配電自動化系統安全防護技術

陳 璐(國網安徽省電力公司合肥供電公司，安徽 合肥 230022)

?

配電自動化系統安全防護技術

陳 璐
(國網安徽省電力公司合肥供電公司，安徽 合肥 230022)

〔摘 要〕分析了配電自動化系統橫向邊界及縱向邊界存在的安全隱患，闡述了其安全防護的總體原則、配電自動化系統建設過程及發展中可能面臨的安全問題及解決方案，以充分發揮配電自動化系統的技術支撐作用，為配電網的運行管理提供可靠、安全的技術手段。

〔關鍵詞〕配電自動化；通訊系統；安全防護技術

0 引言

近年來，隨著電力自動化與通信技術的不斷發展，原先制約配電自動化發展的技術問題迎刃而解，配電自動化技術也隨之飛速發展。但配電自動化系統不同于調度自動化系統(EMS)。EMS通信方式較為簡單，多為光纖專網，且其聯絡方式較為清晰，以變電站作為樞紐；而配電自動化系統的通信往往受到環境因素、社會因素等影響，需多種通信方式(如光纖、載波、無線)并存，方能使配電自動化終端與主站通信，實現自動化的遙測、遙信、遙控乃至遙視。其中，光纖是最為理想的通信方式，但是由于配電網設備點多面廣，若統一采用光纖專網與主站進行通信，其投入產出嚴重不平衡，部分中心城區甚至無法進行光纖改造。

1 配電自動化系統安全防護存在的隱患

隨著通信技術的發展，高效的無線通信技術被引入到配電自動化系統建設中，且通信運營商的無線網絡已覆蓋城市各個區域，完全能夠滿足配電自動化系統的通信要求。但若不采取任何防護措施直接通過運營商接入主站進行通信，將給主站及現場一次設備的安全運行帶來很大的安全隱患，此種方式更需要加強無線公網通信的安全防護。因此，在配電自動化系統中必須要加強通訊安全防護的管理。邊界防護作為電力系統內外網安全防護的關鍵，主要包括橫向邊界和縱向邊界的防護。其中，橫向邊界為配電自動化系統與其他應用系統之間的通信邊界，例如與調度自動化系統(EMS)、地理信息系統(GIS)之間的通信邊界；縱向邊界為配電自動化系統與配電終端之間的通信邊界，例如與站所終端(DTU)、饋線終端(FTU)、配變終端(TTU)等自動化終端之間的通信邊界。

1.1 橫向邊界存在的安全隱患

配電自動化系統作為配電網管理的技術支撐系統，必須與其他配電相關系統之間進行信息交互，才能完成對配電網科學的運行管理。這樣，各系統之間就形成了橫向的數據流，且該數據流在配電自動化系統中必不可少。根據配電網數據“源端維護”、“源端唯一”的原則，其數據流主要由與調度自動化系統(EMS)交互的主網圖模信息，與地理信息系統(GIS)交互的配電網圖模信息，與生產管理系統(PMS)交互的配電網設備臺賬信息，以及與配網搶修指揮平臺交互的故障研判方案信息等組成。按照安全分區的原則，配電自動化系統和EMS系統為實時控制區(Ⅰ區)系統；PMS系統、GIS系統以及配網搶修指揮平臺為生產管理區(Ⅲ區)系統。由于生產管理區(Ⅲ區)系統的防護較為薄弱，若不做任何防護措施，病毒、黑客等可以通過該系統直接攻擊實時控制區(Ⅰ區)系統，從而導致它們之間的信息交互存在橫向邊界的安全隱患。

1.2 縱向邊界存在的安全隱患

配電自動化系統的縱向通信主要是主站與配電自動化終端之間的通信，其形成了縱向的數據流。由于配電自動化系統的通信條件受到諸多因素的影響(如部分配電站房不具備光纖鋪設條件、市中心配電站房鋪設光纖成本過高等)，配電自動化系統在采用光纖通信的同時必須輔以其他的通信方式(如載波和無線通信方式)。其中，以租用移動、聯通等通信運營商的無線通信網絡應用最為廣泛。但是如果沒有對縱向邊界進行防護，只要1張移動、聯通等通信運營商的SIM卡就可直接與配電自動化主站進行通信，通過主站系統非法實現對配電一次設備的遠方控制功能，這樣就出現了縱向邊界的安全隱患。

2 配電自動化系統安全防護總體原則

隨著配電自動化建設的不斷發展，針對配電自動化終端點多面廣的特點，配電自動化系統的安全防護顯得尤為突出。配電自動化系統安全防護主要是為了防范黑客、惡意代碼等對系統的非法攻擊，以及由此引發的電力系統安全事故，保障電力系統的安全、穩定運行。由此制定了“安全分區、網絡專用、橫向隔離、縱向認證”的基本原則。其具體的技術防護措施如下。

