科创中国

D5000系统采用地县一体化模式，地县调交换机直连未采用任何安全设备，“调度终端延伸”工程要把该系统延伸至运维班。一旦县调、运维班设备被入侵，黑客将毫无阻碍地攻入调度核心设备。针对D5000系统延伸组网存在的组播、广播与网络安全问题，本课题对现有的纵向加密装置进行改造，增加二层VPN隧道VXLAN技术模块。

D5000是支撑电网运行的重要系统，提供了功能丰富的数据监测功能与数据采集功能，由于D5000系统设计架构原因使得系统的生成的监控与采集的数据是由内部各服务器通过组播、广播以及单播的方式数据交互形成的。但组播、广播的方式，三层交换机无法正常通信，纵向加密装置又无法对二层组网进行防范，导致目前地县调之间数据传输，及未来的运维班监控与地调之间的数据传输采用交换机网络直连，没有任何安全防护设备，存在较大的网络安全风险。该方案实现跨越路由器的二层组网，使地调D5000系统与县调端D5000前置机之间实现二层通信，从而解决组播传输与广播问题。把广播与组播报文封装在二层隧道中，在此基础上通过部署纵密设备加密二层VPN隧道从而实现数据安全传输来满足电力系统安全需求。单播传输也可采用该方案实现安全防护，并能减少故障点以及降低设备成本。

（1）满足地县一体化，二次安防工作要求

通过对纵向加密装置的改造，增加二层VPN隧道VXLAN技术模块，实现二层组网，满足地县调的通信要求，有效支撑了地县一体化建设。构建双向身份认证和数据加密机制，保证数据的安全性，从而满足二次安全防护的工作要求。

（2）为满足运维班全面监控的二次安防工作要求，提前做好准备

运维班所在地，人员来往频繁，不可能像调度自动化机房一样进行标准化管理，存在更大网络安全风险。采用此方案，可提前为运维班全面监控做好网络安全工作准备。

（3）相比传统的加密方式，结构简单，成本较低

本方案仅需增加一对改造过的加密装置，接在普通二层交换机上即可，无需路由器和三层交换机。缩减了设备数量，降低了成本，并减少了后期设备维护的故障点。

自动化攻关小组始终奉行着“数据精准、服务电网”的工作理念，精心维护着濮阳地区90与座变电站，38座发电厂的自动化信息及数据专网、二次安全防护等多项工作任务。每年自动化系统数万次遥控无一差错，数百万次信号准确报出，对质量与安全的要求早已深入骨髓，作为监视电网眼睛的守护者，自动化团队一直不断的在努力学习新技术，适应新秩序，克服新矛盾的锤炼中，精益求精，不断更新工作方法、创新工作思路。积极开展QC活动，曾获国网公司优秀成果一项，河南省省质协一等奖一项，二等奖两项，三等奖多项。小组人员：张杰琳：高级工程师，高级技师李冬洁：工程师李丹：工程师，中级工龚金茹：高级工程师，技师程隽：高级工程师，技师景书珍：高级工程师，技师申玉航：助理工程师孟维鸣：助理工程师武随邦：华为数据通信高级工程师

通过对纵向加密装置的改造，增加二层VPN隧道VXLAN技术模块，实现二层组网，满足地县调的通信要求，有效支撑了地县一体化建设。构建双向身份认证和数据加密机制，保证数据的安全性，从而满足二次安全防护的工作要求。

仅需增加一对改造过的加密装置，接在普通二层交换机上即可，无需路由器和三层交换机。缩减了设备数量，降低了成本，并减少了后期设备维护的故障点。

该成果科技成果创新水平水平较为专业，可主要应用于电力系统，电信系统，存在网络延伸的行业和系统均可投入应用。市场前景广泛。在网络系统中应用有一定的引领性作用，技术创新性很强，且技术成熟。

总体而言，该项目技术思路方向很好，未来市场空间大，有利于当前政策要求，转化成熟度很高，值得支持推广。建议强化相应产品开发，加大产业链开发力度。

该成果主要应用于网络系统中，十分符合当今社会的发展需求，具有较好的应用与投资前景，希望能有自己网络系统的公司或个人能够从安全出发投入资金进行网络安全升级。

该项成果通过对纵向加密装置的改造，增加二层VPN隧道VXLAN技术模块，实现二层组网，满足地县调的通信要求，有效支撑了地县一体化建设。构建双向身份认证和数据加密机制，保证数据的安全性，从而满足二次安全防护的工作要求。

相比传统的加密方式，结构简单，成本较低仅需增加一对改造过的加密装置，接在普通二层交换机上即可，无需路由器和三层交换机。缩减了设备数量，降低了成本，并减少了后期设备维护的故障点。