《DPS5000直流输电控制保护系统设计及直流控制保护系统网络安全分析与对策.docx》由会员分享,可在线阅读,更多相关《DPS5000直流输电控制保护系统设计及直流控制保护系统网络安全分析与对策.docx(13页珍藏版)》请在课桌文档上搜索。
1、经过十几年的发展,直流输电技术在我国获得了广泛的工程应用,直流输电工程已经成为坚强智能电网的重要组成部分。基于长期工程设计经验,提出了直流输电控制保护系统设计原则,研制了适用于直流输电系统的DPS-5000紧凑型控制保护主机;基于DPS5000平台的软硬件特点,提出了直流输电紧凑型控制保护系统的总体设计方案;构建了实时数字仿真平台,仿真结果验证了紧凑型控制保护设计方案的正确性,为紧凑型直流输电控制保护系统工程应用提供了重要参考。我国能源资源与电力负荷需求呈“逆向分布”,能源资源主要分布在西部、北部,而电阻负荷主要分布在中部、东部。在这一背景下,国家提出“西电东送”的发展计划,目的在于合理配置资
2、源、优化能源结构。直流输电作为国家实施“西电东送”战略的关键技术,有望在我国的电网建设中和电力资源优化配置方面发挥重要作用。和交流输电相比,直流输电具有输送容量更大、输送距离更远、走廊占地更少、单位容量造价更低的优势。现阶段我国已建成三十余项直流输电工程,是世界上直流输电工程数量最多、电压等级最高、输送容量最大的国家。根据电力发展“十三五规划(20162020)h“十三五”期间扎鲁特一青州特高压分层接入直流、锡盟一泰州特高压分层接入直流、张北到北京柔性直流、渝鄂背靠背柔性直流等直流输电工程已投入运行,此外,仍有多条特高压直流输电工程已经获得核准批复。直流输电控制保护系统是直流输电工程的核心技术
3、。目前国外直流输电控制保护系统主要以ABB和SIEMENS的产品为主,在向上工程中,采用ABB公司的DCC-800控制保护系统;在云广特高压工程中,采用西门子公司的WIN-TDC控制保护系统。国内直流输电控制保护系统主要以南瑞继保和许继电气的产品为主,南瑞继保的PCS9550直流输电控制保护平台在哈密一郑州、酒泉一湖南、上海庙一山东等直流输电工程中得到应用,许继的DPS-3000直流输电控制保护平台在宜宾一金华、晋北一南京、锡盟泰州等直流输电工程中得到应用。我国的直流输电控制保护技术经历了从技术引进、消化吸收、自主研发等阶段的发展,现在已经步入技术升级、更新换代的阶段。DPS5000作为新一代
4、的直流输电控制保护平台,采用紧凑化设计,具有体积更小、性能更优、抗干扰能力更强、运行更稳定的特点。1直流输电控制保护设计原则1.1 直流输电工程拓扑结构我国的直流输电工程以长距离直流输电为主,长距离直流输电按电压等级可分为高压直流输电和特高压直流输电,高压直流输电工程和特高压直流输电工程拓扑结构类似,特高压直流输电工程每个极多串联一个12脉动换流器。特高压直流输电工程典型拓扑如图1所示。图1特高压直流输电工程典型拓扑1.2 直流输电控制保护系统设计原则根据长期工程设计经验,总结出直流输电工程控制保护系统设计原则为:1)直流控制保护系统应采用标准的通信规约和开放的网络结构,换流站其他辅助系统能方
5、便接入直流控制保护系统。2)直流控制保护系统应独立配置,控制和保护系统的采集回路应相互独立。控制保护系统采用模块化设计,应当将任一元件故障造成的影响范围降至最小。3)直流控制、交/直流站控系统按双重化冗余结构配置,即从数据采集到数据传输再到控制系统出口均要按完全双重化原则配置。运行人员控制系统中的服务器、站局域网(IocalareanetworkLAN)等按双重化冗余结构配置,其余设备要考虑足够的串行冗余度,并确保任何单一设备故障不影响直流系统的正常运行。4)换流站设置有运行人员控制室。两端系统一般采用“一个站合并运维、一个站调度运行”模式,全站监控系统信息处理能力和容量应满足合并运行的要求。
