李建鋒

（新疆華電哈密熱電有限責任公司，新疆哈密 839000）

0 引言

在科學技術(shù)快速發(fā)展的背景下，電力系統(tǒng)中應(yīng)用了大量的安全自動裝置、故障錄波器和微機型繼電保護，逐漸朝著智能化和自動化的方向發(fā)展，依托于網(wǎng)絡(luò)技術(shù)和信息技術(shù)的繼電保護及故障信息系統(tǒng)，取得了良好發(fā)展。該系統(tǒng)可以顯著提升電網(wǎng)調(diào)度運行管理信息化和智能化水平，同時有助于電力企業(yè)工作人員更好地控制二次裝置。不過，該系統(tǒng)在運行過程中容易產(chǎn)生信息安全問題，對此項課題進行研究意義重大。

1 繼電保護及故障信息系統(tǒng)的框架和主要管理模式

1.1 系統(tǒng)框架

繼電保護及故障信息系統(tǒng)由兩個部分構(gòu)成，分別為主站和子站，二者之間需要通過電力信息傳輸網(wǎng)絡(luò)相連（圖1）。其功能可以分為兩種，一個是繼電保護運行管理，另一個是電網(wǎng)故障分析。其中，前者的管理范圍涵蓋設(shè)備、保護信息和定值，可以實現(xiàn)對日常工作的保護；而后者屬于高級應(yīng)用，功能較為全面，分別為網(wǎng)絡(luò)、故障定位、濾波分析、短路電流分析等。Brower/Server 是系統(tǒng)的主要結(jié)構(gòu)，每個子站在系統(tǒng)中的定位是數(shù)據(jù)服務(wù)器，集信息管理、數(shù)據(jù)采集和信息發(fā)布服務(wù)等功能于一體，在運行過程中子站需要積極響應(yīng)主站的任務(wù)要求。

1.2 主要管理模式

由于地方特點存在差異，繼電保護及信息管理系統(tǒng)在不同地區(qū)的應(yīng)用管理模式差別顯著。

（1）三級管理模式。所謂的三級管理模式是指主站、分站和子站，該模式較為復(fù)雜。以500 kV 變電站中所應(yīng)用的繼電保護及故障信息系統(tǒng)為例，主站會接收和處理500 kV 的信息，而220 kV 或低于220 kV 的信息則會被分站所接收和處理。主站會基于實際情況，對分站信息進行合理調(diào)配。如果應(yīng)用系統(tǒng)的變電站是220 kV 變電站，則站內(nèi)信息主要由分站處理，主站需要對各分站的信息調(diào)取接口進行保留。這種管理模式雖然復(fù)雜程度較高，但應(yīng)用效果卻極為顯著[1]。

圖1 繼電保護及故障信息系統(tǒng)的通信協(xié)議

（2）二級管理模式。與三級管理模式相比，二級管理模式缺少分站，具有結(jié)構(gòu)簡化的優(yōu)勢。簡言之，就是繼電保護及故障信息系統(tǒng)由主站和子站組成。由于組成部分較少，因此信息傳輸量偏大，可以減少網(wǎng)絡(luò)管理工作量，它在科研項目系統(tǒng)中較為適用，但卻不適用于電力系統(tǒng)。

2 安全區(qū)域的劃分

對于繼電保護和故障信息系統(tǒng)而言，安全分區(qū)是構(gòu)建二次系統(tǒng)安全防護體系的結(jié)構(gòu)基礎(chǔ)，其重要性不言而喻。發(fā)電企業(yè)、電網(wǎng)企業(yè)和供電企業(yè)需要將計算機和網(wǎng)絡(luò)技術(shù)應(yīng)用系統(tǒng)作為基礎(chǔ)劃分安全區(qū)域，原則上可以將安全區(qū)域分為兩個大區(qū)域——生產(chǎn)控制大區(qū)和管理信息大區(qū)。

2.1 生產(chǎn)控制大區(qū)的安全區(qū)劃分

（1）控制區(qū)。控制區(qū)中的業(yè)務(wù)系統(tǒng)和其他功能模塊具有一定的典型特征，主要表現(xiàn)為在電力生產(chǎn)過程中，業(yè)務(wù)系統(tǒng)和其他功能模塊屬于重要環(huán)節(jié)，能夠?qū)崟r監(jiān)控電力一次系統(tǒng)，此外，安全防護的重點還包括縱向使用的電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)和專用通道。電力數(shù)據(jù)和監(jiān)控系統(tǒng)，屬于繼電保護及故障信息系統(tǒng)的重要功能，除此之外，能量管理、配網(wǎng)自動化、變電站自動化等系統(tǒng)同樣關(guān)鍵。由相關(guān)資料可知，系統(tǒng)的數(shù)據(jù)傳輸速率非常高，主要原因是數(shù)據(jù)傳輸使用了專用通道，所受限制較小。專用通道控制系統(tǒng)同樣是生產(chǎn)控制區(qū)的業(yè)務(wù)系統(tǒng)，如安全自動控制、負荷管理、繼電保護等系統(tǒng)，這些系統(tǒng)對數(shù)據(jù)傳輸速率提出了非常嚴格的要求，需要傳輸實時性達到毫秒級[2]。

