亭子口水電站二次系統(tǒng)安全防護(hù)方案

(嘉陵江亭子口水利水電開(kāi)發(fā)有限公司，四川 蒼溪，628400)

亭子口水利樞紐位于四川省廣元市蒼溪縣境內(nèi)，下距蒼溪縣城約15km，是嘉陵江干流開(kāi)發(fā)中唯一的控制性工程，是以防洪、灌溉及城鄉(xiāng)供水、發(fā)電為主，兼顧航運(yùn)，并具有攔沙減淤等效益的綜合利用工程。該工程裝有4臺(tái)單機(jī)容量為275MW的水輪發(fā)電機(jī)組，首臺(tái)機(jī)組于2013年6月發(fā)電，4臺(tái)機(jī)組2013年底全部建成投產(chǎn)。電站出線電壓等級(jí)為500kV。

1 亭子口水電站網(wǎng)絡(luò)安全防護(hù)基本情況

1.1 網(wǎng)絡(luò)安全防護(hù)目標(biāo)

(1)抵御黑客、病毒、惡意代碼等通過(guò)各種形式對(duì)電力二次系統(tǒng)發(fā)起的惡意破壞和攻擊，尤其是集團(tuán)式攻擊；

(2)防止內(nèi)部未授權(quán)用戶訪問(wèn)系統(tǒng)或非法獲取信息以及重大違規(guī)操作行為；

(3)防護(hù)重點(diǎn)是通過(guò)各種技術(shù)和管理措施，對(duì)實(shí)時(shí)閉環(huán)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全實(shí)施保護(hù)，防止電力二次系統(tǒng)癱瘓和失控，并由此導(dǎo)致電力系統(tǒng)故障。

1.2 網(wǎng)絡(luò)安全防護(hù)現(xiàn)狀及安全分析

1.2.1 計(jì)算機(jī)監(jiān)控系統(tǒng)

采用南瑞自控公司SSJ-3000型水電廠計(jì)算機(jī)監(jiān)控系統(tǒng)。系統(tǒng)采用傳輸速率為1000Mbps的工業(yè)以太網(wǎng)結(jié)構(gòu)，系統(tǒng)內(nèi)各節(jié)點(diǎn)全部接入該網(wǎng)絡(luò)。計(jì)算機(jī)監(jiān)控系統(tǒng)是安全防護(hù)的重點(diǎn)，其安全問(wèn)題包括：

(1)監(jiān)控系統(tǒng)與廠內(nèi)各系統(tǒng)橫向通信的安全；

(2)與調(diào)度端的通信對(duì)數(shù)據(jù)實(shí)時(shí)性、機(jī)密性、完整性要求高；

(3)數(shù)據(jù)服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫(kù)及應(yīng)用程序安全；

(4)防范病毒入侵網(wǎng)絡(luò)和傳播。

1.2.2 相量測(cè)量裝置(PMU)

采用江蘇華瑞泰科技股份有限公司LPS-700裝置，采用光纖以太網(wǎng)組成分布式結(jié)構(gòu)。與調(diào)度端的網(wǎng)絡(luò)通信接口應(yīng)采取縱向防護(hù)措施。

1.2.3 安全自動(dòng)裝置

配置二套(雙重化)安全穩(wěn)定裝置，具有與系統(tǒng)安全自動(dòng)裝置的接口，接收系統(tǒng)發(fā)來(lái)的因故障需要切亭子口電站機(jī)組的命令。裝置的安全問(wèn)題來(lái)自與調(diào)度端的網(wǎng)絡(luò)通信，對(duì)于裝置間專用通道不考慮其安全性。

1.2.4 泄洪閘控制系統(tǒng)

