何璟德

（中國(guó)能源建設(shè)集團(tuán)江蘇省電力設(shè)計(jì)院有限公司，江蘇 南京 211100）

數(shù)據(jù)網(wǎng)二次安防在風(fēng)電場(chǎng)的應(yīng)用

何璟德

（中國(guó)能源建設(shè)集團(tuán)江蘇省電力設(shè)計(jì)院有限公司，江蘇 南京 211100）

本文闡述了調(diào)度數(shù)據(jù)網(wǎng)面臨的主要風(fēng)險(xiǎn)，從防護(hù)目標(biāo)、原則、安全分區(qū)、認(rèn)證隔離、專通通道、路由選擇等方面詳細(xì)介紹了二次系統(tǒng)安全防護(hù)的設(shè)計(jì)，并結(jié)合風(fēng)電場(chǎng)實(shí)踐情況分析了防護(hù)方案和施工調(diào)試過(guò)程中的風(fēng)險(xiǎn)，提出風(fēng)險(xiǎn)控制辦法。

調(diào)度數(shù)據(jù)網(wǎng)；安全防護(hù)；風(fēng)險(xiǎn)控制。

隨著我國(guó)大規(guī)模風(fēng)電廠接入系統(tǒng)，電網(wǎng)的電源結(jié)構(gòu)發(fā)生了比較大的改變，接入的電源數(shù)量成倍增長(zhǎng)，電力調(diào)度數(shù)據(jù)網(wǎng)的安全問(wèn)題日益突出，目前電力調(diào)度數(shù)據(jù)網(wǎng)覆蓋面大，承載業(yè)務(wù)越來(lái)越多，對(duì)數(shù)據(jù)交互的安全性提出了更高的要求。電力二次系統(tǒng)安全是全方位的工程，網(wǎng)絡(luò)安全是系統(tǒng)安全的重要組成部分。因此，在電網(wǎng)建設(shè)時(shí)形成有效的網(wǎng)絡(luò)安全防護(hù)體系非常重要。

1　數(shù)據(jù)網(wǎng)絡(luò)風(fēng)險(xiǎn)分析

網(wǎng)絡(luò)信息安全是連接電力系統(tǒng)的生命線，廠站終端與主站通過(guò)數(shù)據(jù)網(wǎng)絡(luò)進(jìn)行信息交互的過(guò)程中存在信息泄漏、篡改和破壞的風(fēng)險(xiǎn)，如果遭到非法入侵，將會(huì)嚴(yán)重影響到電力系統(tǒng)的安全運(yùn)行。因此，需要加強(qiáng)電力二次系統(tǒng)的安全防護(hù)，增強(qiáng)信息的安全防護(hù)和自主控制，防止關(guān)鍵業(yè)務(wù)信息被竊取和篡改。在規(guī)劃數(shù)據(jù)網(wǎng)二次安全防護(hù)時(shí)，必須認(rèn)清數(shù)據(jù)網(wǎng)面臨的主要風(fēng)險(xiǎn)，才能有效地解決安全隱患。數(shù)據(jù)網(wǎng)面臨的主要安全風(fēng)險(xiǎn)見(jiàn)表1。

2　二次安防的設(shè)計(jì)

2.1 防護(hù)目標(biāo)

調(diào)度數(shù)據(jù)網(wǎng)二次安全防護(hù)的目標(biāo)是保障電力系統(tǒng)安穩(wěn)地運(yùn)行，規(guī)范二次安全防護(hù)方案的規(guī)劃和建設(shè)，重點(diǎn)防范由于黑客、病毒等通過(guò)網(wǎng)絡(luò)對(duì)電力控制系統(tǒng)進(jìn)行惡意攻擊和破壞，及由此引起的大范圍停電事故。

表1　安全風(fēng)險(xiǎn)

