1　引言

随着近年来分布式电源和配网自动化系统发展，大量的分布式光伏电站建成并网运营。分布式光伏电站大多容量不大(6MW以下)，投资规模小，现场比较偏远，没有条件敷设光纤专线。电网调度部门无法掌握分布式电源和配电网的相关信息，困扰着地区电网的运行和管理，也给电网安全带来隐患。对于分布式电源和配电网需要一种成本较低，能够实现发电和电量数据接入电网调度监控并满足安全防护要求的信息接入及组网方案。

2　VPN组网

目前我国移动通信4G(第四代移动通信技术)覆盖面积已经普及，对于地理位置偏远，建设费用低的分布式电源，采用移动通信网络运营商的4G网络实现组网和数据传输是理想的解决方案。

VPN/VPDN(虚拟/拨号专用网络)是在公用网络上建立虚拟专用网络，进行加密通讯的网络技术。由于电力生产数据和系统安全的重要性，需要网络运营商在主干网上完成VPN通道的建立，VPN网关通过隧道和对数据包的加密和数据包目标地址的转换实现远程访问[1]。

VPN/VPDN的隧道协议主要有几种，PPTP(点到点隧道协议)、L2TP(第二层隧道协议)、IPSec(Internet协议安全性)和GRE(通用路由封装协议)等，其中PPTP和L2TP协议工作在OSI模型的第二层，又称为二层隧道协议；IPSec和GRE是第三层隧道协议。第二层隧道协议和第三层隧道协议的区别主要在于用户数据在网络协议的第几层被封装，这些协议之间本身并不冲突，可以结合使用[2]。

在组网上需考虑的安全性层面主要包括隧道的验证，通信双方的身份验证和通信数据的加密，如果基于网络运营商建立的VPN/VPDN自身提供的安全措施，一般企业用户应该使用IPsec技术，如果需要实现安全的VPDN，应该采用L2TP+IPsec组合技术，先使用L2TP封装第二层数据，再使用IPsec封装对数据进行加密和提供完整性保护，由此保证通信数据安全传送到目的地[3]。

电力监控中心采用传统专线方式，能够保证申请的专线带宽，但建设和使用成本比较高，需要网络运营商敷设专线到电网企业电力监控中心，监控中心用户还需要根据服务器架设位置敷设网线。全无线方式组网灵活，监控中心侧可以建在调度中心机房或者其他任何位置，且搬迁和移位便利。目前运营商4G网络的理论峰值速率可以达到上行50Mbps，下行100Mbps，但是该理论带宽受附近基站的终端使用数量影响，大量移动终端通过同一基站访问网络时，可能存在网络阻塞现象。

2.1 地塞米松组和对照组术后视力改善情况 地塞米松组术后1 d视力提高率高于对照组(P<0.001)，两组术后1周视力提高率比较差异无统计学意义(P>0.05)。见表1。

客户可自建或与运营商共享AAA服务器，GGSN向AAA服务器提供用户主叫号码，采用主叫号码和用户账号相结合的认证方式；用户通过认证后由AAA服务器分配企业内部的静态IP地址。

由式(1)可以看出，信号强度值P与距离d之间的关系符合对数衰减关系。由于 是随机变量，相当于是偶然误差，令：

2.1　传统VPDN组网方式

无线网络运营商给出的VPDN实现方案是VPN用户向当地网络运营商申请租用一条专线，从就近GGSN节点架设至用户数据中心，运营商在网关和用户接入路由器上配置VPDN隧道协议，实现VPDN方式。该方式由于用户需要架设并租用专线，建设周期和成本都比较高(根据申请的带宽，带宽越大价格越高)。该方式组网方式如图1所示。

图1　传统无线VPDN组网方式

2.2　全无线组网方案

本文试图建立一种全无线的新型组网方式，在电力监控中心与分布式电源场站同样采用无线方式，组网方式如图2所示。在电力监控中心不需要架设租用专线，作为与监控站点同等地位的APN接入，各个监控站点之间均可通信互联。

所有APN的专网IP地址固定，能够既作为客户端，也能作为服务端支持各类基于IP协议的应用，特别是电力专用的各类通信协议(101102103104MODBUS等)；

即便不看这些大的并购案，小微并购案可能在中国的物流市场每天都在发生。2018年10月24日，申通快递发布公告称，其全资子公司申通快递有限公司拟以3866.85万元收购收购贵州、昆明的两大中转中心。同年6月6日消息,申通快递收购深圳、广州等转运中心资产。“而更多的不知名的物流第三方企业因为利润下降，生意不好做，转卖给同样不知名的物流第三方企业这样的案例会更多。”王成表示，不论大案例，还是小案例，都在表明这个行业正在向更高的集中度迈进。

移动网络运营商提供专用APN(接入点名称)接入VPDN网络的SIM卡，每张SIM卡作为VPDN网络接入点连接GGSN，在运营商HLR(归属位置寄存器)或平台AAA中配置每个APN固定IP地址，打通APN间的隧道，每个APN配置一台支持隧道协议的无线路由器作为LNS，GGSN作为LAC负责与LNS之间建立L2PT隧道转发IP报文，并在GGSN中关闭IP地址反欺诈功能，关闭终端隔离，允许APN之间互访。

[1] 吴克河，崔文超，何建平.电力企业移动安全接入平台[J].计算机系统应用，2014,3(7):31-36.

