论文部分内容阅读
摘要:最近这些年,智能电网的建设发展促进了电网调度自动化的覆盖率,调度数据网作为变电厂站与调度中心进行数据业务交换的专用网络,正加速应用到电力网络的各环节。网络系统虽然给电力调度带来了更加自动化的服务,但实际运行中存在的安全隐患和缺陷也不断暴露出来。电网运行中遭遇黑客攻击,除了会造成大面积停电、内部信息外泄等风险外,也伴随着巨大经济损失。
关键词:地市级电力调度;数据网;问题及措施
引言
从党的十八大以来,党和政府对电力行业支持力度不断加大,先后投入了大量的人力、物力、财力用于支持电力行业的改革发展。以往相对传统的电网模式,已经不能适应当前电力资源需求不断增加的实际特点,传统电网容易出现各种安全问题,也不符合人民群众高质量用电服务的新需求。伴随着电力行业技术的发展,电力调度数据网安全技术则发挥了很好的作用,对于保护数据的安全、完整,进而帮助调整电力行业发展政策都具有非常好的作用。
1地市级电力调度数据网建设背景
随着信息化在人们生产生活中的越发普及与深入,互联网俨然成为当今社会不可或缺的组成部分。与传统专线模拟数字通道相比,调度数据网具有易维护、成本低、安全性和可靠性高等优点。调度数据通信方式朝着网络化方向发展既是上级领导的决策部署,也是顺应当前科技发展的大趋势。以EMS、广域测量为代表的实时监控业务,以电能计量为代表的非实时业务,其信息都在接入层产生,经过骨干层,汇入核心层,而电网的调度命令一般由核心层产生,并传达到接入层的厂站进行执行,因此,具有明显的“垂直”特征,称之为垂直信息流模式。而在这种信息流模式特点下,地市级电力调度数据网作为接入层,其建设显然是整个电力调度数据网这栋”大厦”的基础。然而地区调度数据网在可研设计、安装调试、竣工验收、运行检修等建设中的各个环节仍存在诸多问题。因此,通过积累建设运行过程中发现的问题,分析问题原因,提出解决办法,是有其现实意义的。
2地市级电力调度数据网建设常见问题
2.1 IP地址规划
规划设计最基础的是IP地址规划,IP地址是网络互联互通的基础,同时正确的地址规划也是对网络拓扑结构的真实反映。在建设过程中,虽然上级管理机构会对下属地市级调度数据网的IP地址分配有一个总体规划,包括管理地址、互联地址、业务地址、网管地址的分配,有了网段后,怎样应用是地级电力调度数据网管理运行单位应解决的问题。因此,在具体规划的过程中,经常会出现如下2类问题:(1)规划IP地址过程中,接入层网络设备没有按变电站实际电压等级和变电站所属区域有一个统一的划分。虽然不应影响正常使用,但是通过针对性的划分,根据其IP就可以知道其所属电压等级和区域。(2)规划IP地址过程中,没有考虑未来网络节点增加而预留扩展的空间,导致以后新上节点或增加冗余通道时捉襟见肘。因此,要根据各县区不同网络规模开展IP地址的规划设计,做到不浪费,有预留。并严格按照可扩展性、连续性、唯一性、统一分配、按需分配的原则,科学规划IP地址,任何单位和个人不得擅自修改。加强调度数据网的IP地址、拓扑关系、链路设计等机密信息管理,禁止将IP地址发布到互联网上,防止信息外泄。定期对IP地址表进行异地备份,防止IP地址丢弃。禁止两套数据网在物理上的互联和IP地址混用。
2.2施工过程中的问题
2.2.1网络设备安全配置
2.2.1.1登陆账户与密码
在登陆账户与密码方面主要存在以下问题,没有删除网络设备供应商缺省账户。网络设备密码不满足强度要求,密码必须是数字与字符的组合且长度至少为8位。对网络设备进行本地管理操作时,应通过Console口并使用用户名和口令相结合的方式登录。网络设备未配置账号超时自动退出功能,远程或Console口登录后空閑时间超过5min应自动退出,退出后用户需重新登录。未限制登录地址范围,应仅允许网管地址段和设备互联地址段登陆。
2.2.1.2协议配置
协议的安全配置方面主要存在未按要求正确配置NTP和SNMP的问题。SNMP协议主要存在未采用V2C及以上版本,未禁止使用默认的通信字符串,长度应小于8位,不是数字和字符的组合。而NTP未正确配置,则导致网络设备系统时间准确,接入层和汇聚层网络设备未与核心层路由器对时。
2.2.1.3网络服务
没有禁用不必要的公共网络服务,包括HTTP、FTP、DNS、DHCP等服务。此外,中兴网络设备还要禁用TCPSMALLSERVERS、UDPSMALLSERVERS、Finger、HTTPSERVER、BOOTPSERVER服务。
2.2.2现场施工工艺
