本文是一篇工程硕士论文,工程硕士论文主要是对作者撰写的工程论文推荐发表,论文专业范围包含土木,电力,电气,通信工程,软件工程,林业工程,电子信息工程,化工工程, 控制工程,工业工程, 系统工程, 水利工程,工程师职称,公路工程, 建筑工程,土木工程,等专业。推荐的刊物包含EI检索会议论文集、CSSCI来源期刊、北大核心、国家级、省级刊物。均为正规合法正刊。(以上内容来自百度百科)今天为大家推荐一篇工程硕士论文,供大家参考。
第 1 章 绪论
1.1 课题背景
随着我国在国际上的地位越来越重要,越来越多的国际重大会议和活动在我国召开或举办,承办这系列的重大活动是对我国综合国力的考验,如 2008 年的奥运会,2010 年上海世博会。而安全稳定运行的电网是对这些重大会议及活动顺利举办的重要保障。众所周知,2016 年对于杭州来说是一个特殊的年份,G20 峰会在 2016年 9 月落户杭州。而就在过去的 2015 年杭州又成功申请举办 2022 年亚运会,杭州连续接到了两个重大国际活动。对此,杭州供电公司将全面启动电力保障工程。杭州供电公司近年来新划入淳安和建德县调业务,新投入运行 500kV 变电站 1座,220kV 变电站 4 座,110kV 变电站 10 座,电网规模不断扩大。新接入变电站全部采用数字化变电站,这对杭州供电公司电力调度自动化水平的要求也越来越高。杭州供电公司目前使用的调度自动化系统为东方电子公司的 DF8002 和DF8003EMS/SCADA,外部边界主要有模拟通道、数字透传通道和网络通道。随着数字化变电站的应用越来越广泛,传统的模拟通道以及循环规约已经难以满足智能化变电站对遥信、遥测、遥控等的上传速度和监控点个数,也难以适应技术发展,慢慢的退出历史舞台,而采用网络通道传输和 IEC104 规约趋势日益明显。目前,根据《浙江电力调度数据网技术规范》的要求,杭州电力调度数据网的改造工作已基本完成[1],但是我们又面临一个非常紧迫的问题——如何提高电力调度自动化主站系统和调度数据网之间业务传输的安全性和可靠性?答案是建立一个坚强的电力调度二次安全防护体系。电力调度二次安全防护体系是通过防火墙、物理隔离、入侵检测 IDS、防病毒、主机防护、访问控制等通用安全防护技术和管理措施来有效地防护电力调度主站自动化系统和调度数据网之间的安全。
........
1.2 国内外研究现状
近年来,欧洲国家多次遭遇恐怖组织袭击,这样给我国敲响了安全警钟,国家安全部对电力、通信等部门提出了安防要求。2009 年杭州城北大面积停电,引发城北停电事故的原因是一辆起重工程车经过时,起重吊臂逾越了半山电厂输出 220kV 线路的空中安全距离(4 米)。此次事故导致公路信号灯断电引发各种车辆事故造成城北大堵车;停电还造成多起电梯事故。不幸中万幸的是事故并未造成人员伤亡,且事故发生在晚间,很多工厂已经下班,没有造成巨大的经济损失。外力破外并不是最可怕的,最危险的是人为的恶意攻击、篡改、窃听、旁路控制等。波兰一位 14 岁学生黑客成功侵入当地有轨电车运营调度系统,改变了电车行驶方向,造成列车车厢脱轨,12 明乘客受伤。电力调度二次安全防护体系虽然发展历程并不长,也就是近 20 年提出来的,但是相对于电信行业、银行业、民航行业其他部门的安全措施来说,电力部门的安全防护措施已经走在了前端。我国电网由两大集团管理,即国家电网和南方电网,但我国是以公有制为基础的发展中国家,决定了电网管理体制,国家电网和南方电网由能源部统一管理。我国采用大电网智能化管理,统一调度,由国调、网调、省调、地调分级统一管理。厂网分开以来,输、配电的重要环节仍受能源部统一管理,保证了电网整体的安全和稳定。近年来国家也加大了对电网安全的资金投入,我国已经拥有自主研发的一系列安全设备,如瑞星的防病毒,南瑞、科东的纵向加密装置等,使用国产设备及软件将更有效保证二次系统安全。管理方面国家已经对电力系统二次安防出台了一系列的条例,如《电力二次系统安全防护总体方案》、《 二次系统安全防护规定》等。我国电力二次系统安全防护的总体原则为“安全分区、网络专用、横向隔离、纵向加密”[2]。受之前国内外的大面积停电事故的教训,我国各省调、地调都拥有自己的应急预案和反事故演习方案,定期开展安全活动,每年 6 月还定为安全生产月,开展安全生产隐患大排查。但是由于各省市地区的电网发展水平不同,各自的电网安全防护和应急处理能力也高低不一。美国作为一个发达国家在全球的 23 次重大停电事故中就占有 5 次,所以近年来美国正采取措施来加强电网集中化管理,如成立了独立运行机构(ISO)和区域输电组织(RTO)、推行强制性电网运行可靠性标准等。
..........
