流域梯級電站遠程集控系統安全防護體系及關鍵技術

丁仁山，孫 銳，洪 林，王宇航，王艷永(.雅礱江流域水電開發有限公司，成都 6005；. 國網電力科學研究院/南京南瑞集團公司，南京 06)

0 引 言

在水電站由分散、單一開發運行模式向梯級開發和智能運行模式發展過程中，為實現流域梯級電站電力生產的聯合優化調度，加強分散電力生產控制系統之間的協調作用，提高電力生產效益，電力生產逐步進入集中調控模式，遠程集控系統也由此發展而來。遠程集控系統一般具有監控、控制、維護、管理等功能，隨著工業化、信息化兩化融合體系的推進和發展，遠程集控系統已經步入結構混合、功能聯合的新階段，與此同時，在集聚效應下，遠程集控系統的技術發展和建設更新速度也越來越快。

沒有安全就沒有經濟效益，在電力生產控制系統的發展歷程中，安全防護體系和技術的研究應用一直是重中之重。“十二五”階段，國家成立了網絡與信息化領導小組，提出“沒有網絡安全就沒有國家安全”，網絡安全上升到國家戰略層面。然而，在應對電力生產控制系統多元化、信息化發展趨勢的同時，尤其是面對規模更大、結構更復雜、功能更聯合的遠程集控系統而言，系統的安全防護，特別是針對系統新特性和核心控制功能的安全防護是一個必須面對的問題。

1 安全分析

電力生產控制系統是電力生產的承載體，是關系國計民生的核心系統。遠程集控系統在遠程聯合調控運行模式下比傳統電力生產控制系統發電容量更大，控制設備更多，對應受到的安全威脅也更多。

1.1 全面防護需求

遠程集控系統具有專業跨度大、功能類型多、網絡結構復雜等特點，同時，各其他專業系統在結構和功能上相互聯系緊密。相對傳統電力生產控制系統而言，系統規模更大、結構更多樣、功能更復雜，是結構混合、功能聯合大型綜合生產控制系統。

遠程集控電力生產控制專業系統一般包含計算機監控系統(SCADA)、廣域測量系統(WAMS)、水情水調系統、電能量系統(EMS)、繼電保護系統、故障錄波系統、數據交換平臺等；專業系統功能有數據采集、設備控制、智能報警、關聯分析、數據整合等；專業系統網絡結構有星型、環型、混合型等。專業系統間數據聯系緊密、高級綜合功能存在跨多系統判據。

系統全面安全防護隱患來自以下3個方面。

(1)平行系統間相互連接，進行數據交互，帶來系統結構層面的安全防護隱患。系統結構防護主要是由系統自身結構以及交互結構決定，自身結構包括軟件功能特點和系統網絡結構，交互結構主要是橫向交互和縱向交互。

(2)系統自身根據功能以及重要性不同，帶來系統業務層面的安全防護隱患。系統業務層面防護主要是針對系統業務特性，在業務流的各個方面進行防護工作，例如系統的物理環境、數據、網絡、主機和應用等。

(3)系統內部核心業務的安全防護隱患。從生物學角度來看，核心防護也可以稱為基因防護。具體是指，將系統看成是一系列“有機部分”組成，對“有機部分”從根源處進行可繼承傳遞的基因防護。

1.2 重點防護需求

遠程集控系統是流域電站電力生產控制系統的數據集合和調控中心，在結構上，與流域電站存在多種遠程通信方式。因此，遠程集控系統除了具備常規電力生產控制系統的特點外，同時還具有數據通信源分散、通信通道長和通信方式多的自有特點。遠程集控系統數據通信源是地理分散的流域各電站，通信通道長距離暴露在外部環境中，通信鏈路上的安全防護工作面臨著巨大的挑戰。

遠程集控系統中帶有控制功能的系統主要由集控中心梯級調度監控和流域電站計算機監控系統組成，兩者數據聯系緊密，對電力生產設備進行遠程控制，一般采用IEC60870等常用電力規約組通信，集控中心梯級調度監控系統和流域電站計算機監控系統位置分散，導致通信通道距離長，數據報文傳輸在相對開放的通信鏈路中。

