水電廠二次系統安全防護分析與討論

潘　亮

(紫坪鋪水力發電廠，四川 成都　610091)

水電廠二次系統安全防護分析與討論

潘亮

(紫坪鋪水力發電廠，四川 成都610091)

摘要：介紹了電力二次系統安全防護的概念，分析了紫坪鋪水力發電廠所采取的二次系統安全防護措施，討論了二次系統安全防護的關鍵點并提出了相應的建議。

關鍵詞：二次系統安全防護；紫坪鋪水力發電廠；計算機監控系統；電力調度數據專網

現代電力系統大規模應用數字通信技術，極大地提升了系統的運行水平。但若通信網被惡意攻擊后癱瘓，將危害電力系統的安全運行。為防范黑客及惡意代碼等對電力二次系統造成的侵害，國家電力監管委員會于2014年頒布了《電力二次系統安全防護規定》，即電監會14號令。

14號令根據不同安全等級，將電力二次系統劃分為生產控制大區和管理信息大區。生產控制大區可以分為控制區(安全區Ⅰ)和非控制區(安全區Ⅱ)；管理信息大區內部在不影響生產控制大區安全的前提下，可以根據各企業的不同安全要求劃分安全區。14號令明確了以下規定：在生產控制大區與管理信息大區之間必須設置經國家指定部門檢測認證的電力專用橫向單向安全隔離裝置；在生產控制大區與廣域網的縱向聯接處應當設置經過國家指定部門檢測認證的電力專用縱向加密認證裝置或加密認證網關及相應設施；安全區邊界應當采取必要的安全防護措施，禁止任何穿越生產控制大區和管理信息大區之間邊界的通用網絡服務。

筆者以紫坪鋪水力發電廠為例，分析了水電廠采取的二次系統安全防護措施。

1紫坪鋪水力發電廠二次系統通信連接分析

紫坪鋪水力發電廠位于四川省岷江上游都江堰市麻溪鄉境內，距成都60 km，大壩為混凝土面板堆石壩，壩高156 m，總庫容11.12億m3。其總裝機容量為760 MW(4×190 MW)，年發電量約34.17億kW·h，以一回500 kV出線接入四川電網。

該廠二次系統安全防護概念中的二次系統包括：電廠計算機監控系統、機組自動控制系統(調速、勵磁系統等)、繼電保護系統、振擺監測系統、廣域向量測量系統(PMU)、水調自動化系統。圖1為紫坪鋪水力發電廠二次系統通信示意圖。

1.1紫坪鋪水力發電廠二次系統間的通信連接

由圖1可見，廠內通信的節點是計算機監控系統，其與廠內主要二次系統通信均使用串口方式，且其余系統相互間沒有橫向連接，因此可以認為它們處于一個相對安全孤立的網絡中。而計算機監控系統除了與該廠二次系統通信外，一方面接入電力通信網，另一方面接入外部網絡，處于相當復雜的網絡環境中。由于計算機監控系統本身具備直接操作電力設備的能力，其一旦受到攻擊，就可能釀成重大事故，甚至攻擊者還可能透過計算機監控系統侵入電力通信網，進而造成更加嚴重的后果。綜上所述，計算機監控系統應作為二次安全防護的一個重要節點，并特別針對調度數據專網和局域網兩個方向的數據做安全防護。

1.2紫坪鋪水力發電廠二次系統接入調度側通信網的情況

紫坪鋪水力發電廠由以下系統向調度側傳輸數據：計算機監控系統(分為101、104兩種業務)、繼電保護系統(線路保護、保護信息管理)、廣域向量測量系統(PMU)、電能量采集系統、水情自動化信息系統、電網輔助系統(包括：電力營銷報價系統、電廠門戶管理平臺等)。

線路保護系統使用MUX裝置(2 M繼電保護信號數字復接接口裝置)通過電力通信網與對側保護裝置通信。該系統不與其它系統發生交集，直接進入SDH網，應將其視為運行于一個安全的

