电网调度自动化系统安全防护对策探讨

摘要:对国内电网调度自动化系统存在的安全隐患进行分析，结合安全要求和网络安全技术发展情况，提出现阶段可操作的分步实施安全防护对策。 关键词: 调度自动化; 安全隐患; 安全防护对策

1引言

电网调度自动化系统是电网调度和电网运行管理必不可少的技术手段，是电

力系统重要基础设施之一，关系到电网安全稳定运行。电网调度自动化系统作为电力监控系统的重要组成部分，其安全问题一直受到国家有关部门的重点关注。国家经贸委30号令颁布了《电网和电厂计算机监控系统及调度数据网络安全防护规定》，于2002年6月8日开始施行，明确要求要实现两个隔离:电力监控系统与办公自动化系统或其他信息系统之间以网络方式互联时，必须采用经国家有关部门认证的专用、可靠的安全隔离设施;电力调度数据网应在物理层面上与公用信息网络安全隔离。国家电力公司成立了全国电网二次系统安全防护领导小组，下设工作组和专家组，开展了全国电网二次系统安全防护总体方案研究。全国电力二次系统安全防护工作进人了实施阶段。

如何将研究成果应用于实践，排除调度自动化系统存在的安全隐患，提高调度自动化安全防护水平，从而提高电网安全，是本文探讨的重点。

2电网调度自动化系统存在的安全隐患

目前国内电网调度自动化系统存在的主要安全隐患有以下几个方面。

2.1电网调度自动化系统建设之初忽略了安全问题

调度自动化系统和调度生产管理系统DMIS之间没有采取有效的措施进行安全隔离。普遍采取用WEB服务器或通信工作站作为网关的连接方式，采用TC/IP协议进行通信，存在遭受攻击的危险。

调度自动化系统与其他调度生产管理系统(如水调自动化系统、电能计量自动化系统、扩展的EMS系统等)互联没有隔离措施，连接端口较多，且调度生产管理系统与MIS系统之间的连接没有采取有效的隔离措施，造成系统边界不清，网络拓扑结构不合理。

调度自动化系统与厂站监控系统或远动装置网络通信时，还存在混用电力数据通信网的现象，没有专用调度数据网络，没有实现调度数据网在物理层面上与电力数据通信网的安全隔离。

缺乏对重要数据和应用系统的备份和恢复系统，容易造成数据丢失，不能预防系统出现灾难时数据的快速恢复;对关键主机设备、网络设备与部件没有进行必要的热备份与冷备份，容易产生单点故障影响系统可靠性。 普遍尚未实施人侵监测、身份认证及网络防病毒系统，缺乏安全防护的主动性。

