500 kV变电站二次安全防护

郭志彬

（福建省电力有限公司检修分公司厦门分部，福建 厦门 361004）

1 概述

随着电网的快速发展，电力生产调度的业务在不断丰富，各省级电网公司都建设了骨干调度数据网。该网络承载了调度自动化、继电保护、电量采集等各类调度管理和调度控制系统。作为调度数据网的枢纽节点，500 kV变电站必须同步建设调度数据网，并接入骨干调度数据网。

对于调度数据网的安全防护，国家电监会5号令《电力二次系统安全防护规定》和电监安全34号文件《电力二次系统安全防护总体方案》均作了严格规定，必须做到“安全分区、网络专用、横向隔离、纵向认证”，且枢纽变电站在正式接入骨干电网前，必须建设安全防护系统。

2 500 kV变电站调度数据网安全防护系统

以某500 kV变电站为例，介绍枢纽变电站的调度数据网安全防护系统。

2.1 二次安全防护整体结构

变电站调度数据网拓扑如图1所示，配置2台路由器作为PE路由器。2台路由器之间通过GE接口互联，互为备用。路由器所接的业务实现vlan分区，对安全Ⅰ区实现VRRP互备份，分别通过专用2M线接入调度数据骨干网。2台交换机上均实现vlan分区，交换机之间通过linkaggregation实现端口汇聚。根据站内业务的相应安全等级，接入交换机相应的vlan接口。

按照安全等级，变电站业务系统分为安全Ⅰ区(vlan1)与安全Ⅱ区(vlan2)，调度数据网控制区连接站内的安全Ⅰ区，调度数据网非控制区连接站内的安全Ⅱ区。安全Ⅰ区的业务包括远动终端(RTU)、AVC子站、五防系统、相量测量装置(PMU)等。安全Ⅱ区的业务包括故障录波子站，无设置功能的故障信息子站、电能量采集装置等。

图1 变电站调度数据网拓扑示意

2.2 纵向防护设备的部署

在安全Ⅰ区上部署电力专用纵向加密认证装置，在安全Ⅱ区上部署电力专用防火墙，逻辑结构如图2所示。

(1) 在安全Ⅰ区上部署2台电力专用纵向加密认证装置。2台加密认证装置为主、备关系，主加密设备故障时，自动切换业务到备加密装置。考虑到站端和调度端2个系统之间的认证，安全Ⅰ区的纵向通信过程采用纵向加密认证装置之间认证来实现。主要包括：支持基于数字证书的IP认证加密，支持认证定向加密；对业务数据进行数据签名与加密，以保证数据的机密性和完整性；支持网关工作方式与透明工作方式；具有基于应用端口、传输协议、IP地址的访问控制与综合报文过滤功能；实现动态调整安全策略，主、备加密认证装置之间的职能协调。

图2 纵向防护设备部署

(2) 在安全Ⅱ区上部署电力专用防火墙，2台防火墙通过VRRP实现互备份。安全Ⅱ区业务数据通过VRRP优先级高的防火墙传输，当VRRP优先级高的防火墙故障时，自动降低自身优先级，数据业务切换至另一台防火墙。专用防火墙的功能包括：支持多级过滤的访问控制机制，具有包含过滤侦听的状态检测技术；支持对电力多种专用通信协议的分析和控制；具备符合安全防护要求的入侵检测功能，能够检测出针对指定设备的多种攻击；具有基于访问规则的带宽管理功能； 支持VPN加密；支持双机热备份功能，保证业务传输的高可用性和高可靠性；支持基于GUI方式管理，支持OTP认证、管理进行SSL和SSH加密及严格的管理审计，保证管理的安全性。

3 站内设备的防护加固措施

3.1 访问控制措施

站内设备的访问控制效果关系到电力系统的安全稳定运行，因此要确保站内设备的访问交互环节处于可控、在控状态。上述目标可以通过以下手段来实现。

(1) 强化口令管理。默认口令或弱口令易被无关人员记忆，也容易被黑客破译。监控系统担负了遥控、远动、数据备份等重要任务，一旦口令被别有用心的人盗取并在系统内进行破坏，将造成无法估量的损失。所以，要做到：合理配置应用账号权限；删除系统中多余的自建账号；修改账号口令，口令长度和复杂性要满足安全要求，并定期更改口令；更改默认的管理员用户名(例如windows系统中的administrator用户)；停用默认的访客用户。

(2) 禁用不必要的服务。关闭某些系统和设备的出厂缺省设置，如Remote Registry，Terminal Service，Finger，IP Redirect，Boot Server，Directed Broadcast，Proxy Arp等服务。在路由器上，对于DHCP、SNMP以及Web管理服务等，只有在特殊要求的场合才启用。

(3) 禁止远程访问功能。为方便远程维护，有些厂家使用远程客户端。但是，通过远程访问控制将可能使系统暴露，访问端口也可能被恶意攻击所利用，所以要禁止远程访问功能。对相应的端口进行筛选，只开通与业务相关的端口；删除默认共享功能。

(4) 对进入网络的流量进行控制。为了防止Dos对路由器进行攻击，应禁止异常流量进入，如禁止采用广播地址、本地主机地址、多播地址、没有IP地址以及假冒地址的包。还可以采用缩短ACK超时、增加同步ACK对列长度等措施，避免路由器受到攻击。

3.2 安全措施与数据库管理

调度数据网中传输着重要的业务数据，相关数据库的安全管理就是二次安全防护的重要组成部分。数据资源主要存储于监控系统的服务器、电能量系统的服务器、故障录波装置的服务器、故障信息系统的服务器等设备中。虽然各设备处在安全Ⅰ、Ⅱ区的物理防护下，但是仍面临着人员因素造成的相关威胁，所以必须采取相应措施。如分解操作人员、维护人员、监控人员、巡视人员职责，通过系统登录环节，将相应的权限范围赋予不同人员；实行口令管理，对人员的访问操作信息实现系统自动记录，严禁使用他人口令进行访问控制，并执行相应的处罚制度等。

3.3 预防病毒措施

安装并及时升级防病毒软件是防范病毒危害、阻止病毒入侵的有效手段。对于独立于网络的设备，可使用光盘升级病毒库程序，安全防护人员须定期更新升级。如果设备是直接与调度端主站通讯的设备(例如故障录波)，可以用调度端的病毒库服务器来进行病毒库自动升级。

3.4 其他加固措施

定期备份、安全评估、定期巡查、入侵检测等技术手段，也是二次安全防护的重要加固措施。

4 结束语

电网技术和信息技术的快速发展，对整个电力二次安全防护体系提出了更高要求。只有站在技术的最前沿，不断地完善二次安全防护的技术手段，才能建立严密的防护网，确保电力调度数据网的安全。