李文明，蘇 亮

（五凌電力有限公司，湖南 長沙410004）

1 引言

生產(chǎn)控制系統(tǒng)直接面向用電用戶，其安全、穩(wěn)定、可靠的運(yùn)行事關(guān)工業(yè)生產(chǎn)運(yùn)行、國家經(jīng)濟(jì)安全和人民生命財(cái)產(chǎn)安全[1]。目前生產(chǎn)系統(tǒng)由控制系統(tǒng)主站監(jiān)控系統(tǒng)和遠(yuǎn)程終端控制器組成，而通信方式，由于遠(yuǎn)程終端數(shù)量龐大且分散在不同的環(huán)境區(qū)域，因此采用光纖加無線網(wǎng)絡(luò)的通信方式實(shí)現(xiàn)數(shù)據(jù)的采集和監(jiān)控?？刂葡到y(tǒng)主站監(jiān)控系統(tǒng)需要實(shí)現(xiàn)對遠(yuǎn)程終端所有數(shù)據(jù)的監(jiān)測和控制功能，對于部分通信條件受限制的遠(yuǎn)程終端，也要求通過部署安全防護(hù)措施后，實(shí)現(xiàn)二遙或者三遙的功能。

2 概況

長沙新能源生產(chǎn)運(yùn)營中心是按照國家電投集團(tuán)公司“省為實(shí)體、集中監(jiān)控、區(qū)域維檢、場站安?！钡脑瓌t于2016年10月建成投運(yùn)，中心軟硬件可滿足未來100個的新能源項(xiàng)目接入，目前已接入窯坡山風(fēng)電場、東崗嶺風(fēng)電場、大青山風(fēng)電場、新邵龍山風(fēng)電場、古臺山風(fēng)電場、土木溪水電站、龍家山水電站、東山光伏、鶴巢湖光伏、九華光伏與綜合會館屋頂光伏，可控裝機(jī)容量33萬kW，運(yùn)營中心與接入場站分別采用電力、電信2M專線雙路由與場站進(jìn)行實(shí)時(shí)通信，網(wǎng)絡(luò)拓?fù)淙鐖D1所示。

圖1 運(yùn)營中心與場站網(wǎng)絡(luò)拓?fù)鋱D

3 存在的威脅

由于運(yùn)營中心租用電信公網(wǎng)作為生產(chǎn)數(shù)據(jù)的備用通信通道，易遭受互聯(lián)網(wǎng)黑客的攻擊，從而對主站系統(tǒng)和終端進(jìn)行非法破壞。同時(shí)各場站生產(chǎn)控制系統(tǒng)終端數(shù)量龐大且分散在不同環(huán)境區(qū)域，通信方式不統(tǒng)一，導(dǎo)致存在較多的安全隱患，主要存在如下幾方面的網(wǎng)絡(luò)威脅：

（1）運(yùn)行要求和威脅：生產(chǎn)控制系統(tǒng)具有實(shí)時(shí)性要求，任何信息處理過程中的延遲和耽擱都是不允許的，數(shù)據(jù)丟失、延遲、亂序傳輸?shù)榷紝⒔o控制系統(tǒng)帶來嚴(yán)重或者致命的問題。

（2）可用性威脅：生產(chǎn)控制系統(tǒng)需要對現(xiàn)場的設(shè)備進(jìn)行實(shí)時(shí)監(jiān)控，外部攻擊對生產(chǎn)控制系統(tǒng)的可靠性和可維護(hù)性造成威脅。

（3）通信協(xié)議威脅：生產(chǎn)控制系統(tǒng)采用電力常用遠(yuǎn)動通信規(guī)約（如IEC 104等），這些協(xié)議在設(shè)計(jì)上并未充分考慮安全性。

（4）通信通道威脅：生產(chǎn)控制系統(tǒng)存在租用光纖或無線公網(wǎng)的通信通道，很容易遭受互聯(lián)網(wǎng)黑客的攻擊，從而對主站系統(tǒng)和終端進(jìn)行破壞或非法操作。