2.2防護(hù)原則

二次安防的總體原則是“安全分區(qū)、橫向隔離、網(wǎng)絡(luò)專用、縱向認(rèn)證”。

分區(qū)防護(hù)、突出重點(diǎn)：根據(jù)電力系統(tǒng)業(yè)務(wù)的重要性及與電力一次系統(tǒng)安全的關(guān)聯(lián)程度進(jìn)行劃分區(qū)域，對(duì)影響電力安全生產(chǎn)相關(guān)的業(yè)務(wù)進(jìn)行重點(diǎn)防護(hù)。

橫向隔離：通過(guò)隔離裝置在不同的安全區(qū)之間實(shí)現(xiàn)邏輯和物理橫向隔離。

網(wǎng)絡(luò)專用：通過(guò)BGP/MPLS VPN（邊界網(wǎng)關(guān)協(xié)議Border Gateway Protocol/多協(xié)議標(biāo)簽交換虛擬專用網(wǎng)絡(luò)Multi-Protocol Label Switching Virtual Private Network）技術(shù)部署多個(gè)相互隔離的業(yè)務(wù)專用網(wǎng)絡(luò)通道，為數(shù)據(jù)網(wǎng)提供多層次防護(hù)。

縱向認(rèn)證：采用IP認(rèn)證加密方式在縱向邊界部署加密裝置，實(shí)現(xiàn)各區(qū)數(shù)據(jù)在廣域網(wǎng)傳輸過(guò)程中的安全防護(hù)。

2.3安全區(qū)劃分

調(diào)度數(shù)據(jù)網(wǎng)作為電網(wǎng)調(diào)度生產(chǎn)數(shù)據(jù)的基本傳輸和應(yīng)用平臺(tái)，承載了生產(chǎn)調(diào)度、運(yùn)行管理等諸多業(yè)務(wù)。其中數(shù)據(jù)采集與監(jiān)控系統(tǒng) SCADA（Supervisory Control And Data Acquisition）、 能 量 管 理 系 統(tǒng)EMS（energy management system）和廣域向量測(cè)量系統(tǒng)等監(jiān)控業(yè)務(wù)具有很高的實(shí)時(shí)性要求，按照設(shè)計(jì)規(guī)定實(shí)時(shí)數(shù)據(jù)的傳輸周期應(yīng)為秒級(jí)，而生產(chǎn)管理類業(yè)務(wù)信息數(shù)據(jù)交換量大呈現(xiàn)出較強(qiáng)的隨機(jī)性，優(yōu)先級(jí)程度并不高。為使安全等級(jí)不同的業(yè)務(wù)相互隔離，保證網(wǎng)絡(luò)信息的安全性、可靠性，調(diào)度業(yè)務(wù)根據(jù)安全級(jí)別劃分為兩大區(qū)即生產(chǎn)控制大區(qū)和信息管理大區(qū)，生產(chǎn)控制大區(qū)又分為控制區(qū)與非控制區(qū)，它們的業(yè)務(wù)類型和要求見(jiàn)表2。

表2　調(diào)度數(shù)據(jù)網(wǎng)業(yè)務(wù)類型及要求

2.4邊界防護(hù)

網(wǎng)絡(luò)縱向邊界是網(wǎng)絡(luò)流量的必經(jīng)之地，也是各種網(wǎng)絡(luò)攻擊的突破口。在網(wǎng)絡(luò)縱向邊界上部署電力縱向加密認(rèn)證裝置是一種行之有效的防御措施。通過(guò)數(shù)字證書(shū)認(rèn)證并進(jìn)行嚴(yán)密的隧道與策略配置，可以阻擋絕大多數(shù)外來(lái)攻擊、病毒和惡意代碼。還可以通過(guò)對(duì)縱向加密認(rèn)證裝置服務(wù)日志進(jìn)行配置來(lái)發(fā)現(xiàn)異常流量和惡意攻擊等網(wǎng)絡(luò)威脅。

