洪道鑒，王周虹，洪 蕾，姚衛(wèi)興

（臺州電業(yè)局，浙江 臨海 317000）

隨著計算機(jī)信息技術(shù)的發(fā)展，各級電網(wǎng)逐步以電能量采集系統(tǒng)取代人工抄表來完成電能計量數(shù)據(jù)的采集處理，并以此作為電量銷售結(jié)算的依據(jù)，為電網(wǎng)經(jīng)營管理提供了快速、精確、便捷的電量信息管理手段。由于電能量采集系統(tǒng)不是一個孤立的系統(tǒng)，需要與不同的系統(tǒng)互聯(lián)，在提供電量信息共享查詢的同時，也帶來了電量數(shù)據(jù)信息的安全問題。在電能量采集系統(tǒng)建設(shè)過程中往往比較重視應(yīng)用功能需求的實(shí)現(xiàn)，而忽略數(shù)據(jù)安全措施的落實(shí)。本文在分析地-縣一體化電能量采集系統(tǒng)結(jié)構(gòu)特點(diǎn)的基礎(chǔ)上，結(jié)合現(xiàn)代計算機(jī)網(wǎng)絡(luò)安全技術(shù)以及行為管理理念，提出全面的安全防御體系建設(shè)方案。

1 地-縣一體化電能量采集系統(tǒng)結(jié)構(gòu)

地-縣一體化電能量采集系統(tǒng)由集中于地區(qū)電力調(diào)度的主站系統(tǒng)、分布于各縣局調(diào)度的采集子系統(tǒng)以及各變電站采集終端等部分組成，系統(tǒng)結(jié)構(gòu)如圖1所示。

變電站的采集終端（ERTU）通過RS-485總線采集電能表計量數(shù)據(jù)，并進(jìn)行轉(zhuǎn)存和按主站規(guī)約轉(zhuǎn)發(fā)?？h局采集子系統(tǒng)負(fù)責(zé)采集縣局本級調(diào)度管理的變電站電量數(shù)據(jù)，通過電話交換網(wǎng)或數(shù)據(jù)網(wǎng)定時采集各變電站的ERTU數(shù)據(jù)，并通過數(shù)據(jù)網(wǎng)上傳給地區(qū)局主站系統(tǒng)集中處理和發(fā)布。地區(qū)局主站系統(tǒng)采集地區(qū)本級調(diào)度管轄的變電站ERTU數(shù)據(jù)以及匯集各縣局采集子系統(tǒng)采集到的電量數(shù)據(jù)，對全地區(qū)電量數(shù)據(jù)進(jìn)行集中加工處理和存儲，并通過WEB服務(wù)器發(fā)布電量數(shù)據(jù)及報表。系統(tǒng)主要實(shí)現(xiàn)變電站電能量數(shù)據(jù)的自動采集、數(shù)據(jù)正確性自動檢查（雙表比對、母線平衡分析）、換表、換電流互感器流程處理、線路和變壓器損耗分析以及表計檔案管理等功能。各級用戶通過訪問地區(qū)局的WEB服務(wù)器進(jìn)行數(shù)據(jù)報表查詢和流程處理。

圖1 臺州電網(wǎng)電能量采集系統(tǒng)安全防御體系結(jié)構(gòu)

電能量采集系統(tǒng)不是封閉系統(tǒng)，主站系統(tǒng)除通過調(diào)度數(shù)據(jù)網(wǎng)與縣局采集子站連接外，還需要和數(shù)據(jù)采集與監(jiān)視控制（SCADA）系統(tǒng)連接，采集SCADA系統(tǒng)負(fù)荷積分電量數(shù)據(jù)，與管理信息網(wǎng)絡(luò)連接，實(shí)現(xiàn)對用戶的WEB服務(wù)和報表發(fā)布。

2 安全風(fēng)險分析

地-縣一體化電能量采集管理系統(tǒng)的安全風(fēng)險包括網(wǎng)絡(luò)安全和數(shù)據(jù)安全，主要表現(xiàn)在：

（1）非法網(wǎng)絡(luò)用戶入侵網(wǎng)絡(luò)和主機(jī)操作系統(tǒng)，對網(wǎng)絡(luò)以及主機(jī)進(jìn)行攻擊破壞，導(dǎo)致計算機(jī)網(wǎng)絡(luò)系統(tǒng)癱瘓、服務(wù)中斷。