2.1 安全分區

根據計算機設備和網絡應用業務的不同，配電自動化系統分為生產控制大區和管理信息大區。其中，生產控制大區包括了實時控制區(Ⅰ區)及實時非控制區(Ⅱ區)；管理信息大區則由生產管理區(Ⅲ區)和信息管理區(Ⅳ區)組成。

（1）實時控制區(Ⅰ區)是直接對一次設備進行實時監控的系統。其通信使用電力調度數據網絡或專用通道的業務系統，或使用該系統的功能模塊（或子系統）。配電自動化系統及調度自動化系統為該控制區的典型業務系統。

（2）實時非控制區(Ⅱ區)是具備在線監視功能但不具備控制功能的系統。其通信同樣使用電力調度數據網絡或者專用通道。調度員培訓模擬系統、繼電保護及故障錄波信息管理系統、電能計量系統等屬于該安全區的業務系統。

（3）生產管理區(Ⅲ區)是與調度生產相關的管理信息系統，調度生產管理系統(OMS)為該安全區的典型業務系統。

（4）信息管理區(Ⅳ區)是與調度生產沒有直接關聯的管理信息系統，如企業信息網。

2.2 網絡專用

電力調度數據網絡必須使用與外界獨立的網絡設備組網，在物理層面上實現電力企業網絡與因特網的安全隔離。電力調度數據網絡通過邏輯隔離劃分為實時子網和非實時子網，分別連接安全Ⅰ區和安全Ⅱ區，從而達到專網專用的目的。

2.3 橫向隔離

橫向隔離主要應用于業務系統的橫向通信隔離。其中，實時控制區(Ⅰ區)與實時非控制區(Ⅱ區)之間的通信必須采用國產硬件防火墻進行邏輯隔離；生產控制大區與管理信息大區之間的通信必須采用已通過相關部門認證的電力專用橫向單向(正向和反向)隔離裝置進行物理隔離。

2.4 縱向認證

縱向認證主要應用于業務系統的縱向通信，其縱向邊界訪問控制須采用硬件防火墻實現邏輯隔離，其數據通信也必須通過縱向加密認證裝置對數據包進行簽名加密，實現調度數據網傳輸保密及訪問控制功能。

3 配電自動化系統通訊安全防護措施

配電自動化系統的通信數據流主要分為橫向和縱向的數據流，如圖1所示。其橫向數據流通過PI4部分與主站系統進行通信，縱向數據流通過PI3，PI2，PI1部分與主站系統進行通信。橫向和縱向數據流的防護措施包括PI1子站/終端的安全防護、PI2縱向通信的安全防護、PI3主站的安全防護、PI4橫向邊界的安全防護。

3.1 PI1子站/終端的安全防護

配電自動化子站/終端必須配置安全模塊或者在與主站的邊界處安裝縱向加密裝置，對主站系統下發的控制(或參數設置)報文進行安全鑒別及數據完整性校驗，以防冒充主站的非法命令對一次電氣設備的誤操作；且子站/終端設備需配置遠方或就地的控制硬壓板和軟壓板，通過其控制是否允許遠方遙控操作或者就地手動操作。

3.2 PI2縱向通信的安全防護

配電自動化系統縱向通信安全防護包括硬件通信鏈路安全防護以及軟件通信規約安全防護。

3．2．1 縱向通信鏈路的安全防護

配電自動化系統的縱向通信鏈路為配電自動化主站系統與子站/終端之間的通信鏈路，其中包括光纖、載波及無線等通信方式。光纖和載波通信方式其接入點均設置在變電站、開閉所或專用機房等固定的地點，且具備門禁或使用加鎖的表箱進行防護，無法通過非接入點侵入系統網絡。因此，對于光纖和載波通信方式的防護只需要在網絡接入點處加裝加密裝置即可。

圖1　配電自動化系統典型通訊結構

當通過GPRS/CDMA等公用無線網絡以無線方式進行縱向通信時，為防止非法入侵的風險，必須通過技術手段進行嚴格的安全防護，確保接入設備的合法性、安全性。在物理鏈路上必須要求運營商采用APN+VPN或VPDN技術實現無線虛擬專有通道，對配電自動化系統的無線通道實行專網專用。該技術首先通過無線終端執行GPRS接入，再通過SGSN(即服務GPRS支持節點)建立1條邏輯專用鏈路，使得無線終端啟動PDP(分組數據協議)激活其所要接入的APN，并分配相應的IP地址，將IP數據包通過GPRS網絡與主站的路由器之間的GRE(通用路由協議封裝)隧道路由出去，從而實現物理鏈路上的安全通信。同時，必須在接入主站的邊界處通過正反向物理隔離裝置進行物理防護，以達到物理邊界與邏輯鏈路的綜合防護。

當采用傳統光纖專網通信時，必須使用獨立纖芯進行主站與終端之間的通信，在物理鏈路上形成專網專用，并且需要在與主站通信的邊界處部署邏輯隔離裝置，如防火墻、安全網關等，對整個網絡拓撲進行邏輯控制，防范非法入侵。

