当前位置:首页 >> 电力/水利 >>

应用电力调度数字证书技术保障电力生产数据安全


维普资讯 http://www.cqvip.com

广西电力 

20 0 7年 第 4期 

应用电力调度 数字 证书技术 保障 
电力生产数据安全 
App i a i n o   g t lCe tfc t   c i u  n Po r Di p t hi   lc to   f Di ia

  r i i a e Te hn q e i   we   s a c ng

t   a e u r   t   fElc r c Po r Pr d c i n o S f g a d Da a o   e t i  we   o u to  

李  劲 
L  i  I n J
( 广西电力调度通信 中心 , 广西 南 宁 502 ) 30 3 

摘要 : 介绍广西 电网利用 电力调度数 字证 书技术 , 过 s L X 0 通 s , 5 9等技 术手段 实现发 电购电计 划 、 电指标 等 电力生产  供

数据的安全传输 , 同时提 出了统一广西 电力 调度数 字证书系统建设设想 。  
关键词 : 电力 ; 全生 产 ; 安 数据安全 ; 字证书  数 中图分类号 : Tm 3 文献标识码 : 文章编 号 : 6 1 3 0 2 0 )4 0 2 3 B 1 7 —8 8 (0 7 0 —02 —0  

1 引 言   
随着电力生产现代化步伐不断加快 , 电力系统对  二次系统 的依 赖 性也 不 断增 强。二 次 系统 的控 制 要  依靠生产指令数据及时、 准确地进行传送 , 由于在调  度 中心 、 电厂及 用 户之 间进 行 的数 据交 换 越 来越 多 ,   在传输过程 中, 如何防止数据被篡改、 伪造 , 避免不安  全因素导致 电力系统事故 , 引起 了各方面的高度重  视。国家经贸委第 3 0号令《 电网和 电厂计算机监控  系统及调度数据网络安全防护规定》 和电监会 5 号令  《 电力二次系统安全防护规定》 等一系列政策及文件  也对保护电力生产数据安全提出了要求。广西电网   位处南方电网腹地 , 安全生产工作的好坏不仅事关广  西经济社会发 展大局 , 同时也事 关南 方 电网西 电东送  大通道的安全。为了保障电力生产数据的安全 , 广西  电网针对电力生产的实际需要, 做了一些有益的研究  及 实践 , 着重介绍广 西 电网利用 电力 调度数 字证  本文 书, 保障电力生产数据安全传输的工作。  

力 生产 信息 , 电厂获 取 的方 式是 远 程 拨 号 到 调 度 中 

心, 访问调度中心网页的形式。厂网分离后 , 电厂用  户 仅通 过用 户名 和密 码 的简单验 证手 段来 获取 发 电  计划 , 出现 了个别 电厂违规 获取 其它 电厂发 电计划 ,   扰乱调度方式安排的事件 ; 同时还 因缺乏合适的数  据 接 收确认 手段 , 在 着 个别 用 户 拒 不 执 行 调 度 发  存
电计划 的安 全 隐患 。  

在数据横向( 电网公司内部 ) 交换上 , 发购电计  划 及供 电指 标等 数 据 , 源 于安 全 Ⅲ 区 的管 理 信 息  来 系 统 … 其 目的地是 由安 全 区 工区 的调 度 自动 化 系  1, 统 中的 自动发电控制( ( ) A) 等控制其应用 , C 这种从  低安全区往高安全区进行数据传输 , 存在着数据被  伪 造 或数据 被篡 改 的重大 隐患 。   针对安全需求 , 调度及其他用户单位之 间进行  数据交换 , 一方面需要在传输过程 中将数据进行必  要 的加密 , 确保 数 据 不被 窃 听、 取 和 篡 改 ; 一 方  截 另
面要求 用 户 对 数 据 的浏 览 及 编 辑 都 必 须 有 严 格 授 