在生產(chǎn)控制區(qū)（安全Ⅰ區(qū)和安全Ⅱ區(qū)）與信息管理區(qū)邊界處，必須采用具備隔離強(qiáng)度高于防火墻的物理隔離裝置。橫向隔離裝置基于“信息擺渡”的原理，采用兩個(gè)高性能嵌入式微處理器保證內(nèi)外兩個(gè)安全區(qū)域不在同一時(shí)刻連通，同時(shí)又實(shí)現(xiàn)兩個(gè)大區(qū)之間的非網(wǎng)絡(luò)方式的高速數(shù)據(jù)交換。

2.5安全區(qū)拓?fù)浣Y(jié)構(gòu)

三個(gè)安全區(qū)之間可組成鏈?zhǔn)健⑷呛托切托稳N拓?fù)浣Y(jié)構(gòu)，見(jiàn)圖1。

鏈?zhǔn)酵負(fù)洌嚎刂茀^(qū)與非控制區(qū)通過(guò)防火墻連接，非控制區(qū)與信息管理區(qū)再通過(guò)隔離裝置進(jìn)行安全防護(hù)，三個(gè)安全區(qū)形成一條鏈?zhǔn)竭B接結(jié)構(gòu)。

三角拓?fù)洌嚎刂茀^(qū)與非控制區(qū)之間通過(guò)防火墻防護(hù)，信息管理區(qū)通過(guò)2臺(tái)隔離裝置分別與控制區(qū)和非控制區(qū)連接，三個(gè)安全區(qū)形成三角連接。

圖1　安全區(qū)網(wǎng)絡(luò)拓?fù)?/p>

星形拓?fù)洌悍强刂茀^(qū)直接接入網(wǎng)絡(luò)匯聚點(diǎn)，控制區(qū)通過(guò)防火墻與匯聚點(diǎn)連接，匯聚點(diǎn)與信息管理區(qū)通過(guò)隔離裝置進(jìn)行安全防護(hù)。

2.6專用通道的部署

為保證各個(gè)安全區(qū)應(yīng)用業(yè)務(wù)之間的相互隔離，需要部署VPN來(lái)滿足業(yè)務(wù)系統(tǒng)的信息安全要求。采用BGP/MPLS VPN技術(shù)可將控制區(qū)、非控制區(qū)、信息管理區(qū)分割成3個(gè)相對(duì)獨(dú)自的邏輯專網(wǎng)，通過(guò)路由隔離、地址隔離和信息隱藏等手段提供安全保證。一個(gè)BGP/MPLS VPN網(wǎng)絡(luò)由用戶邊緣設(shè)備CE（Customer Edge），用戶邊緣路由器PE（Provider Edge）和服務(wù)商路由P（Provider）組成。控制區(qū)和非控制區(qū)業(yè)務(wù)通過(guò)交換機(jī)CE分別接入到業(yè)務(wù)邊緣路由器PE，并在PE上劃分VPN實(shí)現(xiàn)路由的隔離。廠站PE與主站P通過(guò)邊界網(wǎng)關(guān)協(xié)議BGP實(shí)現(xiàn)VPN路由信息的傳遞，并使用MPLS轉(zhuǎn)發(fā)VPN流量。

2.7路由設(shè)備的要求

網(wǎng)絡(luò)路由的可靠性和安全性依賴于路由器的性能，在BGP/MPLS VPN網(wǎng)絡(luò)中尤其需要注重P和PE路由器的選擇。在可靠性方面選取全分布式架構(gòu)的路由器可以實(shí)現(xiàn)轉(zhuǎn)發(fā)與控制的分離，設(shè)備引擎負(fù)責(zé)路由的計(jì)算，分布式線卡完成數(shù)據(jù)的轉(zhuǎn)發(fā)，大大提高了網(wǎng)絡(luò)收斂時(shí)間，控制了包丟失率。同時(shí)各個(gè)線卡相互獨(dú)立，某一線卡故障時(shí)不會(huì)影響其他數(shù)據(jù)的轉(zhuǎn)發(fā)，整機(jī)可靠性隨著線卡數(shù)量而提升；為了保證信息的安全性，在路由器內(nèi)嵌入安全模塊，通過(guò)對(duì)安全接口的調(diào)用實(shí)現(xiàn)身份認(rèn)證、數(shù)據(jù)加密、簽名驗(yàn)證等功能。

