流域梯级电站远程集控系统安全防护体系及关键技术

丁仁山，孙 锐，洪 林，王宇航，王艳永(.雅砻江流域水电开发有限公司，成都 6005；. 国网电力科学研究院/南京南瑞集团公司，南京 06)

0 引 言

在水电站由分散、单一开发运行模式向梯级开发和智能运行模式发展过程中，为实现流域梯级电站电力生产的联合优化调度，加强分散电力生产控制系统之间的协调作用，提高电力生产效益，电力生产逐步进入集中调控模式，远程集控系统也由此发展而来。远程集控系统一般具有监控、控制、维护、管理等功能，随着工业化、信息化两化融合体系的推进和发展，远程集控系统已经步入结构混合、功能联合的新阶段，与此同时，在集聚效应下，远程集控系统的技术发展和建设更新速度也越来越快。

没有安全就没有经济效益，在电力生产控制系统的发展历程中，安全防护体系和技术的研究应用一直是重中之重。“十二五”阶段，国家成立了网络与信息化领导小组，提出“没有网络安全就没有国家安全”，网络安全上升到国家战略层面。然而，在应对电力生产控制系统多元化、信息化发展趋势的同时，尤其是面对规模更大、结构更复杂、功能更联合的远程集控系统而言，系统的安全防护，特别是针对系统新特性和核心控制功能的安全防护是一个必须面对的问题。

1 安全分析

电力生产控制系统是电力生产的承载体，是关系国计民生的核心系统。远程集控系统在远程联合调控运行模式下比传统电力生产控制系统发电容量更大，控制设备更多，对应受到的安全威胁也更多。

1.1 全面防护需求

远程集控系统具有专业跨度大、功能类型多、网络结构复杂等特点，同时，各其他专业系统在结构和功能上相互联系紧密。相对传统电力生产控制系统而言，系统规模更大、结构更多样、功能更复杂，是结构混合、功能联合大型综合生产控制系统。

远程集控电力生产控制专业系统一般包含计算机监控系统(SCADA)、广域测量系统(WAMS)、水情水调系统、电能量系统(EMS)、继电保护系统、故障录波系统、数据交换平台等；专业系统功能有数据采集、设备控制、智能报警、关联分析、数据整合等；专业系统网络结构有星型、环型、混合型等。专业系统间数据联系紧密、高级综合功能存在跨多系统判据。

系统全面安全防护隐患来自以下3个方面。

(1)平行系统间相互连接，进行数据交互，带来系统结构层面的安全防护隐患。系统结构防护主要是由系统自身结构以及交互结构决定，自身结构包括软件功能特点和系统网络结构，交互结构主要是横向交互和纵向交互。

(2)系统自身根据功能以及重要性不同，带来系统业务层面的安全防护隐患。系统业务层面防护主要是针对系统业务特性，在业务流的各个方面进行防护工作，例如系统的物理环境、数据、网络、主机和应用等。

(3)系统内部核心业务的安全防护隐患。从生物学角度来看，核心防护也可以称为基因防护。具体是指，将系统看成是一系列“有机部分”组成，对“有机部分”从根源处进行可继承传递的基因防护。

1.2 重点防护需求

远程集控系统是流域电站电力生产控制系统的数据集合和调控中心，在结构上，与流域电站存在多种远程通信方式。因此，远程集控系统除了具备常规电力生产控制系统的特点外，同时还具有数据通信源分散、通信通道长和通信方式多的自有特点。远程集控系统数据通信源是地理分散的流域各电站，通信通道长距离暴露在外部环境中，通信链路上的安全防护工作面临着巨大的挑战。

远程集控系统中带有控制功能的系统主要由集控中心梯级调度监控和流域电站计算机监控系统组成，两者数据联系紧密，对电力生产设备进行远程控制，一般采用IEC60870等常用电力规约组通信，集控中心梯级调度监控系统和流域电站计算机监控系统位置分散，导致通信通道距离长，数据报文传输在相对开放的通信链路中。

系统重点环节的安全隐患有：

(1)系统控制功能的安全隐患。如果系统控制功能没有安全机制，可能导致系统控制功能遭受病毒、恶意代码等威胁源的攻击破坏。

矿区位于冈底斯成矿带东段，大地构造位于冈底斯—念青唐古拉板片，是东特提斯构造域中晚古生代以来具有独特演化历程的一个多岛弧碰撞造山带。冈底斯—念青唐古拉板片南北界于雅鲁藏布江结合带和班公湖—怒江结合带之间，东西两侧分别与西南“三江”构造带和帕米尔—喀喇昆仑构造带相连。矿区属拉萨-墨竹工卡铅锌成矿区北部，林周-直孔成矿带中。

(2)系统间长距离通信链路的安全隐患。远程控制系统的特点之一是系统间的通信通道距离长并且相对处于开放式，系统数据、控制命令通过通信报文的方式在通信链路上传输，如果通信报文传输没有安全机制，通信链路上报文就容易被黑客等威胁源截获、仿造甚至篡改，将会直接影响电力生产、人身以及电力设备的安全。

