(嘉陵江亭子口水利水電開發(fā)有限公司，四川 蒼溪，628400)

亭子口水利樞紐位于四川省廣元市蒼溪縣境內(nèi)，下距蒼溪縣城約15km，是嘉陵江干流開發(fā)中唯一的控制性工程，是以防洪、灌溉及城鄉(xiāng)供水、發(fā)電為主，兼顧航運，并具有攔沙減淤等效益的綜合利用工程。該工程裝有4臺單機容量為275MW的水輪發(fā)電機組，首臺機組于2013年6月發(fā)電，4臺機組2013年底全部建成投產(chǎn)。電站出線電壓等級為500kV。

1 亭子口水電站網(wǎng)絡(luò)安全防護(hù)基本情況

1.1 網(wǎng)絡(luò)安全防護(hù)目標(biāo)

(1)抵御黑客、病毒、惡意代碼等通過各種形式對電力二次系統(tǒng)發(fā)起的惡意破壞和攻擊，尤其是集團(tuán)式攻擊；

(2)防止內(nèi)部未授權(quán)用戶訪問系統(tǒng)或非法獲取信息以及重大違規(guī)操作行為；

(3)防護(hù)重點是通過各種技術(shù)和管理措施，對實時閉環(huán)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)的安全實施保護(hù)，防止電力二次系統(tǒng)癱瘓和失控，并由此導(dǎo)致電力系統(tǒng)故障。

1.2 網(wǎng)絡(luò)安全防護(hù)現(xiàn)狀及安全分析

1.2.1 計算機監(jiān)控系統(tǒng)

采用南瑞自控公司SSJ-3000型水電廠計算機監(jiān)控系統(tǒng)。系統(tǒng)采用傳輸速率為1000Mbps的工業(yè)以太網(wǎng)結(jié)構(gòu)，系統(tǒng)內(nèi)各節(jié)點全部接入該網(wǎng)絡(luò)。計算機監(jiān)控系統(tǒng)是安全防護(hù)的重點，其安全問題包括：

(1)監(jiān)控系統(tǒng)與廠內(nèi)各系統(tǒng)橫向通信的安全；

(2)與調(diào)度端的通信對數(shù)據(jù)實時性、機密性、完整性要求高；

(3)數(shù)據(jù)服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫及應(yīng)用程序安全；

(4)防范病毒入侵網(wǎng)絡(luò)和傳播。

1.2.2 相量測量裝置(PMU)

采用江蘇華瑞泰科技股份有限公司LPS-700裝置，采用光纖以太網(wǎng)組成分布式結(jié)構(gòu)。與調(diào)度端的網(wǎng)絡(luò)通信接口應(yīng)采取縱向防護(hù)措施。

1.2.3 安全自動裝置

配置二套(雙重化)安全穩(wěn)定裝置，具有與系統(tǒng)安全自動裝置的接口，接收系統(tǒng)發(fā)來的因故障需要切亭子口電站機組的命令。裝置的安全問題來自與調(diào)度端的網(wǎng)絡(luò)通信，對于裝置間專用通道不考慮其安全性。

1.2.4 泄洪閘控制系統(tǒng)

泄洪閘控制系統(tǒng)采用集控級和現(xiàn)地控制級兩級分布式控制結(jié)構(gòu)。電站計算機監(jiān)控系統(tǒng)的大壩LCU作為泄洪閘控制系統(tǒng)的集控級，現(xiàn)地控制級設(shè)備級包括8套表孔閘門控制設(shè)備、5套底孔閘門控制設(shè)備及左/右岸灌溉引水渠閘門控制設(shè)備。大壩LCU是計算機監(jiān)控系統(tǒng)的現(xiàn)地控制級設(shè)備，與計算機監(jiān)控系統(tǒng)之間采用網(wǎng)絡(luò)通信接口。泄洪閘控制系統(tǒng)為具有控制功能的業(yè)務(wù)系統(tǒng)，應(yīng)劃入安全區(qū)Ⅰ，因此，與計算機監(jiān)控系統(tǒng)之間的連接無需隔離。

1.2.5 電能量計量系統(tǒng)

電能量計量系統(tǒng)由電能量采集裝置和計量點電表構(gòu)成，與計算機監(jiān)控系統(tǒng)之間的通信方式采用RS485串行通信方式。電能量計量系統(tǒng)與調(diào)度端的網(wǎng)絡(luò)通信存在病毒傳播、網(wǎng)絡(luò)攻擊和違規(guī)操作的隱患。

