安全防護系統建設方案

前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇安全防護系統建設方案范文，相信會為您的寫作帶來幫助，發現更多的寫作思路和靈感。

安全防護系統建設方案范文第1篇

［關鍵詞］油田；網絡安全；安全防護

近幾年，伴隨著我國科學技術的不斷進步與發展，網絡技術也在如火如荼的發展，其在各行各業中均得到了廣泛應用，與此同時，因網絡所引發的安全問題也備受關注，黑客作為破壞網絡有序發展的主要部分，在網絡技術的不斷發展下，黑客技術也得到了提升，導致他人電腦或者系統受到入侵，各種類型的病毒技術出現，導致網絡安全成為了首要問題。油田企業的發展與社會經濟有著密切的聯系，如果油田網絡遭受侵害，則會導致大量信息泄露，嚴重阻礙油田企業的發展與進步。

1現階段網絡中不安全隱患的分析

其一，黑客程序的攻擊。毋庸置疑，現階段黑客的技術越來越高，相關工具也越來越先進，在這種發展驅使下，會導致電腦系統出現不同程度的入侵，在油田企業的發展中，如何避免受到黑客的攻擊已成為當前十分重要的內容。其二，網絡內部的攻擊。在網絡的正常運行下，同樣會受到內部因素的影響，其中防火墻雖然已發展的比較成熟，對外也具備防護作用，然而卻無法對內進行保護，甚至根據文獻了解到，有80%左右的攻擊均來自局域網內部人員。其三，非法URI的訪問，之所以會產生這種現象，主要是因為訪問不健康的站點。其四，病毒防護。現階段網絡技術得到快速發展，與此同時，在電腦系統之中會出現各種網絡病毒，通常情況下，網絡病毒是從網絡之間爆發的，并且是在計算機沒有任何防備的基礎上形成的，會引起系統崩潰，甚至還會導致網絡出現癱瘓。比如比較常見的便是e-mail病毒。其五，系統安全漏洞，系統漏洞的出現也是依靠系統自身的缺陷而不斷傳播的，病毒編程者的技術較高，能通過利用系統漏洞病毒。只有真正了解這幾種不安全隱患，并加以解決，才能真正保證油田網絡的安全性以及全面性。

2制定網絡安全防護體系的策略

一般情況下，可以利用防火墻將內部網絡與外部網絡隔離，避免受到外部攻擊，也可以采取網絡防毒中心阻斷網絡病毒在內部的傳播，并對其網絡攻擊進行檢測。筆者通過分析，結合單位的實際情況，制定了網絡安全防護體系結構圖，如圖1所示。

2.1應用防火墻杜絕網絡攻擊

從整體角度分析，防火墻是當前比較重要的網絡安全技術，能夠起到防范作用。油田公司可以在網絡出口處安裝防火墻，實現內部網絡與外部網絡的隔離，如果外部網絡需要訪問則需要接受防火墻的檢查，這樣一來則有效地提高了網絡的安全性。防火墻的任務主要包括三點：第一是需要將源地址過濾，避免外部IP地址進入，杜絕外部網絡越權訪問的現象；第二是要保證防火墻僅僅留下了有用的服務，否則關閉，盡可能將系統受到的攻擊減少，如此才能減少黑客的入侵行為；第三是外部網絡以及內部網絡的訪問均要經過防火墻，并對其加以記錄，從而將攻擊行為分析出來。

2.2制定完善的網絡防病毒體系

在油田網絡的有序運行中，病毒的入侵會造成嚴重的損害，制約油田的發展。近幾年，因受到相關因素的影響，各類病毒層出不窮，嚴重影響了網絡安全，甚至還會導致油田網絡系統發生癱瘓的現象。根據筆者多年的經驗分析，系統在運行過程中往往會受到諸多因素的影響，為真正杜絕這一局面的發生，需要采取多層病毒防衛體系（多層病毒防衛體系主要是指在每一臺電腦中安裝反病毒軟件，且在服務器上安裝基于服務器的反病毒軟件）。從另外一個角度分析，因為病毒在網絡中以多樣的方式存在，所以在制定網絡防病毒系統時，需要全方位的角度出發與分析，要嚴格按照“層層防護、集中控制”的基本原則。簡而言之，要針對網絡中可能出現的病毒攻擊制定有效的防毒軟件和完善的網絡防病毒體系，采取全方位的防毒設置。

