流域梯級電站遠程集控系統(tǒng)安全防護體系及關鍵技術

丁仁山，孫 銳，洪 林，王宇航，王艷永(.雅礱江流域水電開發(fā)有限公司，成都 6005；. 國網(wǎng)電力科學研究院/南京南瑞集團公司，南京 06)

0 引 言

在水電站由分散、單一開發(fā)運行模式向梯級開發(fā)和智能運行模式發(fā)展過程中，為實現(xiàn)流域梯級電站電力生產(chǎn)的聯(lián)合優(yōu)化調(diào)度，加強分散電力生產(chǎn)控制系統(tǒng)之間的協(xié)調(diào)作用，提高電力生產(chǎn)效益，電力生產(chǎn)逐步進入集中調(diào)控模式，遠程集控系統(tǒng)也由此發(fā)展而來。遠程集控系統(tǒng)一般具有監(jiān)控、控制、維護、管理等功能，隨著工業(yè)化、信息化兩化融合體系的推進和發(fā)展，遠程集控系統(tǒng)已經(jīng)步入結構混合、功能聯(lián)合的新階段，與此同時，在集聚效應下，遠程集控系統(tǒng)的技術發(fā)展和建設更新速度也越來越快。

沒有安全就沒有經(jīng)濟效益，在電力生產(chǎn)控制系統(tǒng)的發(fā)展歷程中，安全防護體系和技術的研究應用一直是重中之重?！笆濉彪A段，國家成立了網(wǎng)絡與信息化領導小組，提出“沒有網(wǎng)絡安全就沒有國家安全”，網(wǎng)絡安全上升到國家戰(zhàn)略層面。然而，在應對電力生產(chǎn)控制系統(tǒng)多元化、信息化發(fā)展趨勢的同時，尤其是面對規(guī)模更大、結構更復雜、功能更聯(lián)合的遠程集控系統(tǒng)而言，系統(tǒng)的安全防護，特別是針對系統(tǒng)新特性和核心控制功能的安全防護是一個必須面對的問題。

1 安全分析

電力生產(chǎn)控制系統(tǒng)是電力生產(chǎn)的承載體，是關系國計民生的核心系統(tǒng)。遠程集控系統(tǒng)在遠程聯(lián)合調(diào)控運行模式下比傳統(tǒng)電力生產(chǎn)控制系統(tǒng)發(fā)電容量更大，控制設備更多，對應受到的安全威脅也更多。

1.1 全面防護需求

遠程集控系統(tǒng)具有專業(yè)跨度大、功能類型多、網(wǎng)絡結構復雜等特點，同時，各其他專業(yè)系統(tǒng)在結構和功能上相互聯(lián)系緊密。相對傳統(tǒng)電力生產(chǎn)控制系統(tǒng)而言，系統(tǒng)規(guī)模更大、結構更多樣、功能更復雜，是結構混合、功能聯(lián)合大型綜合生產(chǎn)控制系統(tǒng)。

遠程集控電力生產(chǎn)控制專業(yè)系統(tǒng)一般包含計算機監(jiān)控系統(tǒng)(SCADA)、廣域測量系統(tǒng)(WAMS)、水情水調(diào)系統(tǒng)、電能量系統(tǒng)(EMS)、繼電保護系統(tǒng)、故障錄波系統(tǒng)、數(shù)據(jù)交換平臺等；專業(yè)系統(tǒng)功能有數(shù)據(jù)采集、設備控制、智能報警、關聯(lián)分析、數(shù)據(jù)整合等；專業(yè)系統(tǒng)網(wǎng)絡結構有星型、環(huán)型、混合型等。專業(yè)系統(tǒng)間數(shù)據(jù)聯(lián)系緊密、高級綜合功能存在跨多系統(tǒng)判據(jù)。

系統(tǒng)全面安全防護隱患來自以下3個方面。

(1)平行系統(tǒng)間相互連接，進行數(shù)據(jù)交互，帶來系統(tǒng)結構層面的安全防護隱患。系統(tǒng)結構防護主要是由系統(tǒng)自身結構以及交互結構決定，自身結構包括軟件功能特點和系統(tǒng)網(wǎng)絡結構，交互結構主要是橫向交互和縱向交互。

