[意大利] . 貝利諾 等

運行與管理

重要公共基礎(chǔ)設(shè)施監(jiān)控及數(shù)據(jù)采集系統(tǒng)的實現(xiàn)

[意大利]F. 貝利諾 等

歐洲和國際監(jiān)管框架組織越來越重視重要公共基礎(chǔ)設(shè)施的安全保障和結(jié)構(gòu)安全。比如，意大利國家電力公司開發(fā)運行了一個遠程控制系統(tǒng)，用來管理500多座可再生能源發(fā)電站，這些發(fā)電站的發(fā)電能力達到了約16GW，其中92%是水力發(fā)電站，大約有200座大壩。主要描述了遠程控制系統(tǒng)的設(shè)計標準與規(guī)范。

水電站；水電站遠程控制；遠程控制系統(tǒng)；歐洲

日益增長的公共基礎(chǔ)設(shè)施的立法管理，促使標準化組織(包括國際電工技術(shù)委員會(IEC))逐步發(fā)布專業(yè)標準和指南，以管理重要公共基礎(chǔ)設(shè)置的安全。本文主要探討了對意大利國家電力公司、意大利傳輸系統(tǒng)運營商(TSO)和負責(zé)水資源管理的地方當局至關(guān)重要的基礎(chǔ)設(shè)施建設(shè)問題。

現(xiàn)以水電站遠程控制系統(tǒng)作為重要公共基礎(chǔ)設(shè)施的實例。遠程控制系統(tǒng)可以在一個國家內(nèi)甚至是在國際間，通過電信系統(tǒng)對無人值守設(shè)備實現(xiàn)遠程控制。遙控系統(tǒng)的應(yīng)急能力和可靠性需要以強大的信息和通訊技術(shù)(ICT)作為支撐，使數(shù)據(jù)傳輸?shù)陌踩浴⑼暾约氨Ｃ苄缘玫奖Ｕ?。這些都是重要公共基礎(chǔ)設(shè)施安全及安全管理的核心技術(shù)。

遠程控制系統(tǒng)的體系結(jié)構(gòu)就是根據(jù)上述概念而構(gòu)建的。本文從智能電網(wǎng)的視角，結(jié)合被歐洲和國際機構(gòu)認為是最有影響力的工程，即意大利國家電力公司的水力發(fā)電設(shè)施，來論述遠程控制系統(tǒng)的體系結(jié)構(gòu)。

1 背 景

意大利通信和信息技術(shù)研究所的白皮書將國家重要公共基礎(chǔ)設(shè)施定義為：國家重要公共基礎(chǔ)設(shè)施(CNI)是對一個國家的公共安全和運行至關(guān)重要的任何公共或私有的基礎(chǔ)設(shè)施，是保障社會正常運行的關(guān)鍵性部門，如醫(yī)療、經(jīng)濟、能源、交通和通訊系統(tǒng)、執(zhí)法、國防以及一般性公共管理部門。

上述最重要的支柱部門就是與信息技術(shù)相關(guān)的能源和電信系統(tǒng)，以及與其相關(guān)的增值業(yè)務(wù)，如醫(yī)療、國防等，這些都依賴于上述2個核心技術(shù)。根據(jù)定義，能源是不可或缺的要素。能源和電子通訊系統(tǒng)是相互依存的關(guān)系：沒有足夠和穩(wěn)定的電力供應(yīng)，信息通訊設(shè)備就無法正常工作；反之，不同的設(shè)備之間只有通過通信系統(tǒng)建立連接，并實現(xiàn)信號傳遞，這樣電力生產(chǎn)與傳輸、分配電網(wǎng)才能正常工作。