4 防護(hù)原則

通過數(shù)據(jù)安全代理技術(shù)的研究，采用在安全交換區(qū)與內(nèi)網(wǎng)之間通過專用隔離裝置進(jìn)行整體數(shù)據(jù)交互，在滿足14號令安全要求的基礎(chǔ)上，實(shí)現(xiàn)不同安全區(qū)之間的數(shù)據(jù)交換。

4.1 安全防護(hù)要求

按照國家能源局下發(fā)的（國能安全〔2015〕36號）《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》要求，需對典型生產(chǎn)控制系統(tǒng)中電網(wǎng)調(diào)度自動化系統(tǒng)和電力負(fù)荷控制管理系統(tǒng)的邏輯邊界分析及安全防護(hù)部署[2]，如圖2所示。

圖2 電力監(jiān)控系統(tǒng)安全防護(hù)要求

具體要求如下：

（1）電網(wǎng)調(diào)度自動化系統(tǒng)與本級調(diào)度自動化或其他系統(tǒng)通信時(shí)應(yīng)當(dāng)采用邏輯隔離防護(hù)措施，保障調(diào)度自動化系統(tǒng)安全。

（2）在前置機(jī)應(yīng)當(dāng)配置安全模塊，對控制命令和參數(shù)設(shè)置指令進(jìn)行簽名操作，實(shí)現(xiàn)子站對主站的身份鑒別與報(bào)文完整性保護(hù)。

（3）對重要子站及終端的通信可以采用雙向認(rèn)證加密，實(shí)現(xiàn)主站和子站間的雙向身份鑒別，確保報(bào)文機(jī)密性和完整性。

（4）對于采用公網(wǎng)作為通信信道的前置機(jī)，公網(wǎng)前置機(jī)屬于安全接入?yún)^(qū)，必須采用電力專用的正反向隔離裝置與自動化系統(tǒng)進(jìn)行隔離。

4.2 防護(hù)原則

安全接入?yún)^(qū)可信接入及交換總線防護(hù)設(shè)計(jì)原則如下：

（1）全面防護(hù)原則：IT安全風(fēng)險(xiǎn)的控制需要多角度、多層次，從各個環(huán)節(jié)入手，做好全面保障。在“雙網(wǎng)雙機(jī)、分區(qū)分域、安全接入、動態(tài)感知、精益管理”基礎(chǔ)上，從物理、邊界、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)和終端等層面，提高等級保護(hù)縱深防護(hù)能力[2]。

（2）適度防護(hù)原則：風(fēng)險(xiǎn)永遠(yuǎn)不可能徹底消除，明確可接受的風(fēng)險(xiǎn)，進(jìn)行適度保護(hù)是風(fēng)險(xiǎn)管理的精華。

（3）合規(guī)性原則：遵循國家的相關(guān)政策、標(biāo)準(zhǔn)和規(guī)范，滿足所屬行業(yè)監(jiān)管要求，符合公司自身業(yè)務(wù)活動和發(fā)展需求。

（4）就高防護(hù)原則：充分考慮與運(yùn)營中心的安全防護(hù)等級的一致性，保證運(yùn)營中心的各類網(wǎng)絡(luò)、存儲資源按照高等級系統(tǒng)要求就高防護(hù)[3]。

5 實(shí)施方案

根據(jù)電力監(jiān)控系統(tǒng)安全防護(hù)方案要求，使用公網(wǎng)通信時(shí)應(yīng)當(dāng)設(shè)立安全接入?yún)^(qū)，并采用安全隔離、訪問控制、認(rèn)證及加密等安全措施。然而，部署安全接入?yún)^(qū)之后使得生產(chǎn)控制大區(qū)與遠(yuǎn)程終端之間直接網(wǎng)絡(luò)通信已經(jīng)斷開，而IEC104規(guī)約是基于TCP/IP網(wǎng)絡(luò)通信規(guī)約，安全接入?yún)^(qū)的結(jié)構(gòu)使得主站的規(guī)約通信被安全隔離裝置攔截，且終端的規(guī)約也被隔斷，因此，采取的方案需解決通信協(xié)議在通過安全接入?yún)^(qū)后仍可進(jìn)行正常通信的問題。