系統重點環節的安全隱患有：

(1)系統控制功能的安全隱患。如果系統控制功能沒有安全機制，可能導致系統控制功能遭受病毒、惡意代碼等威脅源的攻擊破壞。

礦區位于岡底斯成礦帶東段，大地構造位于岡底斯—念青唐古拉板片，是東特提斯構造域中晚古生代以來具有獨特演化歷程的一個多島弧碰撞造山帶。岡底斯—念青唐古拉板片南北界于雅魯藏布江結合帶和班公湖—怒江結合帶之間，東西兩側分別與西南“三江”構造帶和帕米爾—喀喇昆侖構造帶相連。礦區屬拉薩-墨竹工卡鉛鋅成礦區北部，林周-直孔成礦帶中。

(2)系統間長距離通信鏈路的安全隱患。遠程控制系統的特點之一是系統間的通信通道距離長并且相對處于開放式，系統數據、控制命令通過通信報文的方式在通信鏈路上傳輸，如果通信報文傳輸沒有安全機制，通信鏈路上報文就容易被黑客等威脅源截獲、仿造甚至篡改，將會直接影響電力生產、人身以及電力設備的安全。

2 三層立體安全防護體系

在國家“兩化融合”等戰略的大力推動下，遠程集控系統建設的需求越來越大，建設更新的速度也越來越快。同時，在面對“震網”病毒等新型國家間對抗的安全形勢下，遠程集控系統的安全要求也越來越高，系統建設速度和安全要求之間的矛盾越發凸顯，亟需一種安全防護體系從系統層面指導安全防護工作的規劃、建設和運行維護。

三維立體安全防護體系中三維是指邊界安全防護、等級安全防護和可信安全防護，立體是指在空間上把“結構混合、功能聯合”的復雜型遠程集控電力控制系統多層模型化，逐層進行全過程安全防護，三維立體安全防護體系如圖1所示。

圖1 遠程集控系統三維立體安全防護體系Fig.1 Three dimensional security system of remote control system

第一層邊界安全防護是以“安全分區、網絡專用、橫向隔離、縱向認證”十六字方針為基本點，對遠程集控電力控制系統以邊界為重點進行框架式安全防護，確保系統結構安全。2004年12月，國家電力監管委員會發布了5號令《電力二次系統安全防護規定》及相關配套技術文件，標志著邊界安全防護體系正式形成和應用。

第二層等級安全防護主要是從功能上對遠程集控電力控制系統業務等級進行劃分，根據劃分的業務等級，分別從數據安全、應用安全、主機安全、網絡安全和物理安全等方面進行不同等級要求的安全防護，確保系統本體安全。2007年，國家電力監管委員會頒布了《關于開展電力行業信息系統安全等級保護定級工作的通知》等系列文件，全面推進信息系統定級和等級防護工作。

第三層可信安全防護是基于可信計算理論的主動防御安全防護體系，分別從硬件、軟件、網絡和應用等方面應用可信計算理論進行安全防護，確保系統基因安全。2014年8月，國家發改委印發了〔2014〕14號令《電力監控系統安全防護規定》；2015年2月，國家能源局以〔2015〕36號文件形式印發了《電力監控系統安全防護總體方案》等系列方案和評估規范，在進一步細化和提高邊界防護要求的基礎上，提出逐步推廣應用以可信計算為核心的主動式安全防御技術，應對高級別復雜網絡攻擊，標志了可信安全防護體系的確立。

遠程集控系統三層立體安全防護體系在“規劃設計-實施投運-運行維護”的全生命周期上嚴格執行“四同步”原則，即安全防護體系跟隨系統業務功能“同步設計、同步施工、同步驗收、同步投運”，實現安全防護體系在系統生命周期的全覆蓋。在規劃設計階段，根據系統業務功能，確定系統的安全分區、網絡結構、橫向隔離和縱向認證等結構安全要求，根據系統等保等級，確定系統的物理安全、網絡安全、主機安全、應用安全、數據安全等系統本體安全要求，根據系統業務重要性，確定系統的可信硬件、可行軟件、可行網絡或可行應用的基因安全。

