潘　亮

(紫坪鋪水力發(fā)電廠，四川 成都　610091)

水電廠二次系統(tǒng)安全防護(hù)分析與討論

潘亮

(紫坪鋪水力發(fā)電廠，四川 成都610091)

摘要：介紹了電力二次系統(tǒng)安全防護(hù)的概念，分析了紫坪鋪水力發(fā)電廠所采取的二次系統(tǒng)安全防護(hù)措施，討論了二次系統(tǒng)安全防護(hù)的關(guān)鍵點(diǎn)并提出了相應(yīng)的建議。

關(guān)鍵詞：二次系統(tǒng)安全防護(hù)；紫坪鋪水力發(fā)電廠；計(jì)算機(jī)監(jiān)控系統(tǒng)；電力調(diào)度數(shù)據(jù)專(zhuān)網(wǎng)

現(xiàn)代電力系統(tǒng)大規(guī)模應(yīng)用數(shù)字通信技術(shù)，極大地提升了系統(tǒng)的運(yùn)行水平。但若通信網(wǎng)被惡意攻擊后癱瘓，將危害電力系統(tǒng)的安全運(yùn)行。為防范黑客及惡意代碼等對(duì)電力二次系統(tǒng)造成的侵害，國(guó)家電力監(jiān)管委員會(huì)于2014年頒布了《電力二次系統(tǒng)安全防護(hù)規(guī)定》，即電監(jiān)會(huì)14號(hào)令。

14號(hào)令根據(jù)不同安全等級(jí)，將電力二次系統(tǒng)劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)。生產(chǎn)控制大區(qū)可以分為控制區(qū)(安全區(qū)Ⅰ)和非控制區(qū)(安全區(qū)Ⅱ)；管理信息大區(qū)內(nèi)部在不影響生產(chǎn)控制大區(qū)安全的前提下，可以根據(jù)各企業(yè)的不同安全要求劃分安全區(qū)。14號(hào)令明確了以下規(guī)定：在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間必須設(shè)置經(jīng)國(guó)家指定部門(mén)檢測(cè)認(rèn)證的電力專(zhuān)用橫向單向安全隔離裝置；在生產(chǎn)控制大區(qū)與廣域網(wǎng)的縱向聯(lián)接處應(yīng)當(dāng)設(shè)置經(jīng)過(guò)國(guó)家指定部門(mén)檢測(cè)認(rèn)證的電力專(zhuān)用縱向加密認(rèn)證裝置或加密認(rèn)證網(wǎng)關(guān)及相應(yīng)設(shè)施；安全區(qū)邊界應(yīng)當(dāng)采取必要的安全防護(hù)措施，禁止任何穿越生產(chǎn)控制大區(qū)和管理信息大區(qū)之間邊界的通用網(wǎng)絡(luò)服務(wù)。

筆者以紫坪鋪水力發(fā)電廠為例，分析了水電廠采取的二次系統(tǒng)安全防護(hù)措施。

1紫坪鋪水力發(fā)電廠二次系統(tǒng)通信連接分析

紫坪鋪水力發(fā)電廠位于四川省岷江上游都江堰市麻溪鄉(xiāng)境內(nèi)，距成都60 km，大壩為混凝土面板堆石壩，壩高156 m，總庫(kù)容11.12億m3。其總裝機(jī)容量為760 MW(4×190 MW)，年發(fā)電量約34.17億kW·h，以一回500 kV出線(xiàn)接入四川電網(wǎng)。

該廠二次系統(tǒng)安全防護(hù)概念中的二次系統(tǒng)包括：電廠計(jì)算機(jī)監(jiān)控系統(tǒng)、機(jī)組自動(dòng)控制系統(tǒng)(調(diào)速、勵(lì)磁系統(tǒng)等)、繼電保護(hù)系統(tǒng)、振擺監(jiān)測(cè)系統(tǒng)、廣域向量測(cè)量系統(tǒng)(PMU)、水調(diào)自動(dòng)化系統(tǒng)。圖1為紫坪鋪水力發(fā)電廠二次系統(tǒng)通信示意圖。

