電力系統通信中數據采集與監控系統的安全問題淺析

郭瑞剛

摘 要 數據采集與監控系統在電力系統通信中的應用非常廣泛，但同時也存在許多安全方面的問題，例如：干擾、通信協議安全和控制中心安全等。筆者通過對這些問題的詳細分析，提出了一系列對應的改進和防護措施。

關鍵詞 電力系統通信；數據采集；監控系統；安全分析

中圖分類號：TM764 文獻標識碼：A 文章編號：1671-7597（2014）14-0156-01

1 電力系統通信中數據采集與監控系統存在的不安全

因素

1.1 干擾引起的信號湮沒問題

信號的準確性與及時性對電力系統通信中數據采集與監控系統的正常運行的影響巨大。但是，其工作環境中卻存在著很多干擾源，例如：電阻熱噪聲和放大器正反饋引起的自振蕩、自然界閃電和當地信號和儀器地間產生的干擾等。這些干擾都會將信號湮沒，使得數據采集與監控系統無法正確收集到待處理的信號，從而導致數據采集誤差。

1.2 通信協議中存在的安全風險

在電力系統通信中，循環遠動（CDT）規約、IEC 60870-5-101/104和IEC 61850是當前較為常見的三種通信規約。然而，這三種通信協議仍不可避免地存在有一些安全方面的問題或者漏洞。以下就此三個協議一一進行分析。

1）CDT規約。CDT數據傳輸方式中的系統時間對時機制只適用于低速通道。在這種運行機制下，不免會引發通信協議安全問題。除此之外，由于CDT規約還缺乏對傳輸控制協議一因特網互聯協議（TCP/IP）傳輸層接口的應用規約控制信息（APCI）的詳細定義，所以應用層數據傳輸也相應地不能進行起停控制、抗報文對視或者重復傳輸的保護。

2）IEC 60870-5-101/104規約。雖然IEC 60870-5-101/104規約的傳信量大，多用于專網。但是IEC 60870-5-101/104規約卻沒有專門的安全防護措施，因此收到外界攻擊很可能對其造成非常嚴重的威脅或損失。

3）IEC 61850規約。IEC 61850規約包括了客戶端一服務器模式和發布一訂閱對等通信模式這兩種通信服務模式。對于客戶端一服務器模式而言，雖然它以TCP/IP協議為標準，但是TCP/IP協議的標準性和開放性特點使得網絡入侵行為有規律可行，而TCP/IP協議本身卻未具備安全防范能力。另一方面，發布一訂閱對等通信模式下，各項數據大多都以明文形式傳輸，安全性根本沒有保障。一旦SMV或GOOSE因誤發而導致斷路器誤動或拒動，通信協議將受到前所未有的威脅。

1.3 控制中心中存在的不安全隱患

數據采集與監控系統中安全最薄弱的環節之一就是控制中心站。導致控制中心出現安全問題的原因主要包括三方面：使用的軟件、網絡架構和操作人員。首先，使用軟件安全。現階段，控制中心使用的軟件主要還是基于Windows、Unix和Linux等操作系統。而由于技術的限制性，這些操作系統必然會存在著一些漏洞。所以，一些惡意攻擊者變可以通過已知的漏洞入侵Web服務器，獲取數據采集與監控系統的訪問權，并篡改或破壞存儲的數據。此外，由于數據采集與監控系統自身糾錯能力較差，所以即便收到惡意者的攻擊，控制中心也很可能無法識別錯誤信息或數據，從而不能及時發送錯誤報告，給控制中心的內部埋下安全隱患。其次，網絡構架安全。網絡構架在數據采集與監控系統的安全運行中及其關鍵。雖然，采用路由器或防火墻分段隔離內網和外網可以在很大程度上杜絕安全隱患。但是，防火墻的設置也不可避免地會讓無授權的非法訪問有機可乘，惡意攻擊者很容易便可以找到開放式服務器的數據隱蔽隧道或軟件缺陷，并進行攻擊導致防火墻失效。而且，防火墻并不能阻止或避免內部工作人員對網絡構架的有意或無意破壞。再次，操作人員的責任意識薄弱或是工作能力欠佳，都會增加控制中心的安全隱患。例如，系統操作人員的誤操作會影響錄入數據的準確性和通信的正常運轉。

2 電力系統通信中數據采集與監控系統安全問題的改進和防護措施

2.1 消除干擾

一方面，針對電網頻率和電壓對系統產生較大干擾的情況，可采用隔離變壓器進行消除。另一方面，由于數字濾波具有可靠性好、穩定性高和不存在阻抗匹配等優勢，可以針對工業現場環境惡劣、干擾源較多的現狀，采用數字濾波器的方法對采樣數據進行數字濾波，從而有效降低干擾。

2.2 建立新標準，改進通信協議安全

為了建立通用的新型標準，從而真正保障好通信協議的安全性。可以著重從以下兩個方面進行。其一，在國家智能化電網的建設和改造過程中，將舊的CDT規約使用新一代通信協議IEC 60870-5-101/104和IEC 61850規約來代替，同時也可以有效避免使用CDT規約而導致的一些安全問題。另一方面，通過建立專門的IEC 62351建議標準對IEC 60870-5-101/104和IEC 61850通信規約的安全性進行防護：首先，如果事先就知道將使用的通信規約存在安全風險，則安全套接層就應該選擇TLS 1.0及以上版本，而不選擇SSL 1.0或2.0，以增強通信規約的安全性。其次，嚴禁杜絕直接使用未加密的密碼套件。再次，為了使輕載網絡不會因長期連接而喪失認證，應該以時間和分組數為基礎，使用透明的密鑰進行通信規約再協商等等。

2.3 提升信息技術安全，規范人員及操作

控制中心安全的維護，首先應該全面提升信息技術的安全性：通過防火墻，保護控制中心免受攻擊；通過虛擬專用網（VPN），實現公共信道上數據的可信傳遞；通過安全服務器，實現對局域網資源的管理和控制等等。其次應該嚴格管理配置端口、帶鑰匙的鎖和支持程序的使用，從而保證只有通過授權的設備和用戶才能使用端口。最后，控制中心安全的維護，還應該通過制定相應的政策及法律法規，嚴格規范信息技術人員的行為和操作。并且通過管理和培訓，提升信息技術人員的安全意識，明確每個人的職責，最大程度地降低人為風險。

3 結論

隨著電子計算機和通信系統的迅猛發展，數據采集與監控系統的安全性逐漸被大家所重視。我們應該根據數據采集與監控系統安全問題的特點，提出對應的改進和防護措施，從而達到讓數據采集與監控系統更加靈活、更加寬廣的目的，并努力增強電力系統通信中數據采集和監控系統的經濟效益。

參考文獻

[1]高會生，戴雪嬌.電力系統通信中數據采集與監控系統的安全問題分析[J].廣東電力，2012，25（3）：117-120.endprint