济南亚游科技有限公司
联系我们
客户服务
信息系统集成

电厂数据无线采集远动通信网关技术方案

人气:0 发表时间:2017-08-25 10:43

前言

 

目前,市局电网部分电厂因建设时间早,资金不足等因素,不具备电力专线通道,无法实现其遥测、遥信上送调度,为了保证电网的安全可靠运行,让调度员及时准确地掌握所辖电厂的运行情况,需实现所辖用户厂站的远动上传地调的调度自动化系统。拟采取GSM/CDMA/GPRS/无线通讯的方式实现各用户厂站的远动上传,由于是基于无线公网,须满足二次系统安全防护的有关规定,要求具备电力调度专用数字证书认证、隔离技术,防火墙、数据加密等安全技术,对远程接入设备进行认证,对传输的信息进行加密和数字签名,并设置安全策略对接入访问的范围和资源进行限制,为电网调度自动化实时数据的传输提供安全可靠的传输通道。

1、方案的优势

1.1、数据通信安全

子站安全网关将数据签名、加密经过公网GPRS传输到主站安全网关,主站安全网关经过数据解签名、解密之后,以串口或网络方式接入EMS系统。

1.2实时性强

远动通信安全网关通过各种网络建立的通信具有实时在线特性,系统无明显时延,无需轮询就可以同步接收、处理多个/所有数据采集点的数据,很好的满足系统对数据采集和传输实时性的要求。

1.3、满足电力二次安全防护的要求

依据电力二次安全防护的要求使用公网通信必须采用安全防护措施,必须对数据进行加密及认证,并不能直接接入调度数据网。

远动通信安全网关能实现对主站端和厂站端的数据通信网络隔离,加密及采用电力调度数字证书实现身份认证,满足电力二次安全防护的要求。

1.4通信费用低

GPRS采用包月或按流量计费方式,运营成本低;每月仅需3040元。

总体通信比直接光纤铺设成本要低。

2、方案的安全防护需求

对于需要采用基于GPRS/CDMA/电话拨号等公网通道传输远动数据的电厂,为了满足电力二次系统安全防护的要求,必需加装安全防护设备,以保证基于公网通信的信息安全,降低和杜绝网络风险,减少信息安全事故隐患,防止由此引起电力系统事故,从而保障电网的安全、稳定、经济运行,保证国家重要基础设施的安全。

2.1、通信网络所存在的风险

通用分组无线业务(GPRS)是一种对GSM网进行改进的数据传输标准,它在GSM上提供分组交换和分组传输的能力,利用现有的GSM的基础设备,能以高达115kbit/s甚至170kbit/s的传输速率实现端到端的分组交换数据业务。

由于GPRS是基于IP的骨干网,而目前许多黑客都对TCP/IP协议非常熟悉,这就使得它更容易受到攻击。GPRS可能面临的攻击风险有:

黑客:是指试图从外部IP网络(如Internet)侵入到GPRS系统的人,他们的目的是破坏GPRS网络或者窃取信息以显示他们的能力。

管理人员:应确保GPRS的网络管理人员对系统不造成任何危害,对他们访问内部网络的权限要加以限制。

转包商:大多数转包商都不是有意的破坏GPRS网络,但是由于疏于软件更新或其它类似的情况都会对网络造成威胁。

合作者:诸如ISP等。因为ISP直接与GPRS骨干网相连,无疑就成为一个开放的互联,他可能在无意之间泄露了一些信息或者向第三方提供了物理层的链路。这都使得GPRS网存在着安全隐患。

3.1、工程条件

安装地点及安装方式:相关设备安装市局市调度系统主站机房及电厂主控室内。

3.2系统组成

 下面把GPRS/CDMA/PSDN/ADSL网络统称为公网通道。

公网通道安全防护系统包含多套子站安全网关及主站安全网关,子站安全网关用于子站的安全防护,主站安全网关提供串口及网络两种安全接入的模式,方案数据流程如下:

电厂通过RS485串口方式连接到子站安全网关

子站安全网关将数据签名、加密经过公网GPRS传输到主站安全网关

主站安全网关经过解签名、解密之后,以网络方式连接EMS系统。

 

3.3、系统网络拓扑

 

 111.jpg

子站安全网关

电厂自动化监控系统通过RS232口方式与子站安全网关相连,安全网关基于电力调度数字证书对数据进行身份认证、协议封装加密后通过公网发送到主站安全网关。

主站安全网关

市局市调系统通过RS232串口方式与主站安全网关相连,主站网关必须配置一个固定的公网IP。主站安全网关基于电力调度数字证书对数据进行身份认证、协议封装解密等措施后,再通过网络方式把数据发送至EMS系统。

 

3.4、防护措施

HR YD-3000远动通信安全网关的安全防御采取以下措施:

