水電廠二次系統(tǒng)安全防護分析與討論

潘　亮

(紫坪鋪水力發(fā)電廠，四川 成都　610091)

水電廠二次系統(tǒng)安全防護分析與討論

潘亮

(紫坪鋪水力發(fā)電廠，四川 成都610091)

摘要：介紹了電力二次系統(tǒng)安全防護的概念，分析了紫坪鋪水力發(fā)電廠所采取的二次系統(tǒng)安全防護措施，討論了二次系統(tǒng)安全防護的關鍵點并提出了相應的建議。

關鍵詞：二次系統(tǒng)安全防護；紫坪鋪水力發(fā)電廠；計算機監(jiān)控系統(tǒng)；電力調度數(shù)據(jù)專網(wǎng)

現(xiàn)代電力系統(tǒng)大規(guī)模應用數(shù)字通信技術，極大地提升了系統(tǒng)的運行水平。但若通信網(wǎng)被惡意攻擊后癱瘓，將危害電力系統(tǒng)的安全運行。為防范黑客及惡意代碼等對電力二次系統(tǒng)造成的侵害，國家電力監(jiān)管委員會于2014年頒布了《電力二次系統(tǒng)安全防護規(guī)定》，即電監(jiān)會14號令。

14號令根據(jù)不同安全等級，將電力二次系統(tǒng)劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)。生產(chǎn)控制大區(qū)可以分為控制區(qū)(安全區(qū)Ⅰ)和非控制區(qū)(安全區(qū)Ⅱ)；管理信息大區(qū)內(nèi)部在不影響生產(chǎn)控制大區(qū)安全的前提下，可以根據(jù)各企業(yè)的不同安全要求劃分安全區(qū)。14號令明確了以下規(guī)定：在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間必須設置經(jīng)國家指定部門檢測認證的電力專用橫向單向安全隔離裝置；在生產(chǎn)控制大區(qū)與廣域網(wǎng)的縱向聯(lián)接處應當設置經(jīng)過國家指定部門檢測認證的電力專用縱向加密認證裝置或加密認證網(wǎng)關及相應設施；安全區(qū)邊界應當采取必要的安全防護措施，禁止任何穿越生產(chǎn)控制大區(qū)和管理信息大區(qū)之間邊界的通用網(wǎng)絡服務。

筆者以紫坪鋪水力發(fā)電廠為例，分析了水電廠采取的二次系統(tǒng)安全防護措施。

1紫坪鋪水力發(fā)電廠二次系統(tǒng)通信連接分析

紫坪鋪水力發(fā)電廠位于四川省岷江上游都江堰市麻溪鄉(xiāng)境內(nèi)，距成都60 km，大壩為混凝土面板堆石壩，壩高156 m，總庫容11.12億m3。其總裝機容量為760 MW(4×190 MW)，年發(fā)電量約34.17億kW·h，以一回500 kV出線接入四川電網(wǎng)。

該廠二次系統(tǒng)安全防護概念中的二次系統(tǒng)包括：電廠計算機監(jiān)控系統(tǒng)、機組自動控制系統(tǒng)(調速、勵磁系統(tǒng)等)、繼電保護系統(tǒng)、振擺監(jiān)測系統(tǒng)、廣域向量測量系統(tǒng)(PMU)、水調自動化系統(tǒng)。圖1為紫坪鋪水力發(fā)電廠二次系統(tǒng)通信示意圖。

1.1紫坪鋪水力發(fā)電廠二次系統(tǒng)間的通信連接

由圖1可見，廠內(nèi)通信的節(jié)點是計算機監(jiān)控系統(tǒng)，其與廠內(nèi)主要二次系統(tǒng)通信均使用串口方式，且其余系統(tǒng)相互間沒有橫向連接，因此可以認為它們處于一個相對安全孤立的網(wǎng)絡中。而計算機監(jiān)控系統(tǒng)除了與該廠二次系統(tǒng)通信外，一方面接入電力通信網(wǎng)，另一方面接入外部網(wǎng)絡，處于相當復雜的網(wǎng)絡環(huán)境中。由于計算機監(jiān)控系統(tǒng)本身具備直接操作電力設備的能力，其一旦受到攻擊，就可能釀成重大事故，甚至攻擊者還可能透過計算機監(jiān)控系統(tǒng)侵入電力通信網(wǎng)，進而造成更加嚴重的后果。綜上所述，計算機監(jiān)控系統(tǒng)應作為二次安全防護的一個重要節(jié)點，并特別針對調度數(shù)據(jù)專網(wǎng)和局域網(wǎng)兩個方向的數(shù)據(jù)做安全防護。