2.3構建入侵檢測技術，保護網絡

毋庸置疑，安全掃描技術的應用同樣是比較重要的網絡安全技術，在油田網絡中，制定入侵檢測技術可以保證計算機系統的安全性，還可以將計算機中所存在的安全隱患及時進行處理與解決。從某個角度分析，入侵檢測技術在計算機網絡中屬于應用廣泛的技術，主要是將計算機網絡中的各項違反現象進行檢測。通常情況下，在入侵檢測系統時，需要應用審計記錄，且入侵檢測系統中可以將不良行為進行識別，并對這些活動加以限制，從而起到保護網絡的作用。另外，在對網絡掃描中，網絡管理員需要對網絡的安全配置以及相應的運行加以了解，做好各項服務工作，及時發現其中的漏洞，對網絡風險等級進行評估。網絡管理員還可以依據掃描的結果將網絡安全漏洞進行更改，做好防范工作。

2.4加強安全掃描技術的應用

在油田網絡安全管理中，安全掃描技術主要是采取掃描的方式將安全漏洞及時處理，包括網絡中的計算機、服務器、路由器、交換機等，還可以對測試系統起到良好的防御作用。從性質分析，利用安全掃描技術探測安全漏洞，能夠從系統的外部出發，探測出最為薄弱的環節，從而起到良好的保護作用。

主要參考文獻

安全防護系統建設方案范文第2篇

關鍵詞：電力 信息安全防護 典型案例

中圖分類號：TM76 文獻標識碼：A 文章編號：1674-098X（2016）12（b）-0058-03

該課題研究解決方案典型方案以電力公司為主要對象，在實際操作過程中，可以裁剪，原則應滿足安全防護建設要求，主要包括安全控制措施如何部署，而不提出確定型號的安全產品，且以單位進行全新安全防護系統建設為出發點，在此基礎上，結合電力公司安全建設現狀，考慮對現有安全措施的復用，根據自己的實際情況進行安全系統選型并制定安全系統實施方案。

1 案例分析

某省電力公司構建信息網絡，已經穩定運行的有：管理系統、安全生產管理系統、國際合作系統、協同辦公系統、電力營銷系統、紀檢監察系統等，同時在建有ERP等系統，網絡和信息系統情況復雜，迫切需要進行信息安全方面的建設，實現以下幾方面的需求。

（1）確保信息系統的可用性、完整性和機密性。

（2）對服務器、工作站、網絡基礎設施和網絡邊界采取合理有效的安全防護手段。

（3）防止非授權的用戶非法接入、非法竊聽和信息篡改。

（4）對信息系統的接口實施認證和加密等手段，確保應用安全。

2 方案設計

（1）邊界防護如表1所示。

（2）網絡防護如表2所示。

（3）主機防護在主機層面部署的安全控制措施表3所示。

（4）應用防護內容如表4所示。

3 結語

該課題對電力公司信息安全典型解決方案的研究，對現有安全措施的復用，根據自己的實際情況進行安全系統選型并制定了安全系統實施方案，有效地將信息安全總體方案進行貫徹執行。該課題典型方案以網省公司為主要對象，各網省、地市等單位在實際操作過程中，可以以該方案為模板進行修改，原則應滿足安全防護總體方案的建設要求。

參考文獻

[1] 李文武，游文霞，王先培.電力系統信息安全研究綜述[J].電力系統保護與控制，2011，39（10）：140-147.

[2] 胡炎，董名垂，韓英鐸.電力工業信息安全的思考[J].電力系統自動化，2002，26（7）：1-4.

[3] 李文武，王先培，孟波，等.電力行業信息安全體系結構初探[J].中國電力，2002，35（5）：76-79.

安全防護系統建設方案范文第3篇

關鍵詞：工業控制系統 ；信息安全 ；問題風險；防御體系

一、工控系統介紹

工業控制系統由各種組件構成，有些組件是自動的，有些是能進行過程監控的，兩種組件構成了工業控制系統的主體。該系統的主要目的就是在第一時間實現對數據的采集和監控工業生產流程。如圖，主要分為控制中心、通信網絡、控制器組。

工控系統主要包括過程控制、數據采集系統（SCADA）、分布式控制系統（DCS）、程序邏輯控制（PLC）以及其他控制系統等。一直以來，這些系統被應用在不同的工業領域，成為了國家的重點基礎工程項目的建設中不可缺少的成分之一。所有的工業控制系統中， 工業控制過程都包括控制回路、人機交互界面（HMI）及遠程診斷與維護組件。上圖為典型的ICS 控制過程。

