重要公共基礎設施監控及數據采集系統的實現

[意大利] . 貝利諾 等

運行與管理

重要公共基礎設施監控及數據采集系統的實現

[意大利]F. 貝利諾 等

歐洲和國際監管框架組織越來越重視重要公共基礎設施的安全保障和結構安全。比如，意大利國家電力公司開發運行了一個遠程控制系統，用來管理500多座可再生能源發電站，這些發電站的發電能力達到了約16GW，其中92%是水力發電站，大約有200座大壩。主要描述了遠程控制系統的設計標準與規范。

水電站；水電站遠程控制；遠程控制系統；歐洲

日益增長的公共基礎設施的立法管理，促使標準化組織(包括國際電工技術委員會(IEC))逐步發布專業標準和指南，以管理重要公共基礎設置的安全。本文主要探討了對意大利國家電力公司、意大利傳輸系統運營商(TSO)和負責水資源管理的地方當局至關重要的基礎設施建設問題。

現以水電站遠程控制系統作為重要公共基礎設施的實例。遠程控制系統可以在一個國家內甚至是在國際間，通過電信系統對無人值守設備實現遠程控制。遙控系統的應急能力和可靠性需要以強大的信息和通訊技術(ICT)作為支撐，使數據傳輸的安全性、完整性及保密性得到保障。這些都是重要公共基礎設施安全及安全管理的核心技術。

遠程控制系統的體系結構就是根據上述概念而構建的。本文從智能電網的視角，結合被歐洲和國際機構認為是最有影響力的工程，即意大利國家電力公司的水力發電設施，來論述遠程控制系統的體系結構。

1 背 景

意大利通信和信息技術研究所的白皮書將國家重要公共基礎設施定義為：國家重要公共基礎設施(CNI)是對一個國家的公共安全和運行至關重要的任何公共或私有的基礎設施，是保障社會正常運行的關鍵性部門，如醫療、經濟、能源、交通和通訊系統、執法、國防以及一般性公共管理部門。

上述最重要的支柱部門就是與信息技術相關的能源和電信系統，以及與其相關的增值業務，如醫療、國防等，這些都依賴于上述2個核心技術。根據定義，能源是不可或缺的要素。能源和電子通訊系統是相互依存的關系：沒有足夠和穩定的電力供應，信息通訊設備就無法正常工作；反之，不同的設備之間只有通過通信系統建立連接，并實現信號傳遞，這樣電力生產與傳輸、分配電網才能正常工作。

歐盟網絡與信息安全機構(ENISA)對該概念提出了以下一些補充規定。

在歐盟內部存在的一些關鍵基礎設施，如果它們遭受破壞或摧毀，可能會影響到2個或2個以上的成員國；或者也可能是一個成員國的關鍵設施結構的破壞會對另一成員國產生影響。如此重要的公共基礎設施具有跨國層面的特征，應該被認定為歐洲的重要公共基礎設施(ECI)。這只能通過歐洲重要公共基礎設施認證程序來完成，并且需要通過評估其是否需要提升保護力度。

簡單明了地來說，就是無論是從雙方互惠的不可或缺(包括石油和天然氣、電子通訊系統、電力和水)方面，還是從超越國界的相互依存方面，一些基礎設施(包括國家重要公共基礎設施)已經變得如此重要并且相互關聯，然而如果其系統缺乏穩定性，則可能會對他人造成嚴重的危害，且具有潛在破壞性的“多米諾效應”(譯注：指一件事所引起的連鎖反應)。因此，重要的公共基礎設施一旦中斷運行或出現故障，則可能會造成明顯的不利影響。

根據這些定義，任何歐洲國家的獨立電力系統對整個歐洲電力系統來說都是重要的公共基礎設施。意大利國家電力公司的電力系統是整個意大利電力系統的重要組成部分，因而大規模的故障可能導致嚴重的事故。在過去的10a中，一些歐洲國家電網內發生的重要事件甚至給整個歐洲地區都造成了影響。

顯而易見的是，即使為了避免常規性的故障，而對國家重要公共基礎設施系統中的每一個組件均進行了精心設計，但是根據專家的經驗，系統的復雜性和相互依賴性更容易對整個系統的穩定性造成影響。

