電廠二次安防系統設計研究

姚映帆，劉全東，余懷志，鄭國敏

（中國核動力研究設計院 核反應堆系統設計技術重點實驗室，成都 610213）

0 引言

電力系統是由發電廠、送變電線路、供配電和用電環節組成的電能生產與消費系統。其中，用于監測與管理電力系統生產運行過程的各種智能化系統（含電網調度、變電站、發電廠及配用電等）、微機繼電保護及安全自動裝置、電能通信及電網調度信息平臺等，統稱為電力二次系統，電力二次系統與生產調度、通信等輔助功能相關。為防止外界計算機網絡非法入侵對電網二次系統產生影響，從而造成電網一次系統安全事故，所形成的電網二級安全保護系統又稱二次安防。其基本設計原則是安全管理分區，網絡安全專用，橫向分離，縱向認證[1]。在滿足國家信息安全保護原則的基礎上，根據國家安全等級防護規定，將防護戰略由以邊界防御為基本原則轉變到全過程安全防御，建立了具有縱橫防護功能的信息安全防御系統，以保證供電系統的安全可靠與穩定運行。特別是在智能電網中管理流程的信息安全防護，從而實現了供電監測體系與變電站電力調度數據網絡的安全可靠[2]。

圖1 電力安防二次系統結構圖Fig.1 Structure diagram of the secondary system of power security

目前，電力調度數據網一般采用IP技術體制，即通過IP Over SDH （Synchronous Digital Hierarchy，同步數字體系）的技術聯網，完成了調度數據網與供電綜合服務數據網的物理分離。二次安防系統在電力調度數據網的基礎上，實現了對電廠與電網調度中心或變電站之間傳輸數據的安全防護。

1 功能要求

1.1 功能分區與安全分區

電力二次系統設計原則上，應分為生產控制區和管理信息區[3]。生產控制區包括了控制區（安全區I）和非控制區（安全區II）。其中，負責實時信息監控的區域為安全區I，是電網生產調度的關鍵環節，對整個電網一次系統進行了實時監測，其網絡系統還通過專用通道與單獨的網絡設備聯網，從物理層次上完成了與電廠或變電站的一些內部數據網和對外公用互聯網之間的安全分離。安全區II為非控制生產區，是指在生產管理工作區域內不直接參與生產運行的區域。該區域主要由使用電力調度數據網的非實時子網絡的各業務系統所組成，并且采用縱向方式連接。信息管理大區分為生產管理區（安全區III）和管理信息區（安全區IV）。安全區III為生產管理區，該區的系統為實施生產經營管理工作的綜合信息系統。安全區IV為管理信息區，該區的系統為管理信息系統級辦公自動化管理系統。

根據我國電網調度數據網發展的實際情況，并且按照國調《二次系統縱向安全防護體系》的規定，采用基于BGP（Border Gateway Protocol，邊界網關協議）/MPLS（Multi-Protocol Label Switching，多協議標記交換）的VPN技術標準，將電力調度數據網內劃分兩個VPN區，一個為實時控制VPN，另一個為非實時受控VPN。廣域信息的傳遞分別通過安全區I和安全區II來實現[4]。各安全分區的功能如下：

安全區I業務系統：實現EMS（Energy Manage System，能量管理系統）與RTU（Remote Terminal Unit，遠程終端單元）的即時數據通信、監控系統內部的實時數據交換和發電廠自動控制系統數據收集。同時，安全區I負責電力系統動態監測與控制數據、安全穩控系統數據管理、集控站數據的采集和傳輸。這些系統的數據傳輸速率一般取64kbps～2Mbps，傳輸延時400ms，可用性要求為99.9%。其歷史數據的收集可以通過專用網絡或電力調度數據網的實時子網進行傳送。

安全區II業務系統：主要承擔水電站自動化業務處理、發電計劃申報數據處理、電能量采集與計費信息、時鐘同步系統數據處理、安全自動化設備有關管理數據的傳輸等，還承擔調度操作票、檢修票的管理等功能。這種非實時數據數量大，傳輸速率要求不小于64kbps，傳輸時間在10min～15min，電力調度數據網中的非實時子網為其數據傳輸提供通道。