(2)系統(tǒng)自身根據(jù)功能以及重要性不同，帶來系統(tǒng)業(yè)務層面的安全防護隱患。系統(tǒng)業(yè)務層面防護主要是針對系統(tǒng)業(yè)務特性，在業(yè)務流的各個方面進行防護工作，例如系統(tǒng)的物理環(huán)境、數(shù)據(jù)、網(wǎng)絡、主機和應用等。

(3)系統(tǒng)內(nèi)部核心業(yè)務的安全防護隱患。從生物學角度來看，核心防護也可以稱為基因防護。具體是指，將系統(tǒng)看成是一系列“有機部分”組成，對“有機部分”從根源處進行可繼承傳遞的基因防護。

1.2 重點防護需求

遠程集控系統(tǒng)是流域電站電力生產(chǎn)控制系統(tǒng)的數(shù)據(jù)集合和調(diào)控中心，在結構上，與流域電站存在多種遠程通信方式。因此，遠程集控系統(tǒng)除了具備常規(guī)電力生產(chǎn)控制系統(tǒng)的特點外，同時還具有數(shù)據(jù)通信源分散、通信通道長和通信方式多的自有特點。遠程集控系統(tǒng)數(shù)據(jù)通信源是地理分散的流域各電站，通信通道長距離暴露在外部環(huán)境中，通信鏈路上的安全防護工作面臨著巨大的挑戰(zhàn)。

遠程集控系統(tǒng)中帶有控制功能的系統(tǒng)主要由集控中心梯級調(diào)度監(jiān)控和流域電站計算機監(jiān)控系統(tǒng)組成，兩者數(shù)據(jù)聯(lián)系緊密，對電力生產(chǎn)設備進行遠程控制，一般采用IEC60870等常用電力規(guī)約組通信，集控中心梯級調(diào)度監(jiān)控系統(tǒng)和流域電站計算機監(jiān)控系統(tǒng)位置分散，導致通信通道距離長，數(shù)據(jù)報文傳輸在相對開放的通信鏈路中。

系統(tǒng)重點環(huán)節(jié)的安全隱患有：

(1)系統(tǒng)控制功能的安全隱患。如果系統(tǒng)控制功能沒有安全機制，可能導致系統(tǒng)控制功能遭受病毒、惡意代碼等威脅源的攻擊破壞。

礦區(qū)位于岡底斯成礦帶東段，大地構造位于岡底斯—念青唐古拉板片，是東特提斯構造域中晚古生代以來具有獨特演化歷程的一個多島弧碰撞造山帶。岡底斯—念青唐古拉板片南北界于雅魯藏布江結合帶和班公湖—怒江結合帶之間，東西兩側分別與西南“三江”構造帶和帕米爾—喀喇昆侖構造帶相連。礦區(qū)屬拉薩-墨竹工卡鉛鋅成礦區(qū)北部，林周-直孔成礦帶中。

(2)系統(tǒng)間長距離通信鏈路的安全隱患。遠程控制系統(tǒng)的特點之一是系統(tǒng)間的通信通道距離長并且相對處于開放式，系統(tǒng)數(shù)據(jù)、控制命令通過通信報文的方式在通信鏈路上傳輸，如果通信報文傳輸沒有安全機制，通信鏈路上報文就容易被黑客等威脅源截獲、仿造甚至篡改，將會直接影響電力生產(chǎn)、人身以及電力設備的安全。

2 三層立體安全防護體系

在國家“兩化融合”等戰(zhàn)略的大力推動下，遠程集控系統(tǒng)建設的需求越來越大，建設更新的速度也越來越快。同時，在面對“震網(wǎng)”病毒等新型國家間對抗的安全形勢下，遠程集控系統(tǒng)的安全要求也越來越高，系統(tǒng)建設速度和安全要求之間的矛盾越發(fā)凸顯，亟需一種安全防護體系從系統(tǒng)層面指導安全防護工作的規(guī)劃、建設和運行維護。

三維立體安全防護體系中三維是指邊界安全防護、等級安全防護和可信安全防護，立體是指在空間上把“結構混合、功能聯(lián)合”的復雜型遠程集控電力控制系統(tǒng)多層模型化，逐層進行全過程安全防護，三維立體安全防護體系如圖1所示。

圖1 遠程集控系統(tǒng)三維立體安全防護體系Fig.1 Three dimensional security system of remote control system