1.2.6 繼電保護(hù)及故障信息管理系統(tǒng)

采用上海許繼電氣有限公司的I-POFAS智能型電網(wǎng)故障信息處理系統(tǒng)子站，通過以太網(wǎng)將發(fā)變組、500kV線路、主變、母線的保護(hù)和故障錄波等信息集中到統(tǒng)一數(shù)據(jù)平臺。出于安全考慮，保護(hù)定值校核修改功能被屏蔽，系統(tǒng)僅完成保護(hù)和故障信息處理和發(fā)送。

1.2.7 水調(diào)自動化分站系統(tǒng)

亭子口水電站水調(diào)自動化分站系統(tǒng)與計算機監(jiān)控系統(tǒng)采用串行通信接口。另外水調(diào)自動化分站系統(tǒng)還需要與相關(guān)服務(wù)系統(tǒng)通信以獲取水文、氣象等數(shù)據(jù)。

1.2.8 水電站報價系統(tǒng)

水電站報價系統(tǒng)，作為電力市場運營系統(tǒng)的組成部分，應(yīng)劃入安全區(qū)Ⅱ，具有很高的保密性要求。與調(diào)度端的通信為電力調(diào)度數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)方式。遠(yuǎn)程網(wǎng)絡(luò)通信須符合縱向認(rèn)證的相關(guān)規(guī)定。

1.2.9 機組狀態(tài)監(jiān)測系統(tǒng)

亭子口水電站4臺機組采用北京華科同安的機組狀態(tài)監(jiān)測分析系統(tǒng)。系統(tǒng)的安全問題在于采用防火墻同Web服務(wù)器進(jìn)行隔離，防護(hù)強度不夠，系統(tǒng)內(nèi)部存在病毒傳播和遭到網(wǎng)絡(luò)攻擊的隱患。

1.2.10 工業(yè)電視系統(tǒng)

亭子口工業(yè)電視系統(tǒng)由合肥金星機電科技發(fā)展有限公司提供，采用全數(shù)字分級分區(qū)方案，能夠兼容高清和標(biāo)清網(wǎng)絡(luò)攝像機。系統(tǒng)共分為控制級和分區(qū)級，主要由網(wǎng)絡(luò)設(shè)備、控制級設(shè)備、分區(qū)級設(shè)備、前端設(shè)備組成。工業(yè)電視系統(tǒng)應(yīng)劃分為管理信息大區(qū)系統(tǒng)的安全區(qū)Ⅲ。

1.2.11 MIS網(wǎng)

MIS網(wǎng)是管理信息大區(qū)的主干網(wǎng)絡(luò)，由于其應(yīng)用系統(tǒng)雜、使用人員多、向公共網(wǎng)絡(luò)開放，因此信息安全問題較嚴(yán)重，包括：

(1)MIS網(wǎng)與Internet連接，工作人員使用網(wǎng)絡(luò)瀏覽器、即時通信工具和電子郵件的頻率很高，存在很大的病毒感染和網(wǎng)絡(luò)攻擊隱患；

(2)由于防火墻的局限性，單純使用防火墻很難對內(nèi)部網(wǎng)絡(luò)起到完善的保護(hù)作用；

(3)出差人員使用移動終端通過訪問辦公OA系統(tǒng)，數(shù)據(jù)經(jīng)過PSTN時存在被竊取的安全隱患。同時終端的安全防護(hù)和管理不嚴(yán)格，可能造成病毒、惡意代碼和網(wǎng)絡(luò)攻擊進(jìn)入MIS網(wǎng)內(nèi)部；

(4)電廠OMS及計劃申報發(fā)布終端與四川省調(diào)OMS系統(tǒng)之間如果經(jīng)過綜合數(shù)據(jù)通信網(wǎng)通信，須采用隔離措施保護(hù)內(nèi)網(wǎng)安全。

2 亭子口水電站網(wǎng)絡(luò)安全防護(hù)方案

2.1 安全分區(qū)

對亭子口水電站的應(yīng)用系統(tǒng)按表1進(jìn)行安全區(qū)劃分，其中計算機監(jiān)控系統(tǒng)和機組狀態(tài)監(jiān)測系統(tǒng)的Web服務(wù)器外移至安全區(qū)Ⅲ，并作為獨立系統(tǒng)運行。