安全區III業務系統：包括調度與生產信息管理系統（DMIS Dispatch Management Information System），雷電監測系統以及統計報表系統等。

安全區IV業務系統：包括了客戶服務管理網絡系統、辦公自動化網絡系統、安全管理信息系統等。

1.2 功能要求

電力二次系統安全防護的內容之一是保障電力調度數據網絡安全可靠的運行，二次安防系統設置于上述安全分區中的安全區1和安全區II。地調、縣調及變電站接入電力調度數據網，應滿足《全國電力二次系統安全防護總體方案》關于遠程數據通信的安全防護規定，以確保核心、骨干及接入節點與電力調度數據網的縱向網絡通信安全。核心、骨干及接入節點的安全區I系統通過加密機隔離后，再接入電力調度數據網；安全區II系統采用防火墻隔離后，直接連接電力調度數據網。并且通過在電力調度數據網通道部署縱向加密認證裝置和防火墻，能夠解決傳統TCP/IP體制中在數據安全性上的缺陷，保障了數據的機密性、完整性、可用性和不可抵賴性，將調度數據網提升為可信的數據傳輸網絡，從而避免網絡攻擊在調度數據網大范圍蔓延并消除網絡數據竊取的隱患，實現了對電廠或變電站與電網調度中心之間傳輸數據的安全防護。

二次安防系統對傳輸網絡具有一定的要求。電力調度數據網是電網調度生產專用網絡，是為電力調度生產服務的重要基礎網絡之一。該網絡應遵循高可靠、高性能和高度安全的基本原則，并充分考慮互聯網技術的新發展方向和應用的迅猛發展要求，努力建立具備較高的操作靈活、適應性和完善的擴展性服務平臺，以適應目前和未來發展的互聯網要求。

2 功能設計

二次安防系統針對電力生產控制系統，應具有加強區域防御和加強縱深防備的作用，保證電力生產控制系統和電力調度數據網絡的安全。從功能設計的角度出發，產品實現過程包括了橫向隔離、縱向認證和安全保護。

2.1 橫向隔離

橫向隔離是指電力二次安全防護系統的側向防御。電力調度數據網提供兩個相互邏輯隔離的MPLS-VPN，一個MPLS-VPN與安全區I通信，另一個與安全區II通信，并且與電力數據通信網進行物理隔離。同時根據系統中對一次系統的輻射范圍和業務重點加以區分，防護的重點是與電力生產實時數據相關的系統。安全區內應包含整套數據系統，并執行同一個安全防護體系。安全區I與安全區II通常可以采用邏輯隔離，安全區I、II與安全區III、IV之間隔離要求應當滿足物理隔離要求。

圖2 地調縱向安全防護配置圖Fig.2 Vertical safety protection configuration diagram of ground adjustment

2.2 縱向認證

縱向認證是電力二次安防體系的縱向防御手段。通過縱向加密認證裝置可以對遠程數據進行縱向邊界的安全防護，該縱向加密裝置位于地調接入網與調度數據網雙平面的核心路由器之間，用于控制區/非控制區的網絡邊界防護，并為本地安全區I/安全區II建立一道網絡安全壁壘，同時為上層地調接入網和下層站端的網絡通信提供認證與加密服務，保障信息傳遞過程中的可靠性、安全性[5-7]。

縱向加密認證的網關能為電力調度數據網通信提供一個VPN，這種VPN具有加密和認證功能。縱向加密認證的互聯網網關通過電力專用分組密碼算法和公共鑰匙密碼算法，對管理員身份進行識別認證，并對信息進行深層次保密處理和密鑰生成，并提供數字簽名和數字加密的功能。

2.3 安全防護

安全防護是電力二次系統的核心功能，完成了對黑客、病毒等多種類型的非法攻擊以及團隊式攻擊的防范，有效抵御了利用遠程邊界所進行的攻擊與入侵，進而減少了由于入侵所造成電網一次系統和二次系統崩潰的可能性，并防范了未經授權用戶登錄系統以及非法獲取信息[8，9]。