调度数据网的组屏应整齐美观,布局合理;设备与屏柜必须可靠接地,标签清晰规范;不同安全分区使用不同颜色的网线,1区使用黄色或橙色网线;2区使用蓝色网线;3区使用灰色网线,屏柜内布线执行强弱电分离。在调度数据网调试过程中,禁止将调试使用的笔记本电脑连接互联网。
2.3验收及投运后需要注意的问题
2.3.1验收管理
出厂验收时需检查网络设备的数量、配置是否满足设计及运行要求,是否与合同中标的实际型号一致;批量设备的验收应搭建验收的模拟环境,要检查网络的收敛时间、丢包率、延迟时间、可用率等与数据处理能力相关的主要性能指标是否满足要求。检查设备现场安装是否规范、标签标识是否完整,设备外壳是否可靠接地,接地电阻是否满足要求,空闲端口是否关闭,业务传输是否正常,电源接入方式是否冗余。特别是对于设备电源的双接入检查,一定要注意是否由一路UPS,一路站用交流供电。并现场进行电源切换试验,即拉掉任意一路输入电源,都不会影响设备的正常运行。对验收过程中发现的问题,并以整改通知书形式要求施工方进行整改。
2.3.2日常运维管理
调度数据网设备所在的机房环境应满足稳定运行的需要,系统组网的传输通道应满足N-1原则,通信质量误码率要小于1×10-9。调度数据网交换机与路由器之间必须部署安全防护设备,未经许可,任何单位和个人不得跨越安全防护设备运行。调度数据网纵向必须实现安全的加密、认证和访问控制,有效防止非授权设备接入与非法访问。外来作业人员必须接受安全知识培训、签订安全保密协议,并经考试合格方可参与现场的作业。调度数据网计划性检修,应提前3d向相应调度机构提出书面申请,并经得调度自动化值班员许可方可开工。故障处理前,现场作业人员应及时通知自动化值班员封锁备用通道,方可进行调度数据网、远动通信装置的重启或主备机的切换工作,防止调度数据传输中断。工作完成后,作业人员应及时通知自动化值班员解除对通道或数据的封锁,并核对数据正常后方可离开作业现场。
结语
为加快构建电力企业安全事件信息管理平台,全面提高系统运行的安全性、稳定性、开放性和智能性,需依靠科技创新和人工智能技术。信息技术对于网络空间安全是非常重要的,未来可将整个平台变成一个由AI驱动的大数据智能平台。通过平台对电网调度数据网的网络安全做到持续安全监管,从网络设备、安防设备、监控系统等方面进行实时和历史数据收集、监管,实现对信息安全事件的深入挖掘和分析,统一监控管理和预警。
参考文献
[1]龙立波,袁文,刘立恩.构建地市供电公司调度数据网管理机制[J].大众用电,2018(7):44-45.
[2]程霞.浅析电力调度数据网安全防护设计与实现[J].通讯世界,2015(07):180~181.
关键词:地市级电力调度;数据网;问题及措施
引言
从党的十八大以来,党和政府对电力行业支持力度不断加大,先后投入了大量的人力、物力、财力用于支持电力行业的改革发展。以往相对传统的电网模式,已经不能适应当前电力资源需求不断增加的实际特点,传统电网容易出现各种安全问题,也不符合人民群众高质量用电服务的新需求。伴随着电力行业技术的发展,电力调度数据网安全技术则发挥了很好的作用,对于保护数据的安全、完整,进而帮助调整电力行业发展政策都具有非常好的作用。
1地市级电力调度数据网建设背景
随着信息化在人们生产生活中的越发普及与深入,互联网俨然成为当今社会不可或缺的组成部分。与传统专线模拟数字通道相比,调度数据网具有易维护、成本低、安全性和可靠性高等优点。调度数据通信方式朝着网络化方向发展既是上级领导的决策部署,也是顺应当前科技发展的大趋势。以EMS、广域测量为代表的实时监控业务,以电能计量为代表的非实时业务,其信息都在接入层产生,经过骨干层,汇入核心层,而电网的调度命令一般由核心层产生,并传达到接入层的厂站进行执行,因此,具有明显的“垂直”特征,称之为垂直信息流模式。而在这种信息流模式特点下,地市级电力调度数据网作为接入层,其建设显然是整个电力调度数据网这栋”大厦”的基础。然而地区调度数据网在可研设计、安装调试、竣工验收、运行检修等建设中的各个环节仍存在诸多问题。因此,通过积累建设运行过程中发现的问题,分析问题原因,提出解决办法,是有其现实意义的。
2地市级电力调度数据网建设常见问题
2.1 IP地址规划