20a前，發電站內的大部分工作主要依靠訓練有素的技術人員來完成。目前，大部分動力裝置(和電網控制系統)是通過遙控來執行管理，遙控系統的傳輸核心由遠程控制系統提供。因此，遙控系統的可靠性直接影響著電網的穩定性和發電控制系統。

1.1 國家重要公共基礎設施的應急能力

對國家重要公共基礎設施造成威脅的事件通常是自然災害(如地震、海嘯以及日本福島核電站事件)或恐怖襲擊。盡管這些事件的性質和規模不可預知，但是國家重要公共基礎設施服務的可靠性和連續性，能很好地反映出政府和公共事業機構在預防威脅方面的能力和意識。

除了傳統的威脅和人身攻擊之外，自動化系統和工業控制系統也面臨著越來越多的攻擊和威脅，這些旨在破壞用于監督和維護電子系統正確操作和安全的計算機系統。因為這些計算機系統負責發電、輸電和配電系統的安全。

在過去，工業控制系統大多是獨立的，或只是在特定網絡中建立相互連接，在物理上是隔離的網絡。目前的工業化系統采用的是眾所周知的例如IP協議。隨著行業標準的演變，已經實現了從IT行業衍生的技術和協議的大容量存儲技術。發電站的本地網絡技術也非常適合開展進一步的技術轉移與推廣應用。

在過去的15a，特別是自2001年美國發生9.11恐怖襲擊事件以來，西方國家加速并強化了國家重要公共基礎設施的應急能力分析工作，旨在確保重要基礎設施的安全。2010年，出現了著名的針對工業系統的網絡攻擊，即Stuxnet病毒。Stuxnet病毒首先在伊朗的核設施傳播，然后還在其他地區造成危害。該病毒是能夠窺視系統，并對工業PC機和自動化系統進行重新編程，它可能會造成非常嚴重的后果。例如，打開或關閉開關及閥門，或者打開和關閉機器的控制電源。

應急能力涵蓋了可阻擋任何外部變化的能力，以及即使經過擾動還能回到原來的狀態的能力。把這一概念應用于發電系統、電網系統甚至運用于國家重要公共基礎設施，將提高這些系統及設施抵御自然災害以及蓄意攻擊的能力。

1.2 規范和標準

2004年，意大利交通部董事會通過通信和信息技術研究所，發布了關于建立重要公共基礎設施安全指南的流程。意大利國家電力公司參與了該流程的研制工作。

與此同時，通過《重要公共基礎設施保護歐洲計劃》，歐洲理事會發布了“在打擊恐怖主義斗爭中保護重要公共基礎設施通信”的文件，以實現對重要公共基礎設施的保護。

2008年12月8日，歐盟發布了2008/114號歐洲聯盟指令，該指令的主要內容是關于如何識別和鑒定歐洲的重要公共基礎設施并對其做出評估，以確定是否需要提高其安全保護級別。意大利政府采納了歐盟委員會聯合研究中心(JRC)的建議，并且已經開始實施2008/114號歐盟指令。

電力公用事業行業成立了北美電力可靠性公司(NERC)，以促進北美公用系統的可靠性和充足的大容量電力輸送，公司為非營利性。在整個美國和加拿大的幾個省要求強制執行北美電力可靠性公司的標準。該公司還制定了重要公共基礎設施保護計劃，并在1998年通過PDD-63號美國總統令頒布實施。該計劃在許多方面等同于歐洲的《重要公共基礎設施保護之歐洲計劃》。

美國國家標準技術研究所(NIST)的安全標準是進行了非常廣泛的需求分析，并針對國家重要公共基礎設施采納該標準可能造成的風險，制定了周全而詳細的應對措施。這是專門為NISTIR7628標準而考慮的。分布在七大智能電網領域的47名骨干參與了該標準的制定，因此該標準被認定為一個高層次的計劃。風險分析是提升國家重要公共基礎設施安全意識和必要防范措施的第一步。

ISO/IEC27000是信息安全管理的總體框架標準。這些標準不是針對任何特定信息的安全性，而是針對如何處理一般性信息的安全問題。ISO/IEC會定期更新原有的2個標準(亦即ISO/IEC27001以及ISO/IEC27002)，這2個標準提供信息安全管理的總體框架。現在又以ISO/IECTR27019：2013作為其補充，補充標準主要是在ISO/IEC27002的基礎上，對特定的能源公用事業行業過程控制系統而做的，主要內容包括信息技術、安全技術、信息安全管理指南。

