周耀輝

（安康供電局 陜西 安康 725000）

計算機技術與通信技術的迅猛發(fā)展，喚來了網(wǎng)絡、信息技術的日新月異。信息化的普及深入對各行各業(yè)都產(chǎn)生了極其深遠的影響，電力行業(yè)也不例外，已融入這浩瀚的信息網(wǎng)絡之中。與電力生產(chǎn)、管理系統(tǒng)和輸送過程直接相關的信息量在迅速增加，迫切需要對網(wǎng)絡信息資源共享?；陔娏φ{(diào)度應用系統(tǒng)特點與數(shù)據(jù)通信的內(nèi)在效用，組建跨地域的電力調(diào)度數(shù)據(jù)網(wǎng)已悄然興起。

電力調(diào)度數(shù)據(jù)網(wǎng)是電力生產(chǎn)實時信息傳輸?shù)木W(wǎng)絡，是跨地域電力數(shù)據(jù)通信網(wǎng)的重要業(yè)務網(wǎng)絡[1－2]。安康電力調(diào)度數(shù)據(jù)網(wǎng)是專門為電力調(diào)度生產(chǎn)服務的，網(wǎng)絡承載業(yè)務主要是包括調(diào)度自動化實時信息、電能量計量信息、自動化設備遠程管控等業(yè)務，是電力系統(tǒng)內(nèi)各種計算機應用系統(tǒng)實現(xiàn)互聯(lián)的基礎。安康調(diào)度數(shù)據(jù)網(wǎng)是陜西電力調(diào)度數(shù)據(jù)網(wǎng)安康地區(qū)的延伸網(wǎng)絡，是在現(xiàn)有通信傳輸網(wǎng)絡的基礎上，建設一個覆蓋安康市各區(qū)監(jiān)控中心及廠站的數(shù)據(jù)網(wǎng)絡，實現(xiàn)安康電網(wǎng)系統(tǒng)生產(chǎn)安全監(jiān)控信息資源的共享。

1 安康電力調(diào)度數(shù)據(jù)網(wǎng)絡安全威脅

目前安康電力調(diào)度數(shù)據(jù)網(wǎng)經(jīng)過2009年到2010年的建設，已經(jīng)建成覆蓋330～110 kV變電站的雙星形網(wǎng)絡，目前網(wǎng)絡規(guī)模覆蓋6個集控站，16個110 kV變電站。網(wǎng)絡拓撲圖如圖1所示。

隨著電力企業(yè)改革的不斷推進和電力市場的逐步建立，在調(diào)度中心、電廠、變電站之間的數(shù)據(jù)交換也越來越頻繁。特別是隨著電力一次設備的改善和通信、網(wǎng)絡技術的發(fā)展，越來越多的變電站實行無人值班，對于廠、站大量采用遠方控制，對電力控制系統(tǒng)和數(shù)據(jù)網(wǎng)絡的安全性、可靠性、實時性提出了新的考驗。

安康電力調(diào)度數(shù)據(jù)網(wǎng)網(wǎng)絡安全主要存在以下3種安全風險：物理安全，網(wǎng)絡安全以及用戶安全。

物理層安全是指各種服務器、路由器、交換機、工作站等硬件設備和通信鏈路的安全。風險的來源有：水災、火災、雷擊等自然災害，人為的破壞或誤操作，外界的電磁干擾，設備固有的弱點或缺陷等。物理安全的威脅雖然可以直接造成設備的損壞，系統(tǒng)和網(wǎng)絡的不可用，破壞力較強，但其發(fā)生的概率很小，因此重點考慮網(wǎng)絡安全以及用戶安全風險。

對于安康電力調(diào)度數(shù)據(jù)網(wǎng)絡安全而言，其網(wǎng)絡安全威脅主要是來自連接的外部網(wǎng)絡。入侵者利用網(wǎng)絡及系統(tǒng)中存在的安全漏洞，施加計算機病毒等的惡意攻擊，這樣的危害可以造成網(wǎng)絡癱瘓、系統(tǒng)拒絕服務、信息被竊取、篡改等，從而造成電力系統(tǒng)或國民經(jīng)濟的損失。