歐盟網(wǎng)絡(luò)與信息安全機構(gòu)(ENISA)對該概念提出了以下一些補充規(guī)定。

在歐盟內(nèi)部存在的一些關(guān)鍵基礎(chǔ)設(shè)施，如果它們遭受破壞或摧毀，可能會影響到2個或2個以上的成員國；或者也可能是一個成員國的關(guān)鍵設(shè)施結(jié)構(gòu)的破壞會對另一成員國產(chǎn)生影響。如此重要的公共基礎(chǔ)設(shè)施具有跨國層面的特征，應(yīng)該被認定為歐洲的重要公共基礎(chǔ)設(shè)施(ECI)。這只能通過歐洲重要公共基礎(chǔ)設(shè)施認證程序來完成，并且需要通過評估其是否需要提升保護力度。

簡單明了地來說，就是無論是從雙方互惠的不可或缺(包括石油和天然氣、電子通訊系統(tǒng)、電力和水)方面，還是從超越國界的相互依存方面，一些基礎(chǔ)設(shè)施(包括國家重要公共基礎(chǔ)設(shè)施)已經(jīng)變得如此重要并且相互關(guān)聯(lián)，然而如果其系統(tǒng)缺乏穩(wěn)定性，則可能會對他人造成嚴重的危害，且具有潛在破壞性的“多米諾效應(yīng)”(譯注：指一件事所引起的連鎖反應(yīng))。因此，重要的公共基礎(chǔ)設(shè)施一旦中斷運行或出現(xiàn)故障，則可能會造成明顯的不利影響。

根據(jù)這些定義，任何歐洲國家的獨立電力系統(tǒng)對整個歐洲電力系統(tǒng)來說都是重要的公共基礎(chǔ)設(shè)施。意大利國家電力公司的電力系統(tǒng)是整個意大利電力系統(tǒng)的重要組成部分，因而大規(guī)模的故障可能導(dǎo)致嚴重的事故。在過去的10a中，一些歐洲國家電網(wǎng)內(nèi)發(fā)生的重要事件甚至給整個歐洲地區(qū)都造成了影響。

顯而易見的是，即使為了避免常規(guī)性的故障，而對國家重要公共基礎(chǔ)設(shè)施系統(tǒng)中的每一個組件均進行了精心設(shè)計，但是根據(jù)專家的經(jīng)驗，系統(tǒng)的復(fù)雜性和相互依賴性更容易對整個系統(tǒng)的穩(wěn)定性造成影響。

20a前，發(fā)電站內(nèi)的大部分工作主要依靠訓(xùn)練有素的技術(shù)人員來完成。目前，大部分動力裝置(和電網(wǎng)控制系統(tǒng))是通過遙控來執(zhí)行管理，遙控系統(tǒng)的傳輸核心由遠程控制系統(tǒng)提供。因此，遙控系統(tǒng)的可靠性直接影響著電網(wǎng)的穩(wěn)定性和發(fā)電控制系統(tǒng)。

1.1 國家重要公共基礎(chǔ)設(shè)施的應(yīng)急能力

對國家重要公共基礎(chǔ)設(shè)施造成威脅的事件通常是自然災(zāi)害(如地震、海嘯以及日本福島核電站事件)或恐怖襲擊。盡管這些事件的性質(zhì)和規(guī)模不可預(yù)知，但是國家重要公共基礎(chǔ)設(shè)施服務(wù)的可靠性和連續(xù)性，能很好地反映出政府和公共事業(yè)機構(gòu)在預(yù)防威脅方面的能力和意識。

除了傳統(tǒng)的威脅和人身攻擊之外，自動化系統(tǒng)和工業(yè)控制系統(tǒng)也面臨著越來越多的攻擊和威脅，這些旨在破壞用于監(jiān)督和維護電子系統(tǒng)正確操作和安全的計算機系統(tǒng)。因為這些計算機系統(tǒng)負責(zé)發(fā)電、輸電和配電系統(tǒng)的安全。

在過去，工業(yè)控制系統(tǒng)大多是獨立的，或只是在特定網(wǎng)絡(luò)中建立相互連接，在物理上是隔離的網(wǎng)絡(luò)。目前的工業(yè)化系統(tǒng)采用的是眾所周知的例如IP協(xié)議。隨著行業(yè)標準的演變，已經(jīng)實現(xiàn)了從IT行業(yè)衍生的技術(shù)和協(xié)議的大容量存儲技術(shù)。發(fā)電站的本地網(wǎng)絡(luò)技術(shù)也非常適合開展進一步的技術(shù)轉(zhuǎn)移與推廣應(yīng)用。