圖1　二次系統通信示意圖

孤立網絡內；保護信息管理柜通過調度數據專網非實時區與對側服務器通信，屬于安全Ⅱ區設備。

計算機監控系統的101規約業務通過PCM進行傳輸，被默認傳輸于安全的專用通道內，不納入二次安全防護考慮；104規約業務通過調度數據專網實時區傳輸數據，屬于安全Ⅰ區設備。

PMU系統通過調度數據專網實時區傳輸數據，屬于Ⅰ區設備。

水調自動化系統、保護信息及電網輔助系統通過調度數據專網非實時區傳輸數據，屬于Ⅱ區設備。

由圖1可見，紫坪鋪水力發電廠屬于安全Ⅰ區、Ⅱ區的二次系統幾乎全部接入了調度數據專網，該網絡一旦被侵入，廠內主要的二次系統均面臨被攻擊的風險。

2紫坪鋪水力發電廠二次系統安全防護措施

紫坪鋪水力發電廠二次系統與外部網絡之間存在兩個邊界：一是向調度側傳輸數據的調度數據專網，接入調度側網絡設備；二是向公司內部發布信息的WEB機，接入局域網(該局域網有端口接入電信公網)。為防范來自兩個外部網絡的入侵，需要對處于邊界的網絡設備進行保護。

2.1面向電力通信網的二次系統安全防護措施

電力二次系統可能遭受到的、來自電力通信網的攻擊可以分為兩種情況：(1)從調度側入侵，攻擊者的攻擊跳板位于調度側或其它接入通信網的電廠；(2)從電廠本側入侵，攻擊者通過該廠接入通信網的設備發動攻擊。

就紫坪鋪水力發電廠而言，以上兩種情況下入侵者都必定要通過調度數據專網。針對這種情況，該廠依據二次安全防護要求，對調度數據專網進行了加固(圖2)。

圖2　紫坪鋪水力發電廠調度數據專網結構圖

調度數據專網通過光端機接入電力通信網，安全Ⅰ區業務和Ⅱ區的業務實現物理隔離，并在兩臺交換機上劃分VLAN對業務進行邏輯隔離，同時關閉交換機所有的非業務端口。

兩臺交換機通過縱向加密認證裝置與電力通信網通信，IDS入侵檢測系統接入兩臺交換機并監測交換機的所有端口，將告警信息實時送二次安全防護綜合管理機。

在這種結構下，縱向加密認證裝置會通過密鑰驗證以阻止非法數據在網絡內縱向流動，而交換機的物理隔離和邏輯隔離則防止其橫向擴散。

2.2面向局域網的二次系統安全防護措施

該廠二次系統接入辦公局域網的唯一節點是計算機監控系統的WEB發布機，該計算機在邏輯路由上連接至計算機監控系統內網。根據14號令規定：安全接入區與生產控制大區中其他部分的連接處必須設置經國家指定部門檢測認證的電力專用橫向單向安全隔離裝置。該廠針對該節點作了如圖3所示的設計。

圖3　紫坪鋪水力發電廠二次安防系統拓撲圖

在該網絡結構中，WEB3位于安全Ⅱ區交換機和Ⅲ區交換機之間，其數據流向計算機監控系統時須經過正向隔離裝置和Ⅱ區防火墻，按照該廠正向隔離裝置配置的策略，包括WEB3的安全Ⅱ區設備無法向安全Ⅰ區(即計算機監控系統)發送數據，進而實現安全Ⅰ區和Ⅱ區的隔離。同樣，WEB3與局域網之間由Ⅲ區防火墻實施類似保護，以應對來自公網的入侵。

3水電廠二次系統安全防護要點及建議

3.1二次系統安全防護的關鍵點

筆者認為：14號令對電力二次系統安全防護作了周詳的闡述，但對發電企業的關注相對較少。電廠在作二次系統安全防護設計時只能參照電網的標準執行，但缺乏更為細致的執行條款。