泄洪閘控制系統(tǒng)采用集控級(jí)和現(xiàn)地控制級(jí)兩級(jí)分布式控制結(jié)構(gòu)。電站計(jì)算機(jī)監(jiān)控系統(tǒng)的大壩LCU作為泄洪閘控制系統(tǒng)的集控級(jí)，現(xiàn)地控制級(jí)設(shè)備級(jí)包括8套表孔閘門控制設(shè)備、5套底孔閘門控制設(shè)備及左/右岸灌溉引水渠閘門控制設(shè)備。大壩LCU是計(jì)算機(jī)監(jiān)控系統(tǒng)的現(xiàn)地控制級(jí)設(shè)備，與計(jì)算機(jī)監(jiān)控系統(tǒng)之間采用網(wǎng)絡(luò)通信接口。泄洪閘控制系統(tǒng)為具有控制功能的業(yè)務(wù)系統(tǒng)，應(yīng)劃入安全區(qū)Ⅰ，因此，與計(jì)算機(jī)監(jiān)控系統(tǒng)之間的連接無(wú)需隔離。

1.2.5 電能量計(jì)量系統(tǒng)

電能量計(jì)量系統(tǒng)由電能量采集裝置和計(jì)量點(diǎn)電表構(gòu)成，與計(jì)算機(jī)監(jiān)控系統(tǒng)之間的通信方式采用RS485串行通信方式。電能量計(jì)量系統(tǒng)與調(diào)度端的網(wǎng)絡(luò)通信存在病毒傳播、網(wǎng)絡(luò)攻擊和違規(guī)操作的隱患。

1.2.6 繼電保護(hù)及故障信息管理系統(tǒng)

采用上海許繼電氣有限公司的I-POFAS智能型電網(wǎng)故障信息處理系統(tǒng)子站，通過(guò)以太網(wǎng)將發(fā)變組、500kV線路、主變、母線的保護(hù)和故障錄波等信息集中到統(tǒng)一數(shù)據(jù)平臺(tái)。出于安全考慮，保護(hù)定值校核修改功能被屏蔽，系統(tǒng)僅完成保護(hù)和故障信息處理和發(fā)送。

1.2.7 水調(diào)自動(dòng)化分站系統(tǒng)

亭子口水電站水調(diào)自動(dòng)化分站系統(tǒng)與計(jì)算機(jī)監(jiān)控系統(tǒng)采用串行通信接口。另外水調(diào)自動(dòng)化分站系統(tǒng)還需要與相關(guān)服務(wù)系統(tǒng)通信以獲取水文、氣象等數(shù)據(jù)。

1.2.8 水電站報(bào)價(jià)系統(tǒng)

水電站報(bào)價(jià)系統(tǒng)，作為電力市場(chǎng)運(yùn)營(yíng)系統(tǒng)的組成部分，應(yīng)劃入安全區(qū)Ⅱ，具有很高的保密性要求。與調(diào)度端的通信為電力調(diào)度數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)方式。遠(yuǎn)程網(wǎng)絡(luò)通信須符合縱向認(rèn)證的相關(guān)規(guī)定。

1.2.9 機(jī)組狀態(tài)監(jiān)測(cè)系統(tǒng)

亭子口水電站4臺(tái)機(jī)組采用北京華科同安的機(jī)組狀態(tài)監(jiān)測(cè)分析系統(tǒng)。系統(tǒng)的安全問(wèn)題在于采用防火墻同Web服務(wù)器進(jìn)行隔離，防護(hù)強(qiáng)度不夠，系統(tǒng)內(nèi)部存在病毒傳播和遭到網(wǎng)絡(luò)攻擊的隱患。

1.2.10 工業(yè)電視系統(tǒng)

亭子口工業(yè)電視系統(tǒng)由合肥金星機(jī)電科技發(fā)展有限公司提供，采用全數(shù)字分級(jí)分區(qū)方案，能夠兼容高清和標(biāo)清網(wǎng)絡(luò)攝像機(jī)。系統(tǒng)共分為控制級(jí)和分區(qū)級(jí)，主要由網(wǎng)絡(luò)設(shè)備、控制級(jí)設(shè)備、分區(qū)級(jí)設(shè)備、前端設(shè)備組成。工業(yè)電視系統(tǒng)應(yīng)劃分為管理信息大區(qū)系統(tǒng)的安全區(qū)Ⅲ。

