電網(wǎng)調度自動化系統(tǒng)設計及其數(shù)據(jù)網(wǎng)絡安全防護

蔣斌

（國網(wǎng)湖南供電公司長沙供電分公司電力調度控制中心，湖南 長沙 410015）

0 引言

電力是國民經(jīng)濟基礎產(chǎn)業(yè)，關系到人們工作生活的各方面，電力系統(tǒng)安全對國家經(jīng)濟發(fā)展產(chǎn)生巨大的影響。美國、加拿大“8.14”大停電造成300億美元的經(jīng)濟損失，四川某電站停機造成川西電網(wǎng)瞬間缺電，引起電網(wǎng)大面積停電，其原因是廠內MIS系統(tǒng)與電站控制系統(tǒng)無防護措施，引起控制操作導致停機，由于自動化系統(tǒng)建設標準不夠規(guī)范，在系統(tǒng)整合時更多考慮系統(tǒng)的互聯(lián)互通行，系統(tǒng)安全性方面較少考慮。安全意識與管理手段薄弱，已建成投運自動化系統(tǒng)在信息流向，系統(tǒng)結構及管理維護等方面存在較多的安全漏洞，易受到黑客的攻擊，造成一次性事故，我國不少Windows系統(tǒng)的系統(tǒng)計算機系統(tǒng)受到計算機病毒攻擊，造成經(jīng)濟損失。

1 電網(wǎng)調度自動化系統(tǒng)存在的安全隱患

目前國內自動化系統(tǒng)存在的安全隱患主要包括系統(tǒng)建設初期忽略了安全問題，系統(tǒng)本身存在安全威脅，應用服務的訪問控制存在漏洞，內部往來用戶存在安全威脅。系統(tǒng)與生產(chǎn)管理系統(tǒng)DMIS未采取安全隔離措施，普遍采取通信工作站網(wǎng)關連接，采用通信方式存在受攻擊危險[1]。

自動化系統(tǒng)與其他生產(chǎn)管理系統(tǒng)互聯(lián)無隔離措施，系統(tǒng)與MIS系統(tǒng)連接未采取隔離措施，系統(tǒng)與遠動裝置網(wǎng)絡通信時，存在混用數(shù)據(jù)通信網(wǎng)現(xiàn)象，未實現(xiàn)調度數(shù)據(jù)網(wǎng)與電力數(shù)據(jù)通信網(wǎng)的安全隔離。缺乏對中啊喲數(shù)據(jù)的備份恢復系統(tǒng)，不能保證系統(tǒng)損壞時數(shù)據(jù)恢復，對網(wǎng)絡設備與部件未進行必要的冷熱備份，普遍未實施入侵檢測及網(wǎng)絡防病毒系統(tǒng)。

操作系統(tǒng)存在安全漏洞，未及時進行系統(tǒng)安全補丁加固。WEB服務器未關閉不必要的通信協(xié)議，如Ftp協(xié)議等，防火墻安全策略設置不合理，防護對象變化時未及時調整。電網(wǎng)調度自動化系統(tǒng)數(shù)據(jù)采集錯誤造成調節(jié)電廠處理錯誤。應用服務訪問控制不嚴謹，一些應用程序以操作系統(tǒng)root權限運行，對系統(tǒng)安全運行造成隱患。

遠程診斷的撥號MODEM處于接通狀態(tài)，易造成非授權用戶撥號進入調度自動化系統(tǒng)，黑客可通過安全漏洞攻擊系統(tǒng)，存在受病毒攻擊的危險。對電子郵件使用限制不嚴，存在破壞系統(tǒng)運行的危險。部分用戶安全意識淡薄，對系統(tǒng)安全造成威脅，用戶與維護人員口令簡單，用戶操作影響系統(tǒng)可靠運行，維護人員編程錯誤影響系統(tǒng)可靠運行。

