Page 133 - 电力与能源2024年第四期
P. 133
左雪纯:地区变电站调度数据网优化改造实践 527
备(包括接入路由器 1 台、接入交换机 2 台);各新 及以上版本的网关协议、设置受信任的网络地址
增 1 套调度数据网汇聚层设备(包括汇聚路由器 1 范围、记录设备日志、设置高强度的密码、开启访
台、汇聚交换机 2 台、屏柜 1 面);增加汇聚节点后, 问控制列表以及封闭空闲的网络端口等。
地区核心 A 路由器仅作为核心路由器接入汇聚核 2.4.4 数据网络安全的分层分区设置
心路由器环,不再挂接接入层路由器,从而实现地 电力调度数据网采用安全分层分区设置的原
区接入网汇聚层接入节点与汇聚节点数量比例降 则。配网内部生产控制大区专用节点构成配网专
低。优化后的地区电力调度数据网拓扑结构如图 用数据网。配网自动化与被控制对象之间的数据
2 所示。 通信可采用配网专用数据网,不具备专网条件的
可采用电力公司专用的公用通信网络(不包括因
特网),并且必须采取安全防护措施。
(1)各层面的数据网络之间通过路由限制措
施进行安全隔离。当配网内部采用公用通信网
时,禁止其与调度数据网互联,以保证将网络故障
和安全事件限制在局部区域之内。
(2)电力生产控制专用局域网是为生产控制
大 区 内 重 要 业 务 系 统(如 SCADA,DSCADA,
WAMS 等)设立相对封闭的局域网,并与调度数
图 2 优化后地区电力调度数据网的拓扑结构 据网络之间通过硬件防火墙进行逻辑隔离,不直
2.4 电力调度数据网的安全防护措施 接进行纵向互联。
2.4.1 网络路由防护
3 优化后的效果
按照电力调度管理体系及数据网络技术规
范,采用虚拟专用技术将电力调度数据网分割为 全面优化了地区电力调度数据网结构,使得
逻辑上相对独立的实时子网、非实时子网和管理 网络架构更加清晰,提高了地区调度自动化系统
子网。这 3 个子网分别对应控制业务、非控制生 数据传输的稳定性和可靠性,保证了地区调度控
产业务和安全管理业务,以保证实时业务的封闭 制工作的正常运行,并为电网安全稳定可靠运行
性和高等级的网络服务质量。 分析提供了有力支撑。同时,这也减少了核心路
2.4.2 网络边界防护 由器设备发生故障时可能造成的更大面积通信异
采用严格的接入控制措施,保证业务系统接 常问题,为日常运维分析和故障排查提供了便利。
入的可信性。仅允许经过授权的节点接入电力调 此外,优化后的网络还满足了各系统业务对电力
度数据网进行广域网通信。数据网络与业务系统 调度数据网的网络安全性和实时性的不同要求,
边界采用必要的访问控制措施,对通信方式与通 创造了管理类业务与实时类业务有效流转的网络
信业务类型进行控制;在生产控制大区与电力调 条件。通过网络带宽容量的提升,进一步加强了
度数据网的纵向交接处采取相应的安全隔离、加 调度数据网通信链路的冗余保护。
密、认证等防护措施。对于实时控制等重要业务,
4 结语
通过纵向加密认证装置或加密认证网关接入调度
数据网。 地区调度数据网拓扑结构和接入网设施的全
2.4.3 网络设备的安全配置 面优化,加快了调度自动化运维人员对变电站通
网络设备的安全配置包括关闭或限定网络服 道中断故障的判断与处理速度,减少了故障判断
务、避免使用默认路由、采用安全增强的 SNMPv2 与定位的时间,简化了故障分析处理的流程,从而
