數據網二次安防在風電場的應用

何璟德

（中國能源建設集團江蘇省電力設計院有限公司，江蘇 南京 211100）

數據網二次安防在風電場的應用

何璟德

（中國能源建設集團江蘇省電力設計院有限公司，江蘇 南京 211100）

本文闡述了調度數據網面臨的主要風險，從防護目標、原則、安全分區、認證隔離、專通通道、路由選擇等方面詳細介紹了二次系統安全防護的設計，并結合風電場實踐情況分析了防護方案和施工調試過程中的風險，提出風險控制辦法。

調度數據網；安全防護；風險控制。

隨著我國大規模風電廠接入系統，電網的電源結構發生了比較大的改變，接入的電源數量成倍增長，電力調度數據網的安全問題日益突出，目前電力調度數據網覆蓋面大，承載業務越來越多，對數據交互的安全性提出了更高的要求。電力二次系統安全是全方位的工程，網絡安全是系統安全的重要組成部分。因此，在電網建設時形成有效的網絡安全防護體系非常重要。

1　數據網絡風險分析

網絡信息安全是連接電力系統的生命線，廠站終端與主站通過數據網絡進行信息交互的過程中存在信息泄漏、篡改和破壞的風險，如果遭到非法入侵，將會嚴重影響到電力系統的安全運行。因此，需要加強電力二次系統的安全防護，增強信息的安全防護和自主控制，防止關鍵業務信息被竊取和篡改。在規劃數據網二次安全防護時，必須認清數據網面臨的主要風險，才能有效地解決安全隱患。數據網面臨的主要安全風險見表1。

2　二次安防的設計

2.1 防護目標

調度數據網二次安全防護的目標是保障電力系統安穩地運行，規范二次安全防護方案的規劃和建設，重點防范由于黑客、病毒等通過網絡對電力控制系統進行惡意攻擊和破壞，及由此引起的大范圍停電事故。

表1　安全風險

2.2防護原則

二次安防的總體原則是“安全分區、橫向隔離、網絡專用、縱向認證”。

分區防護、突出重點：根據電力系統業務的重要性及與電力一次系統安全的關聯程度進行劃分區域，對影響電力安全生產相關的業務進行重點防護。

橫向隔離：通過隔離裝置在不同的安全區之間實現邏輯和物理橫向隔離。

網絡專用：通過BGP/MPLS VPN（邊界網關協議Border Gateway Protocol/多協議標簽交換虛擬專用網絡Multi-Protocol Label Switching Virtual Private Network）技術部署多個相互隔離的業務專用網絡通道，為數據網提供多層次防護。

縱向認證：采用IP認證加密方式在縱向邊界部署加密裝置，實現各區數據在廣域網傳輸過程中的安全防護。

2.3安全區劃分

調度數據網作為電網調度生產數據的基本傳輸和應用平臺，承載了生產調度、運行管理等諸多業務。其中數據采集與監控系統 SCADA（Supervisory Control And Data Acquisition）、 能 量 管 理 系 統EMS（energy management system）和廣域向量測量系統等監控業務具有很高的實時性要求，按照設