遠程集控系統按照邊界安全防護的分區原則，將綜合自動化系統的各個子系統分列為實時控制區(安全Ⅰ區)、非實時控制區(安全Ⅱ區)、生產管理區(安全Ⅲ區)3個部分。實時控制區和非實時控制區之間設置安全防火墻，生產控制大區和管理信息大區之間設置正反向隔離裝置。生產控制大區的集控數據網分為實時子網和非實時子網，實現邏輯隔離，生產控制大區和管理信息大區之間集控數據網實現物理隔離。縱深防御方面，在集控中心和流域電站的生產控制大區縱向網絡邊界設置縱向加密裝置，管理信息大區縱向網絡邊界設置防火墻。按照等級保護要求，將集控中心遠程集控電力控制系統中梯級調度監控、水調自動化系統、電量采集系統、繼電保護信息管理系統評定為等保三級，按照等保三級的要求實現等級防護。同時，針對集控中心梯級調度監控的核心控制功能，設計了一種基于可信計算理論的可信控制命令和可信報文傳輸策略，實現可信防護。系統安全防護框架如圖2所示。

圖2 遠程集控系統安全防護框架Fig.2 Security framework for remote control system

3 關鍵安全防護技術

梯級調度監控系統是遠程集控系統的重要組成部分，承擔著流域電力生產實時監視和梯級調控的功能[5]。電力生產監控功能的源端在集控中心，目的端在流域上各廠站，源端和目的端空間上長距離分散分布，功能上相互依賴。針對雅礱江流域梯級調度監控系統控制功能源端-目的端長距離分布、功能聯合的特點，采用了一種基于可信計算理論的控制命令安全技術，包括可信控制命令和可信報文安全傳輸機制。

3.1 可信控制命令

可信計算理論是信息安全領域的新技術，具有廣泛的應用前景，具體包括可信硬件，可信軟件，可信網絡和可信應用等方面。本文提出的可信控制命令和可行報文安全傳輸機制屬于可信應用的一種具體表現。

可信控制命令的基本思路是，在源端把控制命令的出生點標記作為可信根，在內部傳遞的各個環節進行安全認證，并在認證通過后打上對應環節的可信環標記，最后在源端系統與傳輸鏈路的出口處進行安全封裝，封裝后的安全報文在傳輸鏈路上進行傳輸，目的端接收到安全報文后根據安全策略進行逐層的可信認證解封，在所有認證解封通過后，目的端執行控制命令并返回安全校驗。可信根和可信環是由控制命令發出或轉發的源節點服務器地址信息，目的節點服務器地址信息，應用系統控制命令編碼等信息按照一定安全防護邏輯加密生成。可信控制命令的功能框架如圖3所示。

圖3 可信控制命令功能框架Fig.3 Functional framework of trusted control commands

可信控制命令在系統安全防護層面屬于基因式主動防護技術。在遠程集控系統內部的控制命令生成、流轉、發出的各個環節，一環認證一環，將安全認證逐環節進行繼承式傳遞，對于沒有經過安全認證的控制命令直接屏蔽丟棄，從而在系統內部基因層面上解決了惡意代碼等安全威脅對系統核心功能攻擊。

3.2 可信報文安全傳輸機制

遠程集控系統的基礎是電力生產數據通信，防數據通信失敗導致的安全問題是在系統設計、運行、維護過程中必須考慮的環節。其中集控中心與流域電站之間數據通信規約廣泛采用IEC60870-5系列國際標準規約組[6]。因為IEC60870-5規約組本身沒有包含遠動信息安全傳輸機制的內容，根據遠程集控系統的自身特點，設計了一種可信報文安全傳輸機制。

