陳 璐(國網(wǎng)安徽省電力公司合肥供電公司，安徽 合肥 230022)

?

配電自動(dòng)化系統(tǒng)安全防護(hù)技術(shù)

陳 璐
(國網(wǎng)安徽省電力公司合肥供電公司，安徽 合肥 230022)

〔摘 要〕分析了配電自動(dòng)化系統(tǒng)橫向邊界及縱向邊界存在的安全隱患，闡述了其安全防護(hù)的總體原則、配電自動(dòng)化系統(tǒng)建設(shè)過程及發(fā)展中可能面臨的安全問題及解決方案，以充分發(fā)揮配電自動(dòng)化系統(tǒng)的技術(shù)支撐作用，為配電網(wǎng)的運(yùn)行管理提供可靠、安全的技術(shù)手段。

〔關(guān)鍵詞〕配電自動(dòng)化；通訊系統(tǒng)；安全防護(hù)技術(shù)

0 引言

近年來，隨著電力自動(dòng)化與通信技術(shù)的不斷發(fā)展，原先制約配電自動(dòng)化發(fā)展的技術(shù)問題迎刃而解，配電自動(dòng)化技術(shù)也隨之飛速發(fā)展。但配電自動(dòng)化系統(tǒng)不同于調(diào)度自動(dòng)化系統(tǒng)(EMS)。EMS通信方式較為簡單，多為光纖專網(wǎng)，且其聯(lián)絡(luò)方式較為清晰，以變電站作為樞紐；而配電自動(dòng)化系統(tǒng)的通信往往受到環(huán)境因素、社會(huì)因素等影響，需多種通信方式(如光纖、載波、無線)并存，方能使配電自動(dòng)化終端與主站通信，實(shí)現(xiàn)自動(dòng)化的遙測、遙信、遙控乃至遙視。其中，光纖是最為理想的通信方式，但是由于配電網(wǎng)設(shè)備點(diǎn)多面廣，若統(tǒng)一采用光纖專網(wǎng)與主站進(jìn)行通信，其投入產(chǎn)出嚴(yán)重不平衡，部分中心城區(qū)甚至無法進(jìn)行光纖改造。

1 配電自動(dòng)化系統(tǒng)安全防護(hù)存在的隱患

隨著通信技術(shù)的發(fā)展，高效的無線通信技術(shù)被引入到配電自動(dòng)化系統(tǒng)建設(shè)中，且通信運(yùn)營商的無線網(wǎng)絡(luò)已覆蓋城市各個(gè)區(qū)域，完全能夠滿足配電自動(dòng)化系統(tǒng)的通信要求。但若不采取任何防護(hù)措施直接通過運(yùn)營商接入主站進(jìn)行通信，將給主站及現(xiàn)場一次設(shè)備的安全運(yùn)行帶來很大的安全隱患，此種方式更需要加強(qiáng)無線公網(wǎng)通信的安全防護(hù)。因此，在配電自動(dòng)化系統(tǒng)中必須要加強(qiáng)通訊安全防護(hù)的管理。邊界防護(hù)作為電力系統(tǒng)內(nèi)外網(wǎng)安全防護(hù)的關(guān)鍵，主要包括橫向邊界和縱向邊界的防護(hù)。其中，橫向邊界為配電自動(dòng)化系統(tǒng)與其他應(yīng)用系統(tǒng)之間的通信邊界，例如與調(diào)度自動(dòng)化系統(tǒng)(EMS)、地理信息系統(tǒng)(GIS)之間的通信邊界；縱向邊界為配電自動(dòng)化系統(tǒng)與配電終端之間的通信邊界，例如與站所終端(DTU)、饋線終端(FTU)、配變終端(TTU)等自動(dòng)化終端之間的通信邊界。

