李文明，蘇 亮

（五凌電力有限公司，湖南 長(zhǎng)沙410004）

1 引言

生產(chǎn)控制系統(tǒng)直接面向用電用戶，其安全、穩(wěn)定、可靠的運(yùn)行事關(guān)工業(yè)生產(chǎn)運(yùn)行、國(guó)家經(jīng)濟(jì)安全和人民生命財(cái)產(chǎn)安全[1]。目前生產(chǎn)系統(tǒng)由控制系統(tǒng)主站監(jiān)控系統(tǒng)和遠(yuǎn)程終端控制器組成，而通信方式，由于遠(yuǎn)程終端數(shù)量龐大且分散在不同的環(huán)境區(qū)域，因此采用光纖加無(wú)線網(wǎng)絡(luò)的通信方式實(shí)現(xiàn)數(shù)據(jù)的采集和監(jiān)控。控制系統(tǒng)主站監(jiān)控系統(tǒng)需要實(shí)現(xiàn)對(duì)遠(yuǎn)程終端所有數(shù)據(jù)的監(jiān)測(cè)和控制功能，對(duì)于部分通信條件受限制的遠(yuǎn)程終端，也要求通過(guò)部署安全防護(hù)措施后，實(shí)現(xiàn)二遙或者三遙的功能。

2 概況

長(zhǎng)沙新能源生產(chǎn)運(yùn)營(yíng)中心是按照國(guó)家電投集團(tuán)公司“省為實(shí)體、集中監(jiān)控、區(qū)域維檢、場(chǎng)站安?！钡脑瓌t于2016年10月建成投運(yùn)，中心軟硬件可滿足未來(lái)100個(gè)的新能源項(xiàng)目接入，目前已接入窯坡山風(fēng)電場(chǎng)、東崗嶺風(fēng)電場(chǎng)、大青山風(fēng)電場(chǎng)、新邵龍山風(fēng)電場(chǎng)、古臺(tái)山風(fēng)電場(chǎng)、土木溪水電站、龍家山水電站、東山光伏、鶴巢湖光伏、九華光伏與綜合會(huì)館屋頂光伏，可控裝機(jī)容量33萬(wàn)kW，運(yùn)營(yíng)中心與接入場(chǎng)站分別采用電力、電信2M專線雙路由與場(chǎng)站進(jìn)行實(shí)時(shí)通信，網(wǎng)絡(luò)拓?fù)淙鐖D1所示。

圖1 運(yùn)營(yíng)中心與場(chǎng)站網(wǎng)絡(luò)拓?fù)鋱D

3 存在的威脅

由于運(yùn)營(yíng)中心租用電信公網(wǎng)作為生產(chǎn)數(shù)據(jù)的備用通信通道，易遭受互聯(lián)網(wǎng)黑客的攻擊，從而對(duì)主站系統(tǒng)和終端進(jìn)行非法破壞。同時(shí)各場(chǎng)站生產(chǎn)控制系統(tǒng)終端數(shù)量龐大且分散在不同環(huán)境區(qū)域，通信方式不統(tǒng)一，導(dǎo)致存在較多的安全隱患，主要存在如下幾方面的網(wǎng)絡(luò)威脅：

（1）運(yùn)行要求和威脅：生產(chǎn)控制系統(tǒng)具有實(shí)時(shí)性要求，任何信息處理過(guò)程中的延遲和耽擱都是不允許的，數(shù)據(jù)丟失、延遲、亂序傳輸?shù)榷紝⒔o控制系統(tǒng)帶來(lái)嚴(yán)重或者致命的問(wèn)題。

（2）可用性威脅：生產(chǎn)控制系統(tǒng)需要對(duì)現(xiàn)場(chǎng)的設(shè)備進(jìn)行實(shí)時(shí)監(jiān)控，外部攻擊對(duì)生產(chǎn)控制系統(tǒng)的可靠性和可維護(hù)性造成威脅。

（3）通信協(xié)議威脅：生產(chǎn)控制系統(tǒng)采用電力常用遠(yuǎn)動(dòng)通信規(guī)約（如IEC 104等），這些協(xié)議在設(shè)計(jì)上并未充分考慮安全性。

（4）通信通道威脅：生產(chǎn)控制系統(tǒng)存在租用光纖或無(wú)線公網(wǎng)的通信通道，很容易遭受互聯(lián)網(wǎng)黑客的攻擊，從而對(duì)主站系統(tǒng)和終端進(jìn)行破壞或非法操作。

