸實時性達到毫秒級。

2.1.2非控制區

非控制區功能模塊與控制區功能模塊相比，其主要差別體現在前者不具備控制功能，通過對電力調度數據的運用，聯系控制區域的各項業務系統和功能模塊。培訓模擬系統、繼電保護故障錄波信息管理系統、能量計量系統屬于該區域的主要業務功能。該區域的數據采集頻度為兩種，一種是分鐘級，另一種是小時級。

2.2管理信息大區的安全區劃分

（1）在控制區域內安置具有控制功能的業務系統，這里的控制系統包括已經具備控制功能系統和未來具備控制功能的系統。（2）在進行系統安置過程中，應確保業務系統被完全安裝于同一個區域內，如果功能模塊和業務系統所處安全區域不同，需要借助安全隔離設施完成通信。（3）在遷移業務系統和功能模塊時，不能向低等級安全區域遷移高等級安全區域的業務系統和功能模塊，但在特定條件下，高等級安全區域的業務系統和功能模塊可以向低等級安全區域轉移。（4）對于孤立業務系統而言，由于其不存在外部網絡聯系，且安全分區要求較低，因此，電力企業在安置此類業務系統時很少會遵守安全區防護要求，但這種情況不利于繼電保護和故障信息系統功能實現。建議電力企業對安全區防護要求進行落實。

2.3生產控制大區內部安全防護要求

（1）生產大區內部E-Mail服務和通用Web服務不能進行。（2）非控制區內部業務系統可以對B/S架構進行使用，但范圍僅能局限于業務系統內部。縱向安全Web業務允許提供，如工作人員可以在生產控制區域內使用安全技術保護后的Web服務器、同時Web服務器還要支持HTTPS。（3）使用加密認證機制對生產控制區域的業務系統進行保護，并基于現有技術和實際需求不斷改造系統。（4）生產區域內各系統和功能之間必須采取安全保護措施，業務系統和功能之間不能直接溝通，從而保證系統內部的安全。（5）電力企業應使用國家認證后的操作系統，并通過加密、認證和訪問權限等安全措施的應用，保證系統的安全。（6）將入侵檢測系統部署到的生產控制區的邊界處。（7）部署惡意代碼防護系統，并且保證系統部署的全面性，通過這種措施的應用，降低木馬病毒入侵系統的概率。

3繼電保護及故障信息系統安全防護方案

3.1方案應包含的內容

（1）防止數據傳輸泄密，電力企業所制定的安全防護方案，需要對信息傳送環節提出要求，避免信息在傳輸過程中被惡意攔截盜取，并通過加密措施使信息被截取后不被破譯。（2）禁止非法訪問。系統應加強訪問的控制和管理，其含義主要體現在以下3個方面：1）實現對訪問終端的有效控制;2）實現對訪用戶的控制;3）實現對訪問權限的控制。應通過權限等級設置的方式，禁止非法訪問行為。（3）禁止數據被偽造和篡改。繼電保護及故障信息系統安全防護系統應具有數據鑒別功能，可以對數據進行監控，避免篡改和偽造數據現象的發生。（4）對各種攻擊進行抵御。繼電保護及故障信息系統應運用多種防護手段，對拒絕服務和惡意程序入侵等攻擊行為進行防范，以保證電力系統的安全。

3.2安全方案的技術措施

3.2.1網絡隔離

電力企業需要將硬件防火墻加裝到主站和子站之間，以某電力公司為例，該公司為保護電力系統的安全，對某信息技術公司生產的嵌入式子站進行了應用，在了解后得知，這個子站內部設置了兩個CPU（CentralProcessingUnit，中央處理器），其中一個CPU具有數據采集功能，另一個CPU與主站保持通信，然后利用物理隔離裝置連接兩個CPU，使單向通信成為可能。數據的傳送方式為單向上送，通過這種安全防護措施的運用，有效解決實時控制區和非控制生產區之間的安全問題，同時還要將單相物理隔離裝置設置到非控制生產區和管理信息區之間，并利用主站端的數據同步程序確保Web服務器和主站數據間的同步效果。

3.2.2報文鑒別

目前，變電站所采用的規約多為Pooling，要求工作人員在繼電保護及故障信息系統通信過程中封存不作應用。所謂的不作應用，是指與控制部分有關的功能碼在子站通信程序中的不作應用。

3.2.3訪問控制

繼電保護及故障信息系統應具備訪問控制功能，能夠對非法用戶、非法終端和非法程序的訪問進行限制，并針對合法終端及合法用戶設置訪問權限，避免系統信息被非法所竊取。

4結語

綜上所述，在科學技術高速發展的背景下，繼電保護及故障信息系統應運而生，并被電力行業所應用。該系統集多種技術于一體，有助于繼電保護運行和管理自動化和智能化目標的實現。隨著系統建設規模的持續增加，總結建設經驗，應用各種安全防護技術，并在此基礎上做好安全分區尤為關鍵。值得注意的是，二次安全防護的實現，不能對繼電保護、故障錄波器和安全自動裝置造成不利影響。

參考文獻：

[1]鄭天齊，王永剛，沈永良，等.繼電保護故障信息系統應用分析[J].數字技術與應用，2019，37（12）：24-25.

[2]王志軒，王永剛，沈永良，等.微服務架構在繼電保護故障信息主站系統中應用研究[J].數字技術與應用，2019，37（9）：95-97.