在過去的15a，特別是自2001年美國發(fā)生9.11恐怖襲擊事件以來，西方國家加速并強化了國家重要公共基礎(chǔ)設(shè)施的應(yīng)急能力分析工作，旨在確保重要基礎(chǔ)設(shè)施的安全。2010年，出現(xiàn)了著名的針對工業(yè)系統(tǒng)的網(wǎng)絡(luò)攻擊，即Stuxnet病毒。Stuxnet病毒首先在伊朗的核設(shè)施傳播，然后還在其他地區(qū)造成危害。該病毒是能夠窺視系統(tǒng)，并對工業(yè)PC機和自動化系統(tǒng)進行重新編程，它可能會造成非常嚴重的后果。例如，打開或關(guān)閉開關(guān)及閥門，或者打開和關(guān)閉機器的控制電源。

應(yīng)急能力涵蓋了可阻擋任何外部變化的能力，以及即使經(jīng)過擾動還能回到原來的狀態(tài)的能力。把這一概念應(yīng)用于發(fā)電系統(tǒng)、電網(wǎng)系統(tǒng)甚至運用于國家重要公共基礎(chǔ)設(shè)施，將提高這些系統(tǒng)及設(shè)施抵御自然災(zāi)害以及蓄意攻擊的能力。

1.2 規(guī)范和標準

2004年，意大利交通部董事會通過通信和信息技術(shù)研究所，發(fā)布了關(guān)于建立重要公共基礎(chǔ)設(shè)施安全指南的流程。意大利國家電力公司參與了該流程的研制工作。

與此同時，通過《重要公共基礎(chǔ)設(shè)施保護歐洲計劃》，歐洲理事會發(fā)布了“在打擊恐怖主義斗爭中保護重要公共基礎(chǔ)設(shè)施通信”的文件，以實現(xiàn)對重要公共基礎(chǔ)設(shè)施的保護。

2008年12月8日，歐盟發(fā)布了2008/114號歐洲聯(lián)盟指令，該指令的主要內(nèi)容是關(guān)于如何識別和鑒定歐洲的重要公共基礎(chǔ)設(shè)施并對其做出評估，以確定是否需要提高其安全保護級別。意大利政府采納了歐盟委員會聯(lián)合研究中心(JRC)的建議，并且已經(jīng)開始實施2008/114號歐盟指令。

電力公用事業(yè)行業(yè)成立了北美電力可靠性公司(NERC)，以促進北美公用系統(tǒng)的可靠性和充足的大容量電力輸送，公司為非營利性。在整個美國和加拿大的幾個省要求強制執(zhí)行北美電力可靠性公司的標準。該公司還制定了重要公共基礎(chǔ)設(shè)施保護計劃，并在1998年通過PDD-63號美國總統(tǒng)令頒布實施。該計劃在許多方面等同于歐洲的《重要公共基礎(chǔ)設(shè)施保護之歐洲計劃》。

美國國家標準技術(shù)研究所(NIST)的安全標準是進行了非常廣泛的需求分析，并針對國家重要公共基礎(chǔ)設(shè)施采納該標準可能造成的風(fēng)險，制定了周全而詳細的應(yīng)對措施。這是專門為NISTIR7628標準而考慮的。分布在七大智能電網(wǎng)領(lǐng)域的47名骨干參與了該標準的制定，因此該標準被認定為一個高層次的計劃。風(fēng)險分析是提升國家重要公共基礎(chǔ)設(shè)施安全意識和必要防范措施的第一步。

ISO/IEC27000是信息安全管理的總體框架標準。這些標準不是針對任何特定信息的安全性，而是針對如何處理一般性信息的安全問題。ISO/IEC會定期更新原有的2個標準(亦即ISO/IEC27001以及ISO/IEC27002)，這2個標準提供信息安全管理的總體框架。現(xiàn)在又以ISO/IECTR27019：2013作為其補充，補充標準主要是在ISO/IEC27002的基礎(chǔ)上，對特定的能源公用事業(yè)行業(yè)過程控制系統(tǒng)而做的，主要內(nèi)容包括信息技術(shù)、安全技術(shù)、信息安全管理指南。

