姚映帆，劉全東，余懷志，鄭國(guó)敏

（中國(guó)核動(dòng)力研究設(shè)計(jì)院 核反應(yīng)堆系統(tǒng)設(shè)計(jì)技術(shù)重點(diǎn)實(shí)驗(yàn)室，成都 610213）

0 引言

電力系統(tǒng)是由發(fā)電廠、送變電線路、供配電和用電環(huán)節(jié)組成的電能生產(chǎn)與消費(fèi)系統(tǒng)。其中，用于監(jiān)測(cè)與管理電力系統(tǒng)生產(chǎn)運(yùn)行過(guò)程的各種智能化系統(tǒng)（含電網(wǎng)調(diào)度、變電站、發(fā)電廠及配用電等）、微機(jī)繼電保護(hù)及安全自動(dòng)裝置、電能通信及電網(wǎng)調(diào)度信息平臺(tái)等，統(tǒng)稱為電力二次系統(tǒng)，電力二次系統(tǒng)與生產(chǎn)調(diào)度、通信等輔助功能相關(guān)。為防止外界計(jì)算機(jī)網(wǎng)絡(luò)非法入侵對(duì)電網(wǎng)二次系統(tǒng)產(chǎn)生影響，從而造成電網(wǎng)一次系統(tǒng)安全事故，所形成的電網(wǎng)二級(jí)安全保護(hù)系統(tǒng)又稱二次安防。其基本設(shè)計(jì)原則是安全管理分區(qū)，網(wǎng)絡(luò)安全專用，橫向分離，縱向認(rèn)證[1]。在滿足國(guó)家信息安全保護(hù)原則的基礎(chǔ)上，根據(jù)國(guó)家安全等級(jí)防護(hù)規(guī)定，將防護(hù)戰(zhàn)略由以邊界防御為基本原則轉(zhuǎn)變到全過(guò)程安全防御，建立了具有縱橫防護(hù)功能的信息安全防御系統(tǒng)，以保證供電系統(tǒng)的安全可靠與穩(wěn)定運(yùn)行。特別是在智能電網(wǎng)中管理流程的信息安全防護(hù)，從而實(shí)現(xiàn)了供電監(jiān)測(cè)體系與變電站電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全可靠[2]。

圖1 電力安防二次系統(tǒng)結(jié)構(gòu)圖Fig.1 Structure diagram of the secondary system of power security

目前，電力調(diào)度數(shù)據(jù)網(wǎng)一般采用IP技術(shù)體制，即通過(guò)IP Over SDH （Synchronous Digital Hierarchy，同步數(shù)字體系）的技術(shù)聯(lián)網(wǎng)，完成了調(diào)度數(shù)據(jù)網(wǎng)與供電綜合服務(wù)數(shù)據(jù)網(wǎng)的物理分離。二次安防系統(tǒng)在電力調(diào)度數(shù)據(jù)網(wǎng)的基礎(chǔ)上，實(shí)現(xiàn)了對(duì)電廠與電網(wǎng)調(diào)度中心或變電站之間傳輸數(shù)據(jù)的安全防護(hù)。

1 功能要求

1.1 功能分區(qū)與安全分區(qū)

電力二次系統(tǒng)設(shè)計(jì)原則上，應(yīng)分為生產(chǎn)控制區(qū)和管理信息區(qū)[3]。生產(chǎn)控制區(qū)包括了控制區(qū)（安全區(qū)I）和非控制區(qū)（安全區(qū)II）。其中，負(fù)責(zé)實(shí)時(shí)信息監(jiān)控的區(qū)域?yàn)榘踩珔^(qū)I，是電網(wǎng)生產(chǎn)調(diào)度的關(guān)鍵環(huán)節(jié)，對(duì)整個(gè)電網(wǎng)一次系統(tǒng)進(jìn)行了實(shí)時(shí)監(jiān)測(cè)，其網(wǎng)絡(luò)系統(tǒng)還通過(guò)專用通道與單獨(dú)的網(wǎng)絡(luò)設(shè)備聯(lián)網(wǎng)，從物理層次上完成了與電廠或變電站的一些內(nèi)部數(shù)據(jù)網(wǎng)和對(duì)外公用互聯(lián)網(wǎng)之間的安全分離。安全區(qū)II為非控制生產(chǎn)區(qū)，是指在生產(chǎn)管理工作區(qū)域內(nèi)不直接參與生產(chǎn)運(yùn)行的區(qū)域。該區(qū)域主要由使用電力調(diào)度數(shù)據(jù)網(wǎng)的非實(shí)時(shí)子網(wǎng)絡(luò)的各業(yè)務(wù)系統(tǒng)所組成，并且采用縱向方式連接。信息管理大區(qū)分為生產(chǎn)管理區(qū)（安全區(qū)III）和管理信息區(qū)（安全區(qū)IV）。安全區(qū)III為生產(chǎn)管理區(qū)，該區(qū)的系統(tǒng)為實(shí)施生產(chǎn)經(jīng)營(yíng)管理工作的綜合信息系統(tǒng)。安全區(qū)IV為管理信息區(qū)，該區(qū)的系統(tǒng)為管理信息系統(tǒng)級(jí)辦公自動(dòng)化管理系統(tǒng)。