2. 2来自系统本身的安全威胁

操作系统存在安全漏洞，未能及时升级和进行系统安全补丁加固。

路由器和防火墙的安全策略设置不合理，网络拓扑结构变化和防护对象变化时没有及时调整。

1

WEB服务器上没有关闭不必要的通信协议和服务，如Telnet, Ftp协议，端口

开放过多等。

电网调度自动化系统本身数据采集错误，造成自动发电控制调节电厂出力错误，影响电网安全运行。

2.3应用服务的访问控制存在漏洞

应用服务的访问控制和用户授权不严谨和不完善。一些应用程序以操作系统root权限运行，用户口令以明文方式出现在程序及配置文件中，对系统的安全运行造成隐患。

2. 4来自外部网用户的安全威胁

用于远程诊断的拨号MODEM长期处于接通状态，没有采取安全防范措施，

容易造成非授权用户未经许可拨号进入调度自动化系统的危险。 对电子邮件的使用限制不严，存在外部电子邮件病毒侵人，破坏系统可靠运行的危险。

黑客仍可通过安全漏洞进行攻击，存在受计算机病毒攻击和非法使用计算机资源的危险。

2. 5来自内部网用户的安全威胁

部分用户安全意识淡薄，用系统工作站拨号进人外部公共信息网，对系统安

全造成威胁。

用户误操作影响系统可靠运行，维护人员编程错误或维护错误，影响系统的可靠运行。

用户和维护人员口令简单，长时间不修改，易泄密，容易被越权使用，对系统造成危害。

2.6安全管理及人员培训力度不够

主要表现在安全防护的有关规章制度不健全，安全防护技术措施和管理措施

落实不到位，对安全防护工作的认识和重视程度有待提高。

3电力二次系统安全防护方案简介

网络安全防护的重点是抵御病毒、黑客等通过各种形式对系统发起的恶意攻

击，尤其是集团式攻击，重点保护实时闭环监控系统及调度数据网络的安全，从而保障国家重要基础设施—电力系统的安全。

3.1电力二次系统安全防护工作区的划分

根据电力二次系统安全防护总体方案，二次系统可分为4个安全工作区:实时

控制区、非控制生产区、生产管理区、管理信息区。

①实时控制区是安全区Ⅰ:凡是实时监控系统或具有实时监控功能的系统其监控功能部分均应属于安全区Ⅰ。例如调度中心的电网调度自动化系统和广域相量测量系统(WAMS)、配电自动化系统、变电站自动化系统、发电厂自动监控系统或火电厂的管理信息系统(SIS)中AGC功能等。其面向的使用者为调度员和运行操作人员，数据实时性为秒级，外部边界的通信均经由电力调度数据网(SPDnet )的实时虚拟专用网(VPN)。区中还包括采用专用通道的控制系统，如继

2

电保护、安全自动控制系统、低频/低压自动减载系统、负荷控制系统等，这类系统对数据通信的实时性要求为毫秒级或秒级，是电力二次系统中最为重要的系统，安全等级最高，禁止安全区Ⅰ的WEB服务和E - MAIL服务。 ②非控制生产区是安全区且。原则上不具备控制功能的生产业务和批发交易业务系统或系统中不进行控制的部分均属于安全区Ⅱ。属于安全区Ⅱ的典型系统包括水调自动化系统、电能量计量系统、继电保护及故障录波信息管理系统、电力市场交易系统等。其面向的使用者为运行方式、运行计划工作人员、继电保护人员及电力市场交易员等。数据的实时性是分级、小时级。该区的外部通信边界为SPDnet的非实时VPN。禁止安全区Ⅱ的E-MAIL服务，开放安全WEB服务。 ③生产管理区是安全区Ⅲ。该区包括进行生产管理的系统，典型的系统为调度生产管理系统(DMIS)、统计报表系统、雷电监测系统、气象信息接人等。该区的外部通信边界为电力数据通信网SPTnet(调度生产VPN)。安全区Ⅲ以方便为主，开放WEB服务和E-MAIL服务。

④管理信息区是安全区Ⅳ。该区包括办公自动化系统和电力信息管理系统、客户服务等。该区的外部通信边界为SPTnet信息VPN)及因特网。安全区Ⅳ以方便为主，开放WEB服务和E-MAIL服务。

3.2电力二次系统四安全区的拓扑结构

电力二次系统四安全区的拓扑结构有3种结构，这3种结构均能满足电力二

次系统安全防护体系的要求。如图1链式结构、三角结构和星形结构。

3.3安全区之间、安全区与远方通信的隔离要求

3.3.1安全区之间的隔离要求

安全区Ⅰ和安全区Ⅱ之间可部署相应的逻辑隔离装置，如具有访问功能的三层交换机、硬件防火墙等，之间应禁止E-mai 1, Web , Telnet , Rlogin等服务穿越隔离设备。

安全区Ⅲ与安全区Ⅳ之间的可采用具有访问功能的三层交换机、硬件防火墙等。

安全区Ⅰ、Ⅱ与安全区Ⅲ ,Ⅳ之间的隔离要求:安全区Ⅰ、Ⅱ不得与安全区Ⅳ直接联系，安全区Ⅰ、Ⅱ与安全区Ⅲ之间必须采用经有关部门认定核准的专用隔离装置。专用安全隔离装置分为正向型和反向型，从安全区Ⅰ、Ⅱ往安全区Ⅲ传送数据必须采用正向安全隔离装置单向传输，从安全区班往安全区Ⅰ、Ⅱ的单向数据传输必须采用反向安全隔离装置，严格禁止E-MAIL, TELnet, Rlogin等网络服务和数据库访问功能穿越专用安全隔离装置，仅允许数据的单向安全传输。