6、5)换流站远动信息应直送国调(总调)中心、备调、网调、省调。远动信息传输采用双平面数据网接入方式。6)直流保护系统按三重化原则冗余配置,采用“三取二”跳闸逻辑,以保证直流系统保护的可靠性,确保不拒动不误动。交流滤波器保护一般采用双重化冗余配置,采用“启动+动作”的跳闸逻辑。7)直流系统的保护应确保每一装置或保护区域在任何运行方式下都能被正确地保护,任何单一元件的故障不应导致保护的误动。任何冗余的直流保护都应采取相应的防误动措施,但防误动措施不能依赖双重化保护的切换实现。保护每一重的测量回路、电源回路、出口跳闸回路及通信接口回路均按完全独立的原则设计。8)换流站通过网络安全监测装置采集换流站监控
7、层的服务器、工作站、网络设备和安防设备自身感知的安全数据及网络安全事件,实现对网络安全事件的本地监视和管理。2 DPS5000控制保护主机基于直流输电控制保护设计原则,结合十余年直流输电控制保护系统开发经验,研制了DPS5000紧凑型控制保护主机,相较于上一代的DPS3000直流输电控制保护主机,对处理器性能、总线及背板性能、标准接口设计和远程维护等进行了升级。2.1 紧凑型控制保护主机基于直流输电控制保护系统的需求,研制了标准4U的主机,以紧凑型极保护主机为例,机箱配置如图2所示。相较于DPS3000控制保护主机,DPS-5000控制保护主机在主机尺寸、背板总线性能、主处理器板卡、信号处理器
8、板卡、高速控制总线等方面的性能有了显著提升,具体对比见表1。序号对比项DPS-3000系统DPS-5000系统1机箱结构9U4U2背板总线标准背板总线IGbiVs的高速背板总线3主处理器板卡单核双核4信号处理器板卡单核(260MHz)主处理器板卡代替,双核5高速控制总线32Mbits300Mbits表1DPS-5000主机与DPS3000主机主要性能对比表除了以上方面的提升,DPS5000系统在标准接口设计、远程维护管理、系统构架、链路延时等方面也进行了升级,更能满足未来直流输电控制保护系统尤其是柔性直流输电控制保护系统的要求。2.2 处理器和总线性能提升DPS一5000控制保护主机主处理器板
9、卡服务处理单元(SerViCeprocessingunit,SPU)采用多核设计,处理器性能的提升减少了机箱中处理器的数量,进一步降低了功耗,控制保护主机采用无风扇设计,提高系统可靠性的同时也节约了屏柜空间。千兆级多节点串联高速时分复用技术(time-divisionmultiplexing,TDM)总线设计,支持多节点间超高速同步数据传送,千兆级点对点超高速控制总线设计,实现装置间超高速通信。研制超过IGbit/s的高速背板总线,block数据传输及阻塞特性均有大幅度提升。2.3 全面的标准接口设计dps5000控制保护主机同时具备以太网、Profibus控制器域网(controllerar
10、eanetwork,CAN)、TDM、高速控制总线集成闪存控制器(integratedflashcontroller,IFC)、IEC60044标准接口及高速串行高级技术附件(Serialadvancedtech-nologyattachment,SATA)硬盘接口等。通过这些接口,控制保护系统配置更加灵活,总体结构和信息通道更加优化,也能满足与换流站其他设备通信的接口需求。2.4 远程维护管理升级DPS5000控制保护主机在工程师工作站上实现对控制保护软件逻辑、保护定值、内部参数的查看、核对等工作,也可以通过专用的保护定值整定工具远程对保护定值、内部参数等进行整定、导出工作,提高了控制保护主