（2）非控制區(qū)。非控制區(qū)功能模塊與控制區(qū)功能模塊相比，其主要差別體現(xiàn)在前者不具備控制功能，通過對電力調(diào)度數(shù)據(jù)的運用，聯(lián)系控制區(qū)域的各項業(yè)務(wù)系統(tǒng)和功能模塊。培訓模擬系統(tǒng)、繼電保護故障錄波信息管理系統(tǒng)、能量計量系統(tǒng)屬于該區(qū)域的主要業(yè)務(wù)功能。該區(qū)域的數(shù)據(jù)采集頻度為兩種，一種是分鐘級，另一種是小時級。

2.2 管理信息大區(qū)的安全區(qū)劃分

生產(chǎn)控制大區(qū)之外的電力企業(yè)管理業(yè)務(wù)系統(tǒng)的集合，就是所謂的管理信息大區(qū)。電力企業(yè)在劃分安全區(qū)域時，需要基于實際情況，并遵循不干擾生產(chǎn)控制大區(qū)的原則?？紤]到業(yè)務(wù)系統(tǒng)和功能模塊之間存在密切的關(guān)聯(lián)，在安全中安置業(yè)務(wù)系統(tǒng)的過程中，應(yīng)遵循如下原則：

（1）在控制區(qū)域內(nèi)安置具有控制功能的業(yè)務(wù)系統(tǒng)，這里的控制系統(tǒng)包括已經(jīng)具備控制功能系統(tǒng)和未來具備控制功能的系統(tǒng)。

（2）在進行系統(tǒng)安置過程中，應(yīng)確保業(yè)務(wù)系統(tǒng)被完全安裝于同一個區(qū)域內(nèi)，如果功能模塊和業(yè)務(wù)系統(tǒng)所處安全區(qū)域不同，需要借助安全隔離設(shè)施完成通信。

（3）在遷移業(yè)務(wù)系統(tǒng)和功能模塊時，不能向低等級安全區(qū)域遷移高等級安全區(qū)域的業(yè)務(wù)系統(tǒng)和功能模塊，但在特定條件下，高等級安全區(qū)域的業(yè)務(wù)系統(tǒng)和功能模塊可以向低等級安全區(qū)域轉(zhuǎn)移。

（4）對于孤立業(yè)務(wù)系統(tǒng)而言，由于其不存在外部網(wǎng)絡(luò)聯(lián)系，且安全分區(qū)要求較低，因此，電力企業(yè)在安置此類業(yè)務(wù)系統(tǒng)時很少會遵守安全區(qū)防護要求，但這種情況不利于繼電保護和故障信息系統(tǒng)功能實現(xiàn)。建議電力企業(yè)對安全區(qū)防護要求進行落實[3]。

2.3 生產(chǎn)控制大區(qū)內(nèi)部安全防護要求

（1）生產(chǎn)大區(qū)內(nèi)部E-Mail 服務(wù)和通用Web 服務(wù)不能進行。

（2）非控制區(qū)內(nèi)部業(yè)務(wù)系統(tǒng)可以對B/S 架構(gòu)進行使用，但范圍僅能局限于業(yè)務(wù)系統(tǒng)內(nèi)部?？v向安全Web 業(yè)務(wù)允許提供，如工作人員可以在生產(chǎn)控制區(qū)域內(nèi)使用安全技術(shù)保護后的Web服務(wù)器、同時Web 服務(wù)器還要支持HTTPS。

（3）使用加密認證機制對生產(chǎn)控制區(qū)域的業(yè)務(wù)系統(tǒng)進行保護，并基于現(xiàn)有技術(shù)和實際需求不斷改造系統(tǒng)。

（4）生產(chǎn)區(qū)域內(nèi)各系統(tǒng)和功能之間必須采取安全保護措施，業(yè)務(wù)系統(tǒng)和功能之間不能直接溝通，從而保證系統(tǒng)內(nèi)部的安全。

（5）電力企業(yè)應(yīng)使用國家認證后的操作系統(tǒng)，并通過加密、認證和訪問權(quán)限等安全措施的應(yīng)用，保證系統(tǒng)的安全。