1.1紫坪鋪水力發(fā)電廠二次系統(tǒng)間的通信連接

由圖1可見(jiàn)，廠內(nèi)通信的節(jié)點(diǎn)是計(jì)算機(jī)監(jiān)控系統(tǒng)，其與廠內(nèi)主要二次系統(tǒng)通信均使用串口方式，且其余系統(tǒng)相互間沒(méi)有橫向連接，因此可以認(rèn)為它們處于一個(gè)相對(duì)安全孤立的網(wǎng)絡(luò)中。而計(jì)算機(jī)監(jiān)控系統(tǒng)除了與該廠二次系統(tǒng)通信外，一方面接入電力通信網(wǎng)，另一方面接入外部網(wǎng)絡(luò)，處于相當(dāng)復(fù)雜的網(wǎng)絡(luò)環(huán)境中。由于計(jì)算機(jī)監(jiān)控系統(tǒng)本身具備直接操作電力設(shè)備的能力，其一旦受到攻擊，就可能釀成重大事故，甚至攻擊者還可能透過(guò)計(jì)算機(jī)監(jiān)控系統(tǒng)侵入電力通信網(wǎng)，進(jìn)而造成更加嚴(yán)重的后果。綜上所述，計(jì)算機(jī)監(jiān)控系統(tǒng)應(yīng)作為二次安全防護(hù)的一個(gè)重要節(jié)點(diǎn)，并特別針對(duì)調(diào)度數(shù)據(jù)專(zhuān)網(wǎng)和局域網(wǎng)兩個(gè)方向的數(shù)據(jù)做安全防護(hù)。

1.2紫坪鋪水力發(fā)電廠二次系統(tǒng)接入調(diào)度側(cè)通信網(wǎng)的情況

紫坪鋪水力發(fā)電廠由以下系統(tǒng)向調(diào)度側(cè)傳輸數(shù)據(jù)：計(jì)算機(jī)監(jiān)控系統(tǒng)(分為101、104兩種業(yè)務(wù))、繼電保護(hù)系統(tǒng)(線(xiàn)路保護(hù)、保護(hù)信息管理)、廣域向量測(cè)量系統(tǒng)(PMU)、電能量采集系統(tǒng)、水情自動(dòng)化信息系統(tǒng)、電網(wǎng)輔助系統(tǒng)(包括：電力營(yíng)銷(xiāo)報(bào)價(jià)系統(tǒng)、電廠門(mén)戶(hù)管理平臺(tái)等)。

線(xiàn)路保護(hù)系統(tǒng)使用MUX裝置(2 M繼電保護(hù)信號(hào)數(shù)字復(fù)接接口裝置)通過(guò)電力通信網(wǎng)與對(duì)側(cè)保護(hù)裝置通信。該系統(tǒng)不與其它系統(tǒng)發(fā)生交集，直接進(jìn)入SDH網(wǎng)，應(yīng)將其視為運(yùn)行于一個(gè)安全的

圖1　二次系統(tǒng)通信示意圖

孤立網(wǎng)絡(luò)內(nèi)；保護(hù)信息管理柜通過(guò)調(diào)度數(shù)據(jù)專(zhuān)網(wǎng)非實(shí)時(shí)區(qū)與對(duì)側(cè)服務(wù)器通信，屬于安全Ⅱ區(qū)設(shè)備。

計(jì)算機(jī)監(jiān)控系統(tǒng)的101規(guī)約業(yè)務(wù)通過(guò)PCM進(jìn)行傳輸，被默認(rèn)傳輸于安全的專(zhuān)用通道內(nèi)，不納入二次安全防護(hù)考慮；104規(guī)約業(yè)務(wù)通過(guò)調(diào)度數(shù)據(jù)專(zhuān)網(wǎng)實(shí)時(shí)區(qū)傳輸數(shù)據(jù)，屬于安全Ⅰ區(qū)設(shè)備。

PMU系統(tǒng)通過(guò)調(diào)度數(shù)據(jù)專(zhuān)網(wǎng)實(shí)時(shí)區(qū)傳輸數(shù)據(jù)，屬于Ⅰ區(qū)設(shè)備。

水調(diào)自動(dòng)化系統(tǒng)、保護(hù)信息及電網(wǎng)輔助系統(tǒng)通過(guò)調(diào)度數(shù)據(jù)專(zhuān)網(wǎng)非實(shí)時(shí)區(qū)傳輸數(shù)據(jù)，屬于Ⅱ區(qū)設(shè)備。

