水电厂集控中心网络监控与安全防护的研究及分析

【摘 要】本文主要探讨了水电厂集控中心网络监控与安全防护的相关问题，研究了如何提升水电厂集控中心的网络监控水平和安全防护质量，如何构建更加有效的监控防护体系。 【关键词】水电厂，集控中心，网络监控，安全防护

前言:水电厂集控中心网络监控与安全防护极为重要，只有做好了网络监控工作，并积极从安全防护的角度出发，才能够真正提升安全防护的效果，确保水电厂集控中心的运行稳定性。 1、水电厂集控中心监控系统的结构和功能

1.1总体构架。为了保证各发电站在无值班人员的情况下也可以安全稳定的运转，集控中心的监控系统必须保证自身的稳定、安全、实用以及技术的先进性等特性，发挥其远程控制核心的作用。因此，其总体结构必须满足以下条件：①分布式结构。集控中心的监控系统的构成是建立在各个网络节点机组成的监控系统网上，其采用分布式结构，确保每一个网络节点机出现故障后，其只能够影响该网络节点机所管理的区域，对于整个流域梯次电站群系统没有任何影响，大大增加了安全性和稳定性；②冗余结构。随着目前以太网技术的不断创新发展，在集控监控系统设置内网时需要利用组网较简单、结构较清晰的双星型快速交换式以太网。同时，在各主要功能节点上采取双机冗余的模式，这样做可以有效提升监控系统整体的稳定性、操作简便性以及维护简便性等；③开放式结构。由于目前在流域发电站群的建设是采取分期建设的形式，因此集控中心的构建也采用滚动式构建模式。

1.2主要组成部分及功能。为了让各流域水电厂的远程监控及优化能够达到预期的标准，对于集控监控系统的各网络节点的建设必须包含服务器搭建、历史数据库的建设、通讯网络建设以及操作站建设等。其核心在于建立双局域网，以此保证了各节点机能够分担功能，数据能够分散保存。同时，各节点机系统间相对独立并且地位平等，以免在后期系统扩充时对原系统造成过大的影响。 1.3辅助服务功能结构。

①时钟同步功能。在建设集控监控系统时，必须在其内部设立一个冗余高精度时钟同步装置。该装置的主要作用在于辅助各节点机调整时间，确保整个系统在时间上的同步性。同时，根据二次安全预防规则，时钟同步装置应与GPS和北斗卫星进行连接，以保证两套互相对立的对时系统。

②工程师站。整个系统需要配备至少一个供工程师进行维护的站点，其是当系统在出现故障和维护时将其作为人机接口。它的主要作用是实现系统的远程维修、启动，软件的升级、开发和修改，数据库的传输和维护等，辅助工作人员完成相关管理维修工作。

③ON_CALL功能。这是一个全新的利用移动通信端口，以短信的形式向外部发出预警信号，报告当前系统监控到的事故、故障以及危险情况，让维修人员能够第一时间掌握预警信息，做出最快的反应，减小损失率。

④数据发布功能。为确保监控系统内各子系统间的数据交换和统计，数据发布功能监控系统必备的一项功能。其可以通过两台以下冗余的接口服务器，将各发电站内的实时数据进行Web发布，同时利用安全系统保证数据交换时不会丢失或泄露。 2、集控中心网络面临的安全威胁

随着电力改革的推进和电力市场的建立,要求在集控中心、调度中心、电厂之间进行的数据交换也越来越频繁,集控中心监控系统不再是一个封闭的环境。集控中心网络安全威胁主要来自集控中心所连接的外部网络,在通信网关和电力调度数据网的网络边界,存在来自远程非法入

侵的威胁；在监控系统网络和其他系统连接的边界存在非授权入侵和病毒传播的威胁；在集控中心和流域各电站访问连接建立期间,存在非授权者非法登录,对集控中心监控系统或流域各电站监控系统进行攻击的威胁。这些威胁主要表现为:

1)入侵者通过旁路控制对梯级电站发送非法控制命令,导致电力系统事故,甚至系统瓦解； 2)非法截获或篡改集控中心和其他系统之间传输的控制命令、参数配置等信息；

3)非法中断集控中心和流域各电站的通讯,使集控中心无法了解电站的运行工况,集控主站的控制命令也无法正确执行。 3、系统安全防护配置 3.1二次防护总体策略

1）安全分区：根据二次系统各业务系统的特性和对一次系统的影响程度进行分区，原则上划分为生产控制大区和管理信息大区，所有系统都必须分置于相应的安全区内，纳入统一的安全防护；重点保护实时控制等关键业务。主服务器/工作站采用安全加固的操作系统。 2）网络专用：建立专用电力调度数据网络，与电力企业数据网络实现物理隔离，在调度数据网上形成相互逻辑隔离的实时子网和非实时子网，各级安全区在纵向上在相同安全区进行互连。所有系统都必须置于相应的安全区内，纳入统一的安全防护。

3）横向隔离：采用不同强度的安全设备隔离各安全区，尤其是在生产控制大区与管理信息大区之间实行有效安全隔离，隔离强度接近或达到物理隔离。分别建立内网、外网公共数据区，内网公共数据分布于数据接口服务器，外网公共数据分布于数据交换平台。

4）纵向认证：采用认证、加密、访问控制等技术措施实现数据的远方安全传输以及纵向边界的安全防护。 3.2基本策略

主服务器采用UNIX操作系统。所有系统都置于相应的安全区内，纳入统一的安全防护。分别建立内网、外网公共数据区，I、II区公共数据分别由I、II横向通信服务器向外区其它系统通信。内网、外网配置网络防病毒系统。在各安全区部署基于网络的入侵检测系统，网络入侵检测系统是专门针对黑客攻击行为而研制的网络安全设备，它通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象，可以实施对网络攻击及违规行为的监测与响应策略。在生产控制大区与广域网的纵向交接处设置经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施。生产控制大区中的重要业务系统采用认证加密机制。 4、系统安全防护功能 4.1主机加固

主机加固方式通常包括：安全配置、安全补丁、采用专用软件强化操作系统访问控制能力以及配置安全的应用程序。目前主要采用第三方公司推出的操作系统安全加固软件，这种方式在电力二次系统中有成功应用案例。水电厂集控中心在数据服务器和历史数据服务器采用深圳椒图的安全加固的操作系统。采用加固软件可以实现文件访问控制、登录服务控制、网络控制、资源共享管理、注册表访问控制、完整性检查等等。 4.2防火墙

防火墙系统是不同网络或网络安全域之间信息的唯一出入口，水电厂集控中心在本工程安全区Ⅰ、与安全区Ⅱ之间配置2台深圳华为硬件防火墙，可根据安全策略(允许、拒绝、监测)

控制出入网络的信息流，其本身具有较强的抗攻击能力。网关、防火墙系统可以限制外部对系统资源的非授权访问，也可以限制内部对外部的非授权访问，特别是限制安全级别低的系统对安全级别高的系统非授权访问。 结束语

综上所述，为了能够真正有效提升水电厂集控中心网络监控的效果，并且积极做好安全防护工作，我们必须要对今后的水电厂集控中心网络安全进行严格监测，并积极采取有效的防护措施。 参考文献

[1]鹏程,魏志鹏,万元.五凌集控计算机监控系统关键技术[J].水电站机电技术,2015,03:67-69+73+128.

[2]杨非,戴承栋,李东风.水电厂二次自动化系统安全防护的设计与研究[J].水电厂自动化,2015,03:46-50+54.

[3]谌斐鸣,陈曙东,汪涛.流域梯级集控及水电厂智能化建设规划初探[J].水电站机电技术,2015,09:61-64.