4 防護(hù)原則

通過(guò)數(shù)據(jù)安全代理技術(shù)的研究，采用在安全交換區(qū)與內(nèi)網(wǎng)之間通過(guò)專用隔離裝置進(jìn)行整體數(shù)據(jù)交互，在滿足14號(hào)令安全要求的基礎(chǔ)上，實(shí)現(xiàn)不同安全區(qū)之間的數(shù)據(jù)交換。

4.1 安全防護(hù)要求

按照國(guó)家能源局下發(fā)的（國(guó)能安全〔2015〕36號(hào)）《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》要求，需對(duì)典型生產(chǎn)控制系統(tǒng)中電網(wǎng)調(diào)度自動(dòng)化系統(tǒng)和電力負(fù)荷控制管理系統(tǒng)的邏輯邊界分析及安全防護(hù)部署[2]，如圖2所示。

圖2 電力監(jiān)控系統(tǒng)安全防護(hù)要求

具體要求如下：

（1）電網(wǎng)調(diào)度自動(dòng)化系統(tǒng)與本級(jí)調(diào)度自動(dòng)化或其他系統(tǒng)通信時(shí)應(yīng)當(dāng)采用邏輯隔離防護(hù)措施，保障調(diào)度自動(dòng)化系統(tǒng)安全。

（2）在前置機(jī)應(yīng)當(dāng)配置安全模塊，對(duì)控制命令和參數(shù)設(shè)置指令進(jìn)行簽名操作，實(shí)現(xiàn)子站對(duì)主站的身份鑒別與報(bào)文完整性保護(hù)。

（3）對(duì)重要子站及終端的通信可以采用雙向認(rèn)證加密，實(shí)現(xiàn)主站和子站間的雙向身份鑒別，確保報(bào)文機(jī)密性和完整性。

（4）對(duì)于采用公網(wǎng)作為通信信道的前置機(jī)，公網(wǎng)前置機(jī)屬于安全接入?yún)^(qū)，必須采用電力專用的正反向隔離裝置與自動(dòng)化系統(tǒng)進(jìn)行隔離。

4.2 防護(hù)原則

安全接入?yún)^(qū)可信接入及交換總線防護(hù)設(shè)計(jì)原則如下：

（1）全面防護(hù)原則：IT安全風(fēng)險(xiǎn)的控制需要多角度、多層次，從各個(gè)環(huán)節(jié)入手，做好全面保障。在“雙網(wǎng)雙機(jī)、分區(qū)分域、安全接入、動(dòng)態(tài)感知、精益管理”基礎(chǔ)上，從物理、邊界、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)和終端等層面，提高等級(jí)保護(hù)縱深防護(hù)能力[2]。

（2）適度防護(hù)原則：風(fēng)險(xiǎn)永遠(yuǎn)不可能徹底消除，明確可接受的風(fēng)險(xiǎn)，進(jìn)行適度保護(hù)是風(fēng)險(xiǎn)管理的精華。

（3）合規(guī)性原則：遵循國(guó)家的相關(guān)政策、標(biāo)準(zhǔn)和規(guī)范，滿足所屬行業(yè)監(jiān)管要求，符合公司自身業(yè)務(wù)活動(dòng)和發(fā)展需求。

（4）就高防護(hù)原則：充分考慮與運(yùn)營(yíng)中心的安全防護(hù)等級(jí)的一致性，保證運(yùn)營(yíng)中心的各類網(wǎng)絡(luò)、存儲(chǔ)資源按照高等級(jí)系統(tǒng)要求就高防護(hù)[3]。

5 實(shí)施方案

根據(jù)電力監(jiān)控系統(tǒng)安全防護(hù)方案要求，使用公網(wǎng)通信時(shí)應(yīng)當(dāng)設(shè)立安全接入?yún)^(qū)，并采用安全隔離、訪問(wèn)控制、認(rèn)證及加密等安全措施。然而，部署安全接入?yún)^(qū)之后使得生產(chǎn)控制大區(qū)與遠(yuǎn)程終端之間直接網(wǎng)絡(luò)通信已經(jīng)斷開(kāi)，而IEC104規(guī)約是基于TCP/IP網(wǎng)絡(luò)通信規(guī)約，安全接入?yún)^(qū)的結(jié)構(gòu)使得主站的規(guī)約通信被安全隔離裝置攔截，且終端的規(guī)約也被隔斷，因此，采取的方案需解決通信協(xié)議在通過(guò)安全接入?yún)^(qū)后仍可進(jìn)行正常通信的問(wèn)題。