隔离装置 实时控制区 防火墙 非控制 生产区 专用安全 生产管理区

（a）

3

实时控制区 隔离装置 专用安全 生产管理区 防火墙隔离装置专用安全

（b）

实时控制区 防火墙

图1电力二次系统四安全区拓扑结构示意图 ( a) 链式结构;(b) 三角结构;(c) 星形结构

3.3.2安全区与远方通信的隔离要求

安全区Ⅰ、Ⅱ所连接的广域网为电力调度数据网(SPDnet)，安全区Ⅲ和安全区Ⅳ所连接的广域网为电力数据通信网(SPTnet ) , SPDnet与SPTnet物理隔离。 安全区I、Ⅱ接入SPDnet时，应配置IP认证加密装置，实现网络层双向身份认证、数据加密和访问控制。如暂时不具备条件或业务无此项要求，可以用硬件防火墙代替。

安全区Ⅲ接人SPTnet应配置硬件防火墙。

各级电力二次系统不容许跨安全区交叉的纵向互联。

4电网调度自动化系统安全防护问题的解决思路

4

非控制 生产区

汇聚 非控制 生产区 隔离装置 专用安全 生产管理区

电网调度自动化系统的安全防护是电力二次系统安全防护的重点和核心之一，应遵循“安全分区、网络专用、横向隔离、纵向防护、突出重点、联合防护”的安全防护总体策略和总体方案，注重系统性原则和螺旋上升的周期性原则，采取整体规划、分步实施的办法进行系统安全防护工程建设。

综合考虑电网调度自动化系统目前现状及存在的安全隐患、安全要求以及网络安全技术的发展，提出近期或今后一段时期电网调度自动化系统安全防护分阶段实施方案。

4.1第一阶段:做好主机防护，清理流程，加强安全管理

电网调度自动化系统安全防护的第一阶段重点是做好主机防护，清理流程，

加强安全管理等，排除来自系统本身和来自内部用户的安全威胁，为第二阶段工作打下基础。具体应完成下列工作: ①主机安全防护。现阶段主要采取安全配置、安全补丁来加强主机安全防护。合理地设置系统配置、服务、权限，减少安全弱点;通过及时更新系统安全补丁，消除系统内核漏洞与后门;关闭WEB服务器不必要的服务，停止向安全区Ⅲ的用户提供浏览器服务;合理设置路由器和防火墙的安全策略，并随网络拓扑结构变化和防护对象变化及时调整。

②断开与互联网的联接。断开与互联网的连接，禁止E - mail服务，禁止利用电网调度自动化系统工作站或主机拨号进人互联网。在调度自动化系统与管理信息系统之间没有进行有效隔离之前，应断开与管理信息系统的直接联接。 ③严格用户特别是系统管理员用户名和口令的管理。禁止空口令，口令更改要制度化，禁止非授权使用，授权人员辞职或工作调动后，应立即从系统中删除其权限。严格控制和管理调度自动化系统的远程维护接口。 ④加强对专业人员的培训和教育，建立健全运行管理及安全管理的各项规章制度;加强对系统维护人员的技术培训，提高系统的运行维护水平。 ⑤对调度自动化系统的物理配置、与其他系统的连接关系以及信息流程要有清晰的认识。

⑥加强安全审计管理，记录与安全有关的操作及信息，及时进行审计和分析。

4. 2第二阶段:结构调整，清理边界

通过软件和硬件的结构调整或改动，使安全区间和安全区与外部边界网络的连接处达到简单、清晰。

4. 2. 1合理划分系统

SCADA/AGC功能及高级应用软件功能是电网调度自动化系统的核心，实时性要求很高，应位于安全区I , DTS及扩展EMS功能可放在安全区Ⅱ,WEB功能最终应位于安全区Ⅲ。

WEB功能是近年来开发商为满足调度生产管理用户(DMIS用户)的需要而产生的，但现有WEB功能的实现方式普遍不能满足安全防护的要求，在开发商没有改变WEB实现方式之前，作为过渡方案，WEB功能只能位于安全区I或安全区Ⅱ，不能为其他安全区的用户提供服务，只能为本安全区用户服务。WEB服务器在安全区Ⅰ时不能为同安全区的上下级用户提供服务，以保证安全;WEB月及务器在安全区且时，允许在本区开通同一业务系统上下级(即纵向)间的安全WEB服务。但只允许本安全区内的系统向安全WEB服务器单向传送数据，禁止安全WEB服务器向业务系统请求数据的操作。