1.2紫坪鋪水力發(fā)電廠二次系統(tǒng)接入調度側通信網(wǎng)的情況

紫坪鋪水力發(fā)電廠由以下系統(tǒng)向調度側傳輸數(shù)據(jù)：計算機監(jiān)控系統(tǒng)(分為101、104兩種業(yè)務)、繼電保護系統(tǒng)(線路保護、保護信息管理)、廣域向量測量系統(tǒng)(PMU)、電能量采集系統(tǒng)、水情自動化信息系統(tǒng)、電網(wǎng)輔助系統(tǒng)(包括：電力營銷報價系統(tǒng)、電廠門戶管理平臺等)。

線路保護系統(tǒng)使用MUX裝置(2 M繼電保護信號數(shù)字復接接口裝置)通過電力通信網(wǎng)與對側保護裝置通信。該系統(tǒng)不與其它系統(tǒng)發(fā)生交集，直接進入SDH網(wǎng)，應將其視為運行于一個安全的

圖1　二次系統(tǒng)通信示意圖

孤立網(wǎng)絡內(nèi)；保護信息管理柜通過調度數(shù)據(jù)專網(wǎng)非實時區(qū)與對側服務器通信，屬于安全Ⅱ區(qū)設備。

計算機監(jiān)控系統(tǒng)的101規(guī)約業(yè)務通過PCM進行傳輸，被默認傳輸于安全的專用通道內(nèi)，不納入二次安全防護考慮；104規(guī)約業(yè)務通過調度數(shù)據(jù)專網(wǎng)實時區(qū)傳輸數(shù)據(jù)，屬于安全Ⅰ區(qū)設備。

PMU系統(tǒng)通過調度數(shù)據(jù)專網(wǎng)實時區(qū)傳輸數(shù)據(jù)，屬于Ⅰ區(qū)設備。

水調自動化系統(tǒng)、保護信息及電網(wǎng)輔助系統(tǒng)通過調度數(shù)據(jù)專網(wǎng)非實時區(qū)傳輸數(shù)據(jù)，屬于Ⅱ區(qū)設備。

由圖1可見，紫坪鋪水力發(fā)電廠屬于安全Ⅰ區(qū)、Ⅱ區(qū)的二次系統(tǒng)幾乎全部接入了調度數(shù)據(jù)專網(wǎng)，該網(wǎng)絡一旦被侵入，廠內(nèi)主要的二次系統(tǒng)均面臨被攻擊的風險。

2紫坪鋪水力發(fā)電廠二次系統(tǒng)安全防護措施

紫坪鋪水力發(fā)電廠二次系統(tǒng)與外部網(wǎng)絡之間存在兩個邊界：一是向調度側傳輸數(shù)據(jù)的調度數(shù)據(jù)專網(wǎng)，接入調度側網(wǎng)絡設備；二是向公司內(nèi)部發(fā)布信息的WEB機，接入局域網(wǎng)(該局域網(wǎng)有端口接入電信公網(wǎng))。為防范來自兩個外部網(wǎng)絡的入侵，需要對處于邊界的網(wǎng)絡設備進行保護。

2.1面向電力通信網(wǎng)的二次系統(tǒng)安全防護措施

電力二次系統(tǒng)可能遭受到的、來自電力通信網(wǎng)的攻擊可以分為兩種情況：(1)從調度側入侵，攻擊者的攻擊跳板位于調度側或其它接入通信網(wǎng)的電廠；(2)從電廠本側入侵，攻擊者通過該廠接入通信網(wǎng)的設備發(fā)動攻擊。

就紫坪鋪水力發(fā)電廠而言，以上兩種情況下入侵者都必定要通過調度數(shù)據(jù)專網(wǎng)。針對這種情況，該廠依據(jù)二次安全防護要求，對調度數(shù)據(jù)專網(wǎng)進行了加固(圖2)。

