孫正凱

（1.湖北工業(yè)大學(xué)，湖北武漢 430000;2.重慶電力公司長壽供電局，重慶長壽 401220）

0 引言

隨著信息技術(shù)在電力系統(tǒng)的廣泛使用，電力二次系統(tǒng)已經(jīng)成為電力系統(tǒng)生產(chǎn)、運(yùn)行、經(jīng)營和管理的重要基礎(chǔ)設(shè)施，在調(diào)度自動(dòng)化中發(fā)揮了更加先進(jìn)的作用。隨著電力市場的發(fā)展，接入電力調(diào)度數(shù)據(jù)網(wǎng)的變電站數(shù)量增加，在調(diào)度中心、電廠、變電站、用戶等之間進(jìn)行的數(shù)據(jù)交換也越來越頻繁。

伴隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的高速發(fā)展，黑客技術(shù)也日新月異。黑客、病毒、惡意代碼，特別是集團(tuán)式攻擊等通過各種形式對(duì)電力調(diào)度系統(tǒng)的攻擊和破壞，對(duì)電力調(diào)度系統(tǒng)的安全性、可靠性、實(shí)時(shí)性提出了更加嚴(yán)格的要求。電力調(diào)度系統(tǒng)的二次防護(hù)的重要性不言而喻，建立調(diào)度二次防護(hù)系統(tǒng)刻不容緩。因此，電監(jiān)會(huì)發(fā)布了《全國電力二次系統(tǒng)安全防護(hù)總體方案》，各個(gè)單位以此為大框架建立適合自己的調(diào)度二次防護(hù)系統(tǒng)。在建立各單位的調(diào)度二次防護(hù)系統(tǒng)中，往往會(huì)忽略細(xì)節(jié)的東西，給侵入者留下了進(jìn)攻漏洞，故須在各個(gè)環(huán)節(jié)把安全做到極致。

1 現(xiàn)有體系分析

地調(diào)自動(dòng)化現(xiàn)有三大系統(tǒng):一是SCADA系統(tǒng)。實(shí)現(xiàn)地調(diào)自動(dòng)化的全部功能，采集供電局管轄范圍內(nèi)所有變電站的電網(wǎng)信息，為地調(diào)的調(diào)度管理提供準(zhǔn)確的電網(wǎng)實(shí)時(shí)信息，并向市、省調(diào)度中心轉(zhuǎn)發(fā)地區(qū)所有220 kV及變電站的重要信息。二是ELS電能量采集系統(tǒng)。ELS電量采集系統(tǒng)主要實(shí)現(xiàn)所有變電站的電能量數(shù)據(jù)采集功能，進(jìn)行數(shù)據(jù)分析與處理并上傳給市、省調(diào)。三是電力調(diào)度生產(chǎn)管理信息系統(tǒng)(DMIS)。DMIS涵蓋了調(diào)度、方式、繼保、自動(dòng)化、通信各個(gè)專業(yè)，是供電局生產(chǎn)管理的重要組成部分。完成地調(diào)DMIS數(shù)據(jù)庫服務(wù)器與市調(diào)進(jìn)行數(shù)據(jù)交換。

2 安全防護(hù)策略

依據(jù)全國電力二次系統(tǒng)安全防護(hù)專家組、工作組編寫的《全國電力二次系統(tǒng)安全防護(hù)總體方案》，按照“安全分區(qū)，網(wǎng)絡(luò)專用，橫向隔離，縱向認(rèn)證”的十六字方針，對(duì)電力二次系統(tǒng)進(jìn)行安全防護(hù)。

安全分區(qū)是二次防護(hù)的基礎(chǔ)結(jié)構(gòu)。地調(diào)將自動(dòng)化分為四個(gè)大區(qū):一是安全區(qū)I，即實(shí)時(shí)控制區(qū)。供電局管轄范圍內(nèi)的所有變電站的實(shí)時(shí)數(shù)據(jù)采集信息(SCADA)、負(fù)荷預(yù)測系統(tǒng)(PAS)，調(diào)度工作站均屬于此區(qū)。二是安全區(qū)II，即非實(shí)時(shí)控制業(yè)務(wù)區(qū)。主要包括了電能量采集系統(tǒng)(ELS)。三是安全區(qū)III，即生產(chǎn)管理區(qū)。包括了調(diào)度管理系統(tǒng)(DMIS)，SCADA WEB服務(wù)器和ELS WEB服務(wù)器也設(shè)計(jì)于此區(qū)。四是安全區(qū)Ⅳ，即辦公管理系統(tǒng)。它包括辦公自動(dòng)化系統(tǒng)和辦公管理信息系統(tǒng)。如圖1。