圖1 安康電力調(diào)度數(shù)據(jù)網(wǎng)網(wǎng)絡拓撲結(jié)構(gòu)圖Fig.1 Diagram of AnKang power dispatching data network topology

用戶安全是指內(nèi)部人員對網(wǎng)絡和系統(tǒng)的攻擊及誤用等。從網(wǎng)絡信息安全問題的發(fā)展歷程來看，經(jīng)歷了從注重技術到技術、管理雙管齊下的轉(zhuǎn)化，到目前為止，“三分技術、七分管理”已成為安全策略設計的普遍共識。加強安全管理是消除用戶安全風險的唯一途徑。

同時安康調(diào)度數(shù)據(jù)網(wǎng)承載的業(yè)務對網(wǎng)絡可靠性要求高，網(wǎng)絡的可用率、實時業(yè)務的傳輸時延（業(yè)務應有不同的優(yōu)先級）、網(wǎng)絡的收斂時間等關鍵性能必須予以保證。電力調(diào)度數(shù)據(jù)網(wǎng)系統(tǒng)還要求具有較高的安全可靠性，并對IP網(wǎng)絡路由的設置與優(yōu)化有特定的要求。目前大多承載業(yè)務的傳輸頻度為秒級，網(wǎng)絡節(jié)點的業(yè)務量相對比較恒定，網(wǎng)絡的流量不大。

2 安全防護方案

按照國家電網(wǎng)公司要求，電力調(diào)度網(wǎng)絡安全性應符合國家經(jīng)貿(mào)委30號令 《電網(wǎng)與電廠計算機監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡安全防護規(guī)定》及國家電網(wǎng)公司《電力二次系統(tǒng)安全防護總體方案》的要求及相關規(guī)定。

按要求，安康電力數(shù)據(jù)信息分為2個大區(qū)既生產(chǎn)控制大區(qū)和管理信息大區(qū)。生產(chǎn)控制大區(qū)分控制區(qū)（安全I區(qū)）和非控制區(qū)（安全II區(qū)），控制區(qū)業(yè)務包括電力數(shù)據(jù)采集和監(jiān)控系統(tǒng)、能量管理系統(tǒng)、變電站自動化系統(tǒng)等實時信息；非控制區(qū)業(yè)務包括調(diào)度員培訓模擬系統(tǒng)、電能量計量系統(tǒng)等非實時信息；管理信息大區(qū)業(yè)務包括OMS等。電力調(diào)度數(shù)據(jù)網(wǎng)安全I區(qū)與安全II區(qū)業(yè)務通過VPN實現(xiàn)兩區(qū)業(yè)務之間的安全防護。2個大區(qū)網(wǎng)絡傳輸平臺互不聯(lián)網(wǎng)，物理隔離。各應用系統(tǒng)接入網(wǎng)絡應采用安全網(wǎng)關和防火墻技術，各區(qū)應用系統(tǒng)互聯(lián)應按要求采取相應的隔離措施。

根據(jù)上述要求，從以下幾個方面設計了安康電力調(diào)度數(shù)據(jù)網(wǎng)的安全防護方案。

2.1 通過MPLS VPN隔離不同類型業(yè)務

MPLS VPN具有安全性高、擴展性強、QoS保證、成本低、易于實現(xiàn)、管理等特性。因而可在公共網(wǎng)絡平臺上構(gòu)建電力調(diào)度數(shù)據(jù)網(wǎng)中基于MPLS的VPN[3]。

MPLS VPN由于在公網(wǎng)中使用LSP隧道進行標簽交換，較之普通的IP轉(zhuǎn)發(fā)具有更好的安全級別。通過兩大類VPN（安全區(qū)I與安全區(qū)II），確保2種不同業(yè)務間的設備無法獲知對方的路由信息。在同一種業(yè)務中通過對M PLS VPN中的RT（Route—Target）屬性的合理設置，可保證即使是相同的業(yè)務，如沒有互訪需求，也無法相互訪問。