由圖1可見(jiàn)，紫坪鋪水力發(fā)電廠屬于安全Ⅰ區(qū)、Ⅱ區(qū)的二次系統(tǒng)幾乎全部接入了調(diào)度數(shù)據(jù)專(zhuān)網(wǎng)，該網(wǎng)絡(luò)一旦被侵入，廠內(nèi)主要的二次系統(tǒng)均面臨被攻擊的風(fēng)險(xiǎn)。

2紫坪鋪水力發(fā)電廠二次系統(tǒng)安全防護(hù)措施

紫坪鋪水力發(fā)電廠二次系統(tǒng)與外部網(wǎng)絡(luò)之間存在兩個(gè)邊界：一是向調(diào)度側(cè)傳輸數(shù)據(jù)的調(diào)度數(shù)據(jù)專(zhuān)網(wǎng)，接入調(diào)度側(cè)網(wǎng)絡(luò)設(shè)備；二是向公司內(nèi)部發(fā)布信息的WEB機(jī)，接入局域網(wǎng)(該局域網(wǎng)有端口接入電信公網(wǎng))。為防范來(lái)自?xún)蓚€(gè)外部網(wǎng)絡(luò)的入侵，需要對(duì)處于邊界的網(wǎng)絡(luò)設(shè)備進(jìn)行保護(hù)。

2.1面向電力通信網(wǎng)的二次系統(tǒng)安全防護(hù)措施

電力二次系統(tǒng)可能遭受到的、來(lái)自電力通信網(wǎng)的攻擊可以分為兩種情況：(1)從調(diào)度側(cè)入侵，攻擊者的攻擊跳板位于調(diào)度側(cè)或其它接入通信網(wǎng)的電廠；(2)從電廠本側(cè)入侵，攻擊者通過(guò)該廠接入通信網(wǎng)的設(shè)備發(fā)動(dòng)攻擊。

就紫坪鋪水力發(fā)電廠而言，以上兩種情況下入侵者都必定要通過(guò)調(diào)度數(shù)據(jù)專(zhuān)網(wǎng)。針對(duì)這種情況，該廠依據(jù)二次安全防護(hù)要求，對(duì)調(diào)度數(shù)據(jù)專(zhuān)網(wǎng)進(jìn)行了加固(圖2)。

圖2　紫坪鋪水力發(fā)電廠調(diào)度數(shù)據(jù)專(zhuān)網(wǎng)結(jié)構(gòu)圖

調(diào)度數(shù)據(jù)專(zhuān)網(wǎng)通過(guò)光端機(jī)接入電力通信網(wǎng)，安全Ⅰ區(qū)業(yè)務(wù)和Ⅱ區(qū)的業(yè)務(wù)實(shí)現(xiàn)物理隔離，并在兩臺(tái)交換機(jī)上劃分VLAN對(duì)業(yè)務(wù)進(jìn)行邏輯隔離，同時(shí)關(guān)閉交換機(jī)所有的非業(yè)務(wù)端口。

兩臺(tái)交換機(jī)通過(guò)縱向加密認(rèn)證裝置與電力通信網(wǎng)通信，IDS入侵檢測(cè)系統(tǒng)接入兩臺(tái)交換機(jī)并監(jiān)測(cè)交換機(jī)的所有端口，將告警信息實(shí)時(shí)送二次安全防護(hù)綜合管理機(jī)。

在這種結(jié)構(gòu)下，縱向加密認(rèn)證裝置會(huì)通過(guò)密鑰驗(yàn)證以阻止非法數(shù)據(jù)在網(wǎng)絡(luò)內(nèi)縱向流動(dòng)，而交換機(jī)的物理隔離和邏輯隔離則防止其橫向擴(kuò)散。

2.2面向局域網(wǎng)的二次系統(tǒng)安全防護(hù)措施

該廠二次系統(tǒng)接入辦公局域網(wǎng)的唯一節(jié)點(diǎn)是計(jì)算機(jī)監(jiān)控系統(tǒng)的WEB發(fā)布機(jī)，該計(jì)算機(jī)在邏輯路由上連接至計(jì)算機(jī)監(jiān)控系統(tǒng)內(nèi)網(wǎng)。根據(jù)14號(hào)令規(guī)定：安全接入?yún)^(qū)與生產(chǎn)控制大區(qū)中其他部分的連接處必須設(shè)置經(jīng)國(guó)家指定部門(mén)檢測(cè)認(rèn)證的電力專(zhuān)用橫向單向安全隔離裝置。該廠針對(duì)該節(jié)點(diǎn)作了如圖3所示的設(shè)計(jì)。