可信報文安全傳輸機制的基本思路是，傳輸鏈路建立機制采用連接主從站鏈路個數和連接IP地址判定，建立安全的連接鏈路，報文傳輸過程中采用報文時序號控制報文收發的順序，在主從站端判斷報文的時序號，對于帶有異常報文時序號的報文，采用丟棄不采用策略，防止異常報文的插入。報文傳輸解析時判斷報文中控制對象號和控制權限，屏蔽和拋棄異常控制對象號和不符合控制權限的控制命令，對控制對象進行高安全性可信控制保護。可信報文安全傳輸機制如圖4所示。

圖4 可信報文安全傳輸機制Fig.4 Secure transmission mechanism of trusted message

可信報文傳輸機制是一種基于通信規約的安全防護傳輸機制，在遠程集控系統核心業務流程跨長距離通道通信時，解決了系統業務通信報文在長距離通信通道上容易被黑客等威脅源截獲篡改、仿造非法報文等安全威脅。可信報文傳輸機制作為遠動通訊軟件的重要組成部分，通過了國家繼電保護及自動化設備質量監督檢驗中心開普實驗室的檢驗認證。

4 實際應用

雅礱江是全國十二大水電基地之一，全流域水能理論蘊藏量3 840萬kW，規劃建設22座水電站。雅礱江流域電站遠程集控系統是實現梯級電站電力統一規劃生產、水庫統一優化調度的基礎，截止目前，接入集控中心的電站有5座，接入遠程系統近60個，遠程集控系統通信通道最長達600多km，通信方式包括電力專網、電信、衛星等。

在實際應用實踐中，應用了三維立體安全防護體系的雅礱江流域電站遠程集控系統共有遠程控制對象2 942個，從2011年實現遠程控制開始，操作成功率達100%，操作平均下發時間為1.5 s，基于可行計算理論的安全控制命令和安全傳輸機制等安全策略很好地規避了控制命令長距離傳輸過程中容易被截獲篡改、仿造的安全風險，保證了遠程控制的實時性、可靠性和安全性。

5 結 論

(1)三維立體安全防護體系是一種針對結構混合、功能聯合型綜合自動化系統群的整體防護方案，從系統群的邊界、本體以及基因層次分別進行了針對性的安全設計。

(2)可信控制命令是根據具有控制功能的業務系統的自身特性，在業務系統控制命令的生成、傳輸、解析、執行等全生命周期過程中，一環認證一環，逐環傳遞可信標記，對外部危險源的偽造具有很好的辨識和屏蔽能力，大幅度提高系統控制功能的安全性。

(3)可信報文傳輸機制是根據遠程集控系統具有長距離信息傳輸通道的特性，在通信鏈路建立、報文發送/接收等信息傳輸過程中，主動辨識IP地址、鏈路個數、報文序列號等安全標記，從傳輸機制上加強信息報文傳輸的安全性。

(4)三維立體安全防護體系及其可信計算等關鍵技術的研究與應用，提高了遠程集控電力控制系統安全防護的健壯性，為多源異構遠程集控系統的建設、運行提供了新的思路和方法，具有積極的指導意義和廣闊的應用前景。

□

[1] 國家發展和改革委員會.〔2014〕14號令 電力監控系統安全防護規定[Z].

[2] 國家能源局.國能安全〔2015〕36號 國家能源局關于印發電力監控系統安全防護總體方案等安全防護方案和評估規范的通知[Z].

[3] 國家電力監管委員會.電監信息62號 電力行業遠程集控電力控制系統安全等級保護基本要求[Z].

[4] 沈昌祥，張煥國，王懷民，等.可信計算的研究與發展[J].中國科學：信息科學,2010,40:130-166.

[5] 丁仁山，孫 銳. 雅礱江流域梯級電站遠程集控方式設計及實現[J].水電自動化與大壩監測,2013,37:14-17.

[6] 洪 林，陳 鵬.基于IEC104規約的水電廠遠動通信實時性和安全性的優化措施[J].水電自動化與大壩監測，2014,38(3):37-39,56.