電網調度自動化二次系統安全防護實踐

臧 琦，鄒 婧，郭娟莉，常 沛

（國家電網渭南供電局 陜西 渭南 714000）

隨著互聯網的飛速發展，網絡已經成為國家、企業乃至個人不可缺少的一部分，但伴隨著網絡高速發展的同時，網上犯罪也呈現出上升趨勢，網絡越來越不安全。近年來電力調度系統的業務不斷豐富，調度自動化系統（SCADA系統、PAS系統、AVC系統等）、電能量計量系統、調度員培訓仿真系統（DTS系統）、調度生產管理系統（OMS系統）、電力調度數據網等，很多業務系統存在跨區數據交換的需求，對電力調度系統安全管理能力提出了非常高的要求。目前，針對調度二次安全防護，已經有明確的指導文件：電力監管委員會《電力二次系統安全防護規定》（電監會5號令）、國家電網調度中心《全國電力二次系統安全防護總體方案》、中華人民共和國國家經濟貿易委員會令第30號 《電網和電廠計算機監控系統及調度數據網絡安全防護規定》。這3個文件從政策法規的層面和技術方案的層面，明確了電力調度部門信息安全建設的具體措施。國家電網渭南分公司嚴格按照電力調度二次系統安全防護的規定組網，確保了該公司電力二次系統的安全穩定可靠運行。

1 電力二次系統安全防護體系

1.1 安全防護體系中各安全分區之間橫向隔離

如圖1所示，根據全國電力二次系統安全防護總體框架及其核心思想（安全分區、網絡專用、橫向隔離、縱向認證），可將整個電力二次系統分為生產控制大區和管理信息大區。生產控制大區分為控制區 （安全區I）和非控制區 （安全區II）。信息管理大區分為生產管理區（安全區III）和管理信息區（安全區IV）。不同安全區確定不同安全防護要求，其中安全區I安全等級最高，安全區II次之，其余依次類推。

圖1 各安全分區之間橫向隔離示意圖Fig.1 Security division between horizontal isolation schemes

電力系統安全防護的基本原則是：電力系統中，安全等級較高的系統不受安全等級較低系統的影響。電力監控系統的安全等級高于電力管理信息系統及辦公自動化系統，各電力監控系統必須具備可靠性的自身安全防護設施，不得與安全等級較低的系統直接連接。

從橫向角度說，為強化安全區間的隔離，采用不同強度的網絡安全設備（如硬件防火墻及正向、反向電力專用安全隔離裝置等），使各安全區中的業務系統得到有效保護。安全區I與安全區II之間采用硬件防火墻進行隔離；安全控制大區（安全 I、II區）與管理信息大區（安全 III、IV區）之間采用電力專用隔離裝置進行隔離，并限制數據的流向；從安全I、II區往安全III區單向傳輸信息須采用正向隔離裝置，由安全III區往安全I、II區的單向數據傳輸必須采用反向隔離裝置。安全III區與安全IV區之間采用硬件防火墻進行隔離。

1.2 調度中心二次系統各安全區劃分

1.2.1 安全區I：實時控制區

安全區I中的業務系統或功能模塊的典型特征為直接實現實時監控功能，是電力生產的重要必要環節。系統實時在線運行，使用調度數據網絡或專用通道。其實時性要求很高，目前包括實時閉環控制的SCADA/EMS系統、廣域相量測量系統（WAMS）、安全自動控制系統和保護設置工作站（有改定值、遠方投退功能）。

1.2.2 安全區II：非控制生產區

安全區II中的業務系統或功能模塊的典型特征為：所實現的功能為電力生產的必要環節，但不具備控制功能，使用調度數據網絡，在線運行，與安全區I中的系統或功能模塊聯系緊密。其沒有實時控制業務但需要通過SPDnet進行遠方通信的準實時業務系統。目前包括水調自動化系統、調度員培訓模擬系統（DTS）、電力交易系統、電能量計量系統、考核系統、繼保及故錄管理系統（沒有改定值、遠方投退功能）等。