规划设计最基础的是IP地址规划,IP地址是网络互联互通的基础,同时正确的地址规划也是对网络拓扑结构的真实反映。在建设过程中,虽然上级管理机构会对下属地市级调度数据网的IP地址分配有一个总体规划,包括管理地址、互联地址、业务地址、网管地址的分配,有了网段后,怎样应用是地级电力调度数据网管理运行单位应解决的问题。因此,在具体规划的过程中,经常会出现如下2类问题:(1)规划IP地址过程中,接入层网络设备没有按变电站实际电压等级和变电站所属区域有一个统一的划分。虽然不应影响正常使用,但是通过针对性的划分,根据其IP就可以知道其所属电压等级和区域。(2)规划IP地址过程中,没有考虑未来网络节点增加而预留扩展的空间,导致以后新上节点或增加冗余通道时捉襟见肘。因此,要根据各县区不同网络规模开展IP地址的规划设计,做到不浪费,有预留。并严格按照可扩展性、连续性、唯一性、统一分配、按需分配的原则,科学规划IP地址,任何单位和个人不得擅自修改。加强调度数据网的IP地址、拓扑关系、链路设计等机密信息管理,禁止将IP地址发布到互联网上,防止信息外泄。定期对IP地址表进行异地备份,防止IP地址丢弃。禁止两套数据网在物理上的互联和IP地址混用。
2.2施工过程中的问题
2.2.1网络设备安全配置
2.2.1.1登陆账户与密码
在登陆账户与密码方面主要存在以下问题,没有删除网络设备供应商缺省账户。网络设备密码不满足强度要求,密码必须是数字与字符的组合且长度至少为8位。对网络设备进行本地管理操作时,应通过Console口并使用用户名和口令相结合的方式登录。网络设备未配置账号超时自动退出功能,远程或Console口登录后空閑时间超过5min应自动退出,退出后用户需重新登录。未限制登录地址范围,应仅允许网管地址段和设备互联地址段登陆。
2.2.1.2协议配置
协议的安全配置方面主要存在未按要求正确配置NTP和SNMP的问题。SNMP协议主要存在未采用V2C及以上版本,未禁止使用默认的通信字符串,长度应小于8位,不是数字和字符的组合。而NTP未正确配置,则导致网络设备系统时间准确,接入层和汇聚层网络设备未与核心层路由器对时。
2.2.1.3网络服务
没有禁用不必要的公共网络服务,包括HTTP、FTP、DNS、DHCP等服务。此外,中兴网络设备还要禁用TCPSMALLSERVERS、UDPSMALLSERVERS、Finger、HTTPSERVER、BOOTPSERVER服务。
2.2.2现场施工工艺
调度数据网的组屏应整齐美观,布局合理;设备与屏柜必须可靠接地,标签清晰规范;不同安全分区使用不同颜色的网线,1区使用黄色或橙色网线;2区使用蓝色网线;3区使用灰色网线,屏柜内布线执行强弱电分离。在调度数据网调试过程中,禁止将调试使用的笔记本电脑连接互联网。
2.3验收及投运后需要注意的问题
2.3.1验收管理
出厂验收时需检查网络设备的数量、配置是否满足设计及运行要求,是否与合同中标的实际型号一致;批量设备的验收应搭建验收的模拟环境,要检查网络的收敛时间、丢包率、延迟时间、可用率等与数据处理能力相关的主要性能指标是否满足要求。检查设备现场安装是否规范、标签标识是否完整,设备外壳是否可靠接地,接地电阻是否满足要求,空闲端口是否关闭,业务传输是否正常,电源接入方式是否冗余。特别是对于设备电源的双接入检查,一定要注意是否由一路UPS,一路站用交流供电。并现场进行电源切换试验,即拉掉任意一路输入电源,都不会影响设备的正常运行。对验收过程中发现的问题,并以整改通知书形式要求施工方进行整改。
2.3.2日常运维管理
调度数据网设备所在的机房环境应满足稳定运行的需要,系统组网的传输通道应满足N-1原则,通信质量误码率要小于1×10-9。调度数据网交换机与路由器之间必须部署安全防护设备,未经许可,任何单位和个人不得跨越安全防护设备运行。调度数据网纵向必须实现安全的加密、认证和访问控制,有效防止非授权设备接入与非法访问。外来作业人员必须接受安全知识培训、签订安全保密协议,并经考试合格方可参与现场的作业。调度数据网计划性检修,应提前3d向相应调度机构提出书面申请,并经得调度自动化值班员许可方可开工。故障处理前,现场作业人员应及时通知自动化值班员封锁备用通道,方可进行调度数据网、远动通信装置的重启或主备机的切换工作,防止调度数据传输中断。工作完成后,作业人员应及时通知自动化值班员解除对通道或数据的封锁,并核对数据正常后方可离开作业现场。
结语
为加快构建电力企业安全事件信息管理平台,全面提高系统运行的安全性、稳定性、开放性和智能性,需依靠科技创新和人工智能技术。信息技术对于网络空间安全是非常重要的,未来可将整个平台变成一个由AI驱动的大数据智能平台。通过平台对电网调度数据网的网络安全做到持续安全监管,从网络设备、安防设备、监控系统等方面进行实时和历史数据收集、监管,实现对信息安全事件的深入挖掘和分析,统一监控管理和预警。
参考文献
[1]龙立波,袁文,刘立恩.构建地市供电公司调度数据网管理机制[J].大众用电,2018(7):44-45.
[2]程霞.浅析电力调度数据网安全防护设计与实现[J].通讯世界,2015(07):180~181.