根據(jù)我國(guó)電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)發(fā)展的實(shí)際情況，并且按照國(guó)調(diào)《二次系統(tǒng)縱向安全防護(hù)體系》的規(guī)定，采用基于BGP（Border Gateway Protocol，邊界網(wǎng)關(guān)協(xié)議）/MPLS（Multi-Protocol Label Switching，多協(xié)議標(biāo)記交換）的VPN技術(shù)標(biāo)準(zhǔn)，將電力調(diào)度數(shù)據(jù)網(wǎng)內(nèi)劃分兩個(gè)VPN區(qū)，一個(gè)為實(shí)時(shí)控制VPN，另一個(gè)為非實(shí)時(shí)受控VPN。廣域信息的傳遞分別通過(guò)安全區(qū)I和安全區(qū)II來(lái)實(shí)現(xiàn)[4]。各安全分區(qū)的功能如下：

安全區(qū)I業(yè)務(wù)系統(tǒng)：實(shí)現(xiàn)EMS（Energy Manage System，能量管理系統(tǒng)）與RTU（Remote Terminal Unit，遠(yuǎn)程終端單元）的即時(shí)數(shù)據(jù)通信、監(jiān)控系統(tǒng)內(nèi)部的實(shí)時(shí)數(shù)據(jù)交換和發(fā)電廠自動(dòng)控制系統(tǒng)數(shù)據(jù)收集。同時(shí)，安全區(qū)I負(fù)責(zé)電力系統(tǒng)動(dòng)態(tài)監(jiān)測(cè)與控制數(shù)據(jù)、安全穩(wěn)控系統(tǒng)數(shù)據(jù)管理、集控站數(shù)據(jù)的采集和傳輸。這些系統(tǒng)的數(shù)據(jù)傳輸速率一般取64kbps～2Mbps，傳輸延時(shí)400ms，可用性要求為99.9%。其歷史數(shù)據(jù)的收集可以通過(guò)專用網(wǎng)絡(luò)或電力調(diào)度數(shù)據(jù)網(wǎng)的實(shí)時(shí)子網(wǎng)進(jìn)行傳送。

安全區(qū)II業(yè)務(wù)系統(tǒng)：主要承擔(dān)水電站自動(dòng)化業(yè)務(wù)處理、發(fā)電計(jì)劃申報(bào)數(shù)據(jù)處理、電能量采集與計(jì)費(fèi)信息、時(shí)鐘同步系統(tǒng)數(shù)據(jù)處理、安全自動(dòng)化設(shè)備有關(guān)管理數(shù)據(jù)的傳輸?shù)龋€承擔(dān)調(diào)度操作票、檢修票的管理等功能。這種非實(shí)時(shí)數(shù)據(jù)數(shù)量大，傳輸速率要求不小于64kbps，傳輸時(shí)間在10min～15min，電力調(diào)度數(shù)據(jù)網(wǎng)中的非實(shí)時(shí)子網(wǎng)為其數(shù)據(jù)傳輸提供通道。

安全區(qū)III業(yè)務(wù)系統(tǒng)：包括調(diào)度與生產(chǎn)信息管理系統(tǒng)（DMIS Dispatch Management Information System），雷電監(jiān)測(cè)系統(tǒng)以及統(tǒng)計(jì)報(bào)表系統(tǒng)等。

安全區(qū)IV業(yè)務(wù)系統(tǒng)：包括了客戶服務(wù)管理網(wǎng)絡(luò)系統(tǒng)、辦公自動(dòng)化網(wǎng)絡(luò)系統(tǒng)、安全管理信息系統(tǒng)等。

