广东电网公司是中国最大的省级电网公司,负责广东电网的经营投资、运行维护、电力交易与调度、电力生产调度信息通信等业务,直接管理全省19个地市供电局。
广东电网以珠江三角洲地区500千伏主干环网为中心,向东西两翼及粤北延伸。通过“八交五直”高压输电线路以及鲤曲线与中西部电网联网;通过1回500千伏交流海缆与海南电网相联;通过4回400千伏线路与香港中华电力系统互联;通过3回220千伏电缆和4回110千伏线路向澳门地区供电。
广东电网的二次系统呈现典型的横、纵式网状结构。从横向上看,系统可划分为生产控制大区和管理信息大区:生产控制大区可分为安全区I和安全区II;管理信息大区包括管理服务器区(安全区III)和办公区(安全区IV)。从纵向上看,省级调度中心、地市调度中心、县级调度中心通过电力调度数据网和电力企业数据网进行纵向通信。
这样复杂的系统面临着以下几个挑战:
网络安全漏洞待防范
横向上,鉴于安全区I内的业务为广东电网的核心业务,故需进行最高安全级别的保护。但安全区II与安全区I之间并无安全边界,该漏洞无疑使安全区I的业务面临较大风险。
纵向上,上下级单位之间的数据传输较为频繁,而原有网络系统中并未提供有效的安全措施,一旦电网内部用户遭受来自互联网的攻击或者使用了感染病毒或木马的文件,此危害源将在整网迅速传播,酿成大规模安全事故。
应急处理能力要提高
随着广东电网的结构和运行模式变得越来越复杂,电力系统中任意点的通信故障都会威胁到整个电网的运行。尤其当故障发生在主干网时,如不能提供备用通道,会造成电力运行中断。
网络要能可扩展
2010年,广东电网公司计划投资1250亿元进行电网建设。按计划,广东电网220千伏及以上电压等级的变电站的座数、变电容量和线路长度都将上一个新的台阶,分别为2005年的1.97倍、2.1倍和1.96倍。广东电网的快速发展对于信息系统和设备的可扩展性提出了更高的要求。
华为高性能安全网关实现安全零事故
针对广东电网安全现状,华为部署高性能安全网关实现了数据网和电力网的风险控制。横向层面上,安全I区和安全II区之间的网络边界部署冗余备份的USG5000,用于隔离生产数据和非生产数据,这样,非生产数据的传输将不会影响生产和控制数据的传输。纵向层面上,华为在上下级网络间冗余部署USG5000加密认证网关,采用128位的加密算法对VPN内数据进行加密保护,同时通过内建认证中心,对下级上联的用户接入进行认证识别,防止网络窃听等恶意入侵行为对调度数据网形成侵害。
华为解决方案具有如下特点:
数据隔离控制,接入身份认证,减少安全风险
在安全区I、II之间部署硬件防火墙系统,严格控制用户访问。这些防火墙采取集中管理方式,确保访问控制策略的有效性,杜绝非授权或非法访问。此外,在省调中心和地调中心、地调中心和变电站之间的管理信息大区部署防火墙,这种上下级数据传输的隔离避免了大规模网络安全事件的发生。
链路和双机备份,减少业务中断
广东电网调度中心的控制区与非控制区互联采用双链路备份形式,每条链路上均部署一台防火墙,它们之间同步流量和会话信息,做到互相备份,从而达到降低网络故障率,提高网络可靠性的目标。另外,整机平均平均无故障时间长达50万小时 ,故障倒换时间小于0.1秒,这些优秀的特性保障了电力业务的可靠性和稳定性。
良好扩展性助推广东电网完成战略目标
目前广东电网公司已建成23个500kV变电站、200个220kV变电站、1400个110kV变电站。根据电网规划,广东电网变电站数量将在未来五年增加1倍,即新增50个500kV变电站、400个220kV变电站、2000个110kV变电站,并且实现所有新建的变电站等信息都能无缝接入调度系统。
广东电网达到安全防护目标,迎接数字化改造
广东电网部署华为安全设备两年以来,华为网络安全设备运行良好,区域供电局及变电站实现了信息安全零事件、信息系统运行零事故、重要数据网络零泄露的工作目标,帮助广东电网全面满足国家电监会制定的《电力二次系统安全防护规定》合规性要求。
而华为USG系列防火墙,凭借超高性能和良好扩展性,在广东电网高速发展态势下,可以保障设备端口及性能的平滑扩容,极大减少因网络安全设备升级改造而增加的额外投资,同时防止了因改造扩容造成的停电风险,大大节省了广东电网在数字化变电站改造过程中的投入成本。