2 存在 问题及对策分析 
电力 生 产 数 据交 换 的 结构 一般 呈 星形 , 主要 包 

权, 获取授权的手段 除了用户名和密码这些普通验 
证手段之外 , 还需要有 高强度的数字证书来做数字  签名 ; 第三 , 由于调度 中心应用系统和其他单位应用 
系统数 据直 接交 换 的需 要 , 了颁 发 针 对 用 户 的 数  除

括电网调度机构与多个被调度单位之间的数据交换  及 调 度机 构 内部 的数 据单 向传输 交 换 。在 20 03年  以前, 数据的纵 向( 电网公司一 电厂 ) 交换 , 如广西 电   网发布发购电计划 、 开停机计划、 机组检修计划等电  
收稿 日期 :0 7 3—2 ; 回 日期 :0 7—0 2 0 —0 6修 20 4—2  3

字证书之外 , 还需要对应用及设备颁发数字证书。   文献[] 1介绍了认证和密钥分配协议在 电力系统 

维普资讯 http://www.cqvip.com

20 0 7年第 4期 

广 西电力 

2  3

应用的优点 , 同时也指出其费用高的缺点 。但是针对  发购电计划管理的纵向应用 , 调度中心服务器及各单  位用户的操作系统普遍采用 Wi o s n w 操作系统,   d 其内 嵌 了 S LScrSce ae) 议 的服 务器 (I .  S (eue okt yr协   L I 50 S 及 以上 ) 客户 端 ( 55及 以上 )使 成本 问题 得 到  及 m . , 很好的解决, 易于投入实际应用 。横向应用则可 以部  署 电力 专用反 向隔离装 置来达 到防护 目的。  

证书和用户名、 口令联合认证确保用户是合法的, 最 

后才将该用户应该看到的信息交给用户 。   3 2 利 用反 向隔离装 置 实现横 向调 度数字 证书  .
反 向型 电力专用 网络安全 隔离装 置( 向隔离装  反

3 利用调度证 书系统确保数据安全 
根据 运 行 统计 数 据 显 示 , 目前 的 电力 内部 网络 

置) 是位于调度数据网络与公用信息网络之间的一个  安全防护装置 , 用于管理信息区往生产控制 区的单向   数据传递。反向型隔离装置内嵌智能 I C卡读写器 ,   在实现安全隔离的基础上, 采用数字签名技术和数据  加密算法保证反 向应用数据传输 的安全性。反 向型  隔离设 备具 备数据加 、 密 、 解 数字 签名 、 身份认 证 等功  能, 传输过程是首先在数据的发送端对需要发送的数  据进行 签名 , 后 发给 隔离 装 置 ; 然 隔离装 置 收到 数 据  后进行 签名验证 , 并根据 我方对数据 的预定义来 检 查  数据文 件 的格式 和 内容 , 最后反 向隔离 装置将 处理 过 
的数据 发送给 内 网的数据 接收程序 。   目前 , 西 电 网利 用反 向隔离装 置 , 广 已经实 现将  发 电计 划 及供 电指 标 等核 心 生 产 控 制数 据 , 管 理  从 信息 区 D S系 统往 生产控 制 区 内网数据交 换 平 台  MI 安全传 输 , 图 1  见 。