5.1 改造思路

改造前運(yùn)營中心監(jiān)控系統(tǒng)前置機(jī)與終端的通信情況如圖3所示。

針對以上情況，提供了IEC 104代理方式的安全接入?yún)^(qū)規(guī)約轉(zhuǎn)換通信網(wǎng)關(guān)（安全I(xiàn)區(qū)及安全接入?yún)^(qū)各1臺），其中位于安全區(qū)I的規(guī)約轉(zhuǎn)換通信網(wǎng)關(guān)虛擬為1臺（或多臺）遠(yuǎn)程終端，其程序剝離出應(yīng)用層數(shù)據(jù)（IEC 104）轉(zhuǎn)發(fā)給安全接入?yún)^(qū)內(nèi)規(guī)約轉(zhuǎn)換通信網(wǎng)關(guān)，并跟終端連接形成一條虛擬通信鏈路，運(yùn)營中心監(jiān)控系統(tǒng)前置機(jī)無需修改程序即可完成數(shù)據(jù)采集。系統(tǒng)結(jié)構(gòu)如圖4所示。

圖4 改造后運(yùn)營中心與場站通信圖

虛擬通信鏈路的數(shù)據(jù)召喚流程如下：

（1）運(yùn)營中心監(jiān)控系統(tǒng)前置機(jī)發(fā)出數(shù)據(jù)召喚請求，經(jīng)TCP協(xié)議發(fā)送到安全區(qū)I的規(guī)約通信網(wǎng)關(guān)。

（2）安全區(qū)I規(guī)約通信網(wǎng)關(guān)經(jīng)正向隔離發(fā)送數(shù)據(jù)到安全接入?yún)^(qū)規(guī)約通信網(wǎng)關(guān)。

（3）安全接入?yún)^(qū)規(guī)約通信網(wǎng)關(guān)發(fā)出數(shù)據(jù)召喚請求，路徑為主站縱向加密網(wǎng)關(guān)—公網(wǎng)—子站縱向加密網(wǎng)關(guān)—遠(yuǎn)程終端。

（4）遠(yuǎn)程終端返回?cái)?shù)據(jù)，路徑為子站縱向加密網(wǎng)關(guān)—公網(wǎng)—主站縱向加密網(wǎng)關(guān)——安全接入?yún)^(qū)規(guī)約通信網(wǎng)關(guān)。

（5）安全接入?yún)^(qū)規(guī)約通信網(wǎng)關(guān)將相關(guān)返回?cái)?shù)據(jù)存入到本機(jī)文件目錄。

（6）反向裝置配套傳輸程序讀取以上目錄文件，經(jīng)反向裝置傳輸?shù)桨踩珔^(qū)I規(guī)約通信網(wǎng)關(guān)的文件目錄。

（7）安全區(qū)I規(guī)約通信網(wǎng)關(guān)讀取文件轉(zhuǎn)換為內(nèi)存數(shù)據(jù)以TCP協(xié)議方式發(fā)送到運(yùn)營中心監(jiān)控系統(tǒng)前置機(jī)，完成數(shù)據(jù)召喚采集的過程。

5.2 具體方案

在已部署有縱向加密裝置的電信通道基礎(chǔ)上建設(shè)安全接入?yún)^(qū)，在安全I(xiàn)區(qū)及安全接入?yún)^(qū)各增加一臺規(guī)約通信網(wǎng)關(guān)，在安全I(xiàn)區(qū)及安全接入?yún)^(qū)之間部署1臺正向隔離裝置及1臺反向隔離裝置，各設(shè)備功能作用如下：

（1）安全接入?yún)^(qū)規(guī)約通信網(wǎng)關(guān)

