郭志彬
(福建省电力有限公司检修分公司厦门分部,福建 厦门 361004)
随着电网的快速发展,电力生产调度的业务在不断丰富,各省级电网公司都建设了骨干调度数据网。该网络承载了调度自动化、继电保护、电量采集等各类调度管理和调度控制系统。作为调度数据网的枢纽节点,500 kV变电站必须同步建设调度数据网,并接入骨干调度数据网。
对于调度数据网的安全防护,国家电监会5号令《电力二次系统安全防护规定》和电监安全34号文件《电力二次系统安全防护总体方案》均作了严格规定,必须做到“安全分区、网络专用、横向隔离、纵向认证”,且枢纽变电站在正式接入骨干电网前,必须建设安全防护系统。
以某500 kV变电站为例,介绍枢纽变电站的调度数据网安全防护系统。
变电站调度数据网拓扑如图1所示,配置2台路由器作为PE路由器。2台路由器之间通过GE接口互联,互为备用。路由器所接的业务实现vlan分区,对安全Ⅰ区实现VRRP互备份,分别通过专用2M线接入调度数据骨干网。2台交换机上均实现vlan分区,交换机之间通过linkaggregation实现端口汇聚。根据站内业务的相应安全等级,接入交换机相应的vlan接口。
按照安全等级,变电站业务系统分为安全Ⅰ区(vlan1)与安全Ⅱ区(vlan2),调度数据网控制区连接站内的安全Ⅰ区,调度数据网非控制区连接站内的安全Ⅱ区。安全Ⅰ区的业务包括远动终端(RTU)、AVC子站、五防系统、相量测量装置(PMU)等。安全Ⅱ区的业务包括故障录波子站,无设置功能的故障信息子站、电能量采集装置等。
图1 变电站调度数据网拓扑示意
在安全Ⅰ区上部署电力专用纵向加密认证装置,在安全Ⅱ区上部署电力专用防火墙,逻辑结构如图2所示。
(1) 在安全Ⅰ区上部署2台电力专用纵向加密认证装置。2台加密认证装置为主、备关系,主加密设备故障时,自动切换业务到备加密装置。考虑到站端和调度端2个系统之间的认证,安全Ⅰ区的纵向通信过程采用纵向加密认证装置之间认证来实现。主要包括:支持基于数字证书的IP认证加密,支持认证定向加密;对业务数据进行数据签名与加密,以保证数据的机密性和完整性;支持网关工作方式与透明工作方式;具有基于应用端口、传输协议、IP地址的访问控制与综合报文过滤功能;实现动态调整安全策略,主、备加密认证装置之间的职能协调。
图2 纵向防护设备部署
(2) 在安全Ⅱ区上部署电力专用防火墙,2台防火墙通过VRRP实现互备份。安全Ⅱ区业务数据通过VRRP优先级高的防火墙传输,当VRRP优先级高的防火墙故障时,自动降低自身优先级,数据业务切换至另一台防火墙。专用防火墙的功能包括:支持多级过滤的访问控制机制,具有包含过滤侦听的状态检测技术;支持对电力多种专用通信协议的分析和控制;具备符合安全防护要求的入侵检测功能,能够检测出针对指定设备的多种攻击;具有基于访问规则的带宽管理功能; 支持VPN加密;支持双机热备份功能,保证业务传输的高可用性和高可靠性;支持基于GUI方式管理,支持OTP认证、管理进行SSL和SSH加密及严格的管理审计,保证管理的安全性。
站内设备的访问控制效果关系到电力系统的安全稳定运行,因此要确保站内设备的访问交互环节处于可控、在控状态。上述目标可以通过以下手段来实现。
(1) 强化口令管理。默认口令或弱口令易被无关人员记忆,也容易被黑客破译。监控系统担负了遥控、远动、数据备份等重要任务,一旦口令被别有用心的人盗取并在系统内进行破坏,将造成无法估量的损失。所以,要做到:合理配置应用账号权限;删除系统中多余的自建账号;修改账号口令,口令长度和复杂性要满足安全要求,并定期更改口令;更改默认的管理员用户名(例如windows系统中的administrator用户);停用默认的访客用户。
(2) 禁用不必要的服务。关闭某些系统和设备的出厂缺省设置,如Remote Registry,Terminal Service,Finger,IP Redirect,Boot Server,Directed Broadcast,Proxy Arp等服务。在路由器上,对于DHCP、SNMP以及Web管理服务等,只有在特殊要求的场合才启用。
(3) 禁止远程访问功能。为方便远程维护,有些厂家使用远程客户端。但是,通过远程访问控制将可能使系统暴露,访问端口也可能被恶意攻击所利用,所以要禁止远程访问功能。对相应的端口进行筛选,只开通与业务相关的端口;删除默认共享功能。
(4) 对进入网络的流量进行控制。为了防止Dos对路由器进行攻击,应禁止异常流量进入,如禁止采用广播地址、本地主机地址、多播地址、没有IP地址以及假冒地址的包。还可以采用缩短ACK超时、增加同步ACK对列长度等措施,避免路由器受到攻击。
调度数据网中传输着重要的业务数据,相关数据库的安全管理就是二次安全防护的重要组成部分。数据资源主要存储于监控系统的服务器、电能量系统的服务器、故障录波装置的服务器、故障信息系统的服务器等设备中。虽然各设备处在安全Ⅰ、Ⅱ区的物理防护下,但是仍面临着人员因素造成的相关威胁,所以必须采取相应措施。如分解操作人员、维护人员、监控人员、巡视人员职责,通过系统登录环节,将相应的权限范围赋予不同人员;实行口令管理,对人员的访问操作信息实现系统自动记录,严禁使用他人口令进行访问控制,并执行相应的处罚制度等。
安装并及时升级防病毒软件是防范病毒危害、阻止病毒入侵的有效手段。对于独立于网络的设备,可使用光盘升级病毒库程序,安全防护人员须定期更新升级。如果设备是直接与调度端主站通讯的设备(例如故障录波),可以用调度端的病毒库服务器来进行病毒库自动升级。
定期备份、安全评估、定期巡查、入侵检测等技术手段,也是二次安全防护的重要加固措施。
电网技术和信息技术的快速发展,对整个电力二次安全防护体系提出了更高要求。只有站在技术的最前沿,不断地完善二次安全防护的技术手段,才能建立严密的防护网,确保电力调度数据网的安全。