在IEC27002：2005標準里，對控制方案作了補充，以便在前期標準的基礎(chǔ)上提供進一步的指導(dǎo)，滿足能源公用事業(yè)行業(yè)在履行控制技術(shù)方面的一些具體要求。

2 技術(shù)標準

2.1 概 述

第57技術(shù)委員會的第15工作組負責(zé)技術(shù)標準IEC62351的制定和完善。IEC62351定義了電力系統(tǒng)管理和相關(guān)信息交換、數(shù)據(jù)和通信安全的框架。

國際自動化協(xié)會的第99號標準中包括工業(yè)自動化和控制系統(tǒng)的安全性。該標準提出了一種用來保障信息和通信技術(shù)系統(tǒng)的方法，以及與之相關(guān)行業(yè)的生產(chǎn)過程的技術(shù)方案。ISA的相關(guān)事務(wù)與IEC的相關(guān)標準為相互協(xié)調(diào)。

IEEE為發(fā)電站通信協(xié)議的安全部署提供了技術(shù)解決方案，包括以太網(wǎng)技術(shù)。為支持系統(tǒng)和網(wǎng)絡(luò)的發(fā)展，國際電信聯(lián)盟也提供了多種具體的專業(yè)化安全技術(shù)標準。ITUX.509標準是公鑰基礎(chǔ)設(shè)施(PKI)操作的技術(shù)參考。

本文重點介紹IEC62351，它由IEC第57技術(shù)委員會第15工作組研究制定。該標準主要針對電力系統(tǒng)，是在與其他標準制定組織進行了密切溝通與協(xié)調(diào)的基礎(chǔ)上制定出來的。它為“電力系統(tǒng)管理和相關(guān)信息交換、數(shù)據(jù)和通信安全”提供了框架。

2.2 IEC62351標準

IEC62351標準的適用范圍包括電力系統(tǒng)控制操作的信息安全。其主要目標如下。

(1) 致力于完善由IECTC57定義的通訊協(xié)議安全標準，特別是IEC60870-5，IEC60870-6，IEC61850，IEC61970和IEC61968系列標準。

(2) 致力于完善和發(fā)展端到端技術(shù)安全標準或技術(shù)報告。

IEC62351假設(shè)除了防火墻，利用一個加密的虛擬專用網(wǎng)(VPN)或其他“支持業(yè)務(wù)網(wǎng)絡(luò)不中斷技術(shù)”的解決方案，可能是遠遠不夠的，并且容易帶來網(wǎng)絡(luò)安全性誤導(dǎo)。IEC62351的主要內(nèi)容包括：第一部分和第二部分分別定義標準適用的范圍、概念和術(shù)語；第三、第六部分和第十一部分強調(diào)了具體的協(xié)議和系統(tǒng)的整體保護；第七部分和第九部分介紹了一些需要運行其他多個協(xié)議的激活功能，以及對IEC62351詳細而具體的介紹。

IEC62351標準第一部分定義了通常所說的標準適用的范圍及其目標以及安全威脅。論述內(nèi)容主要包括以下幾個方面。

(1) 無意威脅(包括安全故障、設(shè)備故障、技術(shù)疏忽失誤以及自然災(zāi)害等);

(2) 故意威脅(包括來自心懷不滿的員工、工業(yè)間諜活動、蓄意破壞、網(wǎng)絡(luò)黑客、病毒和蠕蟲以及盜竊和恐怖主義)。

從一般的視角來看，IEC62351標準的安全目標表現(xiàn)在以下幾個方面：

(1) 系統(tǒng)的可用性;

(2) 系統(tǒng)和信息的完整性;

(3) 信息保密;