2.2 路由認證和保護

路由認證（Routing Authentication）就是運行于不同設備的相同動態(tài)路由協(xié)議之間，對相互傳遞的路由刷新報文進行的確認，以使設備能接受真正而安全的路由刷新報文。 目前，多數(shù)路由協(xié)議支持路由認證，并且實現(xiàn)的方式大體相同。認證過程有基于明文的，也有基于更安全的MD5校驗。M D5認證與明文認證的過程類似，只不過密鑰不在網(wǎng)絡上以明文方式直接傳送。路由器將使用MD5算法產(chǎn)生一個密鑰的“消息摘要”，代替密鑰本身發(fā)送出去，這樣可保證沒有人可在密鑰傳輸?shù)倪^程中竊取到密鑰信息。使用MD5認證算法的路由協(xié)議有：OSPF、RIP版本 2、BGP4、EIGRP。 目前安康電力調(diào)度數(shù)據(jù)網(wǎng)使用OSPF算法。

2.3 關閉IP功能服務

有些I P特性對局域網(wǎng)來說是有用的，但對廣域網(wǎng)或城域網(wǎng)節(jié)點的設備是不適用的。如這些特性被惡意攻擊者利用，會增加網(wǎng)絡的危險。因此，網(wǎng)絡設備應具備關閉這些IP功能的能力。1）IP源路由選項開關。由于IP源路由選項忽略了報文傳輸路徑中的各設備的中間轉(zhuǎn)發(fā)過程，不管轉(zhuǎn)發(fā)接口的工作狀態(tài)，可能被惡意攻擊者利用，刺探網(wǎng)絡結(jié)構(gòu)。因此，設備應能關閉I P源路由選項功能。2）重定向開關。網(wǎng)絡設備向同一個子網(wǎng)的主機發(fā)送ICMP重定向報文，請求主機改變路由。一般情況下，設備僅向主機而不向其他設備發(fā)送ICMP重重定向報文。但一些惡意的攻擊可能跨越網(wǎng)段向另外一個網(wǎng)絡的主機發(fā)送虛假的重定向報文，以期改變主機的路由表，干擾主機正常的IP報文轉(zhuǎn)發(fā)。3）定向廣播報文轉(zhuǎn)發(fā)開關。在接口上進行配置，禁止目的地址為子網(wǎng)廣播地址的報文從該接口轉(zhuǎn)發(fā)，以防止smurf攻擊。因此，設備應能關閉定向廣播報文的轉(zhuǎn)發(fā)，缺省應為關閉狀態(tài)。4）ICMP協(xié)議的功能開關。很多常見的網(wǎng)絡攻擊利用了ICMP協(xié)議功能。ICMP協(xié)議允許網(wǎng)絡設備中間節(jié)點 （路由器）向其他設備節(jié)點和主機發(fā)送差錯或控制報文；主機也可用ICMP協(xié)議與網(wǎng)絡設備或另一臺主機通信。對ICMP的防護比較復雜，因為ICMP中一些消息已作廢，而有一些消息在基本傳送中不使用，但另外一些則是常用的消息。因此ICMP協(xié)議處理中應根據(jù)這3種差別對不同的ICMP消息處理，以減少ICMP對網(wǎng)絡安全的影響[4]。

2.4 可靠性保證

電力能源是國家經(jīng)濟發(fā)展的基礎，而電力調(diào)度數(shù)據(jù)網(wǎng)的可靠運行則是電力安全生產(chǎn)的保障。特別是隨著信息化、數(shù)字化的發(fā)展，整個社會對電力的依賴性空前提高。一旦能源中斷，將會使整個信息環(huán)境陷于癱瘓，引起巨大的經(jīng)濟損失和嚴重的后果。因此在電力調(diào)度數(shù)據(jù)網(wǎng)的設計實施中必須對網(wǎng)絡的可靠性進行詳盡的考慮和設計。