第一層邊界安全防護是以“安全分區(qū)、網(wǎng)絡專用、橫向隔離、縱向認證”十六字方針為基本點，對遠程集控電力控制系統(tǒng)以邊界為重點進行框架式安全防護，確保系統(tǒng)結構安全。2004年12月，國家電力監(jiān)管委員會發(fā)布了5號令《電力二次系統(tǒng)安全防護規(guī)定》及相關配套技術文件，標志著邊界安全防護體系正式形成和應用。

第二層等級安全防護主要是從功能上對遠程集控電力控制系統(tǒng)業(yè)務等級進行劃分，根據(jù)劃分的業(yè)務等級，分別從數(shù)據(jù)安全、應用安全、主機安全、網(wǎng)絡安全和物理安全等方面進行不同等級要求的安全防護，確保系統(tǒng)本體安全。2007年，國家電力監(jiān)管委員會頒布了《關于開展電力行業(yè)信息系統(tǒng)安全等級保護定級工作的通知》等系列文件，全面推進信息系統(tǒng)定級和等級防護工作。

第三層可信安全防護是基于可信計算理論的主動防御安全防護體系，分別從硬件、軟件、網(wǎng)絡和應用等方面應用可信計算理論進行安全防護，確保系統(tǒng)基因安全。2014年8月，國家發(fā)改委印發(fā)了〔2014〕14號令《電力監(jiān)控系統(tǒng)安全防護規(guī)定》；2015年2月，國家能源局以〔2015〕36號文件形式印發(fā)了《電力監(jiān)控系統(tǒng)安全防護總體方案》等系列方案和評估規(guī)范，在進一步細化和提高邊界防護要求的基礎上，提出逐步推廣應用以可信計算為核心的主動式安全防御技術，應對高級別復雜網(wǎng)絡攻擊，標志了可信安全防護體系的確立。

遠程集控系統(tǒng)三層立體安全防護體系在“規(guī)劃設計-實施投運-運行維護”的全生命周期上嚴格執(zhí)行“四同步”原則，即安全防護體系跟隨系統(tǒng)業(yè)務功能“同步設計、同步施工、同步驗收、同步投運”，實現(xiàn)安全防護體系在系統(tǒng)生命周期的全覆蓋。在規(guī)劃設計階段，根據(jù)系統(tǒng)業(yè)務功能，確定系統(tǒng)的安全分區(qū)、網(wǎng)絡結構、橫向隔離和縱向認證等結構安全要求，根據(jù)系統(tǒng)等保等級，確定系統(tǒng)的物理安全、網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全等系統(tǒng)本體安全要求，根據(jù)系統(tǒng)業(yè)務重要性，確定系統(tǒng)的可信硬件、可行軟件、可行網(wǎng)絡或可行應用的基因安全。

遠程集控系統(tǒng)按照邊界安全防護的分區(qū)原則，將綜合自動化系統(tǒng)的各個子系統(tǒng)分列為實時控制區(qū)(安全Ⅰ區(qū))、非實時控制區(qū)(安全Ⅱ區(qū))、生產(chǎn)管理區(qū)(安全Ⅲ區(qū))3個部分。實時控制區(qū)和非實時控制區(qū)之間設置安全防火墻，生產(chǎn)控制大區(qū)和管理信息大區(qū)之間設置正反向隔離裝置。生產(chǎn)控制大區(qū)的集控數(shù)據(jù)網(wǎng)分為實時子網(wǎng)和非實時子網(wǎng)，實現(xiàn)邏輯隔離，生產(chǎn)控制大區(qū)和管理信息大區(qū)之間集控數(shù)據(jù)網(wǎng)實現(xiàn)物理隔離?？v深防御方面，在集控中心和流域電站的生產(chǎn)控制大區(qū)縱向網(wǎng)絡邊界設置縱向加密裝置，管理信息大區(qū)縱向網(wǎng)絡邊界設置防火墻。按照等級保護要求，將集控中心遠程集控電力控制系統(tǒng)中梯級調(diào)度監(jiān)控、水調(diào)自動化系統(tǒng)、電量采集系統(tǒng)、繼電保護信息管理系統(tǒng)評定為等保三級，按照等保三級的要求實現(xiàn)等級防護。同時，針對集控中心梯級調(diào)度監(jiān)控的核心控制功能，設計了一種基于可信計算理論的可信控制命令和可信報文傳輸策略，實現(xiàn)可信防護。系統(tǒng)安全防護框架如圖2所示。