2 三层立体安全防护体系

在国家“两化融合”等战略的大力推动下，远程集控系统建设的需求越来越大，建设更新的速度也越来越快。同时，在面对“震网”病毒等新型国家间对抗的安全形势下，远程集控系统的安全要求也越来越高，系统建设速度和安全要求之间的矛盾越发凸显，亟需一种安全防护体系从系统层面指导安全防护工作的规划、建设和运行维护。

三维立体安全防护体系中三维是指边界安全防护、等级安全防护和可信安全防护，立体是指在空间上把“结构混合、功能联合”的复杂型远程集控电力控制系统多层模型化，逐层进行全过程安全防护，三维立体安全防护体系如图1所示。

图1 远程集控系统三维立体安全防护体系Fig.1 Three dimensional security system of remote control system

第一层边界安全防护是以“安全分区、网络专用、横向隔离、纵向认证”十六字方针为基本点，对远程集控电力控制系统以边界为重点进行框架式安全防护，确保系统结构安全。2004年12月，国家电力监管委员会发布了5号令《电力二次系统安全防护规定》及相关配套技术文件，标志着边界安全防护体系正式形成和应用。

第二层等级安全防护主要是从功能上对远程集控电力控制系统业务等级进行划分，根据划分的业务等级，分别从数据安全、应用安全、主机安全、网络安全和物理安全等方面进行不同等级要求的安全防护，确保系统本体安全。2007年，国家电力监管委员会颁布了《关于开展电力行业信息系统安全等级保护定级工作的通知》等系列文件，全面推进信息系统定级和等级防护工作。

第三层可信安全防护是基于可信计算理论的主动防御安全防护体系，分别从硬件、软件、网络和应用等方面应用可信计算理论进行安全防护，确保系统基因安全。2014年8月，国家发改委印发了〔2014〕14号令《电力监控系统安全防护规定》；2015年2月，国家能源局以〔2015〕36号文件形式印发了《电力监控系统安全防护总体方案》等系列方案和评估规范，在进一步细化和提高边界防护要求的基础上，提出逐步推广应用以可信计算为核心的主动式安全防御技术，应对高级别复杂网络攻击，标志了可信安全防护体系的确立。

远程集控系统三层立体安全防护体系在“规划设计-实施投运-运行维护”的全生命周期上严格执行“四同步”原则，即安全防护体系跟随系统业务功能“同步设计、同步施工、同步验收、同步投运”，实现安全防护体系在系统生命周期的全覆盖。在规划设计阶段，根据系统业务功能，确定系统的安全分区、网络结构、横向隔离和纵向认证等结构安全要求，根据系统等保等级，确定系统的物理安全、网络安全、主机安全、应用安全、数据安全等系统本体安全要求，根据系统业务重要性，确定系统的可信硬件、可行软件、可行网络或可行应用的基因安全。

远程集控系统按照边界安全防护的分区原则，将综合自动化系统的各个子系统分列为实时控制区(安全Ⅰ区)、非实时控制区(安全Ⅱ区)、生产管理区(安全Ⅲ区)3个部分。实时控制区和非实时控制区之间设置安全防火墙，生产控制大区和管理信息大区之间设置正反向隔离装置。生产控制大区的集控数据网分为实时子网和非实时子网，实现逻辑隔离，生产控制大区和管理信息大区之间集控数据网实现物理隔离。纵深防御方面，在集控中心和流域电站的生产控制大区纵向网络边界设置纵向加密装置，管理信息大区纵向网络边界设置防火墙。按照等级保护要求，将集控中心远程集控电力控制系统中梯级调度监控、水调自动化系统、电量采集系统、继电保护信息管理系统评定为等保三级，按照等保三级的要求实现等级防护。同时，针对集控中心梯级调度监控的核心控制功能，设计了一种基于可信计算理论的可信控制命令和可信报文传输策略，实现可信防护。系统安全防护框架如图2所示。

图2 远程集控系统安全防护框架Fig.2 Security framework for remote control system

3 关键安全防护技术

梯级调度监控系统是远程集控系统的重要组成部分，承担着流域电力生产实时监视和梯级调控的功能[5]。电力生产监控功能的源端在集控中心，目的端在流域上各厂站，源端和目的端空间上长距离分散分布，功能上相互依赖。针对雅砻江流域梯级调度监控系统控制功能源端-目的端长距离分布、功能联合的特点，采用了一种基于可信计算理论的控制命令安全技术，包括可信控制命令和可信报文安全传输机制。

3.1 可信控制命令

可信计算理论是信息安全领域的新技术，具有广泛的应用前景，具体包括可信硬件，可信软件，可信网络和可信应用等方面。本文提出的可信控制命令和可行报文安全传输机制属于可信应用的一种具体表现。