安全接入?yún)^(qū)規(guī)約通信網(wǎng)關(guān)主要負(fù)責(zé)將經(jīng)過正向隔離裝置轉(zhuǎn)發(fā)過來的數(shù)據(jù)報(bào)文，通過設(shè)定策略，發(fā)送至指定的廠站；將廠站上行數(shù)據(jù)報(bào)文轉(zhuǎn)換為反向隔離裝置通信要求的格式后，發(fā)送至調(diào)度自動化主站系統(tǒng)。該網(wǎng)關(guān)采用安全的Linux操作系統(tǒng)，去除與數(shù)據(jù)轉(zhuǎn)發(fā)無關(guān)的網(wǎng)絡(luò)服務(wù)功能，內(nèi)置系統(tǒng)防火墻僅接受設(shè)定策略地址的鏈接請求。

（2）生產(chǎn)控制大區(qū)規(guī)約通信網(wǎng)關(guān)

將自動化主站系統(tǒng)的下行數(shù)據(jù)報(bào)文，代理發(fā)送至正向隔離裝置的特定鏈路策略；將廠站上行數(shù)據(jù)報(bào)文文件轉(zhuǎn)換代理廠站終端數(shù)據(jù)報(bào)文格式，發(fā)送至調(diào)度自動化主站系統(tǒng)。該網(wǎng)關(guān)采用安全的Linux操作系統(tǒng)，去除與數(shù)據(jù)轉(zhuǎn)發(fā)無關(guān)的網(wǎng)絡(luò)服務(wù)功能，內(nèi)置系統(tǒng)防火墻僅接受設(shè)定策略地址的鏈接請求。

（3）正向隔離裝置

主站下行數(shù)據(jù)報(bào)文通過正向隔離裝置轉(zhuǎn)發(fā)至廠站終端，確保主站系統(tǒng)與安全接入?yún)^(qū)數(shù)據(jù)的單向通信。

（4）反向隔離裝置

廠站上行數(shù)據(jù)報(bào)文通過反向隔離裝置轉(zhuǎn)發(fā)至調(diào)度自動化主站系統(tǒng)，確保安全接入?yún)^(qū)發(fā)送至自動化主站系統(tǒng)數(shù)據(jù)的安全性。

實(shí)施后的運(yùn)營中心電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)拓結(jié)構(gòu)如圖5所示。

圖5 改造后運(yùn)營中心與場站網(wǎng)絡(luò)拓?fù)鋱D

改造后，在兩臺規(guī)約通信網(wǎng)關(guān)中安裝代理傳輸軟件，建立一條滿足電力監(jiān)控系統(tǒng)安全防護(hù)要求的模擬數(shù)據(jù)通道，使主站下發(fā)和終端上送等數(shù)據(jù)通信能安全有效的穿過安全接入?yún)^(qū)，達(dá)到主站應(yīng)用程序免改造的前提下實(shí)現(xiàn)安全防護(hù)的目標(biāo)。

6 結(jié)束語

總的來說，新能源集中監(jiān)控系統(tǒng)的建設(shè)是一個復(fù)雜的系統(tǒng)工程，它涉及到生產(chǎn)控制技術(shù)、數(shù)據(jù)通信技術(shù)、信息管理技術(shù)等多個領(lǐng)域的知識和內(nèi)容[5]。該系統(tǒng)自產(chǎn)生之初就對實(shí)施商的實(shí)施能力和集中監(jiān)控中心運(yùn)營方的協(xié)調(diào)能力提出了較高的要求，加之系統(tǒng)建設(shè)沒有統(tǒng)一的標(biāo)準(zhǔn)以及對整個系統(tǒng)的理解不同，使得每一個新能源集中監(jiān)控系統(tǒng)的建設(shè)內(nèi)容和效果有所不同，但電力監(jiān)控系統(tǒng)安全防護(hù)相關(guān)要求是明確的和具體的，它提出整個系統(tǒng)的建設(shè)框架，對整個項(xiàng)目的建設(shè)進(jìn)行指導(dǎo)，對于電力監(jiān)控系統(tǒng)安全防護(hù)相關(guān)內(nèi)容的遵循使整個系統(tǒng)的建設(shè)過程更加合理和規(guī)范[6]，從而提高系統(tǒng)的安全性和可靠性。