摘要:随着我国经济的高速发展,高新技术,尤其是计算机网络技术被广泛的应用于各个领域。本文首先介绍了电力调度数据传输系统的基本情况,然后针对电力调度数据传输过程进行了技术分析,最后进一步阐述了电力调度数据的网络传输安全防护策略。
关键词:电力调度;数据传输;网络技术;安全策略
电力调度数据网络传输系统时电力系统通信网中的一部分,主要由发电厂、变电所、调度中心等各级电力部门间相互连接的传输系统和设在这些部门的交换系统或终端设备构成,在该系统中主要负责传输电力调度的实时数据、通信监测数据、生产与系统管理数据等的传输。该系统主要是以计算机网络技术为基础,以数字化网络为手段,实现在电力生产调度过程中相关信息的传输,建立统一的控制与管理操作平台。
1. 电力调度数据网络现状
目前,我国的电力调度数据网络的发展已经具有一定的规模,主要由国家调度数据网、区域网、省级网、地市网、县级网构成。我国的现阶段的电力调度数据系统主要的功能有:数据采集功能、控制、计算、事件记录及处理、人机界面、打印、数据转发、模拟屏控制等。有的网络更具备一些面向电网分析和控制的高级应用功能(PAS)。该功能为电力调度数据网络的应用提供了极大的便利,在一定程度上实现了系统的信息化以及自动化,节约了人力资源以及提高了电力调度管理工作的效率和准确的。但是随着社会需求对系统的要求越来越大,接入信息量以及范围的增加给电力调度数据网络系统提出了更高的要求,尤其是在系统的开放性、稳定性、可靠性以及可扩展性。
2. 电力调度数据网络传输技术分析
2.1 电力调度数据网的设计技术
2.1.1 虚拟局域网技术
虚拟局域网技术(VPN)是指网络中的站点不拘泥于所处的物理位置,可以根据需要灵活地加入不同的逻辑子网中的一种网络技术。在网络中根据不同业务需求划分了几个虚拟局域网(VLAN):EMS、自动化、保护、方式、调度等。因为VLAN间是不通的,所以在链路末端的交换机上可以划分属于不同VLAN的端口。在这些端口上共用一个该VLAN的网关,并且分配一个子网,这样接在该VLAN上的工作站只需与该网关进行通讯,该网关再为数据寻找路由。这样,不同业务的工作站只需接到自己的VLAN端口,再将自己的IP地址改为网段中的地址,再设上相应的网关和掩码即可,实现数据包的转发。
2.1.2 多协议标签交换协议
多协议标签交换协议(MPLS)是核心路由器利用含有边缘路由器在IP分组内提供的前向信息的标签(label)或标记(tag)实现网络层交换的一种交换方式。由于骨干网内全网部署MPLSVPN,为降低网络复杂度,需要在全网PE上运行MP-BGP。并可通过建立路由反射器(RR)来实现MP-BGP的路由交换。MPLS的工作原理是通过路由表对相应的转发等价类(FEC)查询并分配,同时采用固定长度的标签对该FEC进行描述与编码,并将此标签附加到IP报头的前面。相应的处于LSP中的标签交换路由器,利用报文携带的标签信息库(LIB)进行索引,确定相应的下一跳,在LSR出端口用新的标签替换原有标签,实现携带新标签的报文便沿着LSP向目的地转发。
2.2 设计电力调度数据网络拓扑结构
网络拓扑(Topology)结构是指构成网络的成员间特定的物理的即真实的、或者逻辑的即虚拟的排列方式。电力调度数据网采用分层设计,内部结构分为核心层、骨干层和接入层三层。三层设计便于组织网络路由,优化网络结构,简化厂站接入。
网络的拓扑设计应遵循N-1的电路可靠性和N-1的节点可靠性原则。即要求每个节点至少有2条不相关的链路与其他节点相连,去掉拓扑中任何1条链路,对节点的连通性无影响;N-1的节点可靠性是指去掉拓扑中任何1个节点,对其他节点的连通性无影响,如某个地调节点故障应不影响其他节点的连通。
2.3 设计电力调度数据网络路由
根据路由协议的分析可知,调度数据网首选路由协议为OSPF,而该协议支持两层结构,即主干域和子域,从而分散路由处理,减少网络带宽占用。使用OSPF协议必须考虑到骨干区域的连通性,即使某条链路断开后也可以保证主干区域不会分离。每个子域将较为重要的地调节点设置为该域的边界路由器ABR。为保证网络的弹性,每个子域ABR均应考虑采用分布体系结构,以满足可靠性、冗余性要求。系统OSPF划分为8个区域,区域0:加入到区域0中的接口是各地调上联省调路由器的接口,与其他地调路由器互联;区域1~7:区域1~7分别为各地调及下属变电站的相关接口。
2.4 设计网络节点