網(wǎng)絡(luò)專用是二次防護(hù)的重要一環(huán)。為防止電力調(diào)度數(shù)據(jù)在公網(wǎng)上傳輸被竊取和篡改，生產(chǎn)控制大區(qū)的重要信息分別通過市調(diào)專用的多協(xié)議標(biāo)簽轉(zhuǎn)換虛擬專用網(wǎng)絡(luò)(MPLS-VPN)通道進(jìn)行數(shù)據(jù)傳輸，安全I(xiàn)II區(qū)則通過獨(dú)立的ATM網(wǎng)絡(luò)與市調(diào)連接，與安全 I、II區(qū)無交叉。

橫向隔離是電力二次安全防護(hù)體系的橫向防線。采用不同強(qiáng)度的安全設(shè)備隔離各安全區(qū)。根據(jù)《全國電力二次系統(tǒng)安全防護(hù)總體方案》的要求，在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間設(shè)置經(jīng)國家指定部門檢測認(rèn)證的電力專用橫向單向安全隔離裝置，隔離強(qiáng)度達(dá)到物理隔離，剝離IP協(xié)議，實(shí)現(xiàn)單bit的傳輸，從根本上杜絕病毒通過IP協(xié)議傳播。安全I(xiàn)區(qū)至II區(qū)，III至IV區(qū)，III區(qū)至市調(diào)通過防火墻實(shí)行隔離，采用嚴(yán)格的訪問控制策略，限制了接入的用戶IP范圍，用戶對(duì)象精確到IP，只允許必要業(yè)務(wù)需要的端口開通，其他的端口一律關(guān)閉。

圖1 調(diào)度二次防護(hù)網(wǎng)絡(luò)拓?fù)鋱D

縱向認(rèn)證是電力二次系統(tǒng)安全防護(hù)體系的縱向防線。采用認(rèn)證、加密、訪問控制等技術(shù)措施實(shí)現(xiàn)數(shù)據(jù)的遠(yuǎn)方安全傳輸以及縱向邊界的安全防護(hù)，是電力二次系統(tǒng)安全防護(hù)體系的重要組成部分。通過對(duì)縱向數(shù)據(jù)進(jìn)行認(rèn)證、加密和訪問控制等技術(shù)手段，可以保障電力調(diào)度數(shù)據(jù)網(wǎng)縱向數(shù)據(jù)傳輸安全，為電力調(diào)度數(shù)據(jù)提供足夠帶寬，保證數(shù)據(jù)傳輸?shù)目煽啃院蛯?shí)時(shí)性。供電局轄區(qū)內(nèi)的220kV變電站與邊緣路由器之間，安全區(qū)I、II大區(qū)里，市調(diào)聯(lián)系的通訊工作站與骨干路由器之間都安裝有縱向加密裝置，采用國網(wǎng)設(shè)計(jì)的加密算法，實(shí)現(xiàn)對(duì)各個(gè)變電站和主站發(fā)送的信息進(jìn)行加密認(rèn)證。

3 安全細(xì)節(jié)強(qiáng)化措施

通過以上措施的改造，基本達(dá)到二次防護(hù)的大體框架的要求，但現(xiàn)代黑客技術(shù)千變?nèi)f化，總能從最薄弱的地方侵入。為杜絕在二次安全防護(hù)中的“短板效應(yīng)”，只有在各個(gè)方面的防護(hù)都做到極致，才能成功抵御外來的進(jìn)攻。因此，需要在更多細(xì)節(jié)上進(jìn)行完善，這是相當(dāng)重要的一個(gè)步驟。

3.1 在規(guī)章制度上，建立二次防護(hù)機(jī)制

二次防護(hù)工作要按照國家電監(jiān)會(huì)要求，創(chuàng)新設(shè)計(jì)和制定完善相關(guān)制度，通過制度建設(shè)，形成二次防護(hù)機(jī)制。特別是要制定電力二次系統(tǒng)安全管理辦法，要形成人員、設(shè)備、文檔和應(yīng)急等方方面面的管理制度，才能建立二次防護(hù)機(jī)制。要建立二次安全防護(hù)培訓(xùn)制度，培養(yǎng)各級(jí)人員的安全意識(shí)和應(yīng)急處理能力，從而創(chuàng)立二次系統(tǒng)防護(hù)體制機(jī)制。