3　工程實(shí)踐與風(fēng)險(xiǎn)控制

3.1工程實(shí)踐

中電投東海馬陵風(fēng)電數(shù)據(jù)網(wǎng)的接入部分嚴(yán)格按照上述二次安防總體原則進(jìn)行規(guī)劃設(shè)計(jì)，數(shù)據(jù)網(wǎng)第一、第二平面采用兩套獨(dú)立的網(wǎng)絡(luò)接入設(shè)備，實(shí)現(xiàn)生產(chǎn)控制區(qū)業(yè)務(wù)接入的冗余，另建立一條以太網(wǎng)到E1的轉(zhuǎn)發(fā)網(wǎng)關(guān)，實(shí)現(xiàn)信息管理區(qū)業(yè)務(wù)的接入。

第一、第二平面均配置2臺(tái)H3C LS3900以太網(wǎng)交換機(jī)擔(dān)當(dāng)CE，分別命名為實(shí)時(shí)CE和非實(shí)時(shí)CE，用于安全Ⅰ區(qū)和安全Ⅱ區(qū)縱向數(shù)據(jù)的匯集接入，以及安全區(qū)之間的橫向互聯(lián)，安全Ⅰ區(qū)及安全Ⅱ區(qū)業(yè)務(wù)終端均配置兩塊以太網(wǎng)卡，分別接入兩臺(tái)CE；雙平面均采用H3C MSR5040作為接入點(diǎn)路由器PE，PE通過(guò)2M E1接口接入華為Metro3000光端機(jī)進(jìn)入省光傳輸網(wǎng)，在PE與CE之間部署兩臺(tái)NARI NetKeeper2000縱向加密裝置，進(jìn)行本地與遠(yuǎn)方業(yè)務(wù)系統(tǒng)之間數(shù)據(jù)通信的身份認(rèn)證、數(shù)據(jù)的加密與解密；安全Ⅲ區(qū)為孤島運(yùn)行狀態(tài)，單獨(dú)配置一面MIS網(wǎng)機(jī)柜，通過(guò)一臺(tái)H3C MSR5040路由器和H3C LS3900交換機(jī)建立一條以太網(wǎng)到E1的轉(zhuǎn)發(fā)網(wǎng)關(guān)與Ⅰ、Ⅱ區(qū)VPN通道隔離，在交換機(jī)與路由器之間部署一臺(tái)TG-1509硬件防火墻，實(shí)現(xiàn)數(shù)據(jù)交互包過(guò)濾和訪問(wèn)控制。

為禁止低級(jí)別安全區(qū)向高級(jí)別區(qū)域訪問(wèn)，在安全Ⅰ區(qū)和安全Ⅱ區(qū)CE間配置一臺(tái)硬件防火墻，通過(guò)網(wǎng)線級(jí)聯(lián)，一方面實(shí)現(xiàn)兩區(qū)的邏輯隔離，另一方面讓分區(qū)業(yè)務(wù)同時(shí)使用實(shí)時(shí)VPN和非實(shí)時(shí)VPN與中調(diào)進(jìn)行數(shù)據(jù)傳輸，提高效率。生產(chǎn)控制大區(qū)與信息管理大區(qū)之間部署正、反向隔離裝置各一臺(tái)，其中生產(chǎn)控制區(qū)到管理信息區(qū)的單向數(shù)據(jù)傳遞采用SysKeeper2000（正向型）安全隔離裝置；管理信息區(qū)到生產(chǎn)控制區(qū)的單向數(shù)據(jù)傳遞則采用SysKeeper2000（反向型）安全隔離裝置使數(shù)據(jù)的交互形式為純文本數(shù)據(jù)或語(yǔ)言數(shù)據(jù)。