11、机的维护性,降低了运维成本。在运行人员工作站上可以实现对交流开关场、直流开关场、换流站控制楼和阀厅、就地继电器室、通信系统、直流线路、换流站站用电源系统和其他辅助系统等处的监控,以及同时具备与远方调度中心和其他监视点的通信接口。3 DPS5000控制保护系统设计方案依托研制的紧凑型控制保护主机,提出满足直流输电工程需求的DPS-5000紧凑型控制保护系统设计方案。3.1 DPS-5000控制保护系统整体结构DPS-5000控制保护系统采用分层式结构设计,根据控制级别和功能分为运行人员控制层、控制保护层、现场层三个层次,如图3所示。控制I ANl 控制LAN2 保护I AN-MttMMLANI-
12、T站控站间LAN2第三大Ia交於注波罂住妒第:大i交淮法波磔保护第四大批交谏gr站用电控M系统C33 eTIiliiil TTTT IlIIITf站用电支磨 WA17S0kV交渔场交流淀波器何厅、换渔攵Nffll倒V l.rmill快保2及 tIfUffzVBCt流站控Ij极控/保护站刈LANI ttftFJMAN2m保护及蒲量生制及网报11解AXB达行人员控制层图3紧凑型控制保护系统结构运行人员控制层由运行人员控制系统、站长工作站和全球定位系统(globalpositioningsystem,GPS)对时等设备组成。其中运行人员控制系统是运行人员控制层的核心设备,由运行人员工作站、工程师工作
13、站、辅助系统工作站等构成。控制保护层由极控及测量、阀控及测量(特高压直流)、交直流站控、站用电控制、极保护及测量、阀组保护及测量(特高压直流)等设备组成。DPS-5000的控制保护层不单独设置测量接口屏柜,测量接口装置和控制保护主机合并组屏。现场层设备主要由分布式的I/O单元构成,包括阀厅/换流变接口屏、直流场接口屏、交流滤波器场接口屏等,实现控制保护装置与交直流系统一次设备和换流站辅助系统的接口,一次设备状态和系统运行信息的采集处理和上传等功能。3.2 DPS5000运行人员控制系统配置方案运行人员控制系统采用Linux服务器和Windows工作站的跨平台设计,性能稳定、安全可靠、组态灵活、
14、接口友好、操作维护方便。主要由运行人员工作站、工程师工作站、辅助系统工作站、远动工作站等装置构成。D运行人员工作站。对交直流系统一、二次设备的运行数据进行采集和存储,并为运行人员提供监视和控制操作的界面。2)工程师工作站。实现对全站的控制保护主机软件程序版本管理、软件逻辑的查看、核对,也可以通过专用的保护定值整定工具远程对保护定值、内部参数等进行整定、导出工作。3)辅助系统工作站。通过辅助系统工作站,站内不同厂家的多种辅助系统的运行数据统一接入运行人员控制系统,包括火灾报警系统、空调系统、电能计量系统和站用电源系统等,统一在运行人员工作站对其运行状态进行监视。4)远动工作站。远动系统包括两个部
15、分,一部分通过远动工作站连接到多个调度中心,使用104规约按照约定的点表向各个调度中心传送数据,一部分通过告警图形网关把站内的告警信息和图形页面直接传送到国调中心。远动工作站采用直采直送原则,直接和控制保护主机连接并获取数据,然后上送到各个调度中心,告警图形网关连接到站服务器,向国调中心传输站内经过处理的数据信息。它们与调度中心都通过双平面数据网连接。3.3 DPS5000控制保护设备配置方案直流输电控制系统主要有极控制系统、换流器控制系统(特高压直流)、交/直流站控系统、站用电控制系统,控制设备均采用双重化冗余配置,通过高速冗余切换装置实现两套控制系统的主、从切换。直流输电直流保护系统主要有