3.2 在人員上，樹立安全保密意識(shí)

二次防護(hù)工作要引起單位各級(jí)人員高度重視，成立二次系統(tǒng)安全防護(hù)組織機(jī)構(gòu)，將電力二次系統(tǒng)安全管理納入調(diào)度安全生產(chǎn)日常管理。包括機(jī)房、人員、設(shè)備、文檔、應(yīng)急等管理制度，并通過正式、有效的方式發(fā)布。在人員上應(yīng)對(duì)系統(tǒng)管理員、網(wǎng)絡(luò)安全專責(zé)、班組安全專責(zé)崗位制定明確的職責(zé)，并設(shè)專人負(fù)責(zé)電力二次系統(tǒng)安全防護(hù)工作。以多種形式定期開展安全保密意識(shí)教育，覆蓋范圍包括地調(diào)調(diào)度員、操作隊(duì)、電廠調(diào)度員等接觸核心數(shù)據(jù)的人員，主要是聘請(qǐng)二次系統(tǒng)安全防護(hù)專家進(jìn)行二次安全防護(hù)培訓(xùn)，對(duì)上級(jí)所發(fā)安全防護(hù)相關(guān)文件進(jìn)行學(xué)習(xí)領(lǐng)會(huì)。受培人員要發(fā)揮傳幫帶的作用，將所學(xué)知識(shí)與資料與全班人員交流共享，并將二次系統(tǒng)安全防護(hù)培訓(xùn)作為班組技能培訓(xùn)中的一項(xiàng)重要內(nèi)容。

3.3 在網(wǎng)絡(luò)安全上，形成二次防護(hù)結(jié)構(gòu)

在網(wǎng)絡(luò)安全上，三大安全區(qū)應(yīng)擁有獨(dú)立的網(wǎng)段。I、II區(qū)采用私有地址，III區(qū)采用各省、市調(diào)要求的調(diào)度地址。在與上級(jí)的數(shù)據(jù)交換上，I、II區(qū)分別設(shè)立獨(dú)立的數(shù)據(jù)通訊服務(wù)器，專門負(fù)責(zé)與上級(jí)的數(shù)據(jù)傳輸。在三個(gè)大區(qū)交換機(jī)的設(shè)置上，每個(gè)端口應(yīng)綁定相應(yīng)的服務(wù)器網(wǎng)卡MAC地址，關(guān)閉未用的物理端口等技術(shù)措施進(jìn)行控制，并有相應(yīng)記錄。對(duì)外來設(shè)備的接入，必須在專人監(jiān)護(hù)下進(jìn)行工作。生產(chǎn)控制大區(qū)系統(tǒng)的網(wǎng)絡(luò)傳輸只允許連接調(diào)度數(shù)據(jù)網(wǎng)絡(luò)上傳數(shù)據(jù)。實(shí)時(shí)區(qū)和非實(shí)時(shí)區(qū)分別部署IDS(入侵檢測系統(tǒng))設(shè)備，設(shè)備特征庫應(yīng)及時(shí)更新，便于對(duì)黑客入侵進(jìn)行有效的解析與控制。針對(duì)廠家遠(yuǎn)程維護(hù)系統(tǒng)的情況，分別在安全I(xiàn)、II、III區(qū)內(nèi)裝設(shè)安全撥號(hào)認(rèn)證網(wǎng)關(guān)，廠家通過單位發(fā)給他們的證書進(jìn)行身份認(rèn)證，實(shí)現(xiàn)遠(yuǎn)方登陸，并且在專人監(jiān)護(hù)下進(jìn)行工作。地調(diào)系統(tǒng)所有服務(wù)器和工作站都應(yīng)安裝國產(chǎn)防病毒軟件客戶端，在I、II區(qū)和III區(qū)架設(shè)2臺(tái)防病毒服務(wù)器，定時(shí)從上級(jí)防病毒服務(wù)器下載最新的病毒特征庫并分發(fā)下去，保證各個(gè)主機(jī)防病毒的時(shí)效性。

