运用无线网络,实现新能源电厂信息安全接入的新模式
★中国电工技术学会出品★
面向能源互联网的智能配电系统与装备
阅读会议通知,请戳下面标题
分析智能配电系统发展趋势
研讨配电物联网对装备制造业的挑战和机遇
参会注册,请识别下方二维码
国网温州供电公司的研究人员赖欢欢、黄佳佳等,在2019年第3期《电气技术》杂志上撰文(论文标题为“基于无线网络的新能源电厂安全接入平台研究”),针对当前电力监控系统中新能源电厂信息接入存在的问题及安全隐患,设计一种基于运营商无线网络的新能源电厂安全接入平台。在电力监控系统与新能源电厂间实现透明的数据摆渡,综合电厂数据采集传输和信息安全防护告警功能,有效提高电网运行可靠性,提升企业运行管理水平。
随着现代工业的快速发展,全球能源危机和环境污染问题日趋严峻。近几年光伏及风能等清洁能源发电厂凭借其污染少、技术成熟、建设快、占地面积小、能源可再生等特点在国内得到快速发展。但由于新能源具有间歇性的特点,例如光伏电厂的输出功率随光照强度变化而波动,如不掌握它的实时发电信息,其并网后功率波动带来的电网频率偏移及频率稳定问题必将对电网调度运行、负荷预测、发用电平衡产生重大影响,因此实现对并网新能源电厂的运行数据监测迫在眉睫。
本文设计并实施一种基于运营商无线网络的新能源电厂安全接入平台建设方案,为电力监控系统中新能源电厂的信息接入提供一种行之有效的安全接入新模式。
1 新能源电厂信息接入现状
当前,电力监控系统中新能源电厂的信息采集工作仍然存在许多问题,制约着新能源电厂的安全并网:
1)光伏及风能等新能源发电厂存在投资规模小、上网电量低、数量多、分布范围广、通信基础薄弱、铺设电力通信光缆成本高等问题,需要大量的人力与物力来实现对电厂运行数据的远程监测和运行维护。
2)随着信息网络技术与电力系统不断融合,网络安全已成为能源电力安全的重要组成部分。然而多数新能源电厂存在安全防护体系不健全,电厂与电力监控系统的信息安防策略有差异等情况,直接采集电厂信息会破坏电力监控系统安全防护体系,严重威胁电网的安全运行。
2 安全接入平台设计与实现
2.1 设计目标及原则
本文严格遵照《电力监控系统安全防护总体规定》及系列配套方案的要求,综合考虑技术、经济、安全、可行性,提出一种基于运营商无线网络的电力监控系统安全接入平台建设方案,主要目标是解决基于运营商无线网络的新能源电厂信息接入安全问题,全面提高电力监控系统安全防护体系接入能力和访问控制能力,实践适用新能源电厂信息接入的电力监控系统安全防护新模式。
平台采用独立建设的原则,以“安全分区、网络专用、横向隔离、纵向认证”为指导方针,结合国家信息安全等级保护的基本规定,最小限度的对电力调度现有业务系统进行改造。不与电力监控系统共用现有软硬件设备,以网关的形式实现透明的数据摆渡,将新能源电厂并网对电力监控系统影响降到最低,保障电网安全稳定运行。
2.2 平台架构
安全接入平台整体架构可分为调度主站端安全接入区、运营商无线网络传输通道及电厂端安全接入区三部分。调度主站端安全接入区负责数据加密认证、采集传输、安全接入区各边界防护及平台内部的安全监视功能;运营商无线网络作为通信载体负责数据的远程传输;电厂端安全接入区实现电厂数据采集传输和加密。具体架构如图1所示。
2.3 工作原理
1)调度主站端安全接入区
调度主站端安全接入区为电力监控系统生产控制大区和管理信息大区配置独立的两路通道。生产控制区通道主要负责新能源电厂实时业务信息采集;管理信息大区通道负责气象、环保及电厂非实时业务等信息采集。
调度主站端安全接入区部署数据采集服务器、边界网关机、电力专用横向单向隔离装置,纵向加密认证装置,日志审计系统及入侵监测系统等设备。功能如下:
(1)数据采集服务器作为前置机,对安全接入区内部网络执行统一的与电力专用横向单向隔离装置适配的通信规约机制,对外部执行不同业务的采集规约机制。
图1 安全接入平台整体架构图
(2)电力专用横向单向隔离装置提供安全接入区和电力监控系统生产控制大区、管理信息大区的数据交互防护功能。
(3)数据传输边界网关机部署在电力专用横向单向隔离装置两侧,对数据进行文本格式和网络数据流格式之间的转换。
(4)纵向加密认证装置部署于安全接入区纵向外联通道的边界,实现通道业务的加密与认证,其外部接入网的纵向加密认证装置统一使用调度数字证书。
(5)入侵防御系统对无线公网接入数据进行方向性检测及数据行为分析,及时阻断来自外网的恶意攻击行为。
(6)日志审计系统实现对安全接入区内所有服务器、交换机、网络安全设备的日志,进行分类、保存、查询、分析并告警。
2)通信载体