圖2　紫坪鋪水力發(fā)電廠調度數(shù)據(jù)專網(wǎng)結構圖

調度數(shù)據(jù)專網(wǎng)通過光端機接入電力通信網(wǎng)，安全Ⅰ區(qū)業(yè)務和Ⅱ區(qū)的業(yè)務實現(xiàn)物理隔離，并在兩臺交換機上劃分VLAN對業(yè)務進行邏輯隔離，同時關閉交換機所有的非業(yè)務端口。

兩臺交換機通過縱向加密認證裝置與電力通信網(wǎng)通信，IDS入侵檢測系統(tǒng)接入兩臺交換機并監(jiān)測交換機的所有端口，將告警信息實時送二次安全防護綜合管理機。

在這種結構下，縱向加密認證裝置會通過密鑰驗證以阻止非法數(shù)據(jù)在網(wǎng)絡內(nèi)縱向流動，而交換機的物理隔離和邏輯隔離則防止其橫向擴散。

2.2面向局域網(wǎng)的二次系統(tǒng)安全防護措施

該廠二次系統(tǒng)接入辦公局域網(wǎng)的唯一節(jié)點是計算機監(jiān)控系統(tǒng)的WEB發(fā)布機，該計算機在邏輯路由上連接至計算機監(jiān)控系統(tǒng)內(nèi)網(wǎng)。根據(jù)14號令規(guī)定：安全接入?yún)^(qū)與生產(chǎn)控制大區(qū)中其他部分的連接處必須設置經(jīng)國家指定部門檢測認證的電力專用橫向單向安全隔離裝置。該廠針對該節(jié)點作了如圖3所示的設計。

圖3　紫坪鋪水力發(fā)電廠二次安防系統(tǒng)拓撲圖

在該網(wǎng)絡結構中，WEB3位于安全Ⅱ區(qū)交換機和Ⅲ區(qū)交換機之間，其數(shù)據(jù)流向計算機監(jiān)控系統(tǒng)時須經(jīng)過正向隔離裝置和Ⅱ區(qū)防火墻，按照該廠正向隔離裝置配置的策略，包括WEB3的安全Ⅱ區(qū)設備無法向安全Ⅰ區(qū)(即計算機監(jiān)控系統(tǒng))發(fā)送數(shù)據(jù)，進而實現(xiàn)安全Ⅰ區(qū)和Ⅱ區(qū)的隔離。同樣，WEB3與局域網(wǎng)之間由Ⅲ區(qū)防火墻實施類似保護，以應對來自公網(wǎng)的入侵。

3水電廠二次系統(tǒng)安全防護要點及建議

3.1二次系統(tǒng)安全防護的關鍵點

筆者認為：14號令對電力二次系統(tǒng)安全防護作了周詳?shù)年U述，但對發(fā)電企業(yè)的關注相對較少。電廠在作二次系統(tǒng)安全防護設計時只能參照電網(wǎng)的標準執(zhí)行，但缺乏更為細致的執(zhí)行條款。

筆者認為：電廠和電網(wǎng)在二次系統(tǒng)安全防護方面存在細微不同，電廠二次系統(tǒng)的運行環(huán)境不像電網(wǎng)那樣復雜，面臨的危險也相對較少。在電廠，針對一些較為封閉的系統(tǒng)(如水情系統(tǒng))設置專門的防護措施效果并不明顯。因此，二次系統(tǒng)安全防護的關鍵點不應單純地由某個系統(tǒng)的重要性來決定，而應以多個系統(tǒng)交界處、數(shù)據(jù)交換的關鍵節(jié)點作為二次安全防護的關鍵點。

以紫坪鋪水力發(fā)電廠為例，大部分二次系統(tǒng)(繼電保護系統(tǒng)、自動控制系統(tǒng)等)的運行環(huán)境相對孤立，通常只和本系統(tǒng)下轄的設備和子系統(tǒng)作串口通信，可以視作一個安全封閉的網(wǎng)絡。而最容易受到入侵的是和大量其它系統(tǒng)、設備進行數(shù)據(jù)交換的節(jié)點，即計算機監(jiān)控系統(tǒng)和電力調度數(shù)據(jù)專網(wǎng)。