(1) 网络隔离 HR YD-3000实现内网与公网之间的网络隔离,在前置机与安全网关以串口方式专用协议通信,它意味着硬件连接非网、软件没有采用TCP/IP协议,因此其有很强的安全性

(2) 身份认证HR YD-3000采用电力调度专用数字证书进行身份认证,对远方终端进行身份鉴别,同时向远方终端表明自己的身份,通过IKE协议双方提供自己的证书,以验证身份是否信任。远动通信安全网关(HR YD-3000)可以选择硬证书或文件证书解决身份认证的问题。

(3) 加密HR YD-3000支持 3DES, AES, Serpent, Twofish, Blowfish 数据加密算法,对传输的数据进行强有力的加密,防止数据中途被窃获或篡改,使用 MD5/SHA1散列算法和数字签名来保证数据的完整性。

(4) 使用安全协议

HR YD-3000采用IPSEC安全协议实现数据通信。IPSEC是在IETF (因特网工程任务组)的组织开发的一种安全架构,能够符合国家关于加密通信的使用的法律,从IPSEC诞生到现在已经有十多年,经历了长时间的考验,被证明是最有效的网络安全解决方案。

IPSec提供三种不同的形式来保护通过公有或私有IP网络来传送的私有数据:

认证:可以确定所接受的数据与所发送的数据是一致的,同时可以确定申请发送者在实际上是真实发送者,而不是伪装的。

数据完整:保证数据从原发地到目的地的传送过程中没有任何不可检测 的数据丢失与改变。

机密性:使相应的接收者能获取发送的真正内容,而无意获取数据的接收者无法获知数据的真正内容。

(5) CDT串口规约转换104通讯协议,并支持104规约透传

HR YD-3000厂站端通过串口接收厂站的CDT串口规约,再把CDT规约转换成网络通信的104通信协议,再通过网络接口接进主站设备。提高主站接入厂站终端的数目,并支持网络对网络104规约透传。

(6) 设置防火墙

在网络中设置防火墙可以增加系统的安全性。防火墙是一组相关的程序,位于网络的关口服务器上用来保护网络的资源。HR YD-3000的内置防火墙控制外网发过来的数据。通过设置适当的防火墙规则,就可以控制外网对内部子网的访问。同时防火墙拦截PPP链路上一切非IPSEC-VPN数据包,防止移动客户的未授权操作。

(7) 针对电力专用通讯协议进行完整的协议分析

HR YD-3000引进电力系统专用通讯协议分析,增添各种通讯协议的分析,如104规约等协议,从而进一步体现设备的电力系统专用性。根据通讯连接建立的状态,以及包结构的正确性,对通信的数据包加以分析,检测并控制传送数据。并生成日志记录数据通讯的情况。

3.5、产品配置

 远动通信安全网关用于完成网络隔离、用户认证、隧道管理、密钥管理等功能,一般安装在生产控制大区中,可以与外网侧远动通信安全网关之间建立安全隧道,完成隧道接入、信息加解密功能。具体配置如下:

电源接口: AC220V±30% 50HZ±5%;

设备可安装于19英寸标准机柜,也可用于便携

网络接口:具备1个以上10/100M网络接口

外设接口:1个RS232配置接口,1路RS232/RS422/RS485数据转接口主站设备可以选配置4-128路转接口

通道接口:支持PSTN/GSM/CDMA/GPRS/卫星电话等多种接口

3.5.1、安全特性

符合电力二次系统安全防护总体方案的安全要求

具备公安部信息安全产品检测中心销售许可;

具备国家电磁兼容检验测试中心的检测报告;

在电力系统内具备成功的运行经验。

3.5.2、功能介绍

采用精简的、安全的、固化的LINUX操作系统,剪裁不需要的所有系统服务,加固操作系统,保证设备安全的最大化;

采用IPSEC VPN技术建立加密隧道,对远程数据进行机密性保护;

支持采用电力调度数字证书(USB-KEY方式),实现对远程访问用户的高强度身份认证和集中访问授权;

支持远程RS232/485/422接口数据与主站系统安全加密透明传输;

厂站端支持对智能电表的数据采集功能,并定时发送至主站端。

支持GPRS/CDMA,卫星网络,电话拨号网络同时接入;

支持单对单及单对多的通信工作模式,远动主站可以支持32个安全接入并可扩展到256路,配网主站接入时提供API接口供主站程序调用,以保证海量终端接入;

支持对远程接入用户的访问资源进行安全控制,包括访问的时间段、资源的地址范围、端口等;

安全网关主机对移动客户端的所有动作事件、安全网关自身所发生的事件进行日志记录,审计查询的内容包括用户拨号的用户名,登录/注销时间,登录时长,流量统计、每个数据包的内容,安全网关自身的事件等

 

上一篇:用户变电站调度通信接入系统设计 下一篇:没有了