（6）將入侵檢測系統(tǒng)部署到的生產(chǎn)控制區(qū)的邊界處。

（7）部署惡意代碼防護系統(tǒng)，并且保證系統(tǒng)部署的全面性，通過這種措施的應(yīng)用，降低木馬病毒入侵系統(tǒng)的概率。

3 繼電保護及故障信息系統(tǒng)安全防護方案

電力企業(yè)需要依據(jù)國家有關(guān)部門出臺的規(guī)定，將電力系統(tǒng)二次安防系統(tǒng)劃分為多個區(qū)域，且不同區(qū)域之間的安全防護要求不同，其中生產(chǎn)控制大區(qū)要求最高，考慮到繼電保護及故障信息系統(tǒng)橫跨多個防護安全區(qū)，故風險隱患較高，因此，系統(tǒng)安全防護應(yīng)該在明確重點的基礎(chǔ)上，制定切實可行的安全防護方案。

3.1 方案應(yīng)包含的內(nèi)容

（1）防止數(shù)據(jù)傳輸泄密，電力企業(yè)所制定的安全防護方案，需要對信息傳送環(huán)節(jié)提出要求，避免信息在傳輸過程中被惡意攔截盜取，并通過加密措施使信息被截取后不被破譯。

（2）禁止非法訪問。系統(tǒng)應(yīng)加強訪問的控制和管理，其含義主要體現(xiàn)在以下3 個方面：①實現(xiàn)對訪問終端的有效控制；②實現(xiàn)對訪用戶的控制；③實現(xiàn)對訪問權(quán)限的控制。應(yīng)通過權(quán)限等級設(shè)置的方式，禁止非法訪問行為。

（3）禁止數(shù)據(jù)被偽造和篡改。繼電保護及故障信息系統(tǒng)安全防護系統(tǒng)應(yīng)具有數(shù)據(jù)鑒別功能，可以對數(shù)據(jù)進行監(jiān)控，避免篡改和偽造數(shù)據(jù)現(xiàn)象的發(fā)生。

（4）對各種攻擊進行抵御。繼電保護及故障信息系統(tǒng)應(yīng)運用多種防護手段，對拒絕服務(wù)和惡意程序入侵等攻擊行為進行防范，以保證電力系統(tǒng)的安全。

3.2 安全方案的技術(shù)措施

（1）網(wǎng)絡(luò)隔離。電力企業(yè)需要將硬件防火墻加裝到主站和子站之間，以某電力公司為例，該公司為保護電力系統(tǒng)的安全，對某信息技術(shù)公司生產(chǎn)的嵌入式子站進行了應(yīng)用，在了解后得知，這個子站內(nèi)部設(shè)置了兩個CPU（Central Processing Unit，中央處理器），其中一個CPU 具有數(shù)據(jù)采集功能，另一個CPU 與主站保持通信，然后利用物理隔離裝置連接兩個CPU，使單向通信成為可能。數(shù)據(jù)的傳送方式為單向上送，通過這種安全防護措施的運用，有效解決實時控制區(qū)和非控制生產(chǎn)區(qū)之間的安全問題，同時還要將單相物理隔離裝置設(shè)置到非控制生產(chǎn)區(qū)和管理信息區(qū)之間，并利用主站端的數(shù)據(jù)同步程序確保Web 服務(wù)器和主站數(shù)據(jù)間的同步效果。

（2）報文鑒別。目前，變電站所采用的規(guī)約多為Pooling，要求工作人員在繼電保護及故障信息系統(tǒng)通信過程中封存不作應(yīng)用。所謂的不作應(yīng)用，是指與控制部分有關(guān)的功能碼在子站通信程序中的不作應(yīng)用。

（3）訪問控制。繼電保護及故障信息系統(tǒng)應(yīng)具備訪問控制功能，能夠?qū)Ψ欠ㄓ脩?、非法終端和非法程序的訪問進行限制，并針對合法終端及合法用戶設(shè)置訪問權(quán)限，避免系統(tǒng)信息被非法所竊取。

4 結(jié)論

綜上所述，在科學技術(shù)高速發(fā)展的背景下，繼電保護及故障信息系統(tǒng)應(yīng)運而生，并被電力行業(yè)所應(yīng)用。該系統(tǒng)集多種技術(shù)于一體，有助于繼電保護運行和管理自動化和智能化目標的實現(xiàn)。隨著系統(tǒng)建設(shè)規(guī)模的持續(xù)增加，總結(jié)建設(shè)經(jīng)驗，應(yīng)用各種安全防護技術(shù)，并在此基礎(chǔ)上做好安全分區(qū)尤為關(guān)鍵。值得注意的是，二次安全防護的實現(xiàn)，不能對繼電保護、故障錄波器和安全自動裝置造成不利影響。