圖3　紫坪鋪水力發(fā)電廠二次安防系統(tǒng)拓?fù)鋱D

在該網(wǎng)絡(luò)結(jié)構(gòu)中，WEB3位于安全Ⅱ區(qū)交換機(jī)和Ⅲ區(qū)交換機(jī)之間，其數(shù)據(jù)流向計(jì)算機(jī)監(jiān)控系統(tǒng)時(shí)須經(jīng)過(guò)正向隔離裝置和Ⅱ區(qū)防火墻，按照該廠正向隔離裝置配置的策略，包括WEB3的安全Ⅱ區(qū)設(shè)備無(wú)法向安全Ⅰ區(qū)(即計(jì)算機(jī)監(jiān)控系統(tǒng))發(fā)送數(shù)據(jù)，進(jìn)而實(shí)現(xiàn)安全Ⅰ區(qū)和Ⅱ區(qū)的隔離。同樣，WEB3與局域網(wǎng)之間由Ⅲ區(qū)防火墻實(shí)施類(lèi)似保護(hù)，以應(yīng)對(duì)來(lái)自公網(wǎng)的入侵。

3水電廠二次系統(tǒng)安全防護(hù)要點(diǎn)及建議

3.1二次系統(tǒng)安全防護(hù)的關(guān)鍵點(diǎn)

筆者認(rèn)為：14號(hào)令對(duì)電力二次系統(tǒng)安全防護(hù)作了周詳?shù)年U述，但對(duì)發(fā)電企業(yè)的關(guān)注相對(duì)較少。電廠在作二次系統(tǒng)安全防護(hù)設(shè)計(jì)時(shí)只能參照電網(wǎng)的標(biāo)準(zhǔn)執(zhí)行，但缺乏更為細(xì)致的執(zhí)行條款。

筆者認(rèn)為：電廠和電網(wǎng)在二次系統(tǒng)安全防護(hù)方面存在細(xì)微不同，電廠二次系統(tǒng)的運(yùn)行環(huán)境不像電網(wǎng)那樣復(fù)雜，面臨的危險(xiǎn)也相對(duì)較少。在電廠，針對(duì)一些較為封閉的系統(tǒng)(如水情系統(tǒng))設(shè)置專(zhuān)門(mén)的防護(hù)措施效果并不明顯。因此，二次系統(tǒng)安全防護(hù)的關(guān)鍵點(diǎn)不應(yīng)單純地由某個(gè)系統(tǒng)的重要性來(lái)決定，而應(yīng)以多個(gè)系統(tǒng)交界處、數(shù)據(jù)交換的關(guān)鍵節(jié)點(diǎn)作為二次安全防護(hù)的關(guān)鍵點(diǎn)。

以紫坪鋪水力發(fā)電廠為例，大部分二次系統(tǒng)(繼電保護(hù)系統(tǒng)、自動(dòng)控制系統(tǒng)等)的運(yùn)行環(huán)境相對(duì)孤立，通常只和本系統(tǒng)下轄的設(shè)備和子系統(tǒng)作串口通信，可以視作一個(gè)安全封閉的網(wǎng)絡(luò)。而最容易受到入侵的是和大量其它系統(tǒng)、設(shè)備進(jìn)行數(shù)據(jù)交換的節(jié)點(diǎn)，即計(jì)算機(jī)監(jiān)控系統(tǒng)和電力調(diào)度數(shù)據(jù)專(zhuān)網(wǎng)。

計(jì)算機(jī)監(jiān)控系統(tǒng)位于安全I(xiàn)區(qū)，可以直接操作發(fā)電設(shè)備，并與大部分二次系統(tǒng)有數(shù)據(jù)交換，其重要性毋庸置疑。同時(shí)，它也是唯一與外部公網(wǎng)建立數(shù)據(jù)交換的系統(tǒng)，受入侵的幾率較高且后果嚴(yán)重。

電力調(diào)度數(shù)據(jù)專(zhuān)網(wǎng)本身是按照電監(jiān)會(huì)14號(hào)令相關(guān)要求在專(zhuān)用通道上使用獨(dú)立的網(wǎng)絡(luò)設(shè)備組網(wǎng)，在物理層面上實(shí)現(xiàn)與電力企業(yè)其它數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)的安全隔離。由于該網(wǎng)絡(luò)與多個(gè)系統(tǒng)有數(shù)據(jù)交換，其本身亦具備安全隔離功能，故其內(nèi)部防護(hù)(特別是邏輯隔離)一旦被突破則可能影響多個(gè)系統(tǒng)的安全。