16、极保护系统、换流器保护系统(特高压直流),均采用三重化冗余配置,通过三取二逻辑判断后输出动作信号,三取二装置采用冗余配置,分别配置在保护A/B系统中。DPS5000控制保护主机采用紧凑化设计,测量接口装置和控制保护主机合并组屏,例如极保护主机和极保护测量接口装置都放置在极保护屏柜中,一个特高压直流输电工程,可以节省36面测量接口屏柜,同时测量接口装置的IO板卡集成有继电器,可大幅减少屏柜内继电器数量,使屏柜设计更加简洁。紧凑型控制保护系统采用全光纤设计,控制主机、保护主机和三取二装置通过光纤通信。以阀控和换流器保护系统为例,全光纤式紧凑型控制保护设计方案如图4所示。图4全光纤式紧凑型控制保护设
17、计方案3.4 DPS-5000控制保护功能配置以特高压直流工程为例,对直流控制系统的功能配置进行介绍。1)极控系统主要功能。完成通信处理、电流定值计算和配合、阀组平衡控制、极功率、电流限制、极功率转移、低电压限流、电流裕额补偿、稳定控制等功能。2)阀组控制系统主要功能。完成通信处理、阀组起停、解闭锁时序、分接头控制、电压电流闭环控制(武汉站)、旁路开关、旁路隔离开关控制、联锁等。3)交流站控系统主要功能。完成通信处理、交流场开关控制与监视及中开关联锁逻辑等。4)直流站控系统主要功能。完成通信处理、无功功率控制、直流场控制与监视、双极层控制、稳定控制等功能。5)站用电控制系统主要功能。完成通信处
18、理、站用电开关控制与监视及备自投逻辑等功能。以特高压直流工程为例,直流保护系统包含的保护分区有换流变保护区、换流器保护区、极保护区和双极保护区。直流保护分区如图5所示。换流变压器区保护:绕组差动保护、引线差动保护、大差保护、小差保护、开关过电流保护、零序过电流保护、零序差动保护、过励磁保护、饱和保护、网侧过负荷保护、网侧过电流保护、过电压保护。换流器区保护:换流器过电流保护、阀短路保护、换相失败保护、换流器差动保护、换流变中性点偏移保护、换流器旁通对过负荷保护、换流器旁通开关保护、换流器直流过电压保护、换流器谐波保护。换流变换流器保护区保护区极保护区直流滤波器图5直流保护分区极区保护:直流谐波
19、保护、极母线差动保护、中性母线差动保护、极差保护、接地极线开路保护、交直流碰线监视、线路行波保护、线路突变量保护、线路低电压保护、直流线路纵差保护、直流过电压保护、直流低电压保护、中性母线开关(neutralbusswitch,NBS)保护、直流滤波器差动保护、直流滤波器电容器不平衡保护、直流滤波器电阻/电抗过负荷保护、直流滤波器失谐监视、直流滤波器高压电容器接地保护、高低端阀组连线差动保护、中性母线冲击电容器过电流保护。双极区保护:双极中性母线差动保护、金属回线接地保护、金属回线纵差保护、金属回线横差保护、站接地过电流保护、后备站接地过电流保护、中性母线接地开关(neuralbusgroun
20、dingswitch,NBGS)/大地回线转换开关(groundreturntransferswitch,GRTS)/金属回线转换开关(metallicreturntransferbreaker,MRTB)开关保护、接地极线差动保护、接地极线过负荷保护、接地极线不平衡保护。4实时数字仿真试验4.1 仿真试验系统实时数字仿真(real-timedigitalsimulator,RTDS)试验系统与实际工程总体结构保持一致,同样采用分层分布式结构,根据功能划分和控制级别分为运行人员控制层、控制保护层、现场层等三个层次,现场层通过光接口板、阀基电子设备(VaIVebaseelectronics,VB