5.1 改造思路

改造前運(yùn)營(yíng)中心監(jiān)控系統(tǒng)前置機(jī)與終端的通信情況如圖3所示。

針對(duì)以上情況，提供了IEC 104代理方式的安全接入?yún)^(qū)規(guī)約轉(zhuǎn)換通信網(wǎng)關(guān)（安全I(xiàn)區(qū)及安全接入?yún)^(qū)各1臺(tái)），其中位于安全區(qū)I的規(guī)約轉(zhuǎn)換通信網(wǎng)關(guān)虛擬為1臺(tái)（或多臺(tái)）遠(yuǎn)程終端，其程序剝離出應(yīng)用層數(shù)據(jù)（IEC 104）轉(zhuǎn)發(fā)給安全接入?yún)^(qū)內(nèi)規(guī)約轉(zhuǎn)換通信網(wǎng)關(guān)，并跟終端連接形成一條虛擬通信鏈路，運(yùn)營(yíng)中心監(jiān)控系統(tǒng)前置機(jī)無(wú)需修改程序即可完成數(shù)據(jù)采集。系統(tǒng)結(jié)構(gòu)如圖4所示。

圖4 改造后運(yùn)營(yíng)中心與場(chǎng)站通信圖

虛擬通信鏈路的數(shù)據(jù)召喚流程如下：

（1）運(yùn)營(yíng)中心監(jiān)控系統(tǒng)前置機(jī)發(fā)出數(shù)據(jù)召喚請(qǐng)求，經(jīng)TCP協(xié)議發(fā)送到安全區(qū)I的規(guī)約通信網(wǎng)關(guān)。

（2）安全區(qū)I規(guī)約通信網(wǎng)關(guān)經(jīng)正向隔離發(fā)送數(shù)據(jù)到安全接入?yún)^(qū)規(guī)約通信網(wǎng)關(guān)。

（3）安全接入?yún)^(qū)規(guī)約通信網(wǎng)關(guān)發(fā)出數(shù)據(jù)召喚請(qǐng)求，路徑為主站縱向加密網(wǎng)關(guān)—公網(wǎng)—子站縱向加密網(wǎng)關(guān)—遠(yuǎn)程終端。

（4）遠(yuǎn)程終端返回?cái)?shù)據(jù)，路徑為子站縱向加密網(wǎng)關(guān)—公網(wǎng)—主站縱向加密網(wǎng)關(guān)——安全接入?yún)^(qū)規(guī)約通信網(wǎng)關(guān)。

（5）安全接入?yún)^(qū)規(guī)約通信網(wǎng)關(guān)將相關(guān)返回?cái)?shù)據(jù)存入到本機(jī)文件目錄。

（6）反向裝置配套傳輸程序讀取以上目錄文件，經(jīng)反向裝置傳輸?shù)桨踩珔^(qū)I規(guī)約通信網(wǎng)關(guān)的文件目錄。

（7）安全區(qū)I規(guī)約通信網(wǎng)關(guān)讀取文件轉(zhuǎn)換為內(nèi)存數(shù)據(jù)以TCP協(xié)議方式發(fā)送到運(yùn)營(yíng)中心監(jiān)控系統(tǒng)前置機(jī)，完成數(shù)據(jù)召喚采集的過(guò)程。

5.2 具體方案

在已部署有縱向加密裝置的電信通道基礎(chǔ)上建設(shè)安全接入?yún)^(qū)，在安全I(xiàn)區(qū)及安全接入?yún)^(qū)各增加一臺(tái)規(guī)約通信網(wǎng)關(guān)，在安全I(xiàn)區(qū)及安全接入?yún)^(qū)之間部署1臺(tái)正向隔離裝置及1臺(tái)反向隔離裝置，各設(shè)備功能作用如下：

（1）安全接入?yún)^(qū)規(guī)約通信網(wǎng)關(guān)