二、工控系統的安全現狀分析

隨著計算機技術和工業生產的結合，工業控制系統（Industrial Control Systems， ICS）已成為制造、電力及交通運輸等行業的基石。一方面，工控系統為工業的發展帶來了巨大的積極作用，另一方面，因為工業控制系統的安全防護體系做得還不是很到位， 很多的非法入侵事件屢見不鮮，這對工業的發展，甚至對整個國家的安全戰略提出了挑戰。尤其是2010 年的Stuxnet 病毒的肆虐，讓全球都明白，人們一直認為相對安全的工業控制系統也成為了黑客攻擊的目標，因此，在第一時間發現工控系統的安全問題，并及時解決這些安全問題是極其重要的。此外，建設安全可信的工控防御體系，也是現在各國發展和建設的重要一環。

三、工控系統現存在的問題

3.1系統內部風險：操作系統存在安全漏洞。由于工控軟件先設計，之后操作系統才會發現漏洞進行修復，甚至絕大部分工控系統所使用的Windows XP系統生產者Microsoft公司申明：4月8日以后不會對XP系統安全漏洞進行修復，所以之后工控系統病毒的爆發會更加頻繁，使工控系統更加危險。

無殺毒軟件的問題。使用Windows操作系統的工控系統基于工控軟件與殺毒軟件的兼容性的考慮，一般不會安裝殺毒軟件，給病毒的傳播與擴散留下了空間。

u盤傳播病毒問題。在工控系統中的管理終端一般不會有專門軟件對U盤進行管理，導致外設的無序使用從而引發工控系統病毒傳播。

工控系統存在被有意控制的風險。沒有對工控系統的操作行為監控和制定相應的措施，工控系統中的異常行為會給工控系統帶來較大的風險。

3.2 外部問題。安全評估存在困難。安全評估是建立安全防護體系的第一步，工業控制系統信息安全評估標準是國家頒發的第一個關于工控系統安全方面的標準，工信部2011年的通知中明確要求對重點領域的工業控制系統進行安全評估，但2012 年這項工作遇到了例如缺少針對特定行業的評估規范、只能針對IT系統，不能對非IT類的設備進行評估等困難。

缺乏針對ICS安全有效的解決方案。現有的縱深防御架構解決方案只針對一般ICS模型，針對特定行業的工控系統進行防護，還需要在未來大量實踐的基礎上才能完善。

應對APT攻擊解決效果不佳。從過去的幾次ICS安全事故來看，有針對性、有持續性的APT攻擊威脅最大，APT 攻擊的防御一直是信息安全行業面臨的難題，即使是Google、RSA 這些擁有許多專門人才和對信息安全有大投入的公司在APT攻擊面前也沒能幸免。

四、工控系統信息安全的解決

4.1硬件完善。國際上有兩種不同的工控系統信息安全解決方案： 主動隔離式和被動檢測式

主動隔離式解決方案：即相同功能和安全要求的設備放在同一區域，區域間通信有專門通道，加強對通道的管理來阻擋非法入侵，保護其中的設備。例如：加拿大Byres Security公司推出的Tofino工控系統信息安全解決方案。

被動檢測式解決方案：除了身份認證、數據加密等技術以外，多采用病毒查殺、入侵檢測等方式確定非法身份，多層次部署與檢測來加強網絡信息安全。例如：美國Industrial Defender公司的ICS安全解決方案。

4.2“軟件”完善：安全管理體系。安全管理防護體系由安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理五部分構成。工控系統管理體系是一個循序漸進的過程，且要隨著時代的進步隨時更新，逐步完善系統，完善管理體系，最終才能實現工控系統的真正的安全。

安全管理制度：建立、健全工控系統安全管理制度，制定安全工作的總體方針和戰略，工控系統安全防護及信息錄入納入日常工作管理體系，對安全管理人員或者操作人員所進行的重要操作建立規范流程；形成由安全政策、管理方法、操作規范流程等構成的安全管理制度體系。

安全管理機構：專門設立的工控信息安全工作部門，確定相關領導為安全事故責任人，制定相關文件明確機構、崗位、個人的職責分工和要求等。

人員安全管理：規范重要崗位錄用流程，對錄用者進行相關身份、背景、專業資質的嚴格審查，進行相關專業技能的考核，與關鍵崗位的人員簽訂保密協議；對相關崗位人員進行定期安全培訓教育，嚴格限制外來人員訪問相關區域、系統、設備等。