（2）非法用戶入侵?jǐn)?shù)據(jù)庫系統(tǒng)，破壞數(shù)據(jù)庫結(jié)構(gòu)，造成系統(tǒng)癱瘓或篡改電能計量數(shù)據(jù)導(dǎo)致數(shù)據(jù)不正確。

（3）因數(shù)據(jù)遠(yuǎn)程傳輸過程中采用明文數(shù)據(jù)傳輸而被攻擊者截獲篡改、信息假冒，導(dǎo)致數(shù)據(jù)不正確。

（4）應(yīng)用系統(tǒng)用戶權(quán)限管理、數(shù)據(jù)訪問存在安全漏洞，導(dǎo)致用戶可超出授權(quán)權(quán)限進(jìn)行操作。

3 應(yīng)用系統(tǒng)安全

電能量采集系統(tǒng)應(yīng)用安全由多個層面組成，包括應(yīng)用程序系統(tǒng)級安全、功能級安全、數(shù)據(jù)域安全、程序資源訪問控制安全。其中前3個安全問題與電量的應(yīng)用業(yè)務(wù)相關(guān)，程序資源訪問控制相對來說比較獨(dú)立，在服務(wù)端體現(xiàn)為訪問目標(biāo)資源前進(jìn)行權(quán)限判斷，在客戶端則體現(xiàn)為界面組件元素的使能情況。在電量中心數(shù)據(jù)庫設(shè)計時，建立電量采集原始數(shù)據(jù)庫、應(yīng)用數(shù)據(jù)庫，其中原始數(shù)據(jù)庫中的原始電量數(shù)據(jù)應(yīng)用程序不可修改，應(yīng)用數(shù)據(jù)庫中涉及原始數(shù)據(jù)修正的應(yīng)帶修改標(biāo)記及修改信息，確保電量數(shù)據(jù)的嚴(yán)密性。

4 安全防御體系

從安全的事前處理、事中處理、事后處理3個階段出發(fā)，電能量采集系統(tǒng)的安全防御體系包括安全防護(hù)系統(tǒng)、災(zāi)難恢復(fù)系統(tǒng)、事故追查系統(tǒng)和安全管理制度，這4個部分完整結(jié)合構(gòu)成全面的安全防御體系，相互關(guān)系如圖2所示。

圖2 電能量采集系統(tǒng)的安全防御體系關(guān)系

4.1 安全防護(hù)系統(tǒng)

安全防護(hù)系統(tǒng)是整個安全防御體系的關(guān)鍵，可阻止可能存在的一切黑客和病毒攻擊，確保電能量采集系統(tǒng)安全穩(wěn)定運(yùn)行。

4.1.1 物理安全

物理安全的目的是保護(hù)電能量采集系統(tǒng)設(shè)備、網(wǎng)絡(luò)設(shè)備等硬件設(shè)備和通信鏈路免受自然災(zāi)害和人為破壞，確保計算機(jī)系統(tǒng)和網(wǎng)絡(luò)設(shè)備具有良好的電磁兼容工作環(huán)境，防止非法進(jìn)入機(jī)房進(jìn)行偷竊、切換電源等破壞活動的發(fā)生。機(jī)房應(yīng)安裝門禁系統(tǒng)、精密空調(diào)，配備可靠的UPS電源，確保電能量采集系統(tǒng)有良好的運(yùn)行環(huán)境。

4.1.2 安全區(qū)域劃分

根據(jù)《電力二次系統(tǒng)安全防護(hù)規(guī)定》，電能量采集系統(tǒng)的安全等級為安全Ⅱ區(qū)，屬生產(chǎn)控制大區(qū)。由圖1可見，電能量采集系統(tǒng)不是一個孤立的系統(tǒng)，橫向需要與安全Ⅰ區(qū)（SCADA系統(tǒng)）、安全Ⅳ區(qū)（業(yè)務(wù)用戶、PI數(shù)據(jù)平臺等）互聯(lián)，縱向通過數(shù)據(jù)網(wǎng)與縣局安全Ⅱ區(qū)（采集子系統(tǒng)）互聯(lián)。整個電量系統(tǒng)網(wǎng)絡(luò)應(yīng)遵循“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的原則[1]。