(4) 信息的不可否認與權(quán)威性。

所采用的技術(shù)依賴于加密技術(shù)，加密技術(shù)被廣泛應(yīng)用于如下所描述的各種專業(yè)的協(xié)議安全標準中。

(1)IEC62351-3約定如何通過對信息的專業(yè)約束、規(guī)范的程序、傳輸層安全的算法(TLS)來保證傳輸控制協(xié)議/網(wǎng)際協(xié)議(TCP/IP)的安全，而這些在RFC2246中都給予了定義，因此這些標準適用于IECTC57的遠程控制環(huán)境。其目的在于為建立TCP/IP連接的任一端通信實體之間提供安全保護，以避免未經(jīng)授權(quán)的訪問獲取到信息，以及未經(jīng)授權(quán)而修改(篡改)或竊取信息。

(2)IEC62351-5約定了基于保護所有協(xié)議操作的語言、程序和算法。IEC60870-5：遠程控制設(shè)備和系統(tǒng)。該標準的適用范圍包括IEC60870-5-101，IEC60870-5-102，IEC60870-5-103，IEC60870-5-104和DNP3。該標準采用的是對所有對象之間交換的每條消息的身份驗證技術(shù)。為了達到這種效果，首先增加了新的安全信息，同時，IEC60870-5協(xié)議本身也被更新，使用新的應(yīng)用服務(wù)數(shù)據(jù)單元進行傳輸，并使之具備攜帶超過256個字節(jié)長的信息能力。

(3)IEC62351-4和IEC62351-6允許為IEC61850協(xié)議對MMS和GOOSE/SV配置文件提供保護和認證。

(4)IEC62351-11為XML信息交換提供保護機制(比如：為IEC61970和IEC61968協(xié)議)。

加密技術(shù)、密鑰分發(fā)(keydistribution)和系統(tǒng)維護是常規(guī)必備技術(shù)。IEC62351-9制定了密鑰管理標準，為加密系統(tǒng)提供所需的非對稱和對稱密鑰。密鑰管理系統(tǒng)是基于ITUX.509不對稱密鑰管理標準和IETFGDOI對稱密鑰管理構(gòu)建的。IEC62351-8推薦基于角色的訪問權(quán)限控制系統(tǒng)，訪問權(quán)限控制系統(tǒng)是國家重要公共基礎(chǔ)設(shè)施的一部分。這就意味著，每個需要訪問國家重要公共基礎(chǔ)設(shè)施內(nèi)部任何資源的用戶或應(yīng)用程序，將在規(guī)定的一定角色權(quán)限范圍內(nèi)被授權(quán)(或不授權(quán))。

角色是給不同用戶一定的訪問系統(tǒng)資源的權(quán)力。除了被授權(quán)的用戶以外，其他用戶都不具備訪問的權(quán)限。這樣就能夠更好和更有效地對用戶進行管理，除此之外，為了確保國家重要公共基礎(chǔ)設(shè)施系統(tǒng)的安全，還應(yīng)具有實時監(jiān)控、自動化系統(tǒng)以及對遠程控制設(shè)備的控制權(quán)。

遠程設(shè)備(比如，一個保護裝置)可能發(fā)生故障或因為主通信通道發(fā)生故障而采用備用通道相連接來通信，在這種情況下，設(shè)備也可能會被篡改。因此，需要對負責(zé)控制國家重要公共基礎(chǔ)設(shè)施的任何設(shè)備的狀況進行實時監(jiān)控(包括水輪機、閘閥和大壩)。

國家重要公共基礎(chǔ)設(shè)施運營中心負責(zé)主管監(jiān)測控制和數(shù)據(jù)采集(SCADA)系統(tǒng)的運行，主要用于控制發(fā)電基礎(chǔ)設(shè)施。網(wǎng)絡(luò)與系統(tǒng)管理運行中心用于監(jiān)測和控制遠程控制設(shè)備的運行狀態(tài)，而這些遠程控制設(shè)備對于基礎(chǔ)設(shè)施運行來說是不可或缺的。對網(wǎng)絡(luò)和遠程通訊設(shè)備加強監(jiān)控，可以使遠程控制基礎(chǔ)設(shè)施的運行狀況一覽無余。應(yīng)將網(wǎng)絡(luò)與系統(tǒng)管理服務(wù)的監(jiān)控設(shè)備的通訊，設(shè)計為隔離的獨立通道。