第 2 章 杭州电力调度二次安全防护体系规划
2.1 杭州电力调度二次安全防护体系的发展历程
2003 年以前的杭州电力调度二次安全防护体系是调度自动化 SCADA 系统(安全一区)通过网关加防火墙和局 MIS(安全四区)联结与 WEB 服务器在(安全一区)内,MIS 用户可通过此机访问 SCADA 数据库,不符合安全要求;电力调度自动化 SCADA 系统与电量计费系统没有联结,缺少磁带库备份和灾难恢复系统,不符合安全要求;电力调度自动化 SCADA 系统与三级网之间有防火墙,于四级网之间没有防火墙。安全三区暂时未建,拨号服务没有安全认证,(县局的负荷预报及其厂家的远程维护)。电量计费系统于 MIS 网仅通过网关相联结,缺少统一的网络管理软件,没有入侵检测系统,如图 2-1 所示。1.在电力调度自动化 SCADA 系统(安全一区)、电量计费系统(安全二区)与局 MIS(安全四区)之间加装物理隔离装置。2.电力调度自动化 SCADA 系统与电量计费系统联结,并加装防火墙。3. 改造系统软件,把 SCADA 系统的 WEB 服务器划入安全四区。4. 改造系统软件,把电量计费系统 WEB、报表服务器划入安全四区。5.增加自动化 SCADA 系统磁带库备份和灾难恢复系统,增加统一的网络管理软件和入侵检测系统。6.对拨号服务进行安全认证。7.对与县局及以后的变电所联结加装 IP 认证装置。
..........
2.2 杭州电力调度二次系统现状和防护需求分析
杭州电力二次系统安全防护的总体原则为“安全分区、网络专用、横向隔离、纵向认证”[2]。杭州电力调度电力二次系统主要包括调度自动化系统(SCADA 、VQC 、PAS 等) 、监控 SCADA 系统、继电保护和故障信息管理系统、电能量计量系统、调度员培训模拟系统 DTS、调度生产管理系统、电力调度数据网络等。根据安全分区原则,结合调度应用系统和功能模块的特点,将各功能模块具体划分如下,如图 2-3所示:安全Ⅰ区(实时控制区):调度自动化系统(SCADA 、VQC 、 PAS 等) 、监控SCADA 系统。安全Ⅱ区(非控制生产区):继保故障录波系统、电能量计量系统、调度员培训模拟系统。安全Ⅲ区(生产管理区):DMIS、web。安全Ⅳ区(信息管理区):局 MIS 系统、办公自动化系统(OA)等。杭州电力调度数据网是浙江电力调度数据网的一部分,是在 SDH 的 N x2Mbps专用通道的传输平台上,采用高性能的路由器设备组建。该网络在 SDH 层面上实现了与杭州电力信息网的隔离,并采用多协议标记交换虚拟专用网(MPLS VPN),划分了逻辑相互隔离的实时 VPN 和非实时 VPN,分别对应控制区和非控制区。目前杭州电力调度数据网覆盖 7 县调,238 座 110kV 变电站,并通过省公司汇聚路由器,跟区内 220 kV 变电站连接。目前,杭州电力调度数据网承载的业务主要有:基于网络的远动业务、电能量采集系统、继保故障录波业务、DTS 反事故演习、AVC 省地互联、AVC 地县互联、计划值传输和网络安全业务。
...........
