刍议电力二次系统厂站端安全问题及防范.docxVIP

刍议电力二次系统厂站端安全问题及防范 （国核电力规划设计研究院） 摘要：本文针对电力二次系统厂站端的主要安全威胁问题，从网络安全、系统安 全、人员管理、应用安全等方面提出全方位安全防范措施，通过试点实施，说明 全方位安全防范措施可提高电力二次系统的安全防范水平，具有推广应用前景。 关键词：电力二次系统；厂站端；安全问题；防范 电力二次系统包括电力监控系统、电力通信及数据网络等。厂站端作为 电力二次系统的信息采集和执行子系统，担负着提供发电厂、变电站各种表征电 力系统运行状态的实时信息，接收和执行上级调度控制中心发出的操作调节或控 制命令的任务。随着变电站网络技术的不断更新，厂站端信息数据的传送与控制 己经从综合自动化站站控层网络覆盖到智能站过程层网络，对厂站端的通信网络 提出了更高的要求。因此厂站端的安全防护在电力系统的安全稳定运行中越来越 重要。 一、 电力二次系统厂站端主要安全威胁 电力系统由单一的微机保护常规站到综合自动化站，再到数字化变电站、 智能变电站的飞速发展，使得电力二次系统在厂站端所受到的安全威胁也在不断 变化。以目前常见的综合自动化站和智能变电站为例，电力二次系统虽然使用专 用通道的独立网络，但也出现常见的信息泄漏、完整性破坏、非法使用、窃听等 信息安全问题，重要网络还存在有旁路控制、拒绝服务、违反授权。 二、 全方位安全防护措施 针对以上安全威胁,可以从信息系统的网络安全、系统安全、人员管理、 物理安全、应用安全5个角度来制定全方位的防护措施。 2.1网络安全 从网络安全上进行技术提升，建立厂站端二次安全防护的技术保障。根 据厂站端生产控制大区的典型防护方案（见图1）,按照不同安全等级分别建立 网络保障。 在安全区I中，由于对数据传输的实吋性和可靠性要求高，因此智能变 电站过程层不宜部署加密等复杂策略，确保网络的高可用性，可釆取以下措施进 行安全防护。 实现安全隔离。为了防止实时信息的窃听、篡改或伪装，可以通过划 分VLAN的方式，根据保护、测量等功能将不同业务的节点从逻辑上进行隔离。 为避免共享组播传输方式造成网络冲突加剧，可以通过在GOOSE网对支持 IEEE802.1Q的VLAN划分隔离广播域技术或GMRP动态组播注册技术，来解决智 能变电站存在的组播流量问题，使网络上的数据冲突降到最低，实吋性达到最高。 通过SMV网络增加SMV认证吋间戳。为了防止来自内部的威胁，信 息发布端将每个SMV报文增加一个安全性可选设置项，令其设置为报文发送的 吋间戳。信息接收方可以查看当前报文的吋间标签与采样技术判断收到的SMV 有效与否。 通过GOOSE网络给GOOSE报文增加吋间戳认证。要求接收端与发送 端对吋精确，如果接收到的GOOSE报文吋间戳超过了设定的吋间，则认为该报 文为非法数据，进行丢弃处理。 在非控制生产区，数据的传送双方采用身份认证机制，通过SSL/TLS实 现双向认证和密钥下发，通过VLAN + IP + MAC地址来识别用户，防止非授权用 户使用网络资源。并将明文传送的报文采用安全加密技术，如AES256,防止重 要或敏感信息被泄密或篡改。在生产管理区和管理信息区，由于在纵向边界已经 部署了防火墙，根据不同的业务系统，通过对特定网段和服务部署访问控制体系 安全访问控制策略，必要时可以增加病毒防护来保证数据安全。 2.2系统安全 从系统安全上进行屏障保护，建立厂站端二次安全防护的系统保障。对 节点实施监管，逐一梳理与电力二次系统连接的厂站端内部节点，杜绝一切非生 产管理大区的信息接入，使每一个节点都在有效的管理范围内，保障系统安全的 全局性和系统性。 在厂站端建设及技改工程中，加强运维反馈，减少设备自身缺陷。对厂 站端相关运行设备（如测控装置、远动机、录波器、保护管理信息子站等）日常 检查和维护工作中发现的共性问题，应迅速列入反事故措施中。并通过技术改造 或设备升级等手段减少设备自身缺陷，确保新技术在生产应用中稳定运行。关键 的厂站端设备实施容灾备份，对于220kV及以上等级的厂站端网络关键资源（如 调度数据网交换机等）做到双机备份及自动切换，减少故障损失。 2.3人员管理 从人员管理上进行整体提升，建立厂站端二次安全防护的人员保障。 提高运维人员的信息安全意识。通过生动详实的案例，阐述信息安全 相关法律法规，明晰厂站端二次安全防护的信息安全责任，以及运维人员在工作 中的信息安全责任问题。 加强对运维人员的业务培训。运维人员的基本业务知识和技能是保证 厂站端二次安全防护必备的能力，是确保安全生产的重要环节。目前可以通过对 现有设备缺陷的发现、消除，开展多种形式的培训，把理论与现场结合起来，特 别是要加强与综合自动化专业相关的保护、调度、通信等技能的学习。加强电力 二次安防技能培训，增强运维人员对系