由于核心层站点汇聚了整个地区调度数据网络的信息,所以对可靠性要求极高,宜采用路由器+交换机方式。远景规划在地调网络中心增加1台路由器,2台路由器通过快速以太网相连,实现站点设备的备份。由于骨干层站点汇聚了各县级调度数据网络的信息,所以对可靠性要求较高,采用路由器+交换机方式。接入层站点采用路由器+交换机方式。
2.5 设计IP规划方案
地址编码的基本原则是满足地址的唯一性。为使寻址更加有效,且保证地址的唯一性,网络地址编址编码及分配应与网络拓扑及地址管理体制相结合。可采用30位掩码的分配方式,每条链路(如为N×E1则视为1条链路)采用1个子网网段。核心、汇聚层节点间的连接共有9条链路,共需9个子网网段。接入层节点上联汇聚层节点的链路为90个变电站,其中82个110kV变电站按单链路上联链路计算,则共需82个子网网段,8个330kV变电站按双链路上联链路计算,则共需16个子网网段。
3. 电力调度数据的网络传输安全防护策略
电力调度数据网遵循“安全分区、网络专用、横向隔离、纵向防护”的策略,并从其安全性、可行性、实时性、保密性,以及应用系统的各个层面出发,形成了较好的安全防护体系。
3.1 逻辑隔离
3.1.1 MPLS VPN VPN(Virtual Private Network)是基于公网,利用隧道、加密等技术提供的虚拟专用网络。MPLS(Multi-Protocol Label Swtich,多协议标签交换)融合了IP路由技术灵活性和ATM交换技术简洁性优点。通过两大类VPN(安全区I与安全区II),确保2种不同业务间的设备无法获知对方的路由信息,从而把安全区I和安全区II逻辑隔离,保证每个区相对独立和安全可靠。
3.1.2 VLAN
VLAN(英文)是虚拟局域网。把一个交换机上的以太网口虚拟出若干子网,这样即使连在同一个交换机上,若不在同一个虚拟局域网内,一个设备也无法访问别的设备。从而达到把一个交换机上不同设备、系统间逻辑隔离的目的。 电力调度数据网II区核心交换机CIS-CO3550同时连接多个系统(电能计量系统、负荷预计系统等),为了使系统之间相互不访问对方,保证各系统相对安全、稳定,就是采用这样的技术。
3.2 物理隔离
这里所谈的物理隔离就是指物理隔离装置。目前,SPDnet网络中应用的主要有两种,按照数据传输方向,分为正向物理隔离装置和反向物理隔离装置。物理隔离装置主要特点是使内、外网在物理层隔离。一般情况下,实际的数据和服务都放在内网,外网只是一个应用代理系统,外网访问内网时,隔离装置都有严格的规则,只有被允许,才有内网进程向外网发起连接,能够屏蔽网络协议攻击、内容检查和过滤。因而即使外网被入侵,内网也不会有任何破坏。物理隔离装置,应用在安全性要求特别高的场合。
3.3 访问控制
安全访问控制重点是通过访问控制列表做到敏感数据的有效安全访问。可以根据需要配置VTY类型线路的呼入呼出来限制TELNET用户访问,或者禁用TELNET方式,启用SSH方式登录设备。此外还可以考虑对简单网络网理协议(simple network managementprotocol,SNMP)流量进行访问控制列表(access control list,ACL)控制,限制非授权用户通过SNMP访问设备。对于智能性较高的网络设备(如路由器和防火墙),可以禁止IP源路由功能,并且屏蔽病毒常用的网络端口甚至是所有大于1024的非业务系统用端口,启用TCP keep-alives服务以监控进入路由器或者从路由器输出的TCP连接。
3.4 灾难恢复
由于硬件损坏等不可抗拒灾难的不可预测性,因而对重要服务器或工作站,都要具有备用服务器和工作站,备有必须的应用软件,若有故障停运必须具备自动切换功能,可保证工作站在最短时间内顶替运行。另外,重要系统数据库定期备份,对灾难恢复也非常有助,如OPEN3000系统:所有采集遥测量历史数据、地区历史电量、地区历史总加负荷、遥信变位保护告警及SOE等要定期备份。
4. 结束语
总而言之,通信技术与计算机技术迅速发展,推动了电力调度数据网络传输系统的发展,确保了电力调度业务的安全性、准确性和实时性。随着科技的发展,将有越来越多技术用于我国的电力行业,促进其快速发展。
参考文献
[1]方继宇;宋奕;调度数据网应用业务接入安全研究[A];2008年抗冰保电技术论坛论文集(二)[C];2008年
[2]饶伟;钟馨;浅议网络安全技术在供电系统数据网中的应用[J];信息与电脑(理论版);2011年11期
[3]彭清卿,向力,卢长燕,邹国辉,孙炜;国家电力调度数据网组网研究[J];电力系统自动化;2004年08期