在IEC27002：2005標準里，對控制方案作了補充，以便在前期標準的基礎上提供進一步的指導，滿足能源公用事業行業在履行控制技術方面的一些具體要求。

2 技術標準

2.1 概 述

第57技術委員會的第15工作組負責技術標準IEC62351的制定和完善。IEC62351定義了電力系統管理和相關信息交換、數據和通信安全的框架。

國際自動化協會的第99號標準中包括工業自動化和控制系統的安全性。該標準提出了一種用來保障信息和通信技術系統的方法，以及與之相關行業的生產過程的技術方案。ISA的相關事務與IEC的相關標準為相互協調。

IEEE為發電站通信協議的安全部署提供了技術解決方案，包括以太網技術。為支持系統和網絡的發展，國際電信聯盟也提供了多種具體的專業化安全技術標準。ITUX.509標準是公鑰基礎設施(PKI)操作的技術參考。

本文重點介紹IEC62351，它由IEC第57技術委員會第15工作組研究制定。該標準主要針對電力系統，是在與其他標準制定組織進行了密切溝通與協調的基礎上制定出來的。它為“電力系統管理和相關信息交換、數據和通信安全”提供了框架。

2.2 IEC62351標準

IEC62351標準的適用范圍包括電力系統控制操作的信息安全。其主要目標如下。

(1) 致力于完善由IECTC57定義的通訊協議安全標準，特別是IEC60870-5，IEC60870-6，IEC61850，IEC61970和IEC61968系列標準。

(2) 致力于完善和發展端到端技術安全標準或技術報告。

IEC62351假設除了防火墻，利用一個加密的虛擬專用網(VPN)或其他“支持業務網絡不中斷技術”的解決方案，可能是遠遠不夠的，并且容易帶來網絡安全性誤導。IEC62351的主要內容包括：第一部分和第二部分分別定義標準適用的范圍、概念和術語；第三、第六部分和第十一部分強調了具體的協議和系統的整體保護；第七部分和第九部分介紹了一些需要運行其他多個協議的激活功能，以及對IEC62351詳細而具體的介紹。

IEC62351標準第一部分定義了通常所說的標準適用的范圍及其目標以及安全威脅。論述內容主要包括以下幾個方面。

(1) 無意威脅(包括安全故障、設備故障、技術疏忽失誤以及自然災害等);

(2) 故意威脅(包括來自心懷不滿的員工、工業間諜活動、蓄意破壞、網絡黑客、病毒和蠕蟲以及盜竊和恐怖主義)。

從一般的視角來看，IEC62351標準的安全目標表現在以下幾個方面：

(1) 系統的可用性;

(2) 系統和信息的完整性;

(3) 信息保密;

(4) 信息的不可否認與權威性。

所采用的技術依賴于加密技術，加密技術被廣泛應用于如下所描述的各種專業的協議安全標準中。

(1)IEC62351-3約定如何通過對信息的專業約束、規范的程序、傳輸層安全的算法(TLS)來保證傳輸控制協議/網際協議(TCP/IP)的安全，而這些在RFC2246中都給予了定義，因此這些標準適用于IECTC57的遠程控制環境。其目的在于為建立TCP/IP連接的任一端通信實體之間提供安全保護，以避免未經授權的訪問獲取到信息，以及未經授權而修改(篡改)或竊取信息。

(2)IEC62351-5約定了基于保護所有協議操作的語言、程序和算法。IEC60870-5：遠程控制設備和系統。該標準的適用范圍包括IEC60870-5-101，IEC60870-5-102，IEC60870-5-103，IEC60870-5-104和DNP3。該標準采用的是對所有對象之間交換的每條消息的身份驗證技術。為了達到這種效果，首先增加了新的安全信息，同時，IEC60870-5協議本身也被更新，使用新的應用服務數據單元進行傳輸，并使之具備攜帶超過256個字節長的信息能力。