图2　全无线VPDN组网方式

2.3　优劣对比

我国三大移动网络运营商(移动、联通、电信)提供可分配专用的APN(接入点名称)，仅开通接入VPDN网络的SIM卡，利用SIM卡的唯一性，在网络侧对SIM卡和APN进行绑定，划定用户可接入该系统的范围，只能访问客户专网，限制使用其他的APN访问互联网公网，有效避免非法入侵。可通过数据中心给每个SIM卡分配特定的用户ID和IP，其他没有数据中心分配的用户ID和IP的SIM卡将无法登录进入系统，系统的安全性进一步增强。专网SIM卡对业务也进行严格的鉴权，关闭语音、短信等无关业务，得到业务唯一性的安全保证。

表1　优劣对比

对比项传统专线方式全无线组网方式硬件成本约20万约2万运营费用信道租赁高流量费低建设周期长无灵活性差高带宽根据价格和申请,固定有保障理论100Mbps,但不保证网络稳定性高高安全性高高

3　电力专用

运营商提供的VPDN隧道用于IP包加密的IPSec协议支持的DES、3DES、AES等加密算法均不满足国家电网信息安全要求的基于国密算法的认证、加密标准，针对电力监控系统安全防护要求，电力调度生产及管理系统与网络用户、关键网络设备、服务器应采用电力调度证书服务系统统一颁发的专用数字证书，在调度系统和网络关键环节实现高强度的身份认证、安全的数据传输以及可靠地行为审计。电力调度证书服务系统遵循一系列国际上的关于密码学和数字证书标准，采用国密加密算法。证书类型包括：人员证书，程序证书和设备证书，实现接入用户的身份认证和数据传输加密[4]。

4　电力监控系统安全接入区方案

根据《电力监控系统安全防护规定(国家发改委[2014]14号令)》、《电力监控系统安全防护总体方案等安全防护方案和评估规范(国能安全[2015]36号)》和《Q/GDW 11347-2014国家电网公司信息系统安全设计框架技术规范》的要求，生产控制大区的业务系统在与其终端的纵向联接中使用无线通信网、电力企业其它数据网(非电力调度数据网)或者外部公用数据网的虚拟专用网络方式(VPN/VPDN)等进行通信的，应当设立安全接入区[5]，采用基于国密算法的认证、加密等安全防护措施[6]。

乡土营造在流传变迁中，以传播学的视角看，主要依托两种传播媒介：语言媒介和文本媒介。语言性媒介，一方面是依托语言体系，根据不同语系所代表的匠师群体进行营造活动传播；另一方面是口头传教，师徒教学的方式是传播者与受传者之间的主要传承方式。同时包含了重要的工匠语言传承（口诀、称谓等）。匠人之间使用的不同称谓系统或者南北共识的营造术语，有时也可作为营造源流的辨识依据。而通过移民、商旅、战争、宗教等人类活动的人员变迁是各地之间营造传播的重要通道。文本性媒介则包括广为人知的《营造法式》、《营造法原》、《鲁班营造正式》等典籍传播，但具体的影响范围、程度及方式等需另做讨论。

分布式光伏电站主要上传调度中心数据如表2所示。

部署在电力企业调度端的安全接入区与分布式电源场站采用全无线VPDN组网。VPDN的第二层隧道协议采用运营商提供的L2PT协议，第三层IP层的加密认证采用纵向加密认证装置自建的IPSec隧道协议，实现用户身份、设备认证以及数据的加密传输，分布式电源场站侧通信采用电力专用网络通信协议IEC- 60870-104。网络拓扑方式如图3所示。

图3　电力监控系统安全接入区网络拓扑

5　安全接入区与调度自动化业务系统接口

安全接入区采集到的分布式电源并网数据需要转发至调度自动化的各项业务系统中，如SCADA系统、电能量管理系统等。根据业务系统的不同安全分区，可将采集的业务数据根据不同的安全分区转发至业务系统。按照电力监控系统安全防护要求，无线接入的安全接入区属于外网，安全接入区与生产控制大区中其他部分的联接处必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置[7]。安全接入区转发业务数据至电力监控系统的结构如图4所示。