5

4.2.2理顺边界，合理整合

①调度自动化系统的横向边界包括以下2个方面:

a.与调度生产管理信息系统(DMIS)的接口:一般有两种形式:一是通过调度自动化系统的通信机与DMIS的通信机通过串口连接，开发通信软件实现数据的单向通信，这种方式可以不考虑安全防护问题，但数据传输速度低;另一种方式是通过通信网关或WEB网关实现数据的通信，应进行硬件和软件的改造，禁止从DMIS向调度自动化系统发出数据请求。位于安全区Ⅱ的通信网关或WEB网关与位于安全区Ⅲ的DMIS之间必须采用经有关部门认定核准的专用隔离装置。 b.与电力交易系统、电能量计量系统、水调自动化系统的接口:这些系统位于安全区Ⅱ，由于建设时期不同，调度自动化系统与这些系统的接口往往是一对一，有多条出口，应将这些接口汇集，在汇集点与调度自动化系统之间增加硬件防火墙。

②调度自动化系统的纵向边界包括以下3个方面:

a.专用通道连接厂站RTU的接口:通过专线通道和特定的通信协议进行通信，暂不考虑安全问题。

b.与上下级EMS系统或厂站监控系统或RTU的网络通信接口:通过通信网关经由SPDnet的实时VPN进行网络方式通信。调度自动化系统纵向应禁止经电力通信数据网络(SPTnet)进行通信。

c.远程维护接口:系统维护人员或开发商通过拨号方式进行系统维护和故障处理。应加强口令的严格管理，在未采取安全防护措施前，不得开通通过拨号服务器接人远程局域网的服务。

4.3第三阶段:部署纵向和横向隔离装置

经过第二阶段的结构调整和清理边界，根据隔离装置产品的成熟程度就可部署纵向和横向的隔离装置。目前横向隔离装置:防火墙和电力专用安全隔离装置较成熟可先实施。选用的防火墙必须是经过有关部门认可的国产硬件防火墙，电力专用安全隔离装置必须通过有关部门认定核准。纵向隔离装置在IP认证加密装置研制成熟之前可采用硬件防火墙作为过渡方案。 4.3.1横向隔离

在安全区Ⅰ内，调度自动化系统与其他实时控制系统(如继电保护、安全自动控制系统、低频/低压自动减载系统、负荷控制系统和广域相量测量系统)的对内网关必须通过具备逻辑隔离功能的区内交换机接人，若交换机不具备逻辑隔离功能时，建议部署硬件防火墙，实现同区内不同系统间的逻辑隔离。

在安全区I和安全区Ⅱ之间，如调度自动化系统与电力交易系统、电能量计量系统、水调自动化系统等非控制生产系统之间，应采用硬件防火墙，实现两个区域的逻辑隔离、报文过滤、访问控制等功能，应禁止E-mail, Web, Telnet, Rlogin访问。防火墙安全策略主要是基于业务流量的IP地址、协议、应用端口号、以及方向的报文过滤。

在安全区I /Ⅱ与安全区Ⅲ之间，如调度自动化系统与DMIS，雷电监测系统等系统之间，应部署电力专用安全隔离装置，这是安全区Ⅰ/Ⅱ横向防护的要点。专用隔离装置分为正向隔离装置和反向隔离装置，其中安全隔离装置(正向)用于安全区I /II到安全区Ⅲ的单向数据传递，安全隔离装置(反向)用于安全区Ⅲ到安全区Ⅰ/Ⅱ的单向数据传递。 4.3.2纵向隔离

安全区Ⅰ、Ⅱ所连接的广域网为国家电力调度数据网SPDnet。对采用

6

MPLS一VPN技术的SPDnet为安全区Ⅰ、Ⅱ分别提供二个逻辑隔离的MPI S一VPN。对不具备MPLS一VPN的某些省、地区调度数据网络，可通过IPSec构造VPN子网。SPDnet的VPN子网和一般子网可为安全区Ⅰ、Ⅱ分别提供二个逻辑隔离的子网。安全区Ⅲ所连接的广域网为国家电力数据通信网(SPTnet ) , SPDnet与SPTnet物理隔离。