保護(hù)好上述兩個(gè)系統(tǒng)的安全，可以提高整個(gè)二次系統(tǒng)的安全性，既使發(fā)生惡意入侵，也能將對(duì)系統(tǒng)和設(shè)備的危害性降到最低。

3.2關(guān)于電廠二次系統(tǒng)安全防護(hù)的建議

筆者在收集其它企業(yè)遭受攻擊事件時(shí)發(fā)現(xiàn)：惡意入侵行為的主要攻擊對(duì)象是基于TCP/IP的生產(chǎn)控制類(lèi)數(shù)據(jù)業(yè)務(wù)，這類(lèi)基于計(jì)算機(jī)通信的業(yè)務(wù)通常使用明文傳輸數(shù)據(jù)，極易受到攻擊；而直接從外部廣域網(wǎng)入侵到生產(chǎn)控制系統(tǒng)的事件較為罕見(jiàn)。大多數(shù)惡意攻擊均來(lái)自企業(yè)內(nèi)部網(wǎng)絡(luò)，并且被攻擊方在發(fā)生嚴(yán)重后果之前難以察覺(jué)到自身已受到攻擊。

事實(shí)給我們的提示是：二次系統(tǒng)安全防護(hù)既需要有周密的技術(shù)措施，也需要完善的制度建設(shè)，更需要從業(yè)人員具有安全防護(hù)的意識(shí)。

對(duì)于本身運(yùn)行于一個(gè)孤立安全網(wǎng)絡(luò)的系統(tǒng)，采取嚴(yán)格的管理制度即可以有效地保護(hù)系統(tǒng)安全。而對(duì)每個(gè)二次系統(tǒng)均采取技術(shù)措施，既增加了系統(tǒng)的復(fù)雜性，而且在實(shí)際運(yùn)行中也會(huì)造成資源的浪費(fèi)。對(duì)于每個(gè)電廠而言，應(yīng)確立自身二次系統(tǒng)的關(guān)鍵節(jié)點(diǎn)，并針對(duì)其采取可靠的技術(shù)措施和組織措施。在相同投入的情況下，在安全I(xiàn)區(qū)和通信網(wǎng)絡(luò)的邊界投入更多的資源實(shí)施防護(hù)效果將更為理想。

4結(jié)語(yǔ)

從實(shí)際運(yùn)行情況看，二次系統(tǒng)受到的威脅更多的還是來(lái)自于系統(tǒng)內(nèi)部，如移動(dòng)存儲(chǔ)器、筆記本計(jì)算機(jī)傳播的惡意代碼，而非技術(shù)難度極高的外部侵入。對(duì)于前者，在有效的管理制度下可以杜絕；后者雖然罕見(jiàn)，但一旦發(fā)生幾乎都是惡意行為，易造成重大損失，需要采取強(qiáng)有力的技術(shù)措施對(duì)抗外部入侵。在現(xiàn)代電力系統(tǒng)中，電廠、電網(wǎng)單獨(dú)討論二次安全防護(hù)并無(wú)意義，二次安全防護(hù)系統(tǒng)出現(xiàn)任何漏洞都意味著防護(hù)失敗。建立完善的管理制度防范內(nèi)部攻擊，依靠嚴(yán)密的技術(shù)手段對(duì)抗外部入侵，只有將兩者相結(jié)合才是真正的二次安全防護(hù)體系。另外，雖然二次系統(tǒng)安全防護(hù)的水平高低取決于系統(tǒng)中最薄弱的部位，但這并非意味著要在整個(gè)防護(hù)體系中平均資源，對(duì)系統(tǒng)的關(guān)鍵點(diǎn)作有針對(duì)性地防護(hù)其效果顯然更佳，也更具有現(xiàn)實(shí)意義。

收稿日期:2015-12-12

中圖分類(lèi)號(hào):TV7;TV737;TV738

文獻(xiàn)標(biāo)識(shí)碼:B

文章編號(hào):1001-2184(2016)03-0098-04

作者簡(jiǎn)介:

潘亮(1983-)，男，四川遂寧人，工程師，從事水電廠自動(dòng)化監(jiān)控工作.

(責(zé)任編輯：李燕輝)