3.2風(fēng)險(xiǎn)控制

雖然本期工程的數(shù)據(jù)網(wǎng)二次安防建設(shè)已經(jīng)滿足了《電網(wǎng)和電廠計(jì)算機(jī)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護(hù)規(guī)定》和《電力二次系統(tǒng)安全防護(hù)規(guī)定》的要求，構(gòu)建了多層次網(wǎng)絡(luò)安全防護(hù)體系，但在防護(hù)策略和工程實(shí)施中仍存在以下風(fēng)險(xiǎn)，需要對(duì)風(fēng)險(xiǎn)點(diǎn)加以控制。

（1）安全區(qū)的拓?fù)洳捎玫氖擎準(zhǔn)酵負(fù)浣Y(jié)構(gòu)，雖然有效地將三個(gè)安全區(qū)進(jìn)行了隔離，但由于互通鏈路的唯一性存在單鏈路故障的高風(fēng)險(xiǎn)。如果采用三角形拓?fù)浣Y(jié)構(gòu)，一是兩臺(tái)隔離裝置成本較高，二是控制區(qū)與信息管理區(qū)直接連接，只有一層防護(hù)，控制區(qū)將承擔(dān)較大風(fēng)險(xiǎn)，采用星形連接的話風(fēng)險(xiǎn)程度將更高。因此建議鏈?zhǔn)浇Y(jié)構(gòu)基礎(chǔ)上增加冗余線路的設(shè)計(jì)，并配置雙鏈路互備互通，降低單點(diǎn)故障風(fēng)險(xiǎn)。

（2）盡管在縱向網(wǎng)絡(luò)邊界配置了防火墻和加密裝置，但仍存在漏洞，需要引入入侵檢測(cè)系統(tǒng)IDS（Intrusion Detection Systems）來(lái)補(bǔ)充。本工程后期新增一套ICEYE 204D四探針百兆入侵檢測(cè)設(shè)備，其IDS探頭主要部署在安全區(qū)橫向網(wǎng)絡(luò)邊界點(diǎn)以及與調(diào)度中心縱向互聯(lián)的接入點(diǎn)，實(shí)時(shí)檢測(cè)入侵行為、風(fēng)險(xiǎn)分析及安全審計(jì)。

（3）由于本站屬于無(wú)人值守類型，為方便運(yùn)行人員遠(yuǎn)程監(jiān)控管理，中電投馬陵風(fēng)電通過(guò)專用公網(wǎng)將本站信息傳輸至其鹽城監(jiān)控中心。由于此公網(wǎng)采集數(shù)據(jù)與調(diào)度數(shù)據(jù)采集自同一終端，因此配置內(nèi)外網(wǎng)雙主機(jī)，采用“雙機(jī)非網(wǎng)”結(jié)構(gòu)模式，內(nèi)網(wǎng)主機(jī)與終端通過(guò)以太網(wǎng)連接，外網(wǎng)主機(jī)與公網(wǎng)接連，內(nèi)外網(wǎng)主機(jī)以高速串口非網(wǎng)絡(luò)協(xié)議方式連接，有效地進(jìn)行網(wǎng)隔離。

（4）工程實(shí)施中交換機(jī)的縱向互聯(lián)與橫向互聯(lián)需要配置不同的VLAN（Virtual Local Area Network，虛擬局域網(wǎng)），縱向與橫向防火墻的安全策略也不盡相同，需根據(jù)不同的網(wǎng)絡(luò)防護(hù)要求實(shí)施；加密裝置應(yīng)設(shè)置成透明模式，可使PE與CE通過(guò)網(wǎng)線直連，避免裝置故障引起數(shù)據(jù)中斷；網(wǎng)線必須采用屏蔽雙絞線，RJ45水晶頭制作時(shí)雙絞線裸露部分不超過(guò)12 mm，否則會(huì)造成近端串?dāng)_和回波損耗，引起通訊質(zhì)量的下降和誤報(bào)警。