(1)安全區(qū)Ⅰ

包括計算機監(jiān)控系統(tǒng)、安全自動裝置、閘門控制系統(tǒng)、相量測量系統(tǒng)(PMU)等。計算機監(jiān)控系統(tǒng)是實時生產(chǎn)監(jiān)控系統(tǒng)，是整個安全保護(hù)的核心。這類系統(tǒng)對數(shù)據(jù)通信的實時性要求為毫秒級或秒級，其中負(fù)荷管理系統(tǒng)為分鐘級。該區(qū)與調(diào)度的外部邊界是電力調(diào)度數(shù)據(jù)網(wǎng)的實時子網(wǎng)和專用通道。

(2)安全區(qū)Ⅱ

包括水調(diào)自動化系統(tǒng)、電能量計量系統(tǒng)、繼電保護(hù)故障信息管理系統(tǒng)、水電站報價系統(tǒng)、機組狀態(tài)監(jiān)測系統(tǒng)等。數(shù)據(jù)的非實時性是分鐘級、小時級、日、月甚至年。該區(qū)與調(diào)度的外部邊界目前主要是電力調(diào)度數(shù)據(jù)網(wǎng)的非實時子網(wǎng)及撥號方式。

(3)安全區(qū)Ⅲ

包括計算機監(jiān)控系統(tǒng)WEB服務(wù)器、機組狀態(tài)監(jiān)測WEB服務(wù)器、水調(diào)自動化系統(tǒng)WEB服務(wù)器、工業(yè)電視系統(tǒng)、生產(chǎn)管理信息系統(tǒng)OMS及計劃申報發(fā)布終端等。

(4)安全區(qū)Ⅳ

包括生產(chǎn)信息管理系統(tǒng)、辦公自動化系統(tǒng)等。

表1 亭子口水電站安全分區(qū)規(guī)劃表

安全區(qū)之間的連接拓?fù)洳捎面準(zhǔn)浇Y(jié)構(gòu)，安全區(qū)Ⅰ和區(qū)Ⅱ之間通過防火墻實現(xiàn)邏輯隔離，安全區(qū)Ⅱ和安全區(qū)Ⅲ之間通過隔離裝置實現(xiàn)橫向隔離或反向隔離，安全區(qū)Ⅲ和安全區(qū)Ⅳ通過防火墻確保安全區(qū)Ⅲ系統(tǒng)的安全。

亭子口水電站二次系統(tǒng)安全防護(hù)系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)見圖1。

2.2 生產(chǎn)控制大區(qū)防護(hù)措施

2.2.1 網(wǎng)絡(luò)專用

(1)電力調(diào)度數(shù)據(jù)網(wǎng)是生產(chǎn)控制大區(qū)與調(diào)度端通信的專用網(wǎng)絡(luò)。它提供邏輯隔離的實時子網(wǎng)和非實時子網(wǎng)，分別接入安全區(qū)Ⅰ和安全區(qū)Ⅱ的業(yè)務(wù)系統(tǒng)；

圖1 亭子口水電站二次系統(tǒng)安全防護(hù)方案設(shè)備配置

(2)對電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)設(shè)備進(jìn)行安全配置；

(3)對接入電力調(diào)度數(shù)據(jù)網(wǎng)的業(yè)務(wù)設(shè)備必須進(jìn)行嚴(yán)格的安全審查，保證接入系統(tǒng)不會降低調(diào)度數(shù)據(jù)網(wǎng)的安全性。

2.2.2 橫向隔離

2.2.2.1 安全區(qū)Ⅰ和安全區(qū)Ⅱ的隔離

安全區(qū)Ⅰ和安全區(qū)Ⅱ各配置一臺區(qū)內(nèi)交換機作為區(qū)內(nèi)業(yè)務(wù)設(shè)備匯聚節(jié)點。兩交換機經(jīng)防火墻邏輯隔離，防火墻應(yīng)配置嚴(yán)格的訪問控制策略。

2.2.2.2 生產(chǎn)控制大區(qū)與管理信息大區(qū)的隔離

(1)安全區(qū)Ⅲ配置一臺區(qū)內(nèi)交換機作為區(qū)內(nèi)業(yè)務(wù)設(shè)備的匯聚節(jié)點，與安全區(qū)Ⅱ交換機采用正向物理隔離裝置隔離；

