IPDU在电力监控系统网络安全防护中的应用研究

王 庆，李朝东，陈 伟，徐 健

（1.铜陵学院 电气工程学院，安徽 铜陵 244000；2.铜陵职业技术学院 电气工程系，安徽 铜陵 244000；3.国网安徽省电力有限公司，安徽 合肥 230000；4.国网池州供电公司，安徽 池州 247000）

2015 年12 月23 日，乌克兰电网遭受黑客攻击，并由此导致全国范围大停电[1]。经过此次事件，电力行业的网络安全问题引起世界各国的高度重视，习近平总书记也强调“没有网络安全，就没有国家安全”[2]。电力监控系统是电力行业安全等级最高的生产控制系统，保障电力监控系统的网络与信息安全已成为电力系统安全稳定运行的重要前提[3]。目前，电网企业的网络安全防护主要聚焦在安全监测技术，而针对网络安全攻击，现阶段仍缺乏有效的管控手段[4]。

本文提出了一种电力监控系统网络安全风险管控新手段，将IPDU（Intelligent Power Distribution Unit，智能电源分配单元）的自动断电功能应用到攻击源阻断上，必要时实现对攻击源的断电，从物理层面实现阻断。此方法较传统手动处理方法，具有响应迅速、提升效能的优势，能够有效缩短网络攻击时间，减小攻击危害程度和范围，具有广阔的应用前景。尤其针对偏远的、无人值守的厂站，优势更为凸显。本研究搭建了基于IPDU 的电力监控系统网络安全应急电源管理平台，并在真实机房环境对该平台进行了有效性测试，实验证明该平台能够实现预期的设计功能，实现攻击源的有效、快速阻断。

1 IPDU的工作原理

随着电子信息、通信技术的发展，IPDU 在PDU（Power Distribution Unit，电源分配单元）的电源分配、过载及防雷保护等基本功能的基础上，为了满足用户的实际需求，进一步增加了接口通讯、用电监测、远程管理等智能化功能，其工作原理如图1所示[5]。

IPDU 一般具备数组电源输出接口，通过输出电源线与用电设备相连接，实现设备的可控供电，通常这些电源输出接口可实现单独控制，以实现用电设备灵活地供电。控制端与IPDU 终端的通讯方式常见有RS232/RS485 串行通讯、Modbus 总线通讯、WIFI/GSM无线通讯和有线以太网传输等[6]。

图1 IPDU工作原理示意图

2 基于IPDU的网络安全应急管控平台的设计

基于IPDU 的电力监控系统网络安全应急管控平台的整体构架和功能如图2所示。管控平台按照各组成部分的物理位置及其功能，可分成调度机构主站电源管理系统、厂站（子站）IPDU 终端和传输通道3个部分[7]。

图2 网络安全应急管控平台整体构架

2.1 主站电源管理系统设计

主站电源管理系统部署于调度机构，可安装在部署Windows 或Linux 系统的主机中，主要依托电力企业普遍部署的电力监控网络安全管理系统的告警信息，实现攻击源的判断和定位。依据网络安全攻击的严重程度以及影响业务重要程度，综合判断是否通过主站系统向厂站IPDU 终端发出相应的控制指令。

调度机构主站电源管理系统的人机交互界面如图3 所示，包含控制设备选择区和控制命令发送区。控制设备选择区可选择要控制的厂站以及设备，厂站的选择采用下拉菜单形式进行选择，被控设备的选择采用按钮形式；控制命令发送区用于发送分、合闸的控制命令至厂站IPDU 终端，考虑到系统的安全性，未被选中的厂站的合闸、分闸按钮为阴影状态，无法发送控制命令。

2.2 IPDU硬件设计

厂站IPDU 终端与厂站的各个设备电源相连接，尤其针对安装了非安全操作系统等对电力监控系统网络安全威胁比较大的设备。IPDU 终端能够接收主站系统的控制命令，并依据控制器存储的控制逻辑程序，输出相应的控制信号，实现对输出控制电路的控制，对攻击源设备进行断电处理，进而从物理层面阻断攻击源。