2 電力二次系統(tǒng)安防方案簡介

網(wǎng)絡安防重點是抵御病毒等各種形式的攻擊，重點保護事實閉環(huán)監(jiān)控系統(tǒng)的安全，保障國家電力系統(tǒng)的安全。根據(jù)電力二次系統(tǒng)安全防護方案，系統(tǒng)可分為實時控制區(qū)，生產(chǎn)管理區(qū)。實時監(jiān)控系統(tǒng)的監(jiān)控功能屬于安全區(qū)I，如電網(wǎng)調度自動化系統(tǒng)，配電自動化系統(tǒng)，發(fā)電廠自動監(jiān)控系統(tǒng)等。面向的使用者為調度員，數(shù)據(jù)實時性為秒級，由電力調度數(shù)據(jù)網(wǎng)實時虛擬專用網(wǎng)實現(xiàn)外部邊界通信。區(qū)中包括采用專用通道的控制系統(tǒng)，如安全自動控制系統(tǒng)，負荷控制系統(tǒng)等，系統(tǒng)對通信實時性要求毫秒級，是二次系統(tǒng)最重要的系統(tǒng)，禁止安全區(qū)I的WEB服務[2]。

不具備控制功能的生產(chǎn)業(yè)務部分為安全區(qū)II，典型系統(tǒng)包括水調自動化系統(tǒng)，繼電保護系統(tǒng)等，面向使用者為電力運行方式，繼電保護人員等，外部通信邊界為SPDnet的非實時VPN，生產(chǎn)管理區(qū)包括生產(chǎn)管理系統(tǒng)，典型的系統(tǒng)為統(tǒng)計報表系統(tǒng)，氣相信息接入等，外部通信邊界為電力數(shù)據(jù)通信網(wǎng)SPTnet，安全區(qū)III開放E-MALL服務[3]。管理信息區(qū)包括辦公自動化系統(tǒng)與客服系等，外部通信邊界為SPTnet及因特網(wǎng)，安全區(qū)開放WEB服務。

安全區(qū)I與II可部署相應的邏輯隔離裝置，如具有硬件防火墻等，應禁止Web，Rlogin等服務穿越隔離設備[4]。安全區(qū)I，II不得與III，IV直接聯(lián)系，安全區(qū)III與安全區(qū)IV可采用具有訪問功能的硬件防火墻等，安全區(qū)I與安全區(qū)III必須采用經(jīng)認定核準的準用隔離裝置，從安全區(qū)II網(wǎng)安全區(qū)III傳送數(shù)據(jù)必須采用正向安全管理裝置，從安全區(qū)III向II傳輸數(shù)據(jù)必須采用反響安全隔離裝置，嚴格禁止TELnet等網(wǎng)絡服務穿越專用安全隔離裝置。安全區(qū)II連接廣域網(wǎng)為電力調度數(shù)據(jù)網(wǎng)，安全區(qū)II與IV連接廣域網(wǎng)為電力數(shù)據(jù)通信網(wǎng)，安全區(qū)II介入SPDnet時應配置IP認證加密裝置，實現(xiàn)數(shù)據(jù)加密，如不具備條件可用硬件防火墻替代[5]。

3 電網(wǎng)調度自動化系統(tǒng)安防問題解決措施

3.1 做好主機防護

電網(wǎng)調度自動化系統(tǒng)安全防護是二次系統(tǒng)安防的重點，應遵循網(wǎng)絡專用，縱向防護，聯(lián)合防護的安防總體策略，注重系統(tǒng)性原則與周期性原則，采取分步實施的辦法進行系統(tǒng)安防工作。綜合考慮自動化系統(tǒng)，及安全要求，提出自動化系統(tǒng)安防分階段實施方案。

系統(tǒng)安防第一階段重點是主機防護，加強安全管理等，排除來自內部用戶的安全威脅。具體應完成主機安全防護，主要采取安全配置加強主機安全防護，合理設置系統(tǒng)權限，及時更新系統(tǒng)安全補丁，消除內核漏洞，停止向安全區(qū)III用戶提供瀏覽服務，隨網(wǎng)絡拓撲結構變化及時調整防火墻安全策略。斷開與互聯(lián)網(wǎng)連接，禁止利用電網(wǎng)調度自動化系統(tǒng)工作站進入互聯(lián)網(wǎng)，在與管理系統(tǒng)未進行有效隔離前，斷開與管理系統(tǒng)連接。嚴格系統(tǒng)管理員用戶名的管理，授權人員辭職后應刪除權限，嚴格控制管理系統(tǒng)的遠程維護對接口。加強對專業(yè)人員的培訓，健全運行管理的各項規(guī)章制度，提高系統(tǒng)的運維水平，加強安全審計管理，及時進行審計分析，對調度自動化系統(tǒng)的物理配置及信息流程有清晰的認識[6]。