21、E)接口盒等接入RTDS模型,控制保护主机采用紧凑化设计,控制保护主机与测量装置共用机箱,紧凑型控制保护仿真系统结构示意图如图6所示。i:用临r作站运行人员工作站RTDS模型将电流、电压等模拟量信号及开关位置等开关量信号通过光接口板输出到HSMD装置,HSMD装置将这些信号进行分类处理并转换成正C600448协议输出到各控制保护主机对应的测量接口装置,测量接口装置通过TDM协议将信号送到控制保护主机。DCSIM装置用于模拟交直流场的开关状态及换流变分接头档位,DCSIM通过现场总线(Profibus)与控制系统交互开关状态等信息,控制保护主机通过硬接线将开关动作等信号送到DCSIM,DCSIM
22、通过光纤将开关状态等信息送到RTDS模型,阀控通过电缆直接将触发脉冲送到RTDS模型,控制保护系统与RTDS模型构成闭环系统,共同构成紧凑化的直流输电控制保护仿真系统。参照某特高压直流输电工程典型参数搭建RTDS模型,通过RTDS搭建的仿真试验模型包括交流系统等值系统、换流变压器、交流滤波器、直流滤波器、双12脉动换流阀、平波电抗器、直流线路、接地电抗、电阻等元件。仿真模型搭建的主回路拓扑结构如图1所示,系统主要参数见表2。项目数值双极额定直流功率/MW10000额定直流电压kV800额定直流电流/A6250Sl额定交流电压kV530S2额定交流电压kV1050/525Sl总无功配置/Mvar
23、6665S2总无功配置/Mvar6510直流线路电阻额定值/C3.54Sl接地极线路电阻/Q0.74S2接地极线路电阻/C2.05表2特高压直流输电系统主要参数4.2 试验验证在搭建的仿真系统上共进行了300余项控制保护功能试验,试验结果表明基于DPS-5000平台的紧凑化直流输电控制保护系统的各项功能完全满足工程应用,部分主要性能指标见表3。主要性能项目实测参数指标参数直流功率控制误差/%0.81.0触发脉冲不平衡度0.010.02直流电流响应时间ms7090直流电流响应超调量/%28.330.0直流功率响应时间ms110150直流功率响应超调量/%28.430.0交流系统故障恢复时间ms1
24、20140表3控制保护系统主要性能参数图7为系统稳态运行的仿真试验波形,受篇幅限制,其余仿真实验结果不再列举。M2477.800工2477.200(或2476.6001三ll111W111IlhI7984601T怒整IWWAWWW燃用国州忡怖W坤螂叱H触删1178.131218.131258.131298.131338.131378.751198.131238.131278.131318.131358.13时间ms图7特高压直流输电系统稳态运行波形7所示,图中横坐标为仿真时间,纵坐标为各物理量的一次值。其中,UaC_A、UaJB、UaJC为网侧三相电压,Iac_A、Iac_B、IaJe为网侧三
25、相电流,P为直流功率。5结论本文介绍了我国直流输电控制保护系统的发展历程、国内外的研究现状。基于长期直流输电控制保护系统工程设计经验,提出了直流输电控制保护系统的设计原则,结合设计原则,研制了适用于直流输电系统的DPS5000紧凑型控制保护主机,主机具有体积更小、性能更优、运行更稳定的特点,基于DPS5000平台的软硬件特点,提出了直流输电紧凑型控制保护系统的总体设计方案,最后搭建了紧凑型控制保护系统仿真试验平台,完成了300余项控制保护功能试验,验证了紧凑型控制保护设计方案的正确性,为紧凑型直流输电控制保护系统工程应用提供了重要参考。直流控制保护系统网络安全分析与对策对直流控制保护系统的网络
26、结构进行了概述,归纳了其与站内/外其他系统互通的网络边界情况,并对其网络安全防护现状进行了总结;然后对直流控制保护系统网络中可能遇到的威胁进行了分析,并提出了合理、有效的提升改进对策。近年来国外频现针对电力系统的网络攻击事件。国内虽尚未出现类似的破坏性事件,但是小规模的电脑病毒感染事件也层出不穷。虽然目前这类事件都出现在交流系统中,但并不代表国内的直流输电系统亳无漏洞。直流控制保护系统是直流输电系统的大脑,一旦直流控制保护系统网络遭到侵入、设备反馈信息或控制指令遭到篡改而造成设备误动或拒动,将导致严重后果。为全面提升直流控制保护系统网络安全防护水平,需要对直流控制保护系统网络安全现状进行综合分