4.1.3 橫向安全隔離措施

由于電能量采集系統(tǒng)核心設(shè)備屬安全Ⅱ區(qū)，與電量采集系統(tǒng)的業(yè)務(wù)用戶（安全Ⅳ區(qū)）分屬不同的控制大區(qū)，不允許用戶與核心數(shù)據(jù)服務(wù)器之間建立直接連接。為確保用戶正常使用，將WEB服務(wù)外移至安全Ⅲ區(qū)，在安全Ⅲ區(qū)設(shè)置數(shù)據(jù)鏡像服務(wù)器和數(shù)據(jù)發(fā)布服務(wù)器，核心數(shù)據(jù)服務(wù)器的數(shù)據(jù)通過單比特應(yīng)答的正反向安全隔離裝置進(jìn)行網(wǎng)絡(luò)隔離和數(shù)據(jù)同步，阻斷E-Mail，WEB，Telnet，Rlogin，F(xiàn)TP等安全風(fēng)險高的通用網(wǎng)絡(luò)服務(wù)和以B/S或C/S方式的數(shù)據(jù)庫訪問穿越專用橫向單項安全隔離裝置，僅允許純數(shù)據(jù)的單項安全傳輸，確保電能量采集系統(tǒng)核心數(shù)據(jù)不受外部網(wǎng)絡(luò)用戶的任何影響。

電能量采集系統(tǒng)（安全Ⅱ區(qū)）與SCADA系統(tǒng)（安全Ⅰ區(qū)）同屬控制大區(qū)，它們之間由防火墻進(jìn)行隔離，防火墻按照最小滿足原則配置安全規(guī)則。

4.1.4 縱向安全加密認(rèn)證措施

地-縣一體化電能量采集系統(tǒng)的地調(diào)主站系統(tǒng)與分布在縣局的采集子站系統(tǒng)之間通過調(diào)度數(shù)據(jù)廣域網(wǎng)連接。為確保傳輸數(shù)據(jù)的安全性，在數(shù)據(jù)網(wǎng)中配置電量專用MPLS-VPN通道，與其他應(yīng)用系統(tǒng)（SCADA、保護(hù)信息等）有效隔離。同時在主站以及各縣局子站分別布置縱向加密認(rèn)證裝置，為廣域網(wǎng)通信提供認(rèn)證與加密功能，實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)臋C(jī)密性、完整性保護(hù)。通過隧道配置建立加密裝置間的加密信道，并對傳輸?shù)膱笪倪M(jìn)行加密，設(shè)備密鑰由縱向加密認(rèn)證裝置產(chǎn)生，其私鑰保存在裝置內(nèi)，公鑰經(jīng)上級調(diào)度數(shù)字證書服務(wù)系統(tǒng)簽名，以數(shù)字證書的方式發(fā)布。

變電站采集終端與采集子系統(tǒng)之間有網(wǎng)絡(luò)、電話撥號等傳輸方式，這些傳輸通道上的數(shù)據(jù)同樣可能受到外界安全因素的影響。對于網(wǎng)絡(luò)傳輸通道，利用調(diào)度數(shù)據(jù)網(wǎng)電量專有MPLS-VPN通道傳輸，與其他業(yè)務(wù)有效隔離。電話撥號通道采用調(diào)度專用電話系統(tǒng)，與行政電話、市話相互獨(dú)立，有效防止外部干擾。

4.1.5 主機(jī)安全加固及病毒防護(hù)

主機(jī)操作系統(tǒng)以及數(shù)據(jù)庫系統(tǒng)的默認(rèn)配置存在較大的安全漏洞，為提高系統(tǒng)安全性，需要對電能量采集主站系統(tǒng)各數(shù)據(jù)應(yīng)用服務(wù)器和數(shù)據(jù)庫通過更新補(bǔ)丁、加固文件系統(tǒng)、配置文件、帳號管理、遠(yuǎn)程登陸和遠(yuǎn)程服務(wù)、存儲過程、備份過程、角色和權(quán)限審核、并發(fā)事件資源限制、訪問時間限制等項目按照最小滿足原則進(jìn)行配置。

計算機(jī)病毒會嚴(yán)重威脅電能量采集管理系統(tǒng)正常運(yùn)行，但由于電能量采集系統(tǒng)屬安全控制大區(qū)，不允許與外網(wǎng)連接，無法通過Internet來更新補(bǔ)丁和升級病毒庫，為此在安全Ⅱ區(qū)建立獨(dú)立的防病毒服務(wù)器對系統(tǒng)統(tǒng)一進(jìn)行補(bǔ)丁升級和病毒庫更新管理，防病毒服務(wù)器的代碼更新來自上級調(diào)度相同安全區(qū)的專用防病毒服務(wù)。

4.2 災(zāi)難恢復(fù)系統(tǒng)