(3)IEC62351-4和IEC62351-6允許為IEC61850協議對MMS和GOOSE/SV配置文件提供保護和認證。

(4)IEC62351-11為XML信息交換提供保護機制(比如：為IEC61970和IEC61968協議)。

加密技術、密鑰分發(keydistribution)和系統維護是常規必備技術。IEC62351-9制定了密鑰管理標準，為加密系統提供所需的非對稱和對稱密鑰。密鑰管理系統是基于ITUX.509不對稱密鑰管理標準和IETFGDOI對稱密鑰管理構建的。IEC62351-8推薦基于角色的訪問權限控制系統，訪問權限控制系統是國家重要公共基礎設施的一部分。這就意味著，每個需要訪問國家重要公共基礎設施內部任何資源的用戶或應用程序，將在規定的一定角色權限范圍內被授權(或不授權)。

角色是給不同用戶一定的訪問系統資源的權力。除了被授權的用戶以外，其他用戶都不具備訪問的權限。這樣就能夠更好和更有效地對用戶進行管理，除此之外，為了確保國家重要公共基礎設施系統的安全，還應具有實時監控、自動化系統以及對遠程控制設備的控制權。

遠程設備(比如，一個保護裝置)可能發生故障或因為主通信通道發生故障而采用備用通道相連接來通信，在這種情況下，設備也可能會被篡改。因此，需要對負責控制國家重要公共基礎設施的任何設備的狀況進行實時監控(包括水輪機、閘閥和大壩)。

國家重要公共基礎設施運營中心負責主管監測控制和數據采集(SCADA)系統的運行，主要用于控制發電基礎設施。網絡與系統管理運行中心用于監測和控制遠程控制設備的運行狀態，而這些遠程控制設備對于基礎設施運行來說是不可或缺的。對網絡和遠程通訊設備加強監控，可以使遠程控制基礎設施的運行狀況一覽無余。應將網絡與系統管理服務的監控設備的通訊，設計為隔離的獨立通道。

網絡隔離與在過去30a開發的系統不同，其監控通訊網絡與SCADA系統是完全隔離的，還包括對遠程控制設備具有監控功能的實時監控系統。監控系統集成到一個單獨的系統，可以更加協調地維護遠程控制服務設備，同時也可以避免SCADA系統本身故障可能會造成的隱患。

IEC62351-10完成了整個系統結構圖的設計，并為系統整體設計方面所需的建議。

在IEC62351的基礎上，目前意大利國家電力公司正在利用IEC60870-5-104協議開發一種安全通信系統。這個系統執行的將是一個PKI體系架構，這既符合遠程控制系統的需求，又能滿足未來智能電網的發展。

3 結 論

IEC62351標準為國家重要公共基礎設施遠程控制系統的安全部署制定了一個全面而準確的技術解決方案。目前該標準所涵蓋的有效性產品仍然比較有限，由于標準本身是新制定的，因此，仍處于不斷地細化和完善中。但是，在目前的實施過程中獲得了重要的反饋，即采用標準化解決方案的思路是正確的，特別是關于安全問題。

IEC62351標準的制定，是為了確保國家重要公共基礎設施的應變能力。這個提法取代了傳統的想法，過去往往認為“沒有暴露的問題不會對安全造成影響”或“隱瞞安全隱患”。基于非標準化的解決方案是不可靠的，而且更容易出問題。這是因為標準和公開的解決方案更容易得到整個行業的專業組織驗證。

在水力發電的整個環節執行安全策略(包括網絡安全)，意味著所有的人以及公司各部門、各種技術支撐環節，都必須直接參與，并且必須在以下描述的整個項目運行周期內開展協作。

(1) 根據標準的框架和要求，開展風險分析。

(2) 制定公司政策和指導方針，執行公司建議的安全要求與規范。

(3) 采用標準技術解決方案來應對項目設計和開發中所發現的風險。

(4) 規劃和推動利益相關者的培訓(不僅是指直接的操作生產人員，還包括公司的其他所有職員)。

(5) 評估和審計安全策略執行結果。

由于威脅和風險會隨著時間的推移而發生變化，因此，必須對國家重要公共基礎設施安全的解決方案進行不斷更新改進。在日常常規操作生產期間，定期地收集、分析和共享事故信息是非常必要的，因為這樣就能使安全方案更新策略不斷地反饋到生命周期的規劃中。生命周期可以迭代更新，以實現提升安全策略，并增加國家重要公共基礎設施的生產質量和應變能力。

(汪朝輝 白 耘 編譯)

2015-01-07

1006-0081(2015)05-0015-04

TV74

A