安全接入?yún)^(qū)規(guī)約通信網(wǎng)關(guān)主要負(fù)責(zé)將經(jīng)過(guò)正向隔離裝置轉(zhuǎn)發(fā)過(guò)來(lái)的數(shù)據(jù)報(bào)文，通過(guò)設(shè)定策略，發(fā)送至指定的廠站；將廠站上行數(shù)據(jù)報(bào)文轉(zhuǎn)換為反向隔離裝置通信要求的格式后，發(fā)送至調(diào)度自動(dòng)化主站系統(tǒng)。該網(wǎng)關(guān)采用安全的Linux操作系統(tǒng)，去除與數(shù)據(jù)轉(zhuǎn)發(fā)無(wú)關(guān)的網(wǎng)絡(luò)服務(wù)功能，內(nèi)置系統(tǒng)防火墻僅接受設(shè)定策略地址的鏈接請(qǐng)求。

（2）生產(chǎn)控制大區(qū)規(guī)約通信網(wǎng)關(guān)

將自動(dòng)化主站系統(tǒng)的下行數(shù)據(jù)報(bào)文，代理發(fā)送至正向隔離裝置的特定鏈路策略；將廠站上行數(shù)據(jù)報(bào)文文件轉(zhuǎn)換代理廠站終端數(shù)據(jù)報(bào)文格式，發(fā)送至調(diào)度自動(dòng)化主站系統(tǒng)。該網(wǎng)關(guān)采用安全的Linux操作系統(tǒng)，去除與數(shù)據(jù)轉(zhuǎn)發(fā)無(wú)關(guān)的網(wǎng)絡(luò)服務(wù)功能，內(nèi)置系統(tǒng)防火墻僅接受設(shè)定策略地址的鏈接請(qǐng)求。

（3）正向隔離裝置

主站下行數(shù)據(jù)報(bào)文通過(guò)正向隔離裝置轉(zhuǎn)發(fā)至廠站終端，確保主站系統(tǒng)與安全接入?yún)^(qū)數(shù)據(jù)的單向通信。

（4）反向隔離裝置

廠站上行數(shù)據(jù)報(bào)文通過(guò)反向隔離裝置轉(zhuǎn)發(fā)至調(diào)度自動(dòng)化主站系統(tǒng)，確保安全接入?yún)^(qū)發(fā)送至自動(dòng)化主站系統(tǒng)數(shù)據(jù)的安全性。

實(shí)施后的運(yùn)營(yíng)中心電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)拓結(jié)構(gòu)如圖5所示。

圖5 改造后運(yùn)營(yíng)中心與場(chǎng)站網(wǎng)絡(luò)拓?fù)鋱D

改造后，在兩臺(tái)規(guī)約通信網(wǎng)關(guān)中安裝代理傳輸軟件，建立一條滿足電力監(jiān)控系統(tǒng)安全防護(hù)要求的模擬數(shù)據(jù)通道，使主站下發(fā)和終端上送等數(shù)據(jù)通信能安全有效的穿過(guò)安全接入?yún)^(qū)，達(dá)到主站應(yīng)用程序免改造的前提下實(shí)現(xiàn)安全防護(hù)的目標(biāo)。

6 結(jié)束語(yǔ)

總的來(lái)說(shuō)，新能源集中監(jiān)控系統(tǒng)的建設(shè)是一個(gè)復(fù)雜的系統(tǒng)工程，它涉及到生產(chǎn)控制技術(shù)、數(shù)據(jù)通信技術(shù)、信息管理技術(shù)等多個(gè)領(lǐng)域的知識(shí)和內(nèi)容[5]。該系統(tǒng)自產(chǎn)生之初就對(duì)實(shí)施商的實(shí)施能力和集中監(jiān)控中心運(yùn)營(yíng)方的協(xié)調(diào)能力提出了較高的要求，加之系統(tǒng)建設(shè)沒(méi)有統(tǒng)一的標(biāo)準(zhǔn)以及對(duì)整個(gè)系統(tǒng)的理解不同，使得每一個(gè)新能源集中監(jiān)控系統(tǒng)的建設(shè)內(nèi)容和效果有所不同，但電力監(jiān)控系統(tǒng)安全防護(hù)相關(guān)要求是明確的和具體的，它提出整個(gè)系統(tǒng)的建設(shè)框架，對(duì)整個(gè)項(xiàng)目的建設(shè)進(jìn)行指導(dǎo)，對(duì)于電力監(jiān)控系統(tǒng)安全防護(hù)相關(guān)內(nèi)容的遵循使整個(gè)系統(tǒng)的建設(shè)過(guò)程更加合理和規(guī)范[6]，從而提高系統(tǒng)的安全性和可靠性。