1.2 功能要求

電力二次系統(tǒng)安全防護(hù)的內(nèi)容之一是保障電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全可靠的運(yùn)行，二次安防系統(tǒng)設(shè)置于上述安全分區(qū)中的安全區(qū)1和安全區(qū)II。地調(diào)、縣調(diào)及變電站接入電力調(diào)度數(shù)據(jù)網(wǎng)，應(yīng)滿足《全國(guó)電力二次系統(tǒng)安全防護(hù)總體方案》關(guān)于遠(yuǎn)程數(shù)據(jù)通信的安全防護(hù)規(guī)定，以確保核心、骨干及接入節(jié)點(diǎn)與電力調(diào)度數(shù)據(jù)網(wǎng)的縱向網(wǎng)絡(luò)通信安全。核心、骨干及接入節(jié)點(diǎn)的安全區(qū)I系統(tǒng)通過(guò)加密機(jī)隔離后，再接入電力調(diào)度數(shù)據(jù)網(wǎng)；安全區(qū)II系統(tǒng)采用防火墻隔離后，直接連接電力調(diào)度數(shù)據(jù)網(wǎng)。并且通過(guò)在電力調(diào)度數(shù)據(jù)網(wǎng)通道部署縱向加密認(rèn)證裝置和防火墻，能夠解決傳統(tǒng)TCP/IP體制中在數(shù)據(jù)安全性上的缺陷，保障了數(shù)據(jù)的機(jī)密性、完整性、可用性和不可抵賴性，將調(diào)度數(shù)據(jù)網(wǎng)提升為可信的數(shù)據(jù)傳輸網(wǎng)絡(luò)，從而避免網(wǎng)絡(luò)攻擊在調(diào)度數(shù)據(jù)網(wǎng)大范圍蔓延并消除網(wǎng)絡(luò)數(shù)據(jù)竊取的隱患，實(shí)現(xiàn)了對(duì)電廠或變電站與電網(wǎng)調(diào)度中心之間傳輸數(shù)據(jù)的安全防護(hù)。

二次安防系統(tǒng)對(duì)傳輸網(wǎng)絡(luò)具有一定的要求。電力調(diào)度數(shù)據(jù)網(wǎng)是電網(wǎng)調(diào)度生產(chǎn)專用網(wǎng)絡(luò)，是為電力調(diào)度生產(chǎn)服務(wù)的重要基礎(chǔ)網(wǎng)絡(luò)之一。該網(wǎng)絡(luò)應(yīng)遵循高可靠、高性能和高度安全的基本原則，并充分考慮互聯(lián)網(wǎng)技術(shù)的新發(fā)展方向和應(yīng)用的迅猛發(fā)展要求，努力建立具備較高的操作靈活、適應(yīng)性和完善的擴(kuò)展性服務(wù)平臺(tái)，以適應(yīng)目前和未來(lái)發(fā)展的互聯(lián)網(wǎng)要求。

2 功能設(shè)計(jì)

二次安防系統(tǒng)針對(duì)電力生產(chǎn)控制系統(tǒng)，應(yīng)具有加強(qiáng)區(qū)域防御和加強(qiáng)縱深防備的作用，保證電力生產(chǎn)控制系統(tǒng)和電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全。從功能設(shè)計(jì)的角度出發(fā)，產(chǎn)品實(shí)現(xiàn)過(guò)程包括了橫向隔離、縱向認(rèn)證和安全保護(hù)。

2.1 橫向隔離

橫向隔離是指電力二次安全防護(hù)系統(tǒng)的側(cè)向防御。電力調(diào)度數(shù)據(jù)網(wǎng)提供兩個(gè)相互邏輯隔離的MPLS-VPN，一個(gè)MPLS-VPN與安全區(qū)I通信，另一個(gè)與安全區(qū)II通信，并且與電力數(shù)據(jù)通信網(wǎng)進(jìn)行物理隔離。同時(shí)根據(jù)系統(tǒng)中對(duì)一次系統(tǒng)的輻射范圍和業(yè)務(wù)重點(diǎn)加以區(qū)分，防護(hù)的重點(diǎn)是與電力生產(chǎn)實(shí)時(shí)數(shù)據(jù)相關(guān)的系統(tǒng)。安全區(qū)內(nèi)應(yīng)包含整套數(shù)據(jù)系統(tǒng)，并執(zhí)行同一個(gè)安全防護(hù)體系。安全區(qū)I與安全區(qū)II通常可以采用邏輯隔離，安全區(qū)I、II與安全區(qū)III、IV之間隔離要求應(yīng)當(dāng)滿足物理隔離要求。

