电力调度数据网安全技术及其应用 田日升

电力调度数据网安全技术及其应用田日升

发表时间：2019-03-27T10:57:08.523Z 来源：《电力设备》2018年第29期作者：田日升[导读] 摘要：以往相对传统的电网模式，已经不能适应当前电力资源需求不断增加的实际特点，传统电网容易出现各种安全问题，也不符合人民群众高质量用电服务的新需求。

（国网山西省电力公司天镇县供电公司山西大同 037025）摘要：以往相对传统的电网模式，已经不能适应当前电力资源需求不断增加的实际特点，传统电网容易出现各种安全问题，也不符合人民群众高质量用电服务的新需求。伴随着电力行业技术的发展，电力调度数据网安全技术则发挥了很好的作用，对于保护数据的安全、完整，进而帮助调整电力行业发展政策都具有非常好的作用。

关键词：电力调度；数据网；安全技术；应用 1电力调度数据网的安全风险影响因素 1.1物理媒质层

物理媒质层包括光缆、传输设备等设施。目前SGDnet以OPGW电力光缆为主，光传输设备的风险因素可以分为硬件和软件两部分，物理媒质层的风险因素包含在OPGW光缆和传输设备当中，而设备本身分为硬件和软件两部分，设备运行环境的风险因素包括机房环境及站点受自然灾害的影响，设备运行支持系统的风险因素包括用于配置及供电系统。

1.2传输层

（1）光传输设备的影响因素第一，供电能源：光传输设备供电能源是否拥有较高的可靠性，对光传输设备的失效概率具有决定性作用。第二，光纤接续损耗：光纤接续损耗受光纤连接质量、光纤连接环境直接影响。第三，环境温度：温度对光纤传输设备的阈值等参数有直接影响。第四，光功率传输损耗：匹配状态下，光纤传输设备的输入功率能减少损耗。第五，自然灾害：自然灾害会破坏光纤传输设备，进而增加信号中断或衰减的风险。

（2）光链路

光链路的风险因素是光缆和光传输设备影响因素的集合。

1.3网络拓扑层

（1）网络的分层 SGDnet采用了分层式PE技术来部署MPLSVPN，使得不同网络层次对设备的要求不同，即：核心层设备对于业务的转发、路由和QoS参数等要求高，接入层设备对于业务的转发、路由和QoS参数要求相对较低。该技术的优点是在边缘场站的路由也可以部署VPN，且相对于所有层次设备性能相同的情况，降低了投资费用。文献针对不同层设备具有不同数据处理能力进行了建模研究，研究表明核心层节点和高介数线路对数据传输有较大影响，其故障会导致传输性能出现恶化和信息拥塞。

（2）网络的结构

结合实际系统，SGDnet可以分为星型和网型2种典型网络结构。星型网络结构中核心层的省调和备调直接相连，汇聚层的地调分别与核心层的双节点进行连接，接入层节点也采用双归的形式连接到相应汇聚层节点；网型结构的连接形式与星型有所差别，其汇聚层节点以环形或网状相连后再与核心层节点相连，接入层节点则大部分双归至所属汇聚层节点。有关文献通过对比分析调度数据网中的经典网络结构，得出结论表明调度数据网的结构对网络的安全指标（可靠性、脆弱性）有较大影响，具体表现为：星型结构较网状结构能更好的缓解信息拥塞程度，传输性能表现更好；在遭受攻击后，星型结构比网状结构显示出更严重的恶化程度，有较强的脆弱性；星型结构较网状结构不易发生连锁故障。

（3）SGDnet二平面建设在单一路由平面的网络中，大多业务采用单机方式支持，虽然部分业务为提高网络可靠性采用双重化设备支持，但由于单平面承载的限制，设备双重化率的增加导致了系统与设备耦合度的提高。因此一旦发生故障，网络的可用性受到影响。双平面网络由于平面间的相对独立性，通过与业务层面的配合，业务可通过正常网络平面实现转发，可有效规避上述问题对业务的影响。因此，调度数据网络第二平面的建设，能够有效提升承载业务的可靠性和业务保障能力。