1.1 橫向邊界存在的安全隱患

配電自動(dòng)化系統(tǒng)作為配電網(wǎng)管理的技術(shù)支撐系統(tǒng)，必須與其他配電相關(guān)系統(tǒng)之間進(jìn)行信息交互，才能完成對配電網(wǎng)科學(xué)的運(yùn)行管理。這樣，各系統(tǒng)之間就形成了橫向的數(shù)據(jù)流，且該數(shù)據(jù)流在配電自動(dòng)化系統(tǒng)中必不可少。根據(jù)配電網(wǎng)數(shù)據(jù)“源端維護(hù)”、“源端唯一”的原則，其數(shù)據(jù)流主要由與調(diào)度自動(dòng)化系統(tǒng)(EMS)交互的主網(wǎng)圖模信息，與地理信息系統(tǒng)(GIS)交互的配電網(wǎng)圖模信息，與生產(chǎn)管理系統(tǒng)(PMS)交互的配電網(wǎng)設(shè)備臺(tái)賬信息，以及與配網(wǎng)搶修指揮平臺(tái)交互的故障研判方案信息等組成。按照安全分區(qū)的原則，配電自動(dòng)化系統(tǒng)和EMS系統(tǒng)為實(shí)時(shí)控制區(qū)(Ⅰ區(qū))系統(tǒng)；PMS系統(tǒng)、GIS系統(tǒng)以及配網(wǎng)搶修指揮平臺(tái)為生產(chǎn)管理區(qū)(Ⅲ區(qū))系統(tǒng)。由于生產(chǎn)管理區(qū)(Ⅲ區(qū))系統(tǒng)的防護(hù)較為薄弱，若不做任何防護(hù)措施，病毒、黑客等可以通過該系統(tǒng)直接攻擊實(shí)時(shí)控制區(qū)(Ⅰ區(qū))系統(tǒng)，從而導(dǎo)致它們之間的信息交互存在橫向邊界的安全隱患。

1.2 縱向邊界存在的安全隱患

配電自動(dòng)化系統(tǒng)的縱向通信主要是主站與配電自動(dòng)化終端之間的通信，其形成了縱向的數(shù)據(jù)流。由于配電自動(dòng)化系統(tǒng)的通信條件受到諸多因素的影響(如部分配電站房不具備光纖鋪設(shè)條件、市中心配電站房鋪設(shè)光纖成本過高等)，配電自動(dòng)化系統(tǒng)在采用光纖通信的同時(shí)必須輔以其他的通信方式(如載波和無線通信方式)。其中，以租用移動(dòng)、聯(lián)通等通信運(yùn)營商的無線通信網(wǎng)絡(luò)應(yīng)用最為廣泛。但是如果沒有對縱向邊界進(jìn)行防護(hù)，只要1張移動(dòng)、聯(lián)通等通信運(yùn)營商的SIM卡就可直接與配電自動(dòng)化主站進(jìn)行通信，通過主站系統(tǒng)非法實(shí)現(xiàn)對配電一次設(shè)備的遠(yuǎn)方控制功能，這樣就出現(xiàn)了縱向邊界的安全隱患。

2 配電自動(dòng)化系統(tǒng)安全防護(hù)總體原則

隨著配電自動(dòng)化建設(shè)的不斷發(fā)展，針對配電自動(dòng)化終端點(diǎn)多面廣的特點(diǎn)，配電自動(dòng)化系統(tǒng)的安全防護(hù)顯得尤為突出。配電自動(dòng)化系統(tǒng)安全防護(hù)主要是為了防范黑客、惡意代碼等對系統(tǒng)的非法攻擊，以及由此引發(fā)的電力系統(tǒng)安全事故，保障電力系統(tǒng)的安全、穩(wěn)定運(yùn)行。由此制定了“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的基本原則。其具體的技術(shù)防護(hù)措施如下。

2.1 安全分區(qū)