筆者認為：電廠和電網在二次系統安全防護方面存在細微不同，電廠二次系統的運行環境不像電網那樣復雜，面臨的危險也相對較少。在電廠，針對一些較為封閉的系統(如水情系統)設置專門的防護措施效果并不明顯。因此，二次系統安全防護的關鍵點不應單純地由某個系統的重要性來決定，而應以多個系統交界處、數據交換的關鍵節點作為二次安全防護的關鍵點。

以紫坪鋪水力發電廠為例，大部分二次系統(繼電保護系統、自動控制系統等)的運行環境相對孤立，通常只和本系統下轄的設備和子系統作串口通信，可以視作一個安全封閉的網絡。而最容易受到入侵的是和大量其它系統、設備進行數據交換的節點，即計算機監控系統和電力調度數據專網。

計算機監控系統位于安全I區，可以直接操作發電設備，并與大部分二次系統有數據交換，其重要性毋庸置疑。同時，它也是唯一與外部公網建立數據交換的系統，受入侵的幾率較高且后果嚴重。

電力調度數據專網本身是按照電監會14號令相關要求在專用通道上使用獨立的網絡設備組網，在物理層面上實現與電力企業其它數據網及外部公共信息網的安全隔離。由于該網絡與多個系統有數據交換，其本身亦具備安全隔離功能，故其內部防護(特別是邏輯隔離)一旦被突破則可能影響多個系統的安全。

保護好上述兩個系統的安全，可以提高整個二次系統的安全性，既使發生惡意入侵，也能將對系統和設備的危害性降到最低。

3.2關于電廠二次系統安全防護的建議

筆者在收集其它企業遭受攻擊事件時發現：惡意入侵行為的主要攻擊對象是基于TCP/IP的生產控制類數據業務，這類基于計算機通信的業務通常使用明文傳輸數據，極易受到攻擊；而直接從外部廣域網入侵到生產控制系統的事件較為罕見。大多數惡意攻擊均來自企業內部網絡，并且被攻擊方在發生嚴重后果之前難以察覺到自身已受到攻擊。

事實給我們的提示是：二次系統安全防護既需要有周密的技術措施，也需要完善的制度建設，更需要從業人員具有安全防護的意識。

對于本身運行于一個孤立安全網絡的系統，采取嚴格的管理制度即可以有效地保護系統安全。而對每個二次系統均采取技術措施，既增加了系統的復雜性，而且在實際運行中也會造成資源的浪費。對于每個電廠而言，應確立自身二次系統的關鍵節點，并針對其采取可靠的技術措施和組織措施。在相同投入的情況下，在安全I區和通信網絡的邊界投入更多的資源實施防護效果將更為理想。

4結語

從實際運行情況看，二次系統受到的威脅更多的還是來自于系統內部，如移動存儲器、筆記本計算機傳播的惡意代碼，而非技術難度極高的外部侵入。對于前者，在有效的管理制度下可以杜絕；后者雖然罕見，但一旦發生幾乎都是惡意行為，易造成重大損失，需要采取強有力的技術措施對抗外部入侵。在現代電力系統中，電廠、電網單獨討論二次安全防護并無意義，二次安全防護系統出現任何漏洞都意味著防護失敗。建立完善的管理制度防范內部攻擊，依靠嚴密的技術手段對抗外部入侵，只有將兩者相結合才是真正的二次安全防護體系。另外，雖然二次系統安全防護的水平高低取決于系統中最薄弱的部位，但這并非意味著要在整個防護體系中平均資源，對系統的關鍵點作有針對性地防護其效果顯然更佳，也更具有現實意義。

收稿日期:2015-12-12

中圖分類號:TV7;TV737;TV738

文獻標識碼:B

文章編號:1001-2184(2016)03-0098-04

作者簡介:

潘亮(1983-)，男，四川遂寧人，工程師，從事水電廠自動化監控工作.

(責任編輯：李燕輝)