(2)如果水調(diào)自動化系統(tǒng)以網(wǎng)絡(luò)方式從安全區(qū)Ⅲ相關(guān)系統(tǒng)獲取水文、氣象信息，必須部署反向物理隔離裝置切斷網(wǎng)絡(luò)連接，并對信息進(jìn)行嚴(yán)格檢查過濾。

橫向隔離的部署見圖2。

圖2 生產(chǎn)控制大區(qū)橫向隔離措施

2.2.3 縱向認(rèn)證

為保證生產(chǎn)控制大區(qū)業(yè)務(wù)系統(tǒng)同調(diào)度端交換信息的保密性、完整性和可用性，在電力調(diào)度數(shù)據(jù)網(wǎng)接入系統(tǒng)實時VPN交換機和接入路由器之間須布置國家指定部門檢測認(rèn)證的電力專用縱向加密認(rèn)證裝置；非實時VPN交換機和接入路由器之間須布置經(jīng)過國家相關(guān)部門認(rèn)證和測試的硬件防火墻?？v向認(rèn)證及通信防護(hù)見圖3。

圖3 生產(chǎn)控制大區(qū)縱向通信防護(hù)

2.3 管理信息大區(qū)防護(hù)措施

2.3.1 橫向隔離

安全區(qū)Ⅲ、Ⅳ之間采用防火墻邏輯隔離，防火墻應(yīng)設(shè)置嚴(yán)格的訪問控制策略和訪問權(quán)限，有效保護(hù)計算機監(jiān)控系統(tǒng)和機組狀態(tài)監(jiān)測系統(tǒng)Web服務(wù)器的安全，如圖4所示。

圖4 管理信息大區(qū)橫向隔離

2.3.2 遠(yuǎn)程通信防護(hù)

整合亭子口水電站管理信息大區(qū)網(wǎng)絡(luò)原有的網(wǎng)絡(luò)邊界防護(hù)，提出下列防護(hù)方案：

圖5 管理信息大區(qū)遠(yuǎn)程通信防護(hù)

(1)電站MIS網(wǎng)與企業(yè)網(wǎng)接入路由器之間采用防火墻隔離。防止企業(yè)網(wǎng)內(nèi)部的病毒傳播、黑客攻擊和非法操作，增強對網(wǎng)絡(luò)關(guān)口的審計監(jiān)察能力；

(2)電站MIS網(wǎng)與Internet之間采用防火墻隔離，嚴(yán)格限制接入Internet的應(yīng)用程序和服務(wù)，禁止外部對內(nèi)網(wǎng)的非法訪問，隱藏內(nèi)網(wǎng)的拓?fù)浣Y(jié)構(gòu)和真實IP；

(3)撥號網(wǎng)絡(luò)接入路由器須固定訪問路由器，嚴(yán)格控制遠(yuǎn)程撥號用戶的權(quán)限。內(nèi)網(wǎng)和PSTN經(jīng)防火墻隔離，采用VPN保證數(shù)據(jù)通信安全。

2.3.3 病毒防護(hù)

管理信息大區(qū)網(wǎng)絡(luò)連接的服務(wù)器和終端數(shù)量大，為有效防范病毒在網(wǎng)絡(luò)中傳播，應(yīng)建立全面的病毒防護(hù)體系。具體包括以下方面：

(1)建立多層防毒機制，病毒防護(hù)覆蓋安全區(qū)Ⅲ、Ⅳ的所有服務(wù)器和工作站；

(2)安全區(qū)Ⅲ、Ⅳ統(tǒng)一部署病毒防護(hù)系統(tǒng)；

(3)安全區(qū)III/IV的網(wǎng)絡(luò)防病毒系統(tǒng)可以通過自動升級病毒庫的方式進(jìn)行在線升級；

(4)重視并加強對移動介質(zhì)的病毒防護(hù)。遠(yuǎn)程撥號訪問MIS網(wǎng)絡(luò)的筆記本電腦應(yīng)與網(wǎng)內(nèi)同步更新病毒軟件。

3 結(jié)語

針對亭子口水電站網(wǎng)絡(luò)系統(tǒng)和基于網(wǎng)絡(luò)的電力生產(chǎn)控制系統(tǒng)，通過系統(tǒng)結(jié)構(gòu)調(diào)整、邊界防護(hù)的強化和內(nèi)部安全措施的部署并配合安全管理，形成由邊界到核心、由設(shè)備到人員的立體防護(hù)體系，確保電站生產(chǎn)控制系統(tǒng)的安全及敏感數(shù)據(jù)的保密性、完整性和可用性。