3．2．2 縱向通信規約的安全防護

配電自動化通信網絡必須部署縱向加密認證裝置或模塊進行縱向通信安全的防護。其采用非對稱加密技術進行單向身份認證，從而實現控制(或參數設置)數據報文的完整性校驗和主站身份認證，并且添加時間標簽確保報文的時效性，其規約的標準格式為標準協議控制(或參數設置)報文、時間戳(或隨機數)、數字簽名。

主站系統采用私鑰對控制報文和時間戳進行簽名，將其添加在標準通信規約(如101，104規約)中，形成復合命令報文后發送；終端收到報文后使用預裝的主站公鑰進行驗簽，并對時間戳進行實效性驗證；驗證通過后則執行該命令。在實現下行報文即控制(或參數設置)數據報文的抗重放機制、完整性保護、主站身份鑒別的基礎上，還可以對復合報文的控制(或參數設置)和時間戳(或隨機數)等明文進行加密，實現密文傳輸，提高數據的安全性。同樣，這種加密方式也可對遙測量、遙信量等上行報文進行加密。加密過程應采用加密算法或非對稱加密算法。其通信方式如表1所示。

對未安裝或部署縱向加密裝置或加密模塊的終端，嚴格禁止主站對其進行控制（或參數設置）。

表1　通信方式

3.3 PI3主站的安全防護

對于配電自動化系統，主站與終端通信無論采用何種方式，自動化主站系統前置機必須采用經國家指定部門認證的已進行安全加固的操作系統。其通信必須采用基于調度數字證書的非對稱加密算法完成控制(或參數設置)報文的單向認證及報文的完整性認證。在配電自動化系統中常用的加密算法有ECC(橢圓曲線密碼體制)(160 bit以上)和RSA （1 024 bit以上）算法。在實際應用中多采用RSA算法，即采用不同的加密密鑰及解密密鑰，事先生成1對RSA密鑰，加密密鑰為公開信息，解密密鑰是保密的，通過加密密鑰對會話進行加密，對方收到信息后通過解密密鑰進行解密。在主站前置部分與終端通信邊界處配置縱向加密裝置或加密模塊，對下行控制（或參數設置）命令進行簽名，實現子站/終端對主站的報文完整性保護、身份鑒別及抗重放攻擊功能。

3.4 PI4橫向邊界的安全防護

配電自動化系統需要與各相關系統進行信息交互，如通過EMS采集變電站內設備的運行數據，通過GIS采集配電網設備的圖形及模型信息，通過PMS采集配電網設備的臺賬信息，將配電自動化終端運行信息發送至配網搶修指揮平臺。這些系統分布在安全I區、安全III區，已形成跨安全大區的數據流，因此必須采用物理隔離裝置對其橫向邊界進行防護，并且根據數據流的方向分別配置正向或反向物理隔離裝置；一方面滿足信息交互的需要，另一方面嚴格履行安全防護的總體規定，確保系統的安全性。

4 結束語

配電自動化系統絕非一個單純的技術支撐系統，一方面在橫向上配電自動化系統與多個系統存在信息交互，包括安全I區與安全III區；另一方面由于配電設備點多面廣，單一的通信方式已無法滿足其縱向的數據采集要求，需要無線、有線等多種通信方式并存，使得整個配電自動化系統形成一個由多種通信鏈路與多種信息交互并存的調度業務技術支撐平臺，其安全性直接影響整個電力系統。因此，一方面要通過技術手段對整個系統硬件及軟件進行安全加固；另一方面也要通過管理手段對其接入的相關系統、終端設備及通信鏈路進行有效審核接入管理。隨著配電自動化系統的不斷發展，其安全防護技術同樣需要不斷更新完善，以確保電力系統的安全、穩定、經濟運行。

陳 璐(1981-)，男，工程師，主要從事調度自動化、配電自動化、電力二次安全防護相關工作，email：jedi901@sina．com。

國家能源局發布2015年全社會用電量：同比增長0.5?%

2015年，全社會用電量55 500億kWh，同比增長0．5 %。分產業看，第一產業用電量1 020 億kWh，同比增長2．5 %；第二產業用電量40 046億kWh，同比下降1．4 %；第三產業用電量7 158億kWh，同比增長7．5 %；城鄉居民生活用電量7 276億kWh，同比增長5．0 %。2015年，全國6 000 kW及以上電廠發電設備累計平均利用小時為3 969 h，同比減少349 h。其中，水電設備平均利用小時為3 621 h，同比減少48 h；火電設備平均利用小時為4 329 h，同比減少410 h。2015年，全國電源新增生產能力(正式投產)12 974萬kW，其中，水電1 608萬kW，火電6 400萬kW。

（來源：國家能源局網站 2016-01-18）

作者簡介：

收稿日期：2015-08-13。