1.2.11 MIS網(wǎng)

MIS網(wǎng)是管理信息大區(qū)的主干網(wǎng)絡(luò)，由于其應(yīng)用系統(tǒng)雜、使用人員多、向公共網(wǎng)絡(luò)開(kāi)放，因此信息安全問(wèn)題較嚴(yán)重，包括：

(1)MIS網(wǎng)與Internet連接，工作人員使用網(wǎng)絡(luò)瀏覽器、即時(shí)通信工具和電子郵件的頻率很高，存在很大的病毒感染和網(wǎng)絡(luò)攻擊隱患；

(2)由于防火墻的局限性，單純使用防火墻很難對(duì)內(nèi)部網(wǎng)絡(luò)起到完善的保護(hù)作用；

(3)出差人員使用移動(dòng)終端通過(guò)訪問(wèn)辦公OA系統(tǒng)，數(shù)據(jù)經(jīng)過(guò)PSTN時(shí)存在被竊取的安全隱患。同時(shí)終端的安全防護(hù)和管理不嚴(yán)格，可能造成病毒、惡意代碼和網(wǎng)絡(luò)攻擊進(jìn)入MIS網(wǎng)內(nèi)部；

(4)電廠OMS及計(jì)劃申報(bào)發(fā)布終端與四川省調(diào)OMS系統(tǒng)之間如果經(jīng)過(guò)綜合數(shù)據(jù)通信網(wǎng)通信，須采用隔離措施保護(hù)內(nèi)網(wǎng)安全。

2 亭子口水電站網(wǎng)絡(luò)安全防護(hù)方案

2.1 安全分區(qū)

對(duì)亭子口水電站的應(yīng)用系統(tǒng)按表1進(jìn)行安全區(qū)劃分，其中計(jì)算機(jī)監(jiān)控系統(tǒng)和機(jī)組狀態(tài)監(jiān)測(cè)系統(tǒng)的Web服務(wù)器外移至安全區(qū)Ⅲ，并作為獨(dú)立系統(tǒng)運(yùn)行。

(1)安全區(qū)Ⅰ

包括計(jì)算機(jī)監(jiān)控系統(tǒng)、安全自動(dòng)裝置、閘門控制系統(tǒng)、相量測(cè)量系統(tǒng)(PMU)等。計(jì)算機(jī)監(jiān)控系統(tǒng)是實(shí)時(shí)生產(chǎn)監(jiān)控系統(tǒng)，是整個(gè)安全保護(hù)的核心。這類系統(tǒng)對(duì)數(shù)據(jù)通信的實(shí)時(shí)性要求為毫秒級(jí)或秒級(jí)，其中負(fù)荷管理系統(tǒng)為分鐘級(jí)。該區(qū)與調(diào)度的外部邊界是電力調(diào)度數(shù)據(jù)網(wǎng)的實(shí)時(shí)子網(wǎng)和專用通道。

(2)安全區(qū)Ⅱ

包括水調(diào)自動(dòng)化系統(tǒng)、電能量計(jì)量系統(tǒng)、繼電保護(hù)故障信息管理系統(tǒng)、水電站報(bào)價(jià)系統(tǒng)、機(jī)組狀態(tài)監(jiān)測(cè)系統(tǒng)等。數(shù)據(jù)的非實(shí)時(shí)性是分鐘級(jí)、小時(shí)級(jí)、日、月甚至年。該區(qū)與調(diào)度的外部邊界目前主要是電力調(diào)度數(shù)據(jù)網(wǎng)的非實(shí)時(shí)子網(wǎng)及撥號(hào)方式。

(3)安全區(qū)Ⅲ

包括計(jì)算機(jī)監(jiān)控系統(tǒng)WEB服務(wù)器、機(jī)組狀態(tài)監(jiān)測(cè)WEB服務(wù)器、水調(diào)自動(dòng)化系統(tǒng)WEB服務(wù)器、工業(yè)電視系統(tǒng)、生產(chǎn)管理信息系統(tǒng)OMS及計(jì)劃申報(bào)發(fā)布終端等。