安全问题多发生在应用层 。传统的基于用户名 、 密  码的认 证方式 使 得 应 用 系 统 可 以 轻松 地 被攻 破 , 从  而非授权用户可以 自由地浏览保密 的信息。同时,   大量基 于 W e b方式 的电力 应用 系 统 的使 用 , 得越  使 来越多的电力生产数据在 网上以明文传输 。随着计  算机知识 的普及和黑客工具 的泛滥 , 不可避 免地 出   现不同利益集 团可以很简单地获取这些未加密 的信  息, 从而导致生产 信息 泄密事件 的发生 。利用 电力  调度数字证书系统 , 以较好地解决身份认证、 可 信息  加密传输和权限访 问控制等 问题 , 保证在受信任 的  两端 进行 安全 的数 据交 换 。 以下我 们将 从纵 向及 横  向两 个数 据交换 方 向介 绍 广西 电 网公 司如何 应用 证  书 系统确保 电力 生 产数 据 安全 。   3 1 利 用 S L技 术 实现纵 向调 度数 字 证 书  . S S L协 议最 初 由 Nesa e 业 研 发 , 已成 为  S tcp 企 现 网络用 来鉴别 网站 和 网页 浏 览 者 身份 , 以及 在 浏览  器 使用 者及 网页 服务 器 之 间进行 加密 通 信 的全 球化  标准。它主要是使用 了公开密钥体制和 X 59 . 数字  0 证 书来 保护信 息传 输 的机密 性 和完 整性 。公 钥 加 密  使用 的是一对非对 称 的密码 加密 或解 密 的方 法 , 每一  对密码 由公钥和私钥组成。公钥被广泛发布 , 私钥是  隐密的, 不公开 , 用公钥加密的数据只能够被私钥解  密, 反过来, 用私钥加密 的数据 只能用公钥解密。 使   SL S 协议不能保证信息的不可抵赖性 , 主要适用于点 

发 购 电计 划值 发送 机  部 署数 字证 书 

图 1 安 全反 向传 输 发 电 计 划 示 意 图 

4 广 西电力调度数字证书 系统设想 
目前 , 由于在横 向及纵向上采用的技术及密钥  完全不同, 用户需要安装多个数字证书 ; 同时 , 目前  的数字 证 书无 法 满 足在 电力 调 度 系统 中用 户 、 用  应 及设 备 这 3类 实 体 的需 要 ; 此外 ,S S L技术 在调 度 数  据网中应用也较困难 。根据电监会 5 号令要求 , 广  域 调 度数 据 网必须 部署 纵 向加密认 证装 置才 能满 足  防护需求。为了统一各类数字证 书, 提高调度应用  系统 的整体安全性 , 有必要在广西电网内建设统一  的调度数字证书系统。   统一电力调度数字证 书系统采用 P I K 技术 , 它  通 过在 公钥 密 码体 制 中用 户 私钥 的机密性 来 提供 用  户身份 的唯一性 验证 , 并通过公钥数字证书 的方式  为每个合法用户的公钥提供一个合法性的证明。它  通过在 电网调度中心进行证书颁发 , 地区调度 中心 

对点之间的信息传输 , 常用 We vr b ̄r 方式。 e   日 调度计划是指导各个被调度单位每天进行高  效、 理、 合 安全 生产 的指 令性 文件 , 因此 , 必须 确保 各  个被调度单位能安全地接收到数据 , 避免被第 3方  截获并解释数据 。由于生产任务直接关系着经济利 
益, 必须确保各个被调度单位 能且只能接收到 自己   的生产任务 。广西 电网内采用 基于 S L安全协议  S 的客户端认证体系来确保安全防范。每个被调度单  位必须 从 网站上 向调 度 中心 申请 客 户 端 证 书 , 度  调 中心确认并 同意后 向该单位颁发证书 , 被调度单位  在提起 申请 的计算机上安装该证书 , 只有安装 了证  书的计算机才能访问服务器程序。服务器程序根据 