1.2.3 安全區III：生產管理區

安全區III中的業務系統或功能模塊的典型特征為：實現電力生產的管理功能，但不具備控制功能，不在線運行，可不使用電力調度數據網絡，與調度中心或控制中心工作人員桌面終端直接相關，與安全IV的辦公自動化系統關系密切。其可不通過SPTnet進行遠方通信的調度生產管理系統，目前包括雷電監測系統、氣象信息、日報/早報、DMIS等。

1.2.4 安全區IV：管理信息區

安全區IV中的業務系統或功能模塊的典型特征為：實現電力信息管理和辦公自動化功能，使用電力數據通信網絡，業務系統的訪問界面主要為桌面終端。該區包括辦公自動化系統（OA）和管理信息系統、客戶服務等。該區的外部通信邊界為SPTnet—VPN2（信息VPN）及因特網。

2 渭南供電局電力二次系統安全防護體系

2.1 各安全分區之間橫向隔離示意圖

渭南供電局電力二次系統安全防護體系中各安全分區之間橫向隔離示意圖如圖2所示。

圖2 各安全分區之間橫向隔離示意圖Fig.2 Security division between horizontal isolation schemes

2.2 電力二次系統安全防護體系具體情況

2.2.1 安全分區、網絡專用

渭南供電局電力二次系統安全防護體系由安全區I區SCADA系統、安全區II DTS系統和電量采集計量主站系統、安全區III OMS系統和安全區IV局OA管理信息系統組成，各網絡嚴格遵守網絡專用的原則。

2.2.2 橫向隔離

渭南供電局電力二次系統安全防護體系安全區I由SCADA系統組成，它是電力生產的重要環節、安全防護的重點與核心，直接實現對一次系統運行的實時監控。安全區II有調度員模擬仿真DTS系統和電量采集計量主站系統。安全區I和安全區II DTS系統之間采用防火墻，防火墻具有很好的保護作用。入侵者必須首先穿越防火墻的安全防線，才能接觸目標計算機。防火墻采用北京東平聯祥科技有限公司生產的Dptech Fw100-ME防火墻。該防火墻符合I、II區之間須采用有關部門認定核準的硬件防火墻進行邏輯隔離，禁止E-mail、Web、Telnet、Rlogin 等服務穿越安全區之間的隔離設備，對I、II區進行了有效的隔離。

安全區 I、II不得與安全區 IV直接聯系；安全區I、II與安全區III之間必須采用經有關部門認定核準的專用安全隔離裝置，專用安全隔離裝置分為正向型和反向型，從安全區I、II往安全區III必須采用正向安全隔離裝置單向傳輸信息。嚴格禁止 E-mail、Web、Telnet、Rlogin 等網絡服務和數據庫訪問功能穿越專用安全隔離裝置，僅允許純文本數據通過，并嚴格進行病毒、木馬等惡意代碼的查殺。安全區I、II與安全區III、IV之間的專用安全隔離裝置應該達到或接近物理隔離。系統安全I區的SCADA系統、安全區II的DTS系統與安全區III之間采用由北京東方京海電子科技有限公司生產的DF-NS310S實時隔離網關，安全區II電量采集計量系統和安全區III也采用此實時隔離網關，這兩個隔離網關均符合規定要求。

安全區III與安全區IV之間采用由北京東平聯祥科技有限公司生產的Dptech Fw100-ME防火墻。

2.2.3 縱向認證

電力調度數據網是電力二次安全防護體系的重要網絡基礎，是與生產控制大區相連接的專用網絡，承載電力實時控制、在線生產交易等業務。調度數據網的主要目的之一是實現調度中心之間及調度中心與廠站之間調度系統互連和相互訪問。電力調度數據網應當在專用通道上使用獨立的網絡設備組網，采用基于SDH/PDH的技術，在物理層面上實現與電力企業其他數據網及外部公共信息網的安全隔離。渭南電力分公司電力調度安全區I與調度數據網之間采用縱向加密認證裝置，其位于電力調度控制系統的內部局域網與電力調度數據網絡的路由器之間，用于安全區I/II的廣域網邊界保護，可為本地安全區I/II提供一個網絡屏障，同時為上下級控制系統之間的廣域網通信提供認證與加密服務，實現數據傳輸的機密性、完整性保護。