計算機監(jiān)控系統(tǒng)位于安全I區(qū)，可以直接操作發(fā)電設備，并與大部分二次系統(tǒng)有數(shù)據(jù)交換，其重要性毋庸置疑。同時，它也是唯一與外部公網(wǎng)建立數(shù)據(jù)交換的系統(tǒng)，受入侵的幾率較高且后果嚴重。

電力調度數(shù)據(jù)專網(wǎng)本身是按照電監(jiān)會14號令相關要求在專用通道上使用獨立的網(wǎng)絡設備組網(wǎng)，在物理層面上實現(xiàn)與電力企業(yè)其它數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)的安全隔離。由于該網(wǎng)絡與多個系統(tǒng)有數(shù)據(jù)交換，其本身亦具備安全隔離功能，故其內(nèi)部防護(特別是邏輯隔離)一旦被突破則可能影響多個系統(tǒng)的安全。

保護好上述兩個系統(tǒng)的安全，可以提高整個二次系統(tǒng)的安全性，既使發(fā)生惡意入侵，也能將對系統(tǒng)和設備的危害性降到最低。

3.2關于電廠二次系統(tǒng)安全防護的建議

筆者在收集其它企業(yè)遭受攻擊事件時發(fā)現(xiàn)：惡意入侵行為的主要攻擊對象是基于TCP/IP的生產(chǎn)控制類數(shù)據(jù)業(yè)務，這類基于計算機通信的業(yè)務通常使用明文傳輸數(shù)據(jù)，極易受到攻擊；而直接從外部廣域網(wǎng)入侵到生產(chǎn)控制系統(tǒng)的事件較為罕見。大多數(shù)惡意攻擊均來自企業(yè)內(nèi)部網(wǎng)絡，并且被攻擊方在發(fā)生嚴重后果之前難以察覺到自身已受到攻擊。

事實給我們的提示是：二次系統(tǒng)安全防護既需要有周密的技術措施，也需要完善的制度建設，更需要從業(yè)人員具有安全防護的意識。

對于本身運行于一個孤立安全網(wǎng)絡的系統(tǒng)，采取嚴格的管理制度即可以有效地保護系統(tǒng)安全。而對每個二次系統(tǒng)均采取技術措施，既增加了系統(tǒng)的復雜性，而且在實際運行中也會造成資源的浪費。對于每個電廠而言，應確立自身二次系統(tǒng)的關鍵節(jié)點，并針對其采取可靠的技術措施和組織措施。在相同投入的情況下，在安全I區(qū)和通信網(wǎng)絡的邊界投入更多的資源實施防護效果將更為理想。

4結語

從實際運行情況看，二次系統(tǒng)受到的威脅更多的還是來自于系統(tǒng)內(nèi)部，如移動存儲器、筆記本計算機傳播的惡意代碼，而非技術難度極高的外部侵入。對于前者，在有效的管理制度下可以杜絕；后者雖然罕見，但一旦發(fā)生幾乎都是惡意行為，易造成重大損失，需要采取強有力的技術措施對抗外部入侵。在現(xiàn)代電力系統(tǒng)中，電廠、電網(wǎng)單獨討論二次安全防護并無意義，二次安全防護系統(tǒng)出現(xiàn)任何漏洞都意味著防護失敗。建立完善的管理制度防范內(nèi)部攻擊，依靠嚴密的技術手段對抗外部入侵，只有將兩者相結合才是真正的二次安全防護體系。另外，雖然二次系統(tǒng)安全防護的水平高低取決于系統(tǒng)中最薄弱的部位，但這并非意味著要在整個防護體系中平均資源，對系統(tǒng)的關鍵點作有針對性地防護其效果顯然更佳，也更具有現(xiàn)實意義。

收稿日期:2015-12-12

中圖分類號:TV7;TV737;TV738

文獻標識碼:B

文章編號:1001-2184(2016)03-0098-04

作者簡介:

潘亮(1983-)，男，四川遂寧人，工程師，從事水電廠自動化監(jiān)控工作.

(責任編輯：李燕輝)