维普资讯 http://www.cqvip.com

广西 电力  

20 0 7年 第 4期 

参与证书管理 , 向电力生产及 管理系统与 网络上 的   用户、 关键 网络设 备 、 服务 器 发 放 数 字 证 书 , 以此 为  基础在应用系统与网络关键环节上实现高强度的身  份认证 、 安全的数据传输 以及可靠 的行为审计 。它  可有效地解决电力系统生产运营 中的机密性 、 完整  性、 认证性 、 不可否认性 等安全 问题 , 满足 电力生产  中认 证 的需要 。   纵 向认证加 密网关 ( 也称 I 加密 认证 装置 ) I ) 是调  度数字证书系统中的应用设备 , 用于安全区IⅡ / 的广  域网边界保护, 作用之一是为本地安全 区IⅡ / 提供一  个网络屏障, 类似包过滤防火墙 的功能; 作用之二是  为网关机之间的广域网通信提供具有认证 、 加密功能  的 V N, P 实现数据传输的机密性 、 完整性保护。   结合广西电力调度数据 网实际情况 , 设备部署  应具 有 以下 3个 特点 :   ①I P加密 认证装 置部 署 在 电 网调 度 中心 ( 心  核 层) 数据网, 供电局( 汇聚层 )变 电站 ( 、 接入层 ) 安装  在每个节点的本地路 由器与交换机之间 , 串联加装  I 向加 密认 证 装 置 。 I 向加 密 认 证 装 置 的 功  P纵 P纵 能仅 对调 度数据 网 的数据进 行加 密 。   ②在变 电站端 , 应用通信服务器与所属调度的  应用系统的通信服务器之间用 I P认证加密装置进 

行加 密 / 解密 。  

③一 台 加 密 装 置 可 以 对 整 个 网 络 内 的 多 个 
VP N进 行加 密 。  

5 结束语 
至 2o , 西 电 网有 6 06年 广 0多个 20k 2 V及 以上  变 电站 的监 控 系统 接 入 调度 数 据 网 , 文 提 出 的方  本 案, 能满足 电监 会 5 号令对 电力生产二 次 系统 的安全  防护需要 , 广西 电力调度 数据 网络 安全稳 定运行  满足

的需要, 同时满足电网建设的实际情况。即使一个变  电站内的某个环节出现了安全威胁 , 此威胁将会被严  格 限制在 站 内的这个应用 中 , 无法通 过调度 数据 网络  传播及威胁到其他单位的相关应用 , 也无法侵入及破  坏 网络基础设 施 。同时通 过统一 的证书 管理 , 以实  可 现有效地安全 事件管理及 安全威胁 预警 , 到有效地  达 预防病毒、 非法使用黑客软件及非法访 问等攻击 , 有  效地确保 电力二次系统 的安全 , 确保不 因受 到 网络攻  击造成电网崩溃及其他电力安全事件。  
参考文献 

[] 李劲 . 述广 西 电力二次 系统安全 防护技术 原则 [] 1 论 J.   广西 电力 ,0 5 2 ( ) 1 —2 . 2 0 ,8 4 :8 1   [] 庞少琨 . 2 广西 电网 日调度计 划管理 系统 的研发和应 用  []广西 电力 ,0 6 2 ( )1 . J. 2 0 ,9 1 : —4 

( 上接 第 1 8页)  

④配 电变压器空载时的反变换过电压对其绝缘  威胁 最大 。  

4 结论 
新型 防雷变压 器是 针对 常用 配 电变压器 而改进  的新 产 品 , 文先 介 绍 了新 型 防 雷 变 压 器 的原 理 和  本

图 8 附加 绕 组 开 路 时  高 、 压 绕 组 电 压 波 形  低

图 9 附 加 绕 组 串接 电容 后  高 、 压 绕 组 电 压 波 形  低

①附加绕组串接上 电容后 , 能较大的降低空载  变压器的正变换过 电压。高 压绕组 的电压从 10 4  k V下降到 7 V; 0k   ②附加绕组接上电容后对带额定负载的变压器  的正 、 变换 过 电压 影 响不 明显 。但 对 于 同样 幅值  反 的雷电波, 带额定负载的变压器的正 、 反变换过电压  比空载 时 的正 、 反变换 过 电压 小得 多 ;   ③附加绕组接上电容后对空载变压器的反变换  过电压有一定的降低作用, 使得变压器高压绕组 的   电压下降了大约 2 . %; 67  