(4)安全區(qū)Ⅳ

包括生產(chǎn)信息管理系統(tǒng)、辦公自動(dòng)化系統(tǒng)等。

表1 亭子口水電站安全分區(qū)規(guī)劃表

安全區(qū)之間的連接拓?fù)洳捎面準(zhǔn)浇Y(jié)構(gòu)，安全區(qū)Ⅰ和區(qū)Ⅱ之間通過(guò)防火墻實(shí)現(xiàn)邏輯隔離，安全區(qū)Ⅱ和安全區(qū)Ⅲ之間通過(guò)隔離裝置實(shí)現(xiàn)橫向隔離或反向隔離，安全區(qū)Ⅲ和安全區(qū)Ⅳ通過(guò)防火墻確保安全區(qū)Ⅲ系統(tǒng)的安全。

亭子口水電站二次系統(tǒng)安全防護(hù)系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)見(jiàn)圖1。

2.2 生產(chǎn)控制大區(qū)防護(hù)措施

2.2.1 網(wǎng)絡(luò)專用

(1)電力調(diào)度數(shù)據(jù)網(wǎng)是生產(chǎn)控制大區(qū)與調(diào)度端通信的專用網(wǎng)絡(luò)。它提供邏輯隔離的實(shí)時(shí)子網(wǎng)和非實(shí)時(shí)子網(wǎng)，分別接入安全區(qū)Ⅰ和安全區(qū)Ⅱ的業(yè)務(wù)系統(tǒng)；

圖1 亭子口水電站二次系統(tǒng)安全防護(hù)方案設(shè)備配置

(2)對(duì)電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)設(shè)備進(jìn)行安全配置；

(3)對(duì)接入電力調(diào)度數(shù)據(jù)網(wǎng)的業(yè)務(wù)設(shè)備必須進(jìn)行嚴(yán)格的安全審查，保證接入系統(tǒng)不會(huì)降低調(diào)度數(shù)據(jù)網(wǎng)的安全性。

2.2.2 橫向隔離

2.2.2.1 安全區(qū)Ⅰ和安全區(qū)Ⅱ的隔離

安全區(qū)Ⅰ和安全區(qū)Ⅱ各配置一臺(tái)區(qū)內(nèi)交換機(jī)作為區(qū)內(nèi)業(yè)務(wù)設(shè)備匯聚節(jié)點(diǎn)。兩交換機(jī)經(jīng)防火墻邏輯隔離，防火墻應(yīng)配置嚴(yán)格的訪問(wèn)控制策略。

2.2.2.2 生產(chǎn)控制大區(qū)與管理信息大區(qū)的隔離

(1)安全區(qū)Ⅲ配置一臺(tái)區(qū)內(nèi)交換機(jī)作為區(qū)內(nèi)業(yè)務(wù)設(shè)備的匯聚節(jié)點(diǎn)，與安全區(qū)Ⅱ交換機(jī)采用正向物理隔離裝置隔離；

(2)如果水調(diào)自動(dòng)化系統(tǒng)以網(wǎng)絡(luò)方式從安全區(qū)Ⅲ相關(guān)系統(tǒng)獲取水文、氣象信息，必須部署反向物理隔離裝置切斷網(wǎng)絡(luò)連接，并對(duì)信息進(jìn)行嚴(yán)格檢查過(guò)濾。

橫向隔離的部署見(jiàn)圖2。

圖2 生產(chǎn)控制大區(qū)橫向隔離措施

2.2.3 縱向認(rèn)證

為保證生產(chǎn)控制大區(qū)業(yè)務(wù)系統(tǒng)同調(diào)度端交換信息的保密性、完整性和可用性，在電力調(diào)度數(shù)據(jù)網(wǎng)接入系統(tǒng)實(shí)時(shí)VPN交換機(jī)和接入路由器之間須布置國(guó)家指定部門檢測(cè)認(rèn)證的電力專用縱向加密認(rèn)證裝置；非實(shí)時(shí)VPN交換機(jī)和接入路由器之間須布置經(jīng)過(guò)國(guó)家相關(guān)部門認(rèn)證和測(cè)試的硬件防火墻?？v向認(rèn)證及通信防護(hù)見(jiàn)圖3。