如圖3所示，我公司安全I區縱向使用電力調度數據網，其連接設備由數據通信科學技術研究所生產的SJW07-A增強型電力專用縱向加密認證裝置，共有兩臺設備，其一端與安全I區SCADA系統的前置服務器3或前置服務器4相連，一端與地調I區交換機（連接于電力調度數據網）相連。

圖3 縱向加密認證裝置連接圖Fig.3 Longitudinal encryption and authentication devices connected graph

2.2.4 入侵檢測系統

為了保證計算機系統的安全，渭南電力公司裝配了捷普的入侵檢測系統，其設計與配置能夠及時發現并報告系統中未授權或異?，F象，是一種用于檢測計算機網絡中違反安全策略行為的設備。違反安全策略的行為有入侵（非法用戶的違規行為）、濫用（用戶的違規行為）。該設備有IDS系統，IDS控制線與II區交換機連接。IDS系統的主要功能包括提供事件記錄流的信息源，發現入侵跡象的分析引擎，基于分析引擎的結果產生反應的響應部件。

2.2.5 安全監測平臺

渭南電力公司還裝配了浪潮Inspur內網安全監測平臺。I區內網安全監控平臺連接I、III區隔離裝置、地調I區交換機、EMS主網交換機，監測EMS系統的安全運行。II區內網安全監測平臺連接II、III區隔離裝置、地調II區交換機、電量主網交換機，監測電量系統的安全運行。

2.2.6 安全管理規定

眾所周知網絡安全實現并不完全取決于技術手段，管理安全是網絡安全真正得以維系的重要保證。管理安全電力系統安全制度的制定、國家法律、法規的宣傳以及提高企業人員的整體網絡安全意識。

面對網絡安全的脆弱性，除了運用先進的網絡安全技術和安全系統外，完善的網絡安全管理將是信息系統建設重要組成部分，許多不安全的因素恰恰反映在組織資源管理上，安全管理應該貫穿在安全的各個層次上。

建立電力行業的安全制度管理，包括機房管理、網絡管理、數據管理、設備管理、應急處理、人員管理、技術資料管理等有關信息系統建設的管理規范。按照技術管理目標，展開對最新網絡安全技術的跟蹤研究，并就電力行業信息系統的安全技術進行交流、探討，從而提出本公司的網絡安全技術和管理策略。按照資源管理目標，對電力行業網絡系統的物理資源、網絡資源、信息資源實現統一的資源分配設置，根據資源的重要程度確定安全等級，從而確立安全管理范圍。

3 結束語

電力調度自動化系統網絡安全及設備安全是電網安全運行的重要保證[7]。根據我公司調度自動化系統設備實際情況，具體分析了電力調度自動化系統的二次安全防護的具體情況，嚴格按照國家規定的安全分區、網絡專用、橫向隔離、縱向認證的原則，規范建立了電力二次系統的安全防護體系，保障了生產控制大區安全及電力系統安全穩定運行。

[1]國家電力監管委員會.電力二次系統安全防護規定[S].2005.

[2]朱騰，朱黎.基于電力二次系統的網絡安全防護[J].電氣世界，2008（12）：42-44.ZHU Teng，ZHU Li.Based on power secondary system network safe protection[J].Electrical World，2008（12）：42-44.

[3]國家經濟貿易委員會.電網和電廠計算機監控系統及調度數據網絡安全防護規定[S].2002.

[4]辛耀中，盧長燕.電力系統數據網絡技術體制分析[J].電力系統自動化，2000，24（21）：1-6.XIN Yao-zhong,LU Chang-yan.Analysis of data network technology architecture for power system[J].Automation of Electric Systerm,2000，24（21）：1-6.

[5]山西省電力公司.電網自動化[M].北京：中國電力出版社，2009.

[6]柳永智，劉曉川.電力系統遠動[M].北京：中國電力出版社，2005.

[7]滕曉.漢中電網調度自動化主系統升級改造方案[J].陜西電力，2009（12）:61-66.TENG Xiao.Upgrade program of dispatching automation system in Hanzhong grid[J].Shaanxi Electric Power，2009（12）:61-66.