網(wǎng)絡系統(tǒng)的可靠性由兩部分組成，即承載網(wǎng)絡的可靠性和應用系統(tǒng)的可靠性。應用系統(tǒng)的可靠性主要由服務器、存儲設備、應用程序、數(shù)據(jù)庫等的可靠性構(gòu)成，由上層應用保證；承載網(wǎng)絡的可靠性則包括網(wǎng)絡拓撲組網(wǎng)結(jié)構(gòu)的可靠性及組網(wǎng)設備可靠性。下面對安康電力調(diào)度數(shù)據(jù)網(wǎng)中承載網(wǎng)絡的可靠性設計進行說明。

2.4.1 組網(wǎng)結(jié)構(gòu)可靠性設計

網(wǎng)絡組網(wǎng)結(jié)構(gòu)的可靠性，主要是對網(wǎng)絡互聯(lián)通道的備份考慮和設計，通過備份線路及設備的備份，保證任何時刻、任何節(jié)點之間都有可達的路由。

1）對于安康電力調(diào)度數(shù)據(jù)網(wǎng)而言，核心層和骨干層節(jié)點之間的鏈路是網(wǎng)絡的主干鏈路，采用星型拓撲結(jié)構(gòu)。這種結(jié)構(gòu)的可靠性由核心層節(jié)點和匯聚層節(jié)點間的設備配置和互連鏈路的特性決定。本網(wǎng)絡的核心層與匯聚層之間采用N×2M的多鏈路連接，實現(xiàn)鏈路冗余，以提高網(wǎng)絡的可靠性。

2）在核心節(jié)點上均采用雙設備的配置，提高網(wǎng)絡的可靠性，并可實現(xiàn)負載分擔。

3）骨干和匯聚節(jié)點通過到核心節(jié)點的雙鏈路保障網(wǎng)絡的冗余。

4）在故障出現(xiàn)的時候，通過動態(tài)路由協(xié)議等機制，保證網(wǎng)絡數(shù)據(jù)自動迂回切換到其它連通的鏈路上，保證通信的正常進行。對于流量超過備份線路帶寬承載能力時，可采用QoS等措施保證業(yè)務網(wǎng)關注的關鍵業(yè)務得到優(yōu)先傳送或者升級帶寬[5]。

2.4.2 組網(wǎng)設備可靠性設計

線路的備份主要解決了網(wǎng)絡互通路徑的問題，而節(jié)點設備的可靠則解決網(wǎng)絡的有效運轉(zhuǎn)問題。要保證電力數(shù)據(jù)網(wǎng)平臺的可靠性，對于核心和匯聚層，必須要選用具備電信級可靠性的網(wǎng)絡設備進行組網(wǎng)，才能使網(wǎng)絡具有自動恢復能力、降低人工維護工作，達到電信級的可靠運行。

設備的高可靠性從硬件、軟件、保護機制等幾個方面體現(xiàn)。

1）采用分布式體系結(jié)構(gòu)

分布式體系結(jié)構(gòu)是提高可靠性的基礎，與集中式體系設備相比較，分布式體系設備除性能可以通過插入更多的接口處理板提高整體性能外，更為關鍵的是將管理、路由轉(zhuǎn)發(fā)、接口處理等功能分配在不同的部件上，協(xié)同工作，分布式體系可以分散故障風險、隔離故障、提供冗余配置，提高系統(tǒng)的自動恢復能力；如管理部件故障，只需要更換這部分板件，不影響其他功能。

分布式體系結(jié)構(gòu)可以提高組網(wǎng)的物理可靠性，如在城域網(wǎng)環(huán)網(wǎng)組網(wǎng)中，每個骨干節(jié)點都有多條接口與相鄰的節(jié)點或本地互聯(lián)，從路由上提高了可靠性。如果采用集中式體系，則當節(jié)點設備出現(xiàn)故障時，這個節(jié)點所有接口都會失效，造成節(jié)點所帶網(wǎng)絡的中斷；而采用分布式結(jié)構(gòu)時，這些接口可以分別配置到不同的接口處理板上，這樣，無論這臺設備的管理單元、交換轉(zhuǎn)發(fā)單元，還是單一接口出現(xiàn)故障，都可以保證至少有部分路徑是連通的，降低網(wǎng)絡中斷的危險。