3.2 調整結構

通過調整軟硬件結構，使安全區(qū)間與邊界網(wǎng)絡連接處簡單。SCADA/AGC功能是電網(wǎng)調度自動化系統(tǒng)的核心，應位于安全區(qū)I，擴展EMS功能可放在安全區(qū)II。Web功能是近幾年來為滿足調度管理用戶需要產(chǎn)生的，現(xiàn)有Web功能不能滿足安防要求，在未改變Web實現(xiàn)方式前，Web功能只能位于安全區(qū)I，只能為本區(qū)用戶服務。不能為同區(qū)上下級用戶服務，Web服務器在安全區(qū)I可在本區(qū)開通同一業(yè)務系統(tǒng)安全Web服務，僅允許安全區(qū)內系統(tǒng)想服務器傳送數(shù)據(jù)，禁止服務器向業(yè)務系統(tǒng)請求數(shù)據(jù)操作。

自動化系統(tǒng)橫向邊界包括與調度管理系統(tǒng)的接口及與電力系統(tǒng)，水調自動化系統(tǒng)的接口。DMIS接口包括通過調度自動化系統(tǒng)通信機的串聯(lián)結構，可不考慮按防護問題，及通過通信網(wǎng)關實現(xiàn)數(shù)據(jù)的通信，禁止從DMIS向自動化系統(tǒng)發(fā)出數(shù)據(jù)請求，安全區(qū)II的通信網(wǎng)關與DIMS必須采用經(jīng)認定核準的專用隔離裝置[7-8]。

調度自動化系統(tǒng)縱向邊界包括專用通道連接廠站RTU接口，遠程維護接口，與上下級EMS系統(tǒng)的網(wǎng)絡通信接口。通過專線通道的通信協(xié)議通信不考慮安全問題，通過通信網(wǎng)關由SPDnet的實時VPN進行網(wǎng)絡方式通信，系統(tǒng)維護人員通過撥號方式進行維護，未采取安防措施不得開通撥號服務接入遠程局域網(wǎng)的服務。

3.3 現(xiàn)有系統(tǒng)改造開發(fā)

可適當安全改造現(xiàn)有調度自動化系統(tǒng)，增強SCADA應用服務器，建立安全Web服務器，將Web發(fā)布功能轉移到安全區(qū)II，可利用成熟安全技術采取數(shù)據(jù)備份與入侵檢測等安防措施[9]。

統(tǒng)一考慮調度自動化系統(tǒng)入侵檢測系統(tǒng)應與其他系統(tǒng)，選用網(wǎng)絡入侵檢測系統(tǒng)，在安全區(qū)I的縱橫向邊界部署探頭，區(qū)內不再部署IDS探頭。新系統(tǒng)開發(fā)增加安防要求在新建SCADA/AGC功能模塊中加入認證加密機制，改造已有的系統(tǒng)加入認證加密價值，實現(xiàn)控制命令的進程認證，實現(xiàn)操作人員基于數(shù)字證書的身份認證。對新開發(fā)關鍵應用系統(tǒng)，要求實現(xiàn)基于數(shù)字證書的身份認證，訪問控制，行為審計功能[10]。

4 結論

電網(wǎng)調度自動化是確保電網(wǎng)安全優(yōu)質發(fā)供電，提高運行管理水平的重要手段，本文對我國智能電網(wǎng)電力系統(tǒng)自動化系統(tǒng)數(shù)據(jù)安全防護進行研究，結合智能電網(wǎng)調度自動化數(shù)據(jù)網(wǎng)安全體系要求，對電力調度系統(tǒng)數(shù)據(jù)網(wǎng)安全體系進行設計。