圖2 地調(diào)縱向安全防護(hù)配置圖Fig.2 Vertical safety protection configuration diagram of ground adjustment

2.2 縱向認(rèn)證

縱向認(rèn)證是電力二次安防體系的縱向防御手段。通過(guò)縱向加密認(rèn)證裝置可以對(duì)遠(yuǎn)程數(shù)據(jù)進(jìn)行縱向邊界的安全防護(hù)，該縱向加密裝置位于地調(diào)接入網(wǎng)與調(diào)度數(shù)據(jù)網(wǎng)雙平面的核心路由器之間，用于控制區(qū)/非控制區(qū)的網(wǎng)絡(luò)邊界防護(hù)，并為本地安全區(qū)I/安全區(qū)II建立一道網(wǎng)絡(luò)安全壁壘，同時(shí)為上層地調(diào)接入網(wǎng)和下層站端的網(wǎng)絡(luò)通信提供認(rèn)證與加密服務(wù)，保障信息傳遞過(guò)程中的可靠性、安全性[5-7]。

縱向加密認(rèn)證的網(wǎng)關(guān)能為電力調(diào)度數(shù)據(jù)網(wǎng)通信提供一個(gè)VPN，這種VPN具有加密和認(rèn)證功能。縱向加密認(rèn)證的互聯(lián)網(wǎng)網(wǎng)關(guān)通過(guò)電力專用分組密碼算法和公共鑰匙密碼算法，對(duì)管理員身份進(jìn)行識(shí)別認(rèn)證，并對(duì)信息進(jìn)行深層次保密處理和密鑰生成，并提供數(shù)字簽名和數(shù)字加密的功能。

2.3 安全防護(hù)

安全防護(hù)是電力二次系統(tǒng)的核心功能，完成了對(duì)黑客、病毒等多種類型的非法攻擊以及團(tuán)隊(duì)式攻擊的防范，有效抵御了利用遠(yuǎn)程邊界所進(jìn)行的攻擊與入侵，進(jìn)而減少了由于入侵所造成電網(wǎng)一次系統(tǒng)和二次系統(tǒng)崩潰的可能性，并防范了未經(jīng)授權(quán)用戶登錄系統(tǒng)以及非法獲取信息[8，9]。

安全防護(hù)功能包括反病毒（含蠕蟲檢測(cè)與阻斷）、動(dòng)態(tài)入侵檢測(cè)/阻擋、內(nèi)容過(guò)濾（含URL過(guò)濾、阻塞JAVA小程序及COOKIE和ACTIVEX、網(wǎng)頁(yè)內(nèi)容關(guān)鍵字過(guò)濾）、流量管理、用戶認(rèn)證、系統(tǒng)管理、日志和監(jiān)控。

3 性能設(shè)計(jì)

3.1 數(shù)據(jù)傳輸性能設(shè)計(jì)

數(shù)據(jù)的傳輸特性主要包括網(wǎng)絡(luò)延遲、收斂時(shí)間、包丟失率以及網(wǎng)絡(luò)可用率，這些指標(biāo)參數(shù)是判斷傳輸性能可靠性的標(biāo)準(zhǔn)。電力調(diào)度數(shù)據(jù)網(wǎng)對(duì)信息傳輸?shù)膶?shí)時(shí)性需求較高，因?yàn)楦魇礁鳂拥臄?shù)據(jù)可以在互聯(lián)網(wǎng)介質(zhì)中利用互聯(lián)網(wǎng)協(xié)議進(jìn)行傳遞，但一旦由于數(shù)據(jù)量過(guò)大而不加以控制，較高的網(wǎng)絡(luò)流量就會(huì)使得設(shè)備反應(yīng)遲緩，從而導(dǎo)致網(wǎng)絡(luò)的延遲。通常情況下，如果互聯(lián)網(wǎng)的拓?fù)浣Y(jié)構(gòu)不發(fā)生變化，則不會(huì)出現(xiàn)收斂問(wèn)題。當(dāng)路由器發(fā)現(xiàn)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)發(fā)生變化時(shí)，為了同步信息，路由器將會(huì)重新計(jì)算，并將重新計(jì)算的路由數(shù)據(jù)分發(fā)給互聯(lián)的同層級(jí)路由器，這整個(gè)過(guò)程所花費(fèi)的時(shí)間稱為收斂時(shí)間。同樣，包丟失率與網(wǎng)絡(luò)可用率是評(píng)價(jià)網(wǎng)絡(luò)傳輸質(zhì)量的重要指標(biāo)，電網(wǎng)數(shù)據(jù)傳輸性能的常規(guī)要求見表1。