根據(jù)計(jì)算機(jī)設(shè)備和網(wǎng)絡(luò)應(yīng)用業(yè)務(wù)的不同，配電自動(dòng)化系統(tǒng)分為生產(chǎn)控制大區(qū)和管理信息大區(qū)。其中，生產(chǎn)控制大區(qū)包括了實(shí)時(shí)控制區(qū)(Ⅰ區(qū))及實(shí)時(shí)非控制區(qū)(Ⅱ區(qū))；管理信息大區(qū)則由生產(chǎn)管理區(qū)(Ⅲ區(qū))和信息管理區(qū)(Ⅳ區(qū))組成。

（1）實(shí)時(shí)控制區(qū)(Ⅰ區(qū))是直接對一次設(shè)備進(jìn)行實(shí)時(shí)監(jiān)控的系統(tǒng)。其通信使用電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)或?qū)Ｓ猛ǖ赖臉I(yè)務(wù)系統(tǒng)，或使用該系統(tǒng)的功能模塊（或子系統(tǒng)）。配電自動(dòng)化系統(tǒng)及調(diào)度自動(dòng)化系統(tǒng)為該控制區(qū)的典型業(yè)務(wù)系統(tǒng)。

（2）實(shí)時(shí)非控制區(qū)(Ⅱ區(qū))是具備在線監(jiān)視功能但不具備控制功能的系統(tǒng)。其通信同樣使用電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)或者專用通道。調(diào)度員培訓(xùn)模擬系統(tǒng)、繼電保護(hù)及故障錄波信息管理系統(tǒng)、電能計(jì)量系統(tǒng)等屬于該安全區(qū)的業(yè)務(wù)系統(tǒng)。

（3）生產(chǎn)管理區(qū)(Ⅲ區(qū))是與調(diào)度生產(chǎn)相關(guān)的管理信息系統(tǒng)，調(diào)度生產(chǎn)管理系統(tǒng)(OMS)為該安全區(qū)的典型業(yè)務(wù)系統(tǒng)。

（4）信息管理區(qū)(Ⅳ區(qū))是與調(diào)度生產(chǎn)沒有直接關(guān)聯(lián)的管理信息系統(tǒng)，如企業(yè)信息網(wǎng)。

2.2 網(wǎng)絡(luò)專用

電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)必須使用與外界獨(dú)立的網(wǎng)絡(luò)設(shè)備組網(wǎng)，在物理層面上實(shí)現(xiàn)電力企業(yè)網(wǎng)絡(luò)與因特網(wǎng)的安全隔離。電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)通過邏輯隔離劃分為實(shí)時(shí)子網(wǎng)和非實(shí)時(shí)子網(wǎng)，分別連接安全Ⅰ區(qū)和安全Ⅱ區(qū)，從而達(dá)到專網(wǎng)專用的目的。

2.3 橫向隔離

橫向隔離主要應(yīng)用于業(yè)務(wù)系統(tǒng)的橫向通信隔離。其中，實(shí)時(shí)控制區(qū)(Ⅰ區(qū))與實(shí)時(shí)非控制區(qū)(Ⅱ區(qū))之間的通信必須采用國產(chǎn)硬件防火墻進(jìn)行邏輯隔離；生產(chǎn)控制大區(qū)與管理信息大區(qū)之間的通信必須采用已通過相關(guān)部門認(rèn)證的電力專用橫向單向(正向和反向)隔離裝置進(jìn)行物理隔離。

2.4 縱向認(rèn)證

縱向認(rèn)證主要應(yīng)用于業(yè)務(wù)系統(tǒng)的縱向通信，其縱向邊界訪問控制須采用硬件防火墻實(shí)現(xiàn)邏輯隔離，其數(shù)據(jù)通信也必須通過縱向加密認(rèn)證裝置對數(shù)據(jù)包進(jìn)行簽名加密，實(shí)現(xiàn)調(diào)度數(shù)據(jù)網(wǎng)傳輸保密及訪問控制功能。