可信控制命令的基本思路是，在源端把控制命令的出生点标记作为可信根，在内部传递的各个环节进行安全认证，并在认证通过后打上对应环节的可信环标记，最后在源端系统与传输链路的出口处进行安全封装，封装后的安全报文在传输链路上进行传输，目的端接收到安全报文后根据安全策略进行逐层的可信认证解封，在所有认证解封通过后，目的端执行控制命令并返回安全校验。可信根和可信环是由控制命令发出或转发的源节点服务器地址信息，目的节点服务器地址信息，应用系统控制命令编码等信息按照一定安全防护逻辑加密生成。可信控制命令的功能框架如图3所示。

图3 可信控制命令功能框架Fig.3 Functional framework of trusted control commands

可信控制命令在系统安全防护层面属于基因式主动防护技术。在远程集控系统内部的控制命令生成、流转、发出的各个环节，一环认证一环，将安全认证逐环节进行继承式传递，对于没有经过安全认证的控制命令直接屏蔽丢弃，从而在系统内部基因层面上解决了恶意代码等安全威胁对系统核心功能攻击。

3.2 可信报文安全传输机制

远程集控系统的基础是电力生产数据通信，防数据通信失败导致的安全问题是在系统设计、运行、维护过程中必须考虑的环节。其中集控中心与流域电站之间数据通信规约广泛采用IEC60870-5系列国际标准规约组[6]。因为IEC60870-5规约组本身没有包含远动信息安全传输机制的内容，根据远程集控系统的自身特点，设计了一种可信报文安全传输机制。

可信报文安全传输机制的基本思路是，传输链路建立机制采用连接主从站链路个数和连接IP地址判定，建立安全的连接链路，报文传输过程中采用报文时序号控制报文收发的顺序，在主从站端判断报文的时序号，对于带有异常报文时序号的报文，采用丢弃不采用策略，防止异常报文的插入。报文传输解析时判断报文中控制对象号和控制权限，屏蔽和抛弃异常控制对象号和不符合控制权限的控制命令，对控制对象进行高安全性可信控制保护。可信报文安全传输机制如图4所示。

图4 可信报文安全传输机制Fig.4 Secure transmission mechanism of trusted message

可信报文传输机制是一种基于通信规约的安全防护传输机制，在远程集控系统核心业务流程跨长距离通道通信时，解决了系统业务通信报文在长距离通信通道上容易被黑客等威胁源截获篡改、仿造非法报文等安全威胁。可信报文传输机制作为远动通讯软件的重要组成部分，通过了国家继电保护及自动化设备质量监督检验中心开普实验室的检验认证。

4 实际应用

雅砻江是全国十二大水电基地之一，全流域水能理论蕴藏量3 840万kW，规划建设22座水电站。雅砻江流域电站远程集控系统是实现梯级电站电力统一规划生产、水库统一优化调度的基础，截止目前，接入集控中心的电站有5座，接入远程系统近60个，远程集控系统通信通道最长达600多km，通信方式包括电力专网、电信、卫星等。

在实际应用实践中，应用了三维立体安全防护体系的雅砻江流域电站远程集控系统共有远程控制对象2 942个，从2011年实现远程控制开始，操作成功率达100%，操作平均下发时间为1.5 s，基于可行计算理论的安全控制命令和安全传输机制等安全策略很好地规避了控制命令长距离传输过程中容易被截获篡改、仿造的安全风险，保证了远程控制的实时性、可靠性和安全性。

5 结 论

(1)三维立体安全防护体系是一种针对结构混合、功能联合型综合自动化系统群的整体防护方案，从系统群的边界、本体以及基因层次分别进行了针对性的安全设计。

(2)可信控制命令是根据具有控制功能的业务系统的自身特性，在业务系统控制命令的生成、传输、解析、执行等全生命周期过程中，一环认证一环，逐环传递可信标记，对外部危险源的伪造具有很好的辨识和屏蔽能力，大幅度提高系统控制功能的安全性。

(3)可信报文传输机制是根据远程集控系统具有长距离信息传输通道的特性，在通信链路建立、报文发送/接收等信息传输过程中，主动辨识IP地址、链路个数、报文序列号等安全标记，从传输机制上加强信息报文传输的安全性。

(4)三维立体安全防护体系及其可信计算等关键技术的研究与应用，提高了远程集控电力控制系统安全防护的健壮性，为多源异构远程集控系统的建设、运行提供了新的思路和方法，具有积极的指导意义和广阔的应用前景。

□

[1] 国家发展和改革委员会.〔2014〕14号令 电力监控系统安全防护规定[Z].

[2] 国家能源局.国能安全〔2015〕36号 国家能源局关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知[Z].

[3] 国家电力监管委员会.电监信息62号 电力行业远程集控电力控制系统安全等级保护基本要求[Z].

[4] 沈昌祥，张焕国，王怀民，等.可信计算的研究与发展[J].中国科学：信息科学,2010,40:130-166.

[5] 丁仁山，孙 锐. 雅砻江流域梯级电站远程集控方式设计及实现[J].水电自动化与大坝监测,2013,37:14-17.

[6] 洪 林，陈 鹏.基于IEC104规约的水电厂远动通信实时性和安全性的优化措施[J].水电自动化与大坝监测，2014,38(3):37-39,56.