2）關鍵部件冗余

采用分布式體系下，對設備的關鍵部件，如主控管理單元、交換轉(zhuǎn)發(fā)單元等，進行冗余構(gòu)造配置，保證系統(tǒng)在工作中不會全部失效。

3）實時熱備份機制

在系統(tǒng)軟件及硬件的支持下，關鍵部件在發(fā)生故障能自動啟動備份系統(tǒng)，而且主備之間的切換要能夠?qū)崟r熱倒換，即運行中即使發(fā)生設備故障切換也不會對網(wǎng)絡業(yè)務造成影響。

4）熱插拔特性

核心和匯聚層設備的任意單板需要支持熱插拔特性，保證系統(tǒng)出現(xiàn)故障需要維護，或系統(tǒng)需要升級擴展時，不需要停機處理，保證網(wǎng)絡的7×24小時不間斷運行。

5）冗余電源支持

冗余電源負載分擔及備份供電可保障系統(tǒng)具有可靠的能量源。

6）散熱系統(tǒng)

散熱系統(tǒng)使設備長時間運行而不至因為溫度過高而出現(xiàn)故障。冗余風扇等散熱裝置可以增加設備的無故障運行時間及減少故障發(fā)生。安康地調(diào)自動化機房采用精密空調(diào)，確保設備運行環(huán)境符合要求[6]。

3 結(jié)束語

電力調(diào)度數(shù)據(jù)網(wǎng)絡是一個復雜的網(wǎng)絡系統(tǒng)，融含了電網(wǎng)監(jiān)視、數(shù)據(jù)分析、系統(tǒng)控制、信息處理與安全管理等重要功能，其安全可靠性具有特別重要的意義。

隨著安全技術的發(fā)展和電力需求的變化，電力調(diào)度數(shù)據(jù)網(wǎng)的安全防護還有相當多的工作要做，如部署全網(wǎng)統(tǒng)一的網(wǎng)絡防病毒體系和身份認證等。同時，還需要進一步建立健全安全管理制度，加強有關人員的安全意識，將安全工作納入到日常管理工作中去，以保障電力系統(tǒng)的安全穩(wěn)定運行。此外，尚有若干分支有待于進一步深究，以期促進電力調(diào)度數(shù)據(jù)網(wǎng)的進一步提升。

[1]黃曉莉，許海銘.國家電力數(shù)據(jù)通信網(wǎng)絡建設方案[J].電力系統(tǒng)自動化，2003，20（10）：82-87.

HUANG Xiao-li， XU Hai-ming. State power data communications networking solutions[J].Power Systems，2003，20（10）:82-87.

[2]彭清卿，向力.國家電力調(diào)度數(shù)據(jù)網(wǎng)組網(wǎng)研究［EB/OL］.（2010-07-31）[2011-11-30].http://wenku.baidu.com/view/2c56a00f76c66137ee0619a0.html.

[3]艾旭升.IPSec VPN的研究和設計 [J].微機發(fā)展，2003，13（5）：4-6.

AI Xu-sheng.IPSec VPN research and design [J].Computer development，2003，13（5）:4-6.

[4]阿迪.有關TCP/IP協(xié)議族存在的脆弱性剖析討［EB/OL］.（2009-04-03 ）[2011-11-30].http://network.chinabyte.com/387/8785387.shtml.

[5]龍夫軍.企業(yè)內(nèi)部IP語音系統(tǒng)的可靠性設計方法［EB/OL］.（2010-07-29）[2010-10-01].http://www.donews.com/tele/201007/160725.shtm.

[6]高鷹.IP城域網(wǎng)業(yè)務控制層組網(wǎng)可靠性探討［EB/OL］.（2009-12-29）[2011-11-30].http://www.cqvip.com/QK/82867X/200910/32142478.html.