地縣一體化電能量采集系統的安全防御體系建設

洪道鑒，王周虹，洪 蕾，姚衛興

（臺州電業局，浙江 臨海 317000）

隨著計算機信息技術的發展，各級電網逐步以電能量采集系統取代人工抄表來完成電能計量數據的采集處理，并以此作為電量銷售結算的依據，為電網經營管理提供了快速、精確、便捷的電量信息管理手段。由于電能量采集系統不是一個孤立的系統，需要與不同的系統互聯，在提供電量信息共享查詢的同時，也帶來了電量數據信息的安全問題。在電能量采集系統建設過程中往往比較重視應用功能需求的實現，而忽略數據安全措施的落實。本文在分析地-縣一體化電能量采集系統結構特點的基礎上，結合現代計算機網絡安全技術以及行為管理理念，提出全面的安全防御體系建設方案。

1 地-縣一體化電能量采集系統結構

地-縣一體化電能量采集系統由集中于地區電力調度的主站系統、分布于各縣局調度的采集子系統以及各變電站采集終端等部分組成，系統結構如圖1所示。

變電站的采集終端（ERTU）通過RS-485總線采集電能表計量數據，并進行轉存和按主站規約轉發。縣局采集子系統負責采集縣局本級調度管理的變電站電量數據，通過電話交換網或數據網定時采集各變電站的ERTU數據，并通過數據網上傳給地區局主站系統集中處理和發布。地區局主站系統采集地區本級調度管轄的變電站ERTU數據以及匯集各縣局采集子系統采集到的電量數據，對全地區電量數據進行集中加工處理和存儲，并通過WEB服務器發布電量數據及報表。系統主要實現變電站電能量數據的自動采集、數據正確性自動檢查（雙表比對、母線平衡分析）、換表、換電流互感器流程處理、線路和變壓器損耗分析以及表計檔案管理等功能。各級用戶通過訪問地區局的WEB服務器進行數據報表查詢和流程處理。

圖1 臺州電網電能量采集系統安全防御體系結構

電能量采集系統不是封閉系統，主站系統除通過調度數據網與縣局采集子站連接外，還需要和數據采集與監視控制（SCADA）系統連接，采集SCADA系統負荷積分電量數據，與管理信息網絡連接，實現對用戶的WEB服務和報表發布。

2 安全風險分析

地-縣一體化電能量采集管理系統的安全風險包括網絡安全和數據安全，主要表現在：

（1）非法網絡用戶入侵網絡和主機操作系統，對網絡以及主機進行攻擊破壞，導致計算機網絡系統癱瘓、服務中斷。

（2）非法用戶入侵數據庫系統，破壞數據庫結構，造成系統癱瘓或篡改電能計量數據導致數據不正確。

（3）因數據遠程傳輸過程中采用明文數據傳輸而被攻擊者截獲篡改、信息假冒，導致數據不正確。

（4）應用系統用戶權限管理、數據訪問存在安全漏洞，導致用戶可超出授權權限進行操作。

3 應用系統安全

電能量采集系統應用安全由多個層面組成，包括應用程序系統級安全、功能級安全、數據域安全、程序資源訪問控制安全。其中前3個安全問題與電量的應用業務相關，程序資源訪問控制相對來說比較獨立，在服務端體現為訪問目標資源前進行權限判斷，在客戶端則體現為界面組件元素的使能情況。在電量中心數據庫設計時，建立電量采集原始數據庫、應用數據庫，其中原始數據庫中的原始電量數據應用程序不可修改，應用數據庫中涉及原始數據修正的應帶修改標記及修改信息，確保電量數據的嚴密性。

4 安全防御體系

從安全的事前處理、事中處理、事后處理3個階段出發，電能量采集系統的安全防御體系包括安全防護系統、災難恢復系統、事故追查系統和安全管理制度，這4個部分完整結合構成全面的安全防御體系，相互關系如圖2所示。

圖2 電能量采集系統的安全防御體系關系

4.1 安全防護系統

安全防護系統是整個安全防御體系的關鍵，可阻止可能存在的一切黑客和病毒攻擊，確保電能量采集系統安全穩定運行。

4.1.1 物理安全

物理安全的目的是保護電能量采集系統設備、網絡設備等硬件設備和通信鏈路免受自然災害和人為破壞，確保計算機系統和網絡設備具有良好的電磁兼容工作環境，防止非法進入機房進行偷竊、切換電源等破壞活動的發生。機房應安裝門禁系統、精密空調，配備可靠的UPS電源，確保電能量采集系統有良好的運行環境。

4.1.2 安全區域劃分

根據《電力二次系統安全防護規定》，電能量采集系統的安全等級為安全Ⅱ區，屬生產控制大區。由圖1可見，電能量采集系統不是一個孤立的系統，橫向需要與安全Ⅰ區（SCADA系統）、安全Ⅳ區（業務用戶、PI數據平臺等）互聯，縱向通過數據網與縣局安全Ⅱ區（采集子系統）互聯。整個電量系統網絡應遵循“安全分區、網絡專用、橫向隔離、縱向認證”的原則[1]。

4.1.3 橫向安全隔離措施

由于電能量采集系統核心設備屬安全Ⅱ區，與電量采集系統的業務用戶（安全Ⅳ區）分屬不同的控制大區，不允許用戶與核心數據服務器之間建立直接連接。為確保用戶正常使用，將WEB服務外移至安全Ⅲ區，在安全Ⅲ區設置數據鏡像服務器和數據發布服務器，核心數據服務器的數據通過單比特應答的正反向安全隔離裝置進行網絡隔離和數據同步，阻斷E-Mail，WEB，Telnet，Rlogin，FTP等安全風險高的通用網絡服務和以B/S或C/S方式的數據庫訪問穿越專用橫向單項安全隔離裝置，僅允許純數據的單項安全傳輸，確保電能量采集系統核心數據不受外部網絡用戶的任何影響。