系統建設管理：首先要根據系統重要程度設立安全等級實施相應的基本安全措施，根據實時狀態更新完善系統，制定相應的補充調整安全措施制定長遠的工作計劃。

五、工業控制系統信息安全發展趨勢

眾所周知，工業控制系統逐漸延伸到各行各業，造福人類的同時，也顯露出不少問題，給國家和人民造成了巨大損失。進入新世紀以來，各個國家都在致力于解決這個問題，但是信息安全事故任然屢見不鮮。

安全防護系統建設方案范文第4篇

關鍵詞：智能電網；信息安全；三層四區

中圖分類號：TM76 文獻標識碼：A文章編號：1007-9599 (2011) 09-0000-01

Smart Grid Information Security and Network Structure Optimization Research

Liu Shuang1,2

(1.Hubei University of Technology,Wuhan430068,China;2.Chongqing Power Company Jiangjin Power Supply Bureau,Chongqing402260,China)

Abstract:Building safe and reliable electric power data communication network environment,information security has become a regional power system to achieve real-time smart grid data sharing,remote scheduling integrated automation system to run the important technical support.Data in the grid structure of information and communication network exists to summarize security threats such as chaos analysis,combined with three-four districts the power data security architecture,information security and isolation from the power-specific device settings,and construction aspects of anti-virus system,were introduced smart grid data network security architecture model.

Keywords:Smart grid;Information security;Three layer four districts

一、電網數據網絡現存結構混亂問題

在實際電網運行過程中發現，電網數據網絡系統在互聯時廣泛采取只要任何兩套系間有數據信息交換時，就將他們聯接在一起，由于沒有經過系統的規劃設計，一方面使得整個電網數據網絡結構變得混亂復雜，另一方面各成系統的數據網絡結構，使得整個系統網絡結構間沒有形成一個系統完善的網狀互聯結構，系統間相互聯絡點較多，安全邊界問題較為模糊等問題，從而給電網系統數據網絡的安全裝置部署增加了很大困難，即便對某個子系統進行安全裝置配置，也很難顧忌到與系統互聯的其它所有邊界的安全問題，不僅增加了電網系統信息安全網絡構筑的綜合投資，同時混亂的網絡結構，使得在系統中無論采取何種安全部署方案，均不能滿足智能電網數據信息網絡安全可靠性要求。目前，電網數據網絡現存結構典型混亂連接問題如圖1所示：

圖1.電網混亂的數據信息網絡結構

從圖1中可以看出，如監控系統1需要向監控系統2發送數據信息文件，按照電網現有的網絡結構，需要在系統中部署三臺防火墻，但監控系統所需發送文件數據信息必須經過MIS外網系統才能穿上到監控系統中。由于MIS外網系統是一個公共數據交換平臺，數據信息文件在經過MIS系統時，感染病毒的可能性十分大，這樣三臺監控系統防火墻的設置實際上沒有發揮出其應有的功能特性，從而給電網數據信息傳輸帶來巨大的安全威脅。