基本构造 , 在前人研究的基础上 , 建立其数学模型。   计算出数学模型中的 自感和互 感等参数后 , 用基于  Ma a 语言的状态方程模块的仿真模型法 , t b L 仿真出   了雷 电波 作用 下 高 、 绕 组 的过 电压 波 形 。说 明 了  低 新型防雷变压器附加绕组能够大幅度降低雷电波作  用于配电变压器的正、 反变换过电压 , 尤其是空载变  压器 。同 时本文 的暂态 仿 真结果对 变 压器绝 缘设 计  及绕组布置也可以提供有利的参考。  
参考文献 

[] 陈 维 贤 . 网 过 电 压 [ . 京 : 利 电 力 出 版 社 , 1 电 M] 北 水  
18 . 9 8 

[  王 巨 丰 . 效 防 雷 变 压 器 [ ] 中 国 专 利 : L 0  2 ] 高 P. Z 1
2 6 2 . , 0 2— 1 7 6 8 3 20 1—2   7.

[ ] 钟麟 , 峰 . T A 3 王 MA L B仿 真 技术 与 应 用 教程 [ . M] 北  京: 国防工业 出版社 ,0 3 20 .   [ ] 吴 天 明 , 小竹 , 4 谢 彭彬 .MA L B电力 系统设 计与 分  TA 析[ . M]北京 : 国防工业 出版社 ,0 4  20 . [ ] 卡兰塔 洛夫I J, 5 I I采伊特林 J  I A编著 , 汤铭 等译 , 陈 电  感计算手册 [ . M]北京 : 机械工业 出版社 ,9 2  19 .


相关文章:
CA认证在电力行业中的应用
本文对电力行业信息化建设的信息 安全需求进行分析,将 CA 认证技术应用电力行业,为电力行业信息化建设提供法律保障应用安全解决方案。 关键词:信息安全 认证...
二次系统安全防护规定
证的原则,保障电力监控系统和电力调度数据网络的安全...根据应用系统实际情况,在满足总体安全要求的前提下,...公钥技术的分布式电力调度数字证书系统, 生 产控制...
电力二次系统安全防护题库100道
认证,保障电力监 控系统和电力调度数据网络的安全。...根据应用系统实际情况,在满足总体安全要求的前提下,...答: 结合用户数字证书技术, 对用户登录本地操作系统...
电力调度运行中电力技术的应用
【关键词】电力调度;运行;电力技术;分析;应用 1 电力调度 电力调度是为了保证电网能够安全稳定的运行、对外能及时有效的供电、各 类电力生产工作有序进行而采用的...
《电力二次系统安全防护规定》(电监会5号令)
纵向 认证的原则,保障电力监控系统和电力调度数据网络...和网络技术的业务系统,原 则上划分为生产控制大区和...根据应用系统实际情况,在满足总体安全要求的前提下,...
管理信息系统在电力调度生产中的应用
保证整个电网的正常安全运行,同是充分利用最新科学技术,提 高电网运行管理水平, ...本课题来自浙江中信科技有限公司开发“电力生产管理信息系统”中的“电 力调度...
3 二次系统安防题库
, ” 保障电力监控系统和电力调度数据网络的安全。 ...16. VPN 采用( )技术、加密技术、 ( )技术和...答:在非控制区(安全区Ⅱ)应用电力调度数字证书实现...
二次系统安防题库
《电网与电厂计算机监控系统及调度数据网络安全防护...公钥技术的分布式电力调度数字证书系统,生产控制大区中...提高内 部安全防护能力,保证电力生产控制系统及重要...
数据网及二次安全防护题库
电力二次系统的特点,划分为生产控制大区和管理信息...使用安全加固的操作系统平台,结合 调度数字证书技术,...答:安全区Ⅰ与安全区Ⅱ的业务系统都属电力生产系统...
更多相关标签:
电力调度 | 电力调度数据网 | 电力调度系统 | 电力调度员 | 国家电力调度控制中心 | 推行节能低碳电力调度 | 电力调度中心 | 电力调度自动化系统 |