电厂至电力监控系统的传输通道选择运营商无线APN专网通道(3G/4G),无线网络链路和终端接入通道均由运营商提供并负责运维,电力信息通信公司负责租用。新能源电厂大多位置偏僻,采用运营商无线网络作为数据传输载体,具有通道建设成本低、安装灵活、运行维护简单、数据传输可靠等优点,可大幅降低新能源电厂信息接入成本,提高信息传输通道灵活性和稳定性。
3)电厂端安全接入区
依据《电力监控系统安全防护规定》及系列配套安全防护方案的规定,为简化电厂安全接入区网络架构,降低电厂安全接入平台建设及维护成本,电厂侧的安全接入区不再进行安全分区部署。
厂站侧依次部署无线加密终端、前置网关机、正向隔离装置和电厂监控系统边界网关机。具体架构如图2所示。
图2 电厂端安全接入区架构
电厂监控系统边界网关机负责汇总需要采集的数据信息,采用E语言文件形式,包含遥信、遥测数据和电量信息,遥控等控制类数据不通过此通道传输。电厂监控系统边界网关机上部署安全传输软件(客户端),安全传输软件(客户端)负责将文件传输到电厂安全接入区的前置网关机。
正向隔离装置采用电力专用网络安全隔离装置,负责将电厂监控系统和安全接入区隔离开,并提供文件安全传输的通道,即电厂单向上点传递点表信息给电力监控系统。前置网关机采用安全传输软件(服务端)接收边界网关机发送的点表信息,并将这些信息以E语言文件形式上传至调度主站端安全接入区。
无线加密终端是一款集成了无线模块的纵向加密认证装置,其具备数据安全加密认证、路由转发等功能。终端内置一张运营商电力专用VPN的SIM卡,装置WLAN口绑定固定IP地址,自动拨号接入运营商的电力无线VPN。加密终端采用电力专用密码芯片,支持SM2算法。
4)网络技术体制
安全接入平台网络采用MPLS L3VPN网络技术体制,采用ISIS协议作为Global IGP协议。采用BGP协议通告各VPN间的路由保证VPN间互通、隔离。采用MPLS转发机制进行业务流量转发[10]。
3 应用
安全接入平台已在温州电力调控中心得到实际应用,温州华润光伏电厂已成功通过安全接入平台接入电力监控系统,实现遥信、遥测信息的采集。根据电力监控系统主站端接收文件测试结果得知,电厂使用的无线加密终端密文吞吐量与网络延时依赖于运营商网络情况,吞吐量约为150~200kB/s左右,网络延时小于800ms,均达到数据传输要求。
3.1 业务及终端接入流程
为确保业务及终端接入的可信性,保障安全接入平台安全稳定运行,对调度主站系统业务及电厂侧无线终端接入采取严格的审核管理措施,制定了业务接入申请流程和终端接入申请流程。
1)业务接入申请流程
调度某业务系统需要通过安全接入区采集电厂数据,由业务系统负责人发起新业务系统注册申请,分别经市公司信息部门、省公司业务部门及省公司信息部门审批通过,然后在调度各专业进行注册并做好安全策略配置后可取得业务名称与业务ID。流程如图3所示。
图3 业务接入申请流程
2)终端接入申请流程
当某电厂申请接入安全接入平台,由电厂无线终端使用责任人发起安全接入申请,分别经市公司业务部门、信息部门及省公司信息部门进行审批通过后,进行SIM/UIM卡及安全产品采购,终端软件需要交付国家权威安全部门经安全监测通过,并做好相关安全策略配置。且无线终端只能申请访问已经在安全接入平台上注册过的业务系统。流程如图4所示。
图4 终端接入申请流程
3.2 经济效益
以华润光伏电厂为例,从通道建设、运维两方面进行统计。
1)通道建设
采用基于运营商APN网络的安全接入平台建设方案,主站端和厂站端硬件采集成本仅为52万元,见表1。考虑厂站侧的无线加密终端GPRS的流量开销约为150M/月,依据当前三大运营商的平均专网资费40元/G/月计算,主站与厂站之间的通信信道租金仅为480元/年。
然而传统的模拟专线采集方案,通道建设涉及调制解调器、音频配线架(VDF)、主站侧光电一体化设备、厂站端光电一体化设备、电力通信光缆建设等成本,总价高达270余万元。
表1 安全接入平台建设成本统计
2)运维成本
传统的模拟专线采集方式,每年电力光缆的维护费用花销不菲。但是基于运营商APN网络的安全接入平台建设方案,在租用运营商通道网络节省了大笔通道维护费的同时,厂站端网络、安防设备的配置及维护可通过调度主站端纵向加密装置管理中心统一运维,明显降低电厂建设成本及技术人员配置要求。
电力监控系统安全防护保障工作是极其复杂的系统工程,电网及发电企业的电力监控系统通过网络组成一个庞大而复杂的整体,安全接入平台的成功应用有效解决了基于无线网络的电厂信息接入安全问题,显著提升电力监控系统网络安全事件处置能力。同时也为调度部门科学安排电厂运行方式提供有力数据支撑,有效控制电网生产运营风险。
该平台若能在新能源等非统调并网电厂全面推广应用,则将极速推进新能源并网消纳,从建设、运维成本等方面为发电企业与电网公司创造巨大的经济效益。