二、智能電網數據信息安全防護方案

（一）三層四區安全防護體系。按照三層四區的網絡結構體系構筑的智能電網數據信息安全防護體系，即系統安全區Ⅰ與安全區Ⅱ間和安全區III與安全區IV間的電力數據信息隔離手段，采用經有關信息安全部門認定核準的硬件防火墻，用來禁止非法用戶通過E-mail、Web、Telnet等訪問方式訪問網絡系統中的數據信息；安全區Ⅰ（Ⅱ）不得與安全區III進行數據信息的，必須采用專用隔離裝置（包括正向隔離裝置和反向隔離裝置兩類），從安全區Ⅰ（Ⅱ）向安全區Ⅲ單向傳輸數據信息時，須要經過正向隔離裝置進行數據信息安全檢查，同理從安全區Ⅲ向安全區I（Ⅱ）傳輸單向數據信息時，需要采用反向隔離裝置進行數據信息安全檢查。在進行智能電網數據信息安全網絡進行整體防護設計時，要充分考慮系統的實際應用業務需求，結合各隔離裝置的功能特點，從各個層面對整個智能電網數據信息網絡系統實施全方位的保護。以基于三層四區防護原則的智能電網數據信息安全網絡優化結構為例，安全區Ⅰ區為實時控制區、安全區II區為非控制生產區、安全區Ⅲ區為實際業務應用管理區、安全區IV區為電網管理層數據信息區。各區內有自己獨立的區內的數據信息交換機，按照“三層四區”的信息網絡安全防護思想，將智能電網數據信息安全防護系統進行橫向的三層四區安全域劃分，構筑完善系統的信息安全優化網絡。整個數據信息安全防護系統采用電力數據信息專用防火墻和通用防火墻相互組合實現內網和外網間的網絡隔離，并在橫向上實現不同安全區域的安全應用業務系統間數據信息的實時安全傳輸共享。（二）網絡防病毒系統。智能電網數據信息安全網絡由于采取三層四區的安全防護結構體系，因此需要根據不同安全區域按照技術經濟等特性設置三臺防病毒服務器。整個電網數據信息安全網絡防病毒系統采用趨勢防病毒系統軟件。這樣可以通過網絡利用病毒代碼的統一分配和實時更新，從而減少網絡系統工作人員的檢修維護工作量。在信息安全網絡中的所有服務器、工作站、以及客戶管理機上均安裝實時更新的防病毒軟件。通過在網絡中進行病毒安防系統的整體部署，從而切斷網絡系統內部病毒傳播途徑，降低病毒傳播和發作引起整個網絡系統內部的資料皮壞、數據信息丟失等損失。在各安全區對應的應用業務系統的服務器中均安裝相應的病毒客戶端程序，通過網絡與各安全區所安裝的防病毒子系統進行實時數據通信更新。

三、結束語

在對智能電網數據信息安全網絡中存在的安全網絡結構體系混亂現狀進行深入分析和研究的基礎上，提出了按照三層四區的網絡防護原則構筑智能電網數據信息網絡安全防護結構模型。從智能電網實際應用系統需求，分別介紹了信息安全網絡系統中不同安全區域電力數據信息隔離手段和網絡防病毒系統，從而構筑具有綜合性、系統性、安全可靠性、實用性的智能電網數據信息安全網絡防護系統。

參考文獻：

[1]李新葉,苑津莎,戚銀城等.基于Web Services的異構電力MIS信息集成方案[J].中國電力,2005,38(8):71-73

[2]姚顧波.黑客終結:網絡安全完全解決方案[M].北京:電子工業出版社,2003

安全防護系統建設方案范文第5篇

關鍵詞：35kV變電站；調度；數據網

作者簡介：李潔（1977-），男，安徽廣德人，國網浙江麗水市蓮都區供電公司調控中心，工程師。（浙江 麗水 323000）

中圖分類號：TM73 文獻標識碼：A 文章編號：1007-0079（2013）27-0220-02

電力調度數據網為電網生產控制大區各類業務系統提供安全、可靠、穩定的數據傳輸平臺。根據《浙江電力調度數據網技術規范》要求，麗水地區于2011年建成浙江電力調度數據網麗水骨干匯聚層，完成麗水電網220kV、110kV變電站數據接入網建設。麗水地區下轄蓮都等9縣市，35kV變電站87個，按麗水電網電力調度數據網的建設目標，在目前已完成的調度數據網平臺基礎上，結合縣級電網現狀，分析35kV變電站的實施條件，提出35kV變電站數據接入網絡建設方案，規范調度數據網的建設，以實現麗水電網全部變電站調度數據網全覆蓋的目標，更好地滿足麗水電網地縣兩級調度生產業務的需要。

一、數據網狀況及側需

麗水電力調度數據網是浙江省電力調度數據網的重要組成部分，承載著電力系統各類實時信息和非實時數據的傳輸，為調度自動化系統、變電站集中監控系統、電能量自動采集系統和其他電網運行系統的業務應用提供了重要的技術支持，日益成為電網安全生產的重要基礎。根據麗水電網“十二五”規劃，將進一步擴大電力數據網的建設，一方面建設麗水地調配骨干匯聚層等第2平面，另一方面擴大電力調度數據網的應用周圍，更加使之覆蓋麗水地區所有的35kV變電站，并且展開所有廠站數據信息網絡化接入。目前麗水地區35kV變電站調度自動化信息多采用傳統的數模轉換/撥號等方式進行傳輸，信號經過多次轉換，存在效率低、速率低、誤碼率高、可靠性差、故障定位難等問題；變電站電能量信息多采用撥號和E1專線方式，其中撥號方式握手時間長，采集的信息的可靠性較差，不少廠站需要多次采集才能采集到可靠的數據。以上方式無法滿足現在電力調度生產業務對傳輸網絡安全可靠、穩定、高效的要求，存在安全隱患，需將其逐步納入到麗水電力調度數據網內，以滿足電網快速發展和新信息系統建設對數據傳輸的更高要求。