電能量采集系統（安全Ⅱ區）與SCADA系統（安全Ⅰ區）同屬控制大區，它們之間由防火墻進行隔離，防火墻按照最小滿足原則配置安全規則。

4.1.4 縱向安全加密認證措施

地-縣一體化電能量采集系統的地調主站系統與分布在縣局的采集子站系統之間通過調度數據廣域網連接。為確保傳輸數據的安全性，在數據網中配置電量專用MPLS-VPN通道，與其他應用系統（SCADA、保護信息等）有效隔離。同時在主站以及各縣局子站分別布置縱向加密認證裝置，為廣域網通信提供認證與加密功能，實現數據傳輸的機密性、完整性保護。通過隧道配置建立加密裝置間的加密信道，并對傳輸的報文進行加密，設備密鑰由縱向加密認證裝置產生，其私鑰保存在裝置內，公鑰經上級調度數字證書服務系統簽名，以數字證書的方式發布。

變電站采集終端與采集子系統之間有網絡、電話撥號等傳輸方式，這些傳輸通道上的數據同樣可能受到外界安全因素的影響。對于網絡傳輸通道，利用調度數據網電量專有MPLS-VPN通道傳輸，與其他業務有效隔離。電話撥號通道采用調度專用電話系統，與行政電話、市話相互獨立，有效防止外部干擾。

4.1.5 主機安全加固及病毒防護

主機操作系統以及數據庫系統的默認配置存在較大的安全漏洞，為提高系統安全性，需要對電能量采集主站系統各數據應用服務器和數據庫通過更新補丁、加固文件系統、配置文件、帳號管理、遠程登陸和遠程服務、存儲過程、備份過程、角色和權限審核、并發事件資源限制、訪問時間限制等項目按照最小滿足原則進行配置。

計算機病毒會嚴重威脅電能量采集管理系統正常運行，但由于電能量采集系統屬安全控制大區，不允許與外網連接，無法通過Internet來更新補丁和升級病毒庫，為此在安全Ⅱ區建立獨立的防病毒服務器對系統統一進行補丁升級和病毒庫更新管理，防病毒服務器的代碼更新來自上級調度相同安全區的專用防病毒服務。

4.2 災難恢復系統

災難恢復系統屬于安全事件的事中處理和事后處理，主要作用是一旦發生安全防護系統未能阻擋的黑客攻擊、合法用戶操作不當或硬件損壞、地震等突發事件造成系統癱瘓等安全事件后，保證業務處理系統能夠在指定時間內恢復正常運轉。

通過建設備份系統，對實時運行的電能量采集系統的關鍵主機、數據庫進行備份存儲，每周定期進行全備份、每天進行增量備份，確保系統可恢復到故障前的狀態。備份存儲設備可采用磁帶、磁盤庫等備份系統，通過商用的備份管理軟件實現系統的備份管理。若條件允許，應建立異地備份系統。

4.3 事故追查系統

事故追查系統也屬于安全事件的事中處理和事后處理，主要作用是：在網絡安全事件發生過程中能夠向網絡安全管理員提供必要的信息，幫助其采取相應的措施阻止安全事件的繼續發展，避免安全事故的發生；當發生網絡安全事件后，能夠使網絡管理人員、調查人員明確造成安全事件的原因所在，為追究責任人提供技術證據。在正常情況下，可通過事故追查系統反饋安全薄弱環節，不斷完善安全防護系統及災難恢復系統的配置策略，使系統更加安全。

為達到安全事件原因追查的目的，一方面可通過開啟電能量系統各主機的審計功能、應用系統事件日志功能、防火墻的異常事件記錄功能，實現對電能量系統的安全事件進行一定程度的追蹤分析。另一方面可通過安裝入侵檢測系統（IDS）、安全監管系統，對電能量系統網絡通信進行記錄、異常報警，及時通知管理員采取相應的防護措施。部署安全審計措施，將安全審計與安全區網絡管理系統、綜合告警系統、IDS管理系統、敏感業務服務器登錄認證和授權、應用訪問權限等結合在一起。

4.4 安全管理制度

完善和規范網絡系統安全規章制度、操作流程和故障處理流程，是安全管理的前提、依據和要求，防范因制度缺陷帶來的風險，有利于避免誤操作。技術層面各種安全措施的執行都需要配套相應的制度，對技術層面不能解決的內部安全問題可通過制度約束來彌補。為保障電能量采集系統的安全運行，應建立網絡接入管理制度、機房人員出入管理制度、數據備份管理制度、安全責任制度、安全評估制度[1]以及電能量業務流程管理制度等，并嚴格執行，這是實施安全管理的關鍵。

5 結論

本文以臺州地-縣一體化電能量采集系統為研究對象，提出了電能量系統的全面安全防御體系建設方案，強調安全防御體系的系統性，不能以技術取代管理。但安全不是靜止的，隨著電能量采集系統規模的擴大、應用軟件的升級、人員的變動，安全狀況也會隨之發生變化，需要在實踐中不斷加以完善。

[1] 國家電力監管委員會.電力二次系統安全防護規定[S].北京：中國電力出版社，2004.