27、析,从技术、管理等方面分析存在的风险,并针对风险点提出改进建议。1直流控制保护系统总体网络结构目前国内的直流控制保护系统内部均可分成站控层、间隔层、过程层3层结构,如图1所示。各层设备之间通过不同的通信方法实现数据交互。站控层网络实现站控层设备和间隔层设备之间的通信,其主要包含数据采集与监视控制(supervisorycontrolanddataacquisition,SCADA)网、就地控制网,采用以太网方式;间隔层网络实现各控制保护主机之间的通信,采用以太网、快速控制总线、现场总线等方式;过程层网络实现过程层设备(接入遥测和遥信量)与控制保护主机之间的通信,采用以太网、现场总线、测量总线等
28、方式。图1直流控制保护系统网络构架示意图2直流控制保护系统网络边界情况当前,我国所有换流站生产系统的网络架构都可分为安全1区和安全2区两部分,其中安全1区为实时控制区,安全2区为非实时控制区。直流控制保护系统部署在安全1区,保信子站、一体化电源、电能计量等辅助系统部署在安全2区,如图2所示。直流技术中心调度数据网实时子网Cn纵向加密S纵向加密防火墙IlP KVMl程断锚远诊切警形关告图网远回保信子站SCADA系统流制性直控装ft保装流护置规约转换器或辅助系统工作站安全2区J图2换流站生产系统整体网络图1)直流控制保护网络站内边界直流控制保护系统与换流站内其他设备的通信通道包括:通过控制总线与阀
29、控、阀冷、故障录波等通信;通过规约转换器或辅助系统工作站与保信子站、电能计量、一体化电源等系统通信。2)直流控制保护网络站外边界直流控制保护系统对外与调控中心、直流技术中心、集中监视中心及对端换流站通信,共4个站外通信通道,详见表1。通道通道作用告警图形网关、远动工作站通过调度数据专网接入调控中心远程诊断工作站与告警图形网美通过专用通道I接入直流技术中心换流站SCADA系统通过站间她信或网络延伸接入对端换流站或集中监视中心直流控制保护装置与对端换流站直流控制保护装置间采用专用通道实时通信表1直流控制保护系统站外通信通道表3直流控制保护系统网络安全防护现状直流控制保护系统网络总体上能够按照结构安
30、全、网络专用、边界安全、本体安全的安全防护原则进行配置。站外通信方面,直流控制保护系统与调控中心、直流技术中心间的通信通道均配置纵向加密认证装置,直流控制保护装置和SCADA网络通过2M专用通道(未配置纵向加密设备)与对站通信;站内通信方面,安全2区电能计量、保信子站及一体化电源系统通过规约转换装置(未配置横向隔离设备)接入直流控制保护系统SCADA网络;系统本体安全方面,直流控制保护系统网络采用星型结构连接,采用私有协议,具有白名单注册等严格的数据校验机制和风暴抑制功能,可以保证数据传输安全可靠。4直流控制保护系统网络安全风险点分析结合直流控制保护系统网络安全防护现状,对存在的风险从攻击方式
31、、影响程度等方面进行综合分析,具体情况如下。1)风险一:监控工作站及部分系统平台采用WindoWS等国外操作系统风险点:换流站运行监控工作站及部分控制保护系统平台均采用Windows等非国产安全操作系统,无法完全掌握其安全漏洞和后门程序,目前虽然采取了接入管理、恶意代码防范等安全加固措施,仍存在被非法入侵的风险。攻击方式:利用非国产安全操作系统的漏洞,获取远程控制权限或利用U盘摆渡攻击等方式,植入木马或病毒,发送错误信息和控制命令;或通过逻辑炸弹、时间炸弹等方式进行攻击。影响:造成直流输电系统运行异常,极端情况下可能导致闭锁停运。2)风险二:直流控制保护SCADA网络外部通信安防措施不完善风险