二、數據網架構及建設方案

1.麗水地區35kV變電站調度數據網的建設原則

（1）系統配置力求技術先進、經濟合理、靈活可靠、安全實用，與麗水數據網骨干匯聚層相匹配。

（2）按照分級分層信息采集原則，在麗水地區所轄9個縣調設置35kV變電站數據網縣調匯聚層，35kV變電站調度生產數據按區域就近接入所屬縣調數據網匯聚層，再通過麗水數據網骨干匯聚層匯接所有縣調匯聚層節點，實現地縣數據網的組網。

（3）設備配置考慮35kV變電站電力通信網現狀，35kV變電站接入層、縣調匯聚層和麗水數據網骨干匯聚層之間均采用100Mb/s以太網專線方式，部分廠站采用2Mb/s E1專線方式。

（4）數據網采用IP路由交換設備組網，采用TCP/IP協議體系。35kV變電站自動化系統數據需改為采用IEC60870-5-104規約網絡傳輸，電能量采集系統數據需從撥號改為網絡傳輸，實現電網調度業務的數據傳輸網絡化。針對廠站生產調度業務特性采用MPLS-VPN技術構建兩個相對獨立的邏輯專網，分別用于承載實時控制業務和非實時控制生產業務，實現不同業務接入的隔離。

（5）網絡方案應符合《電力二次系統安全防護總體方案》和《電力二次系統安全防護規定》的相關要求，配置安全防護硬件設備，部署安全防火策略，落實相關安全防護措施。

2.數據網絡拓撲結構

麗水地調下轄蓮都、龍泉、縉云、青田、云和、遂昌、松陽、慶元、景寧九縣調。麗水地區骨干匯聚層設置6個骨干匯聚節點，分別布置在麗水地調、500kV萬象變、青田縣調、縉云縣調、龍泉縣調和遂昌縣調，其中麗水地調為第一出口，500kV萬象變為第二出口，麗水地區骨干匯聚層拓撲示意圖如圖1所示。

麗水地區數據網絡總體拓撲結構由地調匯聚層、縣調匯聚層和接入層組成，地調匯聚層匯接所有縣調匯聚節點及110kV變電站，縣調匯聚層匯接下轄35kV變電站，接入層采用星型拓撲結構方式接入匯聚層。

根據麗水調度數據網接入層組網方式，麗水地區骨干匯聚層中的麗水節點匯接蓮都、云和縣調匯聚層；遂昌節點匯接遂昌、松陽縣調匯聚層；龍泉節點匯接龍泉、慶元縣調匯聚層；縉云節點匯接縉云縣調匯聚層；青田節點匯接青田、景寧縣調匯聚層。以蓮都為例，縣調匯聚層和接入層拓撲示意圖如圖2所示。

蓮都下轄的8個35kV變電站以星型拓撲結構匯接至蓮都縣調匯聚層，再通過與地調骨干匯聚層互聯實現地縣數據網組網，全市9個縣調的組網結構一致。

3.數據網設備配置

根據《浙江電力調度數據網技術規范》，考慮到目前電力調度生產業務數據平均流量在10kps以下，不會產生數據突發大流量的現象，100Mb/s以太網專線可以滿足業務傳輸要求，所以在麗水35kV變電站與相應接入縣調之間開通2條100Mb/s以太網專線，若通信條件不具備可采用2Mb/s E1專線；縣調與地調骨干匯聚層對應節點之間開通2條100Mb/s以太網專線互聯。傳輸鏈路要求能通過通信傳輸層提供的自愈保護實現數據可靠傳輸。在數據網接入層方面，每個35kV變電站配置1套接入路由器，與縣調匯聚層2套路由器互通；配置2套接入二層交換機，廠站實時控制業務和非實時控制生產業務分別通過2套交換機接入至接入路由器，采用MPLS-VPN技術構建兩個相對獨立的邏輯專網。

在每個縣調匯聚層配置2套匯聚路由器，實現匯接所有35kV變電站接入路由器和與麗水數據網骨干匯聚層的互通；配置2套中心三層交換機，提供縣調自動化SCADA/EMS系統、電能量自動采集系統等調度生產業務系統對變電站終端實時控制業務和非實時控制生產業務的直接訪問。