圖2 遠程集控系統(tǒng)安全防護框架Fig.2 Security framework for remote control system

3 關鍵安全防護技術

梯級調(diào)度監(jiān)控系統(tǒng)是遠程集控系統(tǒng)的重要組成部分，承擔著流域電力生產(chǎn)實時監(jiān)視和梯級調(diào)控的功能[5]。電力生產(chǎn)監(jiān)控功能的源端在集控中心，目的端在流域上各廠站，源端和目的端空間上長距離分散分布，功能上相互依賴。針對雅礱江流域梯級調(diào)度監(jiān)控系統(tǒng)控制功能源端-目的端長距離分布、功能聯(lián)合的特點，采用了一種基于可信計算理論的控制命令安全技術，包括可信控制命令和可信報文安全傳輸機制。

3.1 可信控制命令

可信計算理論是信息安全領域的新技術，具有廣泛的應用前景，具體包括可信硬件，可信軟件，可信網(wǎng)絡和可信應用等方面。本文提出的可信控制命令和可行報文安全傳輸機制屬于可信應用的一種具體表現(xiàn)。

可信控制命令的基本思路是，在源端把控制命令的出生點標記作為可信根，在內(nèi)部傳遞的各個環(huán)節(jié)進行安全認證，并在認證通過后打上對應環(huán)節(jié)的可信環(huán)標記，最后在源端系統(tǒng)與傳輸鏈路的出口處進行安全封裝，封裝后的安全報文在傳輸鏈路上進行傳輸，目的端接收到安全報文后根據(jù)安全策略進行逐層的可信認證解封，在所有認證解封通過后，目的端執(zhí)行控制命令并返回安全校驗。可信根和可信環(huán)是由控制命令發(fā)出或轉(zhuǎn)發(fā)的源節(jié)點服務器地址信息，目的節(jié)點服務器地址信息，應用系統(tǒng)控制命令編碼等信息按照一定安全防護邏輯加密生成。可信控制命令的功能框架如圖3所示。

圖3 可信控制命令功能框架Fig.3 Functional framework of trusted control commands

可信控制命令在系統(tǒng)安全防護層面屬于基因式主動防護技術。在遠程集控系統(tǒng)內(nèi)部的控制命令生成、流轉(zhuǎn)、發(fā)出的各個環(huán)節(jié)，一環(huán)認證一環(huán)，將安全認證逐環(huán)節(jié)進行繼承式傳遞，對于沒有經(jīng)過安全認證的控制命令直接屏蔽丟棄，從而在系統(tǒng)內(nèi)部基因?qū)用嫔辖鉀Q了惡意代碼等安全威脅對系統(tǒng)核心功能攻擊。

3.2 可信報文安全傳輸機制

遠程集控系統(tǒng)的基礎是電力生產(chǎn)數(shù)據(jù)通信，防數(shù)據(jù)通信失敗導致的安全問題是在系統(tǒng)設計、運行、維護過程中必須考慮的環(huán)節(jié)。其中集控中心與流域電站之間數(shù)據(jù)通信規(guī)約廣泛采用IEC60870-5系列國際標準規(guī)約組[6]。因為IEC60870-5規(guī)約組本身沒有包含遠動信息安全傳輸機制的內(nèi)容，根據(jù)遠程集控系統(tǒng)的自身特點，設計了一種可信報文安全傳輸機制。

可信報文安全傳輸機制的基本思路是，傳輸鏈路建立機制采用連接主從站鏈路個數(shù)和連接IP地址判定，建立安全的連接鏈路，報文傳輸過程中采用報文時序號控制報文收發(fā)的順序，在主從站端判斷報文的時序號，對于帶有異常報文時序號的報文，采用丟棄不采用策略，防止異常報文的插入。報文傳輸解析時判斷報文中控制對象號和控制權限，屏蔽和拋棄異常控制對象號和不符合控制權限的控制命令，對控制對象進行高安全性可信控制保護?？尚艌笪陌踩珎鬏敊C制如圖4所示。