4　結(jié)論

通過(guò)對(duì)單獨(dú)風(fēng)電廠接入系統(tǒng)的安全防護(hù)措施分析，提出在風(fēng)電廠接入電網(wǎng)時(shí)除需根據(jù)調(diào)度數(shù)據(jù)網(wǎng)的“安全分區(qū)、橫向隔離、網(wǎng)絡(luò)專用、縱向認(rèn)證”的基本防護(hù)原則確定數(shù)據(jù)網(wǎng)二次安防的總體架構(gòu)，還需要通過(guò)優(yōu)化安全拓?fù)浣Y(jié)構(gòu)，排除單點(diǎn)故障風(fēng)險(xiǎn)，如加入IDS彌補(bǔ)安全防護(hù)的不足、采取“雙機(jī)非網(wǎng)”結(jié)構(gòu)實(shí)現(xiàn)內(nèi)外網(wǎng)隔離等防護(hù)策略，提出施工調(diào)試時(shí)的注意事項(xiàng)，排除人為安全隱患。調(diào)度自動(dòng)化安全是一個(gè)動(dòng)態(tài)發(fā)展過(guò)程，不能僅僅依靠安全產(chǎn)品的堆積來(lái)實(shí)現(xiàn)，只有在不斷完善安全防護(hù)體系的同時(shí)加強(qiáng)對(duì)風(fēng)險(xiǎn)的控制，才能使電力二次系統(tǒng)的安全防護(hù)更加堅(jiān)固可靠。

［1］ 彭清卿.國(guó)家電力調(diào)度數(shù)據(jù)網(wǎng)組網(wǎng)研究［J］.電力系統(tǒng)自動(dòng)化術(shù)，2004，（8）.

［2］ 劉麗榕.國(guó)家電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)建設(shè)方案研究 ［J］.電力系統(tǒng)通信，2011，（220）.

［3］ 潘路.電力二次系統(tǒng)網(wǎng)絡(luò)信息安全防護(hù)的設(shè)計(jì)與實(shí)現(xiàn)［D］.華南理工大學(xué)碩士學(xué)位論文，2014.

［4］ 電監(jiān)安全［2006］34號(hào)文.電力二次系統(tǒng)安全防護(hù)總體方案 ［S］.

［5］ 李芹.電力調(diào)度數(shù)據(jù)網(wǎng)測(cè)試模型［J］.電力系統(tǒng)自動(dòng)化，2015，（1）.

［6］ 李高望.電力調(diào)度數(shù)據(jù)網(wǎng)傳輸特性分析［N］.中國(guó)電機(jī)工程學(xué)報(bào)，2012，（22）.

［7］ 刑寧哲.華北電力調(diào)度數(shù)據(jù)網(wǎng)若干問(wèn)題分析和研究［J］.華北電力技術(shù)，2008，（03）.

［8］ 彭竹.電力行業(yè)工控終端設(shè)備安全接入系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)［D］.中國(guó)科學(xué)院大學(xué)碩士學(xué)位論文，2015.

Application of Data Network Secondary Security Protection in Wind Power Plant

HE Jing-de
（Jiangsu Electric Power Design Institute， Nanjing 211100， China）

This paper describes the main risk of dispatching electric power data network， and the design of secondary security protection is introduced from the aspects of protection goal， principle， security division， authentication and isolation， access channel， route selection. Finally， analyses the protection scheme and construction risk in the process of debugging combine with the practice of wind farm， put forward the risk control measures.

dispatching data network； security protection； risk management.

TM614

B

1671-9913（2016）04-0072-04

2016-03-10

何璟德（1990- ），男，江蘇常州人，助理工程師，電氣工程及其自動(dòng)化專業(yè)。