表1 電網(wǎng)數(shù)據(jù)傳輸性能要求Table 1 Power grid data transmission performance requirements

3.2 數(shù)據(jù)防護(hù)性能設(shè)計(jì)

3.2.1 加密性能設(shè)計(jì)

加密裝置指經(jīng)過(guò)我國(guó)國(guó)家商用密碼主管部門認(rèn)證和許可應(yīng)用的國(guó)內(nèi)獨(dú)立研制的主機(jī)密碼裝置，接口鏈路上有橫向加密與縱向加密的區(qū)別，加密裝置和主機(jī)之間使用TCP/IP協(xié)議通信，通常評(píng)價(jià)加密性能的指標(biāo)要求包括加密隧道建立時(shí)間、明文數(shù)據(jù)包吞吐量等。為滿足電網(wǎng)調(diào)度中心的要求，加密系統(tǒng)性能要求見表2。

表2 加密系統(tǒng)性能要求Table 2 Encryption system performance requirements

3.2.2 防火墻性能設(shè)計(jì)

采用NP架構(gòu)的防火墻由主控模塊和網(wǎng)絡(luò)處理模塊組成。要求防火墻吞吐量不小于200Mbps，最大并發(fā)連接數(shù)不小于600，000，并且每秒新建連接數(shù)不小于8，000。

防火墻的病毒庫(kù)要能夠100%覆蓋Wildlist的活動(dòng)病毒列表，入侵檢測(cè)/阻斷要求覆蓋不少于2000種攻擊或入侵。

4 配置設(shè)計(jì)

4.1 縱向加密認(rèn)證裝置配置設(shè)計(jì)

二次安防系統(tǒng)采用雙機(jī)冗余備份設(shè)計(jì)，針對(duì)核心節(jié)點(diǎn)的信息傳輸提供雙重保證，當(dāng)加密裝置發(fā)現(xiàn)隧道對(duì)端裝置斷開或明通時(shí)，加密裝置將啟動(dòng)明通自適應(yīng)功能，并自動(dòng)將經(jīng)過(guò)加密設(shè)備處理后的信息轉(zhuǎn)化為以明通方式處理，為網(wǎng)絡(luò)系統(tǒng)運(yùn)行提供了更高保障。其配置要求見表3[10]。

表3 縱向認(rèn)證加密裝置（百兆）Table 3 Vertical authentication encryption device (100M)

4.2 防火墻配置設(shè)計(jì)

防火墻結(jié)合了安全管理相關(guān)的軟件和硬件設(shè)施，構(gòu)建了一道針對(duì)外部網(wǎng)絡(luò)的防護(hù)屏障，以保證用戶資料的完整性與信息數(shù)據(jù)完全。根據(jù)防火墻的功能設(shè)計(jì)與性能設(shè)計(jì)，其性能指標(biāo)通常包括接口要求、VPN隧道數(shù)和加密算法等。其配置要求見表4。

表4 防火墻配置要求Table 4 Firewall configuration requirements

5 總結(jié)

電力生產(chǎn)直接關(guān)聯(lián)著國(guó)計(jì)民生，而作為國(guó)家電力系統(tǒng)的重要基礎(chǔ)設(shè)施之一，電力調(diào)度數(shù)據(jù)網(wǎng)不僅與電力生產(chǎn)、客戶服務(wù)和調(diào)度運(yùn)營(yíng)密切相關(guān)，而且還與電網(wǎng)調(diào)度管理和信息系統(tǒng)的信息安全工作密切相連，其安全問(wèn)題歷來(lái)受到國(guó)家有關(guān)部門的密切關(guān)注。二次安防系統(tǒng)作為電力二次系統(tǒng)的關(guān)鍵組成部分，在實(shí)行“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的基礎(chǔ)上，根據(jù)系統(tǒng)分區(qū)原則，從網(wǎng)絡(luò)分區(qū)，從功能設(shè)計(jì)、性能設(shè)計(jì)、配置設(shè)計(jì)的角度，對(duì)電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)二次安防系統(tǒng)展開了研究，以減少對(duì)電力二次系統(tǒng)存在的安全風(fēng)險(xiǎn)，進(jìn)而提高電力生產(chǎn)控制系統(tǒng)和調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的可靠性和安全性。