3 配電自動(dòng)化系統(tǒng)通訊安全防護(hù)措施

配電自動(dòng)化系統(tǒng)的通信數(shù)據(jù)流主要分為橫向和縱向的數(shù)據(jù)流，如圖1所示。其橫向數(shù)據(jù)流通過PI4部分與主站系統(tǒng)進(jìn)行通信，縱向數(shù)據(jù)流通過PI3，PI2，PI1部分與主站系統(tǒng)進(jìn)行通信。橫向和縱向數(shù)據(jù)流的防護(hù)措施包括PI1子站/終端的安全防護(hù)、PI2縱向通信的安全防護(hù)、PI3主站的安全防護(hù)、PI4橫向邊界的安全防護(hù)。

3.1 PI1子站/終端的安全防護(hù)

配電自動(dòng)化子站/終端必須配置安全模塊或者在與主站的邊界處安裝縱向加密裝置，對主站系統(tǒng)下發(fā)的控制(或參數(shù)設(shè)置)報(bào)文進(jìn)行安全鑒別及數(shù)據(jù)完整性校驗(yàn)，以防冒充主站的非法命令對一次電氣設(shè)備的誤操作；且子站/終端設(shè)備需配置遠(yuǎn)方或就地的控制硬壓板和軟壓板，通過其控制是否允許遠(yuǎn)方遙控操作或者就地手動(dòng)操作。

3.2 PI2縱向通信的安全防護(hù)

配電自動(dòng)化系統(tǒng)縱向通信安全防護(hù)包括硬件通信鏈路安全防護(hù)以及軟件通信規(guī)約安全防護(hù)。

3．2．1 縱向通信鏈路的安全防護(hù)

配電自動(dòng)化系統(tǒng)的縱向通信鏈路為配電自動(dòng)化主站系統(tǒng)與子站/終端之間的通信鏈路，其中包括光纖、載波及無線等通信方式。光纖和載波通信方式其接入點(diǎn)均設(shè)置在變電站、開閉所或?qū)Ｓ脵C(jī)房等固定的地點(diǎn)，且具備門禁或使用加鎖的表箱進(jìn)行防護(hù)，無法通過非接入點(diǎn)侵入系統(tǒng)網(wǎng)絡(luò)。因此，對于光纖和載波通信方式的防護(hù)只需要在網(wǎng)絡(luò)接入點(diǎn)處加裝加密裝置即可。

圖1　配電自動(dòng)化系統(tǒng)典型通訊結(jié)構(gòu)

當(dāng)通過GPRS/CDMA等公用無線網(wǎng)絡(luò)以無線方式進(jìn)行縱向通信時(shí)，為防止非法入侵的風(fēng)險(xiǎn)，必須通過技術(shù)手段進(jìn)行嚴(yán)格的安全防護(hù)，確保接入設(shè)備的合法性、安全性。在物理鏈路上必須要求運(yùn)營商采用APN+VPN或VPDN技術(shù)實(shí)現(xiàn)無線虛擬專有通道，對配電自動(dòng)化系統(tǒng)的無線通道實(shí)行專網(wǎng)專用。該技術(shù)首先通過無線終端執(zhí)行GPRS接入，再通過SGSN(即服務(wù)GPRS支持節(jié)點(diǎn))建立1條邏輯專用鏈路，使得無線終端啟動(dòng)PDP(分組數(shù)據(jù)協(xié)議)激活其所要接入的APN，并分配相應(yīng)的IP地址，將IP數(shù)據(jù)包通過GPRS網(wǎng)絡(luò)與主站的路由器之間的GRE(通用路由協(xié)議封裝)隧道路由出去，從而實(shí)現(xiàn)物理鏈路上的安全通信。同時(shí)，必須在接入主站的邊界處通過正反向物理隔離裝置進(jìn)行物理防護(hù)，以達(dá)到物理邊界與邏輯鏈路的綜合防護(hù)。