(2)次生地质灾害严重，道路、电力、通讯全面受阻，救援生命线修复艰难。云南地震带与河谷叠合，地震区多为高山峡谷区，地震常造成巨型次生地质灾害，道路打通极为困难。余震、降雨又会诱发新的地质灾害，造成交通再次阻断，伤员转运困难，滞留在重灾区转运不出去。生活物资因地震被毁，而救援物资又难以进入灾区，造成交通大堵塞，大量救灾物资停留在重灾区10 km左右，而灾区物资又十分缺乏，且救援的核心之一医护人员难以第一时间到达灾区。

图4　安全接入区与调度自动化各业务系统接口

6　应用情况

本文描述和研究的安全接入区系统目前已在安徽省内多个地市供电公司调度中心部署应用，接入分布式光伏电站三百余个。

[2] 程思，程家兴.VPN中的隧道技术研究[J].计算机技术与发展，2010,20(2):156-159.

本方案在监控中心和监控场站部署电力专用纵向加密认证装置，通过纵向加密装置建立隧道，纵向加密装置的隧道同样基于VPDN第三层IPSec协议，但加密算法采用的是采用国家密码管理局授权批准的电力专用密码算法，支持身份鉴别，信息加密，数字签名和密钥生成与保护。

表2　数据类型

遥测遥信遥脉并网点Uab通道状态正向有功电量并网点Ubc断路器分合状态反向有功电量并网点Uca手车工作位置正向无功电量并网点Ia反向无功电量并网点Ib并网点Ic有功功率无功功率功率因数

遥测、遥信通过反向隔离转发至SCADA系统，遥脉通过反向隔离转发至电能量管理系统。

参考文献：

图5　系统界面

系统包含安全接入区接入的分布式光伏电站概览、场站信息、报文监视、数据查询和报表管理功能。为电网调度部门掌握和管理分布式电源提供了一种满足安全防护和低成本投资的解决方案。

图6　厂站信息

图7　数据查询

7　总结

本文研究一种采用无线VPDN技术用于电力监控系统的安全接入区建设方案，适用于大量投资小、位置偏远的分布式电源数据接入电力监控系统，便于电力调度部门对于分布式电源及地区电网的负荷管理。本方案在采用网络运营商提供的全无线组网方式便捷灵活的基础上，针对电力监控系统的安全防护要求做了专门设计，能够满足国家对于电力监控系统的安全防护要求，在实际应用中取得了良好的效果。

系统界面如图5所示。

为保证SIM卡的安全，APN的SIM卡与接入终端设备全球唯一IMEI(移动设备身份码)绑定，一旦SIM卡离开终端设备进入其他的设备，该SIM不可用。

10月9日，湖北省粮食局、湖北省教育厅、湖北省人力资源和社会保障厅联合出台《湖北省“人才兴粮”行动计划（2018－2022年）》。根据《行动计划》，到2022年，全省粮食行业人才队伍基本适应事业发展需要，粮食行业管理人才综合素质专业素养明显增强。要培养50名高级专业技术人才，建设5个以上领军人才工作室，推荐选拔10名以上青年拔尖人才，培养200名技师和高级技师，推荐选拔10名以上技能拔尖人才。

纳入标准：（1）腰部屈伸活动时突然发生腰部“受阻”感；长时间站立后出现“腰部折断感”，腰部体位变化时，出现局部的腰臀部疼痛以及神经损害症状，甚则出现严重畸形和致残性疼痛；站立后症状加重，卧床休息或佩戴腰围后症状缓解。（2）直腿抬高试验呈阴性，俯卧位时，腰背部L4/5棘突两侧明显压痛、叩击痛；（3）年龄30～65岁；（4）无明显双下肢的放射痛及麻木疼痛症状；（5）自愿参与本项研究，并签署知情同意书。

[3] 李琦，蒙杨，卿斯汉.基于IPSec和L2PT隧道实现技术的研究[J].计算机科学，2004,31(4):40- 42.

[4] 徐茹枝，郭建，李衍辉.智能电网中电力调度数字证书系统[J].中国电力，2011,44(1):37- 40.

[5] 中华人民共和国国家发展和改革委员会.电力监控系统安全防护规定:[2014]14号令[S]. 2014- 08- 01.

妙解2：当体积最大时，M为C（D的中点，此时△DMC、△AMB为等腰三角形，取DC的中点为E，AB的中点为F如图3，则易知∠EMF是二面角的平面角。

[6] 国家电网公司.国家电网公司信息系统安全设计框架技术规范:Q/GDW 11347-2014[S].北京:国家电网公司, 2014.

[7] 国家能源局.电力监控系统安全防护总体方案等安全防护方案和评估规范:国能安全[2015]36号[S].2015- 02- 04.

Sneddon综合征1例报告 …………………………………………………… 刘艳君，韩在柱，毕彦超，等 145