按照電力二次安全防護的有關要求，在縣調匯聚層和變電站接入層的實時控制業務通道上增配縱向加密安全認證裝置，非實時掌握業務通道上增加硬件防火墻，部署好訪問掌握策略及相關安全防護措施，以更有效屏蔽非法業務訪問、病毒及惡意攻擊?？h調數據網匯聚層不再單獨配置網管系統，在麗水骨干匯聚層的調度數據網網管軟件上增配上述縣調匯聚層和廠站接入層節點，開發縣調相應權限，方便其對縣調35kV變電站數據網的運行維護管理。

4.數據網技術體制

（1）通信鏈路。麗水35kV變電站調度數據網以電力通信傳輸網絡為基礎，采用IP over SDH技術體制，該體制具有以下優點：電力調度應用系統特性相對單一，多為IP業務，適宜采用IP路由交換網絡；網絡開銷小，結構簡潔，效率高；網絡復雜度降低，路由設備具備SDH標準接口，有利于日常運行維護；采用IP路由交換網絡安全強度高，方便系統整體安全策略的制定和部署。

（2）虛擬專網。35kV變電站數據網建設采用MPLS VPN虛擬專網技術將電力調度數據網業務劃分為不同的VPN，即用于承載實時控制業務的實時VPN-RT、用于承載非控制生產業務的非實時VPN-NRT，各級節點接入網絡的業務按照二次系統安全防護的要求接入相對應的VPN，實現兩個相對獨立的邏輯業務傳輸專網，對所承載的多種業務及應用進行隔離，確保網絡安全。

（3）網絡路由。麗水35kV變電站調度數據網絡路由傳統鏈路狀態協議OSPE（Open Shortest Path First，開放式最短路徑優先協議），另外配置戰略如下：自治系統內部節點公網路由均運行OSPEv2協議；全網MPLS VPN私網路由傳遞使用IBGP路由協議；接入網按各縣調范圍進行區域劃分，OSPF邏輯域的劃分和物理區域的劃分盡量一致；各OSPE子區域內采用路由地址匯聚，縮短路由表長度；每臺設備的router id應與該設備的回環（loopback）地址相同；各縣調匯聚層應通過兩點分別接入麗水骨干匯聚層雙平面，縣調匯聚層間不設直接互聯路由。

（4）安全防護。數據網必須按照《電力二次系統安全防護規定》及《電力二次系統安全防護總體方案》的相關技術規定，配置縱向加密認證裝置、防火墻、安全隔離裝置等；部署訪問控制策略，從端口上限制用戶訪問行為，采用嚴格的接入控制措施，僅經過授權的節點方能接入調度數據網；部署入侵檢測/防御系統、日志系統，對網絡設備運行狀況、網絡流量、用戶行為等進行日志記錄并分析，實現調度數據網的安全監視；進行邊界完整性檢查，對網絡設備進行安全配置，防止非授權訪問，禁止生產控制大區與生產管理大區的直接互聯。

（5）IP地址分配。IP地址從省調統一分配麗水地區電力調度數據網的IP地址中選取，由地調統一分配。調度數據網地址分為網絡（組網）地址和應用（主機）地址兩大類，其中網絡地址由網絡標識地址（Loopback）、網絡設備互聯鏈路地址和網絡邊界（PE/CE 連接鏈路）地址組成，應用地址由包括廠站在內的各不相同的應用系統接入數據網絡的地址組成。在進行IP地址分配時應充分考慮未來業務發展，保持適度預留，并遵循相關分配原則，如采用CIDR技術，以減小路由器路由表的大小，加快路由的收斂速度；采用VLSM，保證IP地址的利用效率；保證IP地址的唯一性等。

三、結束語

麗水地區各縣調所轄35kV變電站通過縣調數據網匯聚層與地調骨干匯聚層互聯，接入麗水地區電力調度數據網，將實現麗水地區所有變電站調度數據網全覆蓋的目標。網絡完成后，為麗水地縣實現“一體化”調度技術及支持系統提供一個更可靠、統一的專用數據平臺，實現地縣電網運行協同管理水平上升，為電網的安全穩定運行發揮重要作用，為地縣調度自動化系統的發展打下堅實基礎。

參考文獻：

[1]浙江省電力公司.浙江電力調度數據網技術規范[Z].2011.