第 3 章 纵向边界整改措施.... 16
3.1 整改方案 ......... 17
3.2 主站侧管理机和加密安装 .............. 18
3.2.1 前期准备工作 ............. 18
3.2.2 管理机安装 ...... 19
3.2.3 加密装置安装 ............. 19
3.3 厂站接入主站侧纵向加密管理机和纵向加密装置的配置 ...... 23
3.4 厂站纵向加密配置 .... 27
3.4.1 远程管理地址配置 ..... 27
3.4.2 其他配置 .......... 27
3.4.3 导入主站侧证书、建立隧道及策略配置 .............. 28
3.5 效果评价 ......... 38
3.6 本章小结 ......... 38
第 4 章 其他方面整改............39
4.1 电力数字证书系统有待建立 .......... 39
4.2 防病毒系统改造 ........ 39
4.3 定期开展安全评估和主机加固工作的难度 ........ 39#p#分页标题#e#
4.4 人员控制和出入机房 ........... 41
4.5 本章小结 ......... 42
第 5 章 结论与展望..... 43
5.1 结论 ...... 43
5.2 未来工作展望 ............ 43
第 4 章 其他方面整改
4.1 电力数字证书系统有待建立
随着二次电力系统安全防护工作的进一步推进,需要对人员、应用程序、硬件设备分配数字证书,以实现身份认证、数据的完整性、保密性和不可篡改性,目前,仅省调有一套数字证书系统,杭调没有安装。整改措施:数字证书系统作为一套独立设备存在,并未接入调度网络,所以它的安装过程相对比较简单。正因为它独立存在不受内网监视品台的监管,所以对它的监管就显得更加特殊。1、设备的存放,配备专门的保险柜来存放数字证书设备和有关资料,保险柜的钥匙和密码由二次安防管理员统一保管。每次签发数字证书前向二次安防管理员申请设备使用。2、数字证书的拷贝介质,待签发证书的导入和签发好的证书的考出必须使用 I区专用 U 盘或查杀病毒后的国网 U 盘。3、签发人员的要求,数字证书的签发主要由录入员、审核员、签发员 3 人依次完成。这三个角色分别由不同的人扮演,每个角色保管各自的人员 key 和登录口令,不等相互透露。4、已签发证书的保管,对于已经签发好的证书除了拷出一份用作导入纵向加密装置用,保存一份在签发装置上,要求保存在指定目录并按要求命名以作备份使用。
.........
结论
电力调度二次安全防护体系在调度自动化系统中承担着重要作用,假如调度自动化没有了二次安全防护体系,那么电力调度自动化就是一个裸露的系统,随时且轻易的躁动黑客或病毒的攻击。在电网规模日益扩大,调度自动化系统迅速发展的今天,电力调度二次安全防护体系为其他调度自动化系统提供了安全的保护屏障,其在整个调度自动化系统中的地位也越来越重要。本文共完成了一下工作:首先,电力调度二次安防国内外现状入手,分析了智能电网对电力二次安防的需,介绍了对杭州供电公司电力调度二次安全防护体系的发展历程及及各主要系统的安防手段,结合国家出台的一系列的安防条例和浙江省电力公司的相关规范,找出了杭州电力调度现有二次安防措施的不足之处。其次,本人根据杭州电网调度数据网的改造工作,与杭州电力调度数据网整体架构和业务应用紧密结合,加强了杭州电力调度主站系统的纵向边界防护措施,并从主站、县调、220kV 和 110kV 变电站实际情况出发,提出了杭州供电公司调度主站系统纵向边界防护的详细改造方案和实施步骤,包括如何签发数字证书,主站和厂站端加密装置的隧道建立、策略配置。从各方面的效果评价来看,该改造措施确实为杭州电力调度的安全提供了更好的保障。同时在改造过程中也遇到也一系列的问题,如数字证书签发不成功、纵向加密协商不成功等,通过和厂家的不断讨论,层层排查,这些问题都得到了一一解决,同时编写了出现类似问题的应急处理预案。最后,针对杭州供电公司二次安防的现状发现了二次安防的其他不足之处,并根据国家电监会第 5 号令《电力二次系统安全防护规定》要求,提出了整改方案改造后的杭州电力二次安防体系的防御性更加强大,结构更加完善,全面提高了电力系统的可靠性和业务保障能力。
..........
参考文献(略)