根据电力企业的实际要求，IPDU 装置的基本功能至少包含：远程通讯、用电监测、电源管理及保护等。围绕基本功能需求，本文设计的IPDU 硬件总体结构如图4所示，IPDU 装置主要包含微处理器（单片机）、通讯模块、输出控制模块、监测模块、保护模块、电源模块等。图4 中的微处理器选用宏晶科技STC12LE5A16S2 型单片机，并采用LQFP44 型封装，其具备UART串口模块和A/D转换功能，可满足本应用的要求；电源模块主要实现外部电源的接入功能，支持交、直流两种供电模式；监测模块主要对输出电路的电流、电压进行采集并进行转换；保护模块主要实现进线端的过压、防雷保护以及出线端的过载保护等。

图3 主站电源管理系统人机交互界面

图4 IPDU硬件总体结构

2.2.1 通讯模块

通讯模块，采用深联智达公司型号为USRTCP232-T24 的串口转以太网双向转换模块，电路结构如图5所示。此模块具有TCP网络数据包与单片机串行接口数据包的转换功能，从而实现IPDU装置的网络通信，以方便接收主站电源管理系统的网络控制指令。

图5 通讯模块电路结构图

2.2.2 输出控制模块

输出控制模块的电路结构如图6所示。电路主要采用EL817（DIP-4 型封装）型光模块和Miderdon LY2NG 型中间电磁继电器等原件，实现控制电路与输出主电路的隔离，以适应厂站复杂的电磁环境，增加了系统的稳定性和可靠性[8]。

图6 输出控制模块电路结构图

2.3 主厂站通讯设计

2.3.1 通讯通道设计

图7 通讯通道示意图

为了保障通讯及系统自身的安全性，选择经由电力企业内部的核心SDH 有线专网进行控制指令、终端状态等数据的传输[9]。通讯通道如图7所示，主厂站侧都经交换机、ODF（光纤配线架）、SDH 传输设备汇入SDH 专网，进而构成厂站IPDU 终端与主站电源管理系统通讯的高速通道。

2.3.2 通讯模式选择

常见的网络通讯有TCP 和UDP 模式。由于UDP 模式是面向无连接的，可靠性不高，不适宜在电力领域应用。TCP 模式是一种面向连接的网络服务，可靠性较高。TCP 模式又分为TCP Server、TCP Client 两种方式，本研究采用TCP Server 方式，如图8所示。

图8 TCP server通讯模式示意图

TCP Server 方式下，厂站时刻监听预定地址和TCP端口，当监听到访问时，建立主厂站之间的TCP可靠连接，再进行控制信息发送。信息传送结束后，TCP 连接再释放。这种方式较TCP Client 方式节省带宽资源，且可同时支持最多4个TCP连接，适应分级调度的模式。

3 实验验证与分析

课题组研制了IPDU实验样机，并按照图2在调度主站机房及实验站搭建了一个测试管控平台，主要包括主机、IPDU 终端、测试交换机、测试工作站及相应通讯设备。主机用于部署主站电源管理系统软件，IPDU 终端的3 个出线插头分别接1 台测试交换机和2台测试工作站。

通过主站管控平台分别对3 台设备的遥控测试，管控平台能够可靠实现3 台设备电源的远程开启和关断。实验结果也证明，在特殊情况下，此平台具备远程切除现场设备电源的能力，进而在发生网络攻击的情况下，实现攻击源的物理隔离，阻断网络攻击。

4 结 语

本文提出了一种电力监控系统网络安全风险管控新手段，将IPDU 的自动断电功能应用到攻击源阻断上，必要时实现对攻击源的断电，从物理层面实现阻断。给出了基于IPDU 的网络安全应急管控平台设计整体构架，对各组成模块进行了分析。设计了IPDU 样机，在调度主站机房搭建了测试管控平台，并在真实环境下进行了测试。实验结果证明此平台能够对现场设备进行有效的电源控制，具备在特殊情况下缩短网络攻击反应时间和缩小攻击范围的能力，对提高电力系统的网络安全防护能力，具有重要的参考价值。