安全区I、Ⅱ接人SPDnet时，对外通信网关必须通过具备逻辑隔离功能的接人交换机接人，若交换机不具备逻辑隔离功能时，建议部署硬件防火墙。

4.4第四阶段:部署认证机制

全国电力调度统一建设基于PKI的CA证书服务系统—电力调度CA系统，

由相关主管部门统一颁发调度系统数字证书，为电力调度生产及管理系统与调度数据网上的用户、关键网络设备、服务器提供数字证书服务。在数字证书为这些实体提供支持身份认证功能、支持基于证书的密钥分发与加密、支持基于证书的签名、以及基于证书扩展属性的权限管理等安全功能支持。在数字证书基础上可以在调度系统与网络关键环节实现高强度的身份认证、安全的数据传输、以及可靠的行为审计。

7

安全区一 安全区二 实时控制系统 区内交换机 防火墙 SCADA WEB服务 非控制生产系统EMS 拨号服务器 主要设备 对内通信网关 正向 终端服务器 对外通信网关 隔离装置 反向 隔离装置 接入交换机 安全区Ⅲ DMIS 防火墙 雷电监测 SPDnet 实时VPN SPDnet 非实时BPN 专用通道连接 RTU 场站监控系统 RTU EMS系统 安全区Ⅱ 系统

图2第三阶段EMS物理边界及安全产品部署示意图

在各类专用装置和与认证机制有关的CA,RA已建立的条件下部署认证机

制。在调度自动化系统中，可加强以下安全防护措施: ①加强纵向网络边界的安全防护措施。在位于SPDnet的实时VPN与接人交换机之间部署IP认证加密装置，作用之一是为本地安全区Ⅰ/II提供一个网络屏

8

障，类似包过滤防火墙的功能，作用之二是为网关机之间的广域网通信提供具有认证、与加密功能的VPN，实现数据传输的机密性、完整性保护。

②加强Web服务器安全防护。在安全区Ⅱ中将用于Web服务的服务器与浏览器客户机统一布置在安全区Ⅱ中的一个逻辑子区—--Web服务子区，置于安全区Ⅱ的接人交换机上的独立VLAN中。并且，Web服务器采用安全Web服务器，即经过主机安全加固的，支持HTTPS的Web服务器，能够对浏览器客户端进行基于数字证书的身份认证，以及应用数据加密传输。 ③加强远程拨号访间的安全防护。采用链路层保护措施加强安全区I的远程拨号访问安全防护，即在两端安装链路加密设备。

4.4第五阶段:现系统改造和新系统开发

4. 4.1对现有调度自动化系统的安全改造 对于现有的调度自动化系统，可以进行适当的安全改造。可对SCADA应用服务器进行安全增强，采用安全服务代理。建立安全WEB服务器，将SCADA的WEB发布功能转移到安全区Ⅲ等。同时可利用现有成熟的安全技术，采取反病毒、数据备份、灾难性恢复和入侵检测等安全防护措施。

调度自动化系统的入侵检测系统应与安全区I和安全区B的其它系统统一考虑，一般选用1套网络入侵检测系统，在安全区Ⅰ和安全区Ⅱ的横向及纵向边界各部署1个探头(共4个)，区内原则上不再部署IDS探头。 4.4.2新系统的安全防护要求

新系统开发应增加的安全防护要求:

①建议新开发的专线RTU内置安全加密功能。

②对于新开发的关键应用系统，要求本身实现基于数字证书的身份认证、授权管理、访问控制、数据通信的加密与签名、以及行为审计功能。

③要求在新建的SCADA/AGC功能模块中加人认证加密机制，对已有的SCADA/AGC系统逐步改造加人认证加密机制:

a.实现操作人员基于数字证书的身份认证与加密通信; b.实现控制命令的进程认证与加密通信。

5结语

调度自动化系统安全防护是一个系统性的、长期的、动态的过程，应分阶

段分步实施。目前调度自动化系统的安全防护工作可进行第三阶段的安全防护实施。厂站监控系统的安全防护可参照实施，重点做好与管理信息系统的安全隔离。

9