災(zāi)難恢復(fù)系統(tǒng)屬于安全事件的事中處理和事后處理，主要作用是一旦發(fā)生安全防護(hù)系統(tǒng)未能阻擋的黑客攻擊、合法用戶操作不當(dāng)或硬件損壞、地震等突發(fā)事件造成系統(tǒng)癱瘓等安全事件后，保證業(yè)務(wù)處理系統(tǒng)能夠在指定時間內(nèi)恢復(fù)正常運(yùn)轉(zhuǎn)。

通過建設(shè)備份系統(tǒng)，對實(shí)時運(yùn)行的電能量采集系統(tǒng)的關(guān)鍵主機(jī)、數(shù)據(jù)庫進(jìn)行備份存儲，每周定期進(jìn)行全備份、每天進(jìn)行增量備份，確保系統(tǒng)可恢復(fù)到故障前的狀態(tài)。備份存儲設(shè)備可采用磁帶、磁盤庫等備份系統(tǒng)，通過商用的備份管理軟件實(shí)現(xiàn)系統(tǒng)的備份管理。若條件允許，應(yīng)建立異地備份系統(tǒng)。

4.3 事故追查系統(tǒng)

事故追查系統(tǒng)也屬于安全事件的事中處理和事后處理，主要作用是：在網(wǎng)絡(luò)安全事件發(fā)生過程中能夠向網(wǎng)絡(luò)安全管理員提供必要的信息，幫助其采取相應(yīng)的措施阻止安全事件的繼續(xù)發(fā)展，避免安全事故的發(fā)生；當(dāng)發(fā)生網(wǎng)絡(luò)安全事件后，能夠使網(wǎng)絡(luò)管理人員、調(diào)查人員明確造成安全事件的原因所在，為追究責(zé)任人提供技術(shù)證據(jù)。在正常情況下，可通過事故追查系統(tǒng)反饋安全薄弱環(huán)節(jié)，不斷完善安全防護(hù)系統(tǒng)及災(zāi)難恢復(fù)系統(tǒng)的配置策略，使系統(tǒng)更加安全。

為達(dá)到安全事件原因追查的目的，一方面可通過開啟電能量系統(tǒng)各主機(jī)的審計功能、應(yīng)用系統(tǒng)事件日志功能、防火墻的異常事件記錄功能，實(shí)現(xiàn)對電能量系統(tǒng)的安全事件進(jìn)行一定程度的追蹤分析。另一方面可通過安裝入侵檢測系統(tǒng)（IDS）、安全監(jiān)管系統(tǒng)，對電能量系統(tǒng)網(wǎng)絡(luò)通信進(jìn)行記錄、異常報警，及時通知管理員采取相應(yīng)的防護(hù)措施。部署安全審計措施，將安全審計與安全區(qū)網(wǎng)絡(luò)管理系統(tǒng)、綜合告警系統(tǒng)、IDS管理系統(tǒng)、敏感業(yè)務(wù)服務(wù)器登錄認(rèn)證和授權(quán)、應(yīng)用訪問權(quán)限等結(jié)合在一起。

4.4 安全管理制度

完善和規(guī)范網(wǎng)絡(luò)系統(tǒng)安全規(guī)章制度、操作流程和故障處理流程，是安全管理的前提、依據(jù)和要求，防范因制度缺陷帶來的風(fēng)險，有利于避免誤操作。技術(shù)層面各種安全措施的執(zhí)行都需要配套相應(yīng)的制度，對技術(shù)層面不能解決的內(nèi)部安全問題可通過制度約束來彌補(bǔ)。為保障電能量采集系統(tǒng)的安全運(yùn)行，應(yīng)建立網(wǎng)絡(luò)接入管理制度、機(jī)房人員出入管理制度、數(shù)據(jù)備份管理制度、安全責(zé)任制度、安全評估制度[1]以及電能量業(yè)務(wù)流程管理制度等，并嚴(yán)格執(zhí)行，這是實(shí)施安全管理的關(guān)鍵。

5 結(jié)論

本文以臺州地-縣一體化電能量采集系統(tǒng)為研究對象，提出了電能量系統(tǒng)的全面安全防御體系建設(shè)方案，強(qiáng)調(diào)安全防御體系的系統(tǒng)性，不能以技術(shù)取代管理。但安全不是靜止的，隨著電能量采集系統(tǒng)規(guī)模的擴(kuò)大、應(yīng)用軟件的升級、人員的變動，安全狀況也會隨之發(fā)生變化，需要在實(shí)踐中不斷加以完善。

[1] 國家電力監(jiān)管委員會.電力二次系統(tǒng)安全防護(hù)規(guī)定[S].北京：中國電力出版社，2004.