網(wǎng)絡(luò)隔離與在過去30a開發(fā)的系統(tǒng)不同，其監(jiān)控通訊網(wǎng)絡(luò)與SCADA系統(tǒng)是完全隔離的，還包括對遠程控制設(shè)備具有監(jiān)控功能的實時監(jiān)控系統(tǒng)。監(jiān)控系統(tǒng)集成到一個單獨的系統(tǒng)，可以更加協(xié)調(diào)地維護遠程控制服務(wù)設(shè)備，同時也可以避免SCADA系統(tǒng)本身故障可能會造成的隱患。

IEC62351-10完成了整個系統(tǒng)結(jié)構(gòu)圖的設(shè)計，并為系統(tǒng)整體設(shè)計方面所需的建議。

在IEC62351的基礎(chǔ)上，目前意大利國家電力公司正在利用IEC60870-5-104協(xié)議開發(fā)一種安全通信系統(tǒng)。這個系統(tǒng)執(zhí)行的將是一個PKI體系架構(gòu)，這既符合遠程控制系統(tǒng)的需求，又能滿足未來智能電網(wǎng)的發(fā)展。

3 結(jié) 論

IEC62351標準為國家重要公共基礎(chǔ)設(shè)施遠程控制系統(tǒng)的安全部署制定了一個全面而準確的技術(shù)解決方案。目前該標準所涵蓋的有效性產(chǎn)品仍然比較有限，由于標準本身是新制定的，因此，仍處于不斷地細化和完善中。但是，在目前的實施過程中獲得了重要的反饋，即采用標準化解決方案的思路是正確的，特別是關(guān)于安全問題。

IEC62351標準的制定，是為了確保國家重要公共基礎(chǔ)設(shè)施的應(yīng)變能力。這個提法取代了傳統(tǒng)的想法，過去往往認為“沒有暴露的問題不會對安全造成影響”或“隱瞞安全隱患”。基于非標準化的解決方案是不可靠的，而且更容易出問題。這是因為標準和公開的解決方案更容易得到整個行業(yè)的專業(yè)組織驗證。

在水力發(fā)電的整個環(huán)節(jié)執(zhí)行安全策略(包括網(wǎng)絡(luò)安全)，意味著所有的人以及公司各部門、各種技術(shù)支撐環(huán)節(jié)，都必須直接參與，并且必須在以下描述的整個項目運行周期內(nèi)開展協(xié)作。

(1) 根據(jù)標準的框架和要求，開展風(fēng)險分析。

(2) 制定公司政策和指導(dǎo)方針，執(zhí)行公司建議的安全要求與規(guī)范。

(3) 采用標準技術(shù)解決方案來應(yīng)對項目設(shè)計和開發(fā)中所發(fā)現(xiàn)的風(fēng)險。

(4) 規(guī)劃和推動利益相關(guān)者的培訓(xùn)(不僅是指直接的操作生產(chǎn)人員，還包括公司的其他所有職員)。

(5) 評估和審計安全策略執(zhí)行結(jié)果。

由于威脅和風(fēng)險會隨著時間的推移而發(fā)生變化，因此，必須對國家重要公共基礎(chǔ)設(shè)施安全的解決方案進行不斷更新改進。在日常常規(guī)操作生產(chǎn)期間，定期地收集、分析和共享事故信息是非常必要的，因為這樣就能使安全方案更新策略不斷地反饋到生命周期的規(guī)劃中。生命周期可以迭代更新，以實現(xiàn)提升安全策略，并增加國家重要公共基礎(chǔ)設(shè)施的生產(chǎn)質(zhì)量和應(yīng)變能力。

(汪朝輝 白 耘 編譯)

2015-01-07

1006-0081(2015)05-0015-04

TV74

A