32、点:换流站安全1区SCADA网络延伸至对端换流站或集中监视中心采用明文传输方式,且物理防护相对薄弱。部分直流工程为满足远方集中监控需求,在一端换流站配置远方运行人员工作站,实现对对端换流站的远方监视功能;部分换流站SCADA系统采用网络延伸方式连接到集中监视中心,实现集中监视功能。攻击方式:在远程通道上串入攻击装置,通过重放攻击方式发送错误信息或控制命令。影响:造成直流输电系统运行异常,极端情况下可能导致闭锁停运。3)风险三:换流站安全1区和安全2区安全隔离措施不完善风险点:换流站内安全1区与安全2区的网络连接未进行逻辑隔离。换流站内电能计量、一体化电源等安全2区系统接入安全1区的直流控制保护
33、系统网络,安全1区和安全2区之间未安装硬件防火墙等逻辑隔离设备,不满足“网络专用”安全要求。攻击方式:可利用安全2区主机作为攻击跳板向安全1区传播病毒、木马,采取伪造攻击、重放攻击等方式向直流控制保护系统发送错误信息。影响:导致直流控制保护网络无法正常运行。4)风险四:站间监视信息交互采用网络通用协议传输风险点:部分换流站SCADA网络站间通信采用104规约的明文传输,相互传输直流场遥测和遥信信号,不满足“纵向认证”要求。攻击方式:在远程通道上串入攻击装置,对站间通信的遥信及遥测数据进行窃听或篡改。影响:对站监视数据无法正常显示,直流运行数据、设备参数等敏感信息泄露。5直流控制保护系统网络安全
34、提升对策针对当前直流控制保护系统网络的安全现状和特点,安全防护提升思路可以考虑从以下几个方面进行。1)加快推进基于国产安全操作系统的换流站监控系统的实施,积极落实软硬件的国产化,逐步完成在运换流站监控系统改造,夯实换流站的网络安全基础。2)强化换流站基建阶段网络安全管控,制定完善的标准规范;工程投产前开展网络安全等级保护测评和风险评估验收工作,确保国家关键信息基础设施网络安全相关要求落实到位。3)取消换流站内监视对端站的工作站并断开网络连接;取消部分集中监视中心以网络延伸方式监视换流站的工作站,并断开网络连接;因为运维原因确有监视需求的,建议改造为IPKVM(keyboard-video-mo
35、useoverIP)方式,并在通信线路增加纵向加密装置;对于采用104规约明文传输数据的换流站,在站间SCADA网络连接通道中加装纵向加密装置。4)完善换流站内不同安全区业务间的隔离和访问控制措施,实现监控系统内部各区域间逻辑隔离或物理隔离,避免网络入侵和信息泄露风险。例如,换流站都有通过规约转换器或辅助系统工作站将保信子站、电能计量、一体化电源等安全2区系统接入安全1区控制保护网络,从而通过SCADA系统实现一体化监控的设计,应当在规约转换器或辅助系统工作站与直流控制保护网络之间增加防火墙,以实现网络隔离。部分换流站还存在将安全1区的阀基电子设备通过规约转换器或辅助系统工作站接入SCADA系统的设计,对此,应该更改设计,将阀基电子设备直接接入SCADA系统,若技术上确有困难,无法直接接入,应增加一台安全1区专用规约转换器或辅助系统工作站,以用来将阀基电子设备等安全1区装置接入SCADA系统,从而保证网络隔离,专网专用。6结论直流控制保护系统的网络安全防护工作不可能一蹴而就。随着直流控制保护技术的发展和换流站运维需求的变化,随时可能有新的系统接入直流控制保护系统网络,从而产生新的网络边界和安全风险点。行业内相关人员应该时刻保持网络安全防护意识,在开展业务工作时充分考虑到可能存在的网络安全问题,并及时从管理措施和技术措施上加以解决,才能保障直流控制保护系统的正常运行。
链接地址:https://www.desk33.com/p-1203922.html