1.4业务组织层

在区域内的调度数据网中，存在着数量较多的路由器，网络拓扑错综复杂。在网络内组织业务数据进行传输，若出现链路或节点故障，会对业务造成风险影响。因此，在调度数据网的业务组织层中，主要存在着两种保护方式：（1）OSPF协议的应用在调度数据网中，一旦出现链路或节点设备故障失效的情况，需要将拓扑的变化情况发送至区域内路由器中，若不能及时将路由器内的路由信息进行更新，则会造成业务的中断。OSPF协议具有快速收敛能力，能够及时将拓扑的变化信息发至全网，且通过运算得到新的路由路径。但由于OSPF协议通过自身算法得到最短路径时只考虑了路由器接口带宽，不能较全面的覆盖承载业务的QoS。因此，路由协议的应用是业务传输风险的重要因素。

（2）路由冗余

在链路或节点设备发生故障时，路由器根据路由协议会进行路径的转换，从而保护业务的正常运行。同时，在网络建设方面，调度数据网在建设时大部分节点间配置了两条链路，主要目的是为了在其中一条链路失效后，另一条能够承担其全部功能，从而实现路由的自我调整。因此路由冗余是十分必要的。由于路由冗余的存在，导致业务传输存在三种主要形式，分别为：单路径业务，使用一条业务路径实现传输的业务；完全双路径业务，使用两条完全不相交的业务路径互为备用，共同实现1+1保护传输的业务；部分双路径业务，利用两条部分不相交的业务路径互为备用，共同实现1+1保护传输的业务。调度数据网的业务风险从网络拓扑入手，由于OSPF协议存在不确定性，计算得出的路由路径可以规划为其备用路径。 2电力调度数据网安全技术及其应用 2.1网路设备安全

网路基础设施安全是电力调度数据网安全的基础，因此非常有必要完善网络设备安全管理模式，提高设备安全性。主要包括：①增强物理安全，严格遵守相关法律法规和安全规范，保证机房建设安全可靠，严格做好防火、防水、防盗工作。机房必须保证能够为调度数据稳定电源，保持静电接地，具有防范电路截获，防电磁防放射功能；②保护网络设备上的账号安全。不断改进和完善用户管理制度，实行分账管理模式，确保设备控制的安全。例如，在每一级保护功能处设置口令和重要配置，禁止优先级较低的用户擅自更改设备。高优先级模式下必须设置访问密码，控制网段访问列表，禁止未登记用户名访问，同时重新设置账号中的加密存储口令、弱口令等；③保证配置安全，定期升级操作系统，严格检查配置文件的完整性，定期保存配置文件并及时进行备份，避免监控系统出现漏洞时，威胁到电力调度数据网。

2.2对VPN和虚拟局域网进行有效隔离

从理论上来看，按照一定的标准要求对虚拟局域网进行科学有效的划分，可以实现对电力调度数据网的有效逻辑分隔，从而将其划分成为了一个个相互不影响的子网网段，一旦其中一个网段出现问题，不会影响到其他的网段安全，这也把问题发生后的影响降到了最低。

2.3安全访问与恶意代码防范

通过有效控制访问敏感数据，可保证访问的安全性。按照实际需求，可使用VTY线路，来限制SSH用户的访问，或者是用TELNET登录方式代替SSH方式。或者严格控制网路协议流量、访问列表，限制非授权用户对SNMP的访问。随着电力调度数据网的不断完善，其网络设备更加智能化，便于对IP原路由功能进行操作，并且可直接屏蔽病毒常入侵的网络端口，或者是非业务系统端口。使用TCP连接或者是TCPkeepalive服务来监控路由，防范恶意代码入侵。

2.4应用接入安全

Web认证、MAC地址认证和802.1x认证是电力调度数据网常用的集中终端授权访问控制的方法。Web认证的方式比较便捷，无需安装复杂的软件，但其认证系统存在较大的安全隐患，容易出现网络堵塞，因此Web认证的安全性能一般。MAC地址认证比较简单、有效，但需要对所有用户的MAC地址进行记录，因此不适合用户较多和移动终端的情况，且其维护和配置都相对复杂。802.1x认证是一种认证策略，其具有逻辑端口和物理端口的双重性质，能够对认证端口进行辨别，除了802.1x的广播报文和认证协议，不允许其他端口通过。在实际应用过程中，可以根据电力调度数据网的实际情况来选择合适的认证方式，实现电力调度数据网的应用接入安全。

参考文献

[1]白茂楠.阿拉善供电公司电力调度数据网设计与实施[D].华北电力大学,2017.

[2]黄国伦.电力调度数据网网络安全管理系统设计[D].华北电力大学(北京),2017.

[3]高云.南昌地区电力调度数据网组网研究与提升设计[D].南昌大学,2015.