圖4 可信報文安全傳輸機制Fig.4 Secure transmission mechanism of trusted message

可信報文傳輸機制是一種基于通信規(guī)約的安全防護傳輸機制，在遠程集控系統(tǒng)核心業(yè)務流程跨長距離通道通信時，解決了系統(tǒng)業(yè)務通信報文在長距離通信通道上容易被黑客等威脅源截獲篡改、仿造非法報文等安全威脅?？尚艌笪膫鬏敊C制作為遠動通訊軟件的重要組成部分，通過了國家繼電保護及自動化設備質(zhì)量監(jiān)督檢驗中心開普實驗室的檢驗認證。

4 實際應用

雅礱江是全國十二大水電基地之一，全流域水能理論蘊藏量3 840萬kW，規(guī)劃建設22座水電站。雅礱江流域電站遠程集控系統(tǒng)是實現(xiàn)梯級電站電力統(tǒng)一規(guī)劃生產(chǎn)、水庫統(tǒng)一優(yōu)化調(diào)度的基礎，截止目前，接入集控中心的電站有5座，接入遠程系統(tǒng)近60個，遠程集控系統(tǒng)通信通道最長達600多km，通信方式包括電力專網(wǎng)、電信、衛(wèi)星等。

在實際應用實踐中，應用了三維立體安全防護體系的雅礱江流域電站遠程集控系統(tǒng)共有遠程控制對象2 942個，從2011年實現(xiàn)遠程控制開始，操作成功率達100%，操作平均下發(fā)時間為1.5 s，基于可行計算理論的安全控制命令和安全傳輸機制等安全策略很好地規(guī)避了控制命令長距離傳輸過程中容易被截獲篡改、仿造的安全風險，保證了遠程控制的實時性、可靠性和安全性。

5 結 論

(1)三維立體安全防護體系是一種針對結構混合、功能聯(lián)合型綜合自動化系統(tǒng)群的整體防護方案，從系統(tǒng)群的邊界、本體以及基因?qū)哟畏謩e進行了針對性的安全設計。

(2)可信控制命令是根據(jù)具有控制功能的業(yè)務系統(tǒng)的自身特性，在業(yè)務系統(tǒng)控制命令的生成、傳輸、解析、執(zhí)行等全生命周期過程中，一環(huán)認證一環(huán)，逐環(huán)傳遞可信標記，對外部危險源的偽造具有很好的辨識和屏蔽能力，大幅度提高系統(tǒng)控制功能的安全性。

(3)可信報文傳輸機制是根據(jù)遠程集控系統(tǒng)具有長距離信息傳輸通道的特性，在通信鏈路建立、報文發(fā)送/接收等信息傳輸過程中，主動辨識IP地址、鏈路個數(shù)、報文序列號等安全標記，從傳輸機制上加強信息報文傳輸?shù)陌踩浴?/p>

(4)三維立體安全防護體系及其可信計算等關鍵技術的研究與應用，提高了遠程集控電力控制系統(tǒng)安全防護的健壯性，為多源異構遠程集控系統(tǒng)的建設、運行提供了新的思路和方法，具有積極的指導意義和廣闊的應用前景。

□

[1] 國家發(fā)展和改革委員會.〔2014〕14號令 電力監(jiān)控系統(tǒng)安全防護規(guī)定[Z].

[2] 國家能源局.國能安全〔2015〕36號 國家能源局關于印發(fā)電力監(jiān)控系統(tǒng)安全防護總體方案等安全防護方案和評估規(guī)范的通知[Z].

[3] 國家電力監(jiān)管委員會.電監(jiān)信息62號 電力行業(yè)遠程集控電力控制系統(tǒng)安全等級保護基本要求[Z].

[4] 沈昌祥，張煥國，王懷民，等.可信計算的研究與發(fā)展[J].中國科學：信息科學,2010,40:130-166.

[5] 丁仁山，孫 銳. 雅礱江流域梯級電站遠程集控方式設計及實現(xiàn)[J].水電自動化與大壩監(jiān)測,2013,37:14-17.

[6] 洪 林，陳 鵬.基于IEC104規(guī)約的水電廠遠動通信實時性和安全性的優(yōu)化措施[J].水電自動化與大壩監(jiān)測，2014,38(3):37-39,56.