安全防護功能包括反病毒（含蠕蟲檢測與阻斷）、動態入侵檢測/阻擋、內容過濾（含URL過濾、阻塞JAVA小程序及COOKIE和ACTIVEX、網頁內容關鍵字過濾）、流量管理、用戶認證、系統管理、日志和監控。

3 性能設計

3.1 數據傳輸性能設計

數據的傳輸特性主要包括網絡延遲、收斂時間、包丟失率以及網絡可用率，這些指標參數是判斷傳輸性能可靠性的標準。電力調度數據網對信息傳輸的實時性需求較高，因為各式各樣的數據可以在互聯網介質中利用互聯網協議進行傳遞，但一旦由于數據量過大而不加以控制，較高的網絡流量就會使得設備反應遲緩，從而導致網絡的延遲。通常情況下，如果互聯網的拓撲結構不發生變化，則不會出現收斂問題。當路由器發現網絡拓撲結構發生變化時，為了同步信息，路由器將會重新計算，并將重新計算的路由數據分發給互聯的同層級路由器，這整個過程所花費的時間稱為收斂時間。同樣，包丟失率與網絡可用率是評價網絡傳輸質量的重要指標，電網數據傳輸性能的常規要求見表1。

表1 電網數據傳輸性能要求Table 1 Power grid data transmission performance requirements

3.2 數據防護性能設計

3.2.1 加密性能設計

加密裝置指經過我國國家商用密碼主管部門認證和許可應用的國內獨立研制的主機密碼裝置，接口鏈路上有橫向加密與縱向加密的區別，加密裝置和主機之間使用TCP/IP協議通信，通常評價加密性能的指標要求包括加密隧道建立時間、明文數據包吞吐量等。為滿足電網調度中心的要求，加密系統性能要求見表2。

表2 加密系統性能要求Table 2 Encryption system performance requirements

3.2.2 防火墻性能設計

采用NP架構的防火墻由主控模塊和網絡處理模塊組成。要求防火墻吞吐量不小于200Mbps，最大并發連接數不小于600，000，并且每秒新建連接數不小于8，000。

防火墻的病毒庫要能夠100%覆蓋Wildlist的活動病毒列表，入侵檢測/阻斷要求覆蓋不少于2000種攻擊或入侵。

4 配置設計

4.1 縱向加密認證裝置配置設計

二次安防系統采用雙機冗余備份設計，針對核心節點的信息傳輸提供雙重保證，當加密裝置發現隧道對端裝置斷開或明通時，加密裝置將啟動明通自適應功能，并自動將經過加密設備處理后的信息轉化為以明通方式處理，為網絡系統運行提供了更高保障。其配置要求見表3[10]。

表3 縱向認證加密裝置（百兆）Table 3 Vertical authentication encryption device (100M)

4.2 防火墻配置設計

防火墻結合了安全管理相關的軟件和硬件設施，構建了一道針對外部網絡的防護屏障，以保證用戶資料的完整性與信息數據完全。根據防火墻的功能設計與性能設計，其性能指標通常包括接口要求、VPN隧道數和加密算法等。其配置要求見表4。

表4 防火墻配置要求Table 4 Firewall configuration requirements

5 總結

電力生產直接關聯著國計民生，而作為國家電力系統的重要基礎設施之一，電力調度數據網不僅與電力生產、客戶服務和調度運營密切相關，而且還與電網調度管理和信息系統的信息安全工作密切相連，其安全問題歷來受到國家有關部門的密切關注。二次安防系統作為電力二次系統的關鍵組成部分，在實行“安全分區、網絡專用、橫向隔離、縱向認證”的基礎上，根據系統分區原則，從網絡分區，從功能設計、性能設計、配置設計的角度，對電力調度數據網絡二次安防系統展開了研究，以減少對電力二次系統存在的安全風險，進而提高電力生產控制系統和調度數據網絡的可靠性和安全性。