當(dāng)采用傳統(tǒng)光纖專網(wǎng)通信時(shí)，必須使用獨(dú)立纖芯進(jìn)行主站與終端之間的通信，在物理鏈路上形成專網(wǎng)專用，并且需要在與主站通信的邊界處部署邏輯隔離裝置，如防火墻、安全網(wǎng)關(guān)等，對整個(gè)網(wǎng)絡(luò)拓?fù)溥M(jìn)行邏輯控制，防范非法入侵。

3．2．2 縱向通信規(guī)約的安全防護(hù)

配電自動(dòng)化通信網(wǎng)絡(luò)必須部署縱向加密認(rèn)證裝置或模塊進(jìn)行縱向通信安全的防護(hù)。其采用非對稱加密技術(shù)進(jìn)行單向身份認(rèn)證，從而實(shí)現(xiàn)控制(或參數(shù)設(shè)置)數(shù)據(jù)報(bào)文的完整性校驗(yàn)和主站身份認(rèn)證，并且添加時(shí)間標(biāo)簽確保報(bào)文的時(shí)效性，其規(guī)約的標(biāo)準(zhǔn)格式為標(biāo)準(zhǔn)協(xié)議控制(或參數(shù)設(shè)置)報(bào)文、時(shí)間戳(或隨機(jī)數(shù))、數(shù)字簽名。

主站系統(tǒng)采用私鑰對控制報(bào)文和時(shí)間戳進(jìn)行簽名，將其添加在標(biāo)準(zhǔn)通信規(guī)約(如101，104規(guī)約)中，形成復(fù)合命令報(bào)文后發(fā)送；終端收到報(bào)文后使用預(yù)裝的主站公鑰進(jìn)行驗(yàn)簽，并對時(shí)間戳進(jìn)行實(shí)效性驗(yàn)證；驗(yàn)證通過后則執(zhí)行該命令。在實(shí)現(xiàn)下行報(bào)文即控制(或參數(shù)設(shè)置)數(shù)據(jù)報(bào)文的抗重放機(jī)制、完整性保護(hù)、主站身份鑒別的基礎(chǔ)上，還可以對復(fù)合報(bào)文的控制(或參數(shù)設(shè)置)和時(shí)間戳(或隨機(jī)數(shù))等明文進(jìn)行加密，實(shí)現(xiàn)密文傳輸，提高數(shù)據(jù)的安全性。同樣，這種加密方式也可對遙測量、遙信量等上行報(bào)文進(jìn)行加密。加密過程應(yīng)采用加密算法或非對稱加密算法。其通信方式如表1所示。

對未安裝或部署縱向加密裝置或加密模塊的終端，嚴(yán)格禁止主站對其進(jìn)行控制（或參數(shù)設(shè)置）。

表1　通信方式

3.3 PI3主站的安全防護(hù)

對于配電自動(dòng)化系統(tǒng)，主站與終端通信無論采用何種方式，自動(dòng)化主站系統(tǒng)前置機(jī)必須采用經(jīng)國家指定部門認(rèn)證的已進(jìn)行安全加固的操作系統(tǒng)。其通信必須采用基于調(diào)度數(shù)字證書的非對稱加密算法完成控制(或參數(shù)設(shè)置)報(bào)文的單向認(rèn)證及報(bào)文的完整性認(rèn)證。在配電自動(dòng)化系統(tǒng)中常用的加密算法有ECC(橢圓曲線密碼體制)(160 bit以上)和RSA （1 024 bit以上）算法。在實(shí)際應(yīng)用中多采用RSA算法，即采用不同的加密密鑰及解密密鑰，事先生成1對RSA密鑰，加密密鑰為公開信息，解密密鑰是保密的，通過加密密鑰對會(huì)話進(jìn)行加密，對方收到信息后通過解密密鑰進(jìn)行解密。在主站前置部分與終端通信邊界處配置縱向加密裝置或加密模塊，對下行控制（或參數(shù)設(shè)置）命令進(jìn)行簽名，實(shí)現(xiàn)子站/終端對主站的報(bào)文完整性保護(hù)、身份鑒別及抗重放攻擊功能。