圖3 生產(chǎn)控制大區(qū)縱向通信防護(hù)

2.3 管理信息大區(qū)防護(hù)措施

2.3.1 橫向隔離

安全區(qū)Ⅲ、Ⅳ之間采用防火墻邏輯隔離，防火墻應(yīng)設(shè)置嚴(yán)格的訪問(wèn)控制策略和訪問(wèn)權(quán)限，有效保護(hù)計(jì)算機(jī)監(jiān)控系統(tǒng)和機(jī)組狀態(tài)監(jiān)測(cè)系統(tǒng)Web服務(wù)器的安全，如圖4所示。

圖4 管理信息大區(qū)橫向隔離

2.3.2 遠(yuǎn)程通信防護(hù)

整合亭子口水電站管理信息大區(qū)網(wǎng)絡(luò)原有的網(wǎng)絡(luò)邊界防護(hù)，提出下列防護(hù)方案：

圖5 管理信息大區(qū)遠(yuǎn)程通信防護(hù)

(1)電站MIS網(wǎng)與企業(yè)網(wǎng)接入路由器之間采用防火墻隔離。防止企業(yè)網(wǎng)內(nèi)部的病毒傳播、黑客攻擊和非法操作，增強(qiáng)對(duì)網(wǎng)絡(luò)關(guān)口的審計(jì)監(jiān)察能力；

(2)電站MIS網(wǎng)與Internet之間采用防火墻隔離，嚴(yán)格限制接入Internet的應(yīng)用程序和服務(wù)，禁止外部對(duì)內(nèi)網(wǎng)的非法訪問(wèn)，隱藏內(nèi)網(wǎng)的拓?fù)浣Y(jié)構(gòu)和真實(shí)IP；

(3)撥號(hào)網(wǎng)絡(luò)接入路由器須固定訪問(wèn)路由器，嚴(yán)格控制遠(yuǎn)程撥號(hào)用戶的權(quán)限。內(nèi)網(wǎng)和PSTN經(jīng)防火墻隔離，采用VPN保證數(shù)據(jù)通信安全。

2.3.3 病毒防護(hù)

管理信息大區(qū)網(wǎng)絡(luò)連接的服務(wù)器和終端數(shù)量大，為有效防范病毒在網(wǎng)絡(luò)中傳播，應(yīng)建立全面的病毒防護(hù)體系。具體包括以下方面：

(1)建立多層防毒機(jī)制，病毒防護(hù)覆蓋安全區(qū)Ⅲ、Ⅳ的所有服務(wù)器和工作站；

(2)安全區(qū)Ⅲ、Ⅳ統(tǒng)一部署病毒防護(hù)系統(tǒng)；

(3)安全區(qū)III/IV的網(wǎng)絡(luò)防病毒系統(tǒng)可以通過(guò)自動(dòng)升級(jí)病毒庫(kù)的方式進(jìn)行在線升級(jí)；

(4)重視并加強(qiáng)對(duì)移動(dòng)介質(zhì)的病毒防護(hù)。遠(yuǎn)程撥號(hào)訪問(wèn)MIS網(wǎng)絡(luò)的筆記本電腦應(yīng)與網(wǎng)內(nèi)同步更新病毒軟件。

3 結(jié)語(yǔ)

針對(duì)亭子口水電站網(wǎng)絡(luò)系統(tǒng)和基于網(wǎng)絡(luò)的電力生產(chǎn)控制系統(tǒng)，通過(guò)系統(tǒng)結(jié)構(gòu)調(diào)整、邊界防護(hù)的強(qiáng)化和內(nèi)部安全措施的部署并配合安全管理，形成由邊界到核心、由設(shè)備到人員的立體防護(hù)體系，確保電站生產(chǎn)控制系統(tǒng)的安全及敏感數(shù)據(jù)的保密性、完整性和可用性。