3.4 在設(shè)備和操作系統(tǒng)上，保障二次防護(hù)安全

對(duì)設(shè)備所在機(jī)房部署門禁系統(tǒng)，規(guī)定只有相關(guān)維護(hù)人員擁有磁卡，嚴(yán)格執(zhí)行出入登記管理制度。在重要部位部署攝像頭，保證設(shè)備安全。對(duì)設(shè)備機(jī)柜采取上鎖保護(hù)，工作前履行工作許可手續(xù)。Windows操作系統(tǒng)在不影響系統(tǒng)運(yùn)行的前提下應(yīng)升級(jí)最新補(bǔ)丁，補(bǔ)丁升級(jí)前應(yīng)有測試措施，補(bǔ)丁升級(jí)有相應(yīng)記錄。在操作系統(tǒng)中沒有無關(guān)用戶，用戶的權(quán)限分配合理。各用戶的登陸口令長度應(yīng)大于8位，滿足復(fù)雜性要求，且不具備可猜測性，一般應(yīng)使用數(shù)字、英文、符號(hào)合在一起的組合。數(shù)據(jù)庫在不影響系統(tǒng)運(yùn)行的前提下升級(jí)到最新版本，沒有無關(guān)賬戶。取消共享文件，刪除主機(jī)默認(rèn)共享，完善主機(jī)安全設(shè)置。對(duì)于移動(dòng)介質(zhì)的管理，要求專盤專用，按安全分區(qū)分別配備移動(dòng)存儲(chǔ)介質(zhì)，在內(nèi)網(wǎng)使用的移動(dòng)存儲(chǔ)設(shè)備只能在內(nèi)網(wǎng)使用，禁止在其它任何終端上使用。使用前對(duì)移動(dòng)介質(zhì)進(jìn)行嚴(yán)格的病毒掃描、木馬檢查。對(duì)關(guān)鍵應(yīng)用數(shù)據(jù)與應(yīng)用系統(tǒng)進(jìn)行備份，確保數(shù)據(jù)損壞及系統(tǒng)崩潰情況下快速恢復(fù)數(shù)據(jù)與系統(tǒng)的可用性。

3.5 在應(yīng)急機(jī)制上，制定二次防護(hù)緊急預(yù)案

制定二次防護(hù)應(yīng)急預(yù)案是非常需要的。當(dāng)電力生產(chǎn)控制大區(qū)出現(xiàn)安全事件，尤其是遭受黑客或惡意代碼的攻擊時(shí)，能采取緊急防護(hù)措施，防止事件擴(kuò)大。應(yīng)急預(yù)案要包括聯(lián)系人資料、廠家、各專業(yè)聯(lián)系人電話、各系統(tǒng)密碼等，并定期更新。要將應(yīng)急預(yù)案放于機(jī)房內(nèi)，提高應(yīng)急預(yù)案的可操作性。

3.6 在硬件軟件上，全面實(shí)施國產(chǎn)化

二次防護(hù)系統(tǒng)使用的橫向隔離設(shè)備、縱向加密認(rèn)證設(shè)備、安全撥號(hào)認(rèn)證網(wǎng)關(guān)、交換機(jī)、路由器、防火墻和IDS等硬件設(shè)施要全面國產(chǎn)化。防病毒軟件也采用國產(chǎn)的殺毒軟件。這樣才能杜絕國外軟硬件故意留下惡意后門等可能的潛在威脅，使設(shè)備的使用處于能控和在控的范圍。

4 結(jié)束語

在完成二次防護(hù)大體框架的前提下，必須在制度、人員、網(wǎng)絡(luò)、主機(jī)、病毒防護(hù)和應(yīng)急預(yù)案等細(xì)節(jié)方面采取相關(guān)措施，才能全面應(yīng)付各種外部攻擊。鑒于安全防護(hù)工程是永無休止的動(dòng)態(tài)工程，因而要根據(jù)生產(chǎn)需要不斷地加以修正，才能滿足電力二次系統(tǒng)安全防護(hù)所要求的系統(tǒng)性原則和螺旋上升的周期性原則。

［1］ 高新華，王文，馬驍.電力信息網(wǎng)絡(luò)安全隔離設(shè)備的研究［J］.電網(wǎng)技術(shù)，2003，(9).

［2］ 鄒國輝，李毅松，辛耀中.電力二次系統(tǒng)的安全防護(hù)策略分析［A］.北京:第二十八屆中國電網(wǎng)調(diào)度運(yùn)行會(huì)議論文選集［C］，2003.

［3］ 韓杰.計(jì)算機(jī)網(wǎng)路與通信［M］.北京:人民郵電出版社，2002.

［4］ 周小燕，楊宏宇，崔恒志，等.地區(qū)電力調(diào)度中心二次系統(tǒng)安全防護(hù)［J］.江蘇電機(jī)工程，2005，(2).1