3.4 PI4橫向邊界的安全防護(hù)

配電自動(dòng)化系統(tǒng)需要與各相關(guān)系統(tǒng)進(jìn)行信息交互，如通過EMS采集變電站內(nèi)設(shè)備的運(yùn)行數(shù)據(jù)，通過GIS采集配電網(wǎng)設(shè)備的圖形及模型信息，通過PMS采集配電網(wǎng)設(shè)備的臺(tái)賬信息，將配電自動(dòng)化終端運(yùn)行信息發(fā)送至配網(wǎng)搶修指揮平臺(tái)。這些系統(tǒng)分布在安全I(xiàn)區(qū)、安全I(xiàn)II區(qū)，已形成跨安全大區(qū)的數(shù)據(jù)流，因此必須采用物理隔離裝置對其橫向邊界進(jìn)行防護(hù)，并且根據(jù)數(shù)據(jù)流的方向分別配置正向或反向物理隔離裝置；一方面滿足信息交互的需要，另一方面嚴(yán)格履行安全防護(hù)的總體規(guī)定，確保系統(tǒng)的安全性。

4 結(jié)束語

配電自動(dòng)化系統(tǒng)絕非一個(gè)單純的技術(shù)支撐系統(tǒng)，一方面在橫向上配電自動(dòng)化系統(tǒng)與多個(gè)系統(tǒng)存在信息交互，包括安全I(xiàn)區(qū)與安全I(xiàn)II區(qū)；另一方面由于配電設(shè)備點(diǎn)多面廣，單一的通信方式已無法滿足其縱向的數(shù)據(jù)采集要求，需要無線、有線等多種通信方式并存，使得整個(gè)配電自動(dòng)化系統(tǒng)形成一個(gè)由多種通信鏈路與多種信息交互并存的調(diào)度業(yè)務(wù)技術(shù)支撐平臺(tái)，其安全性直接影響整個(gè)電力系統(tǒng)。因此，一方面要通過技術(shù)手段對整個(gè)系統(tǒng)硬件及軟件進(jìn)行安全加固；另一方面也要通過管理手段對其接入的相關(guān)系統(tǒng)、終端設(shè)備及通信鏈路進(jìn)行有效審核接入管理。隨著配電自動(dòng)化系統(tǒng)的不斷發(fā)展，其安全防護(hù)技術(shù)同樣需要不斷更新完善，以確保電力系統(tǒng)的安全、穩(wěn)定、經(jīng)濟(jì)運(yùn)行。

陳 璐(1981-)，男，工程師，主要從事調(diào)度自動(dòng)化、配電自動(dòng)化、電力二次安全防護(hù)相關(guān)工作，email：jedi901@sina．com。

國家能源局發(fā)布2015年全社會(huì)用電量：同比增長0.5?%

2015年，全社會(huì)用電量55 500億kWh，同比增長0．5 %。分產(chǎn)業(yè)看，第一產(chǎn)業(yè)用電量1 020 億kWh，同比增長2．5 %；第二產(chǎn)業(yè)用電量40 046億kWh，同比下降1．4 %；第三產(chǎn)業(yè)用電量7 158億kWh，同比增長7．5 %；城鄉(xiāng)居民生活用電量7 276億kWh，同比增長5．0 %。2015年，全國6 000 kW及以上電廠發(fā)電設(shè)備累計(jì)平均利用小時(shí)為3 969 h，同比減少349 h。其中，水電設(shè)備平均利用小時(shí)為3 621 h，同比減少48 h；火電設(shè)備平均利用小時(shí)為4 329 h，同比減少410 h。2015年，全國電源新增生產(chǎn)能力(正式投產(chǎn))12 974萬kW，其中，水電1 608萬kW，火電6 400萬kW。

（來源：國家能源局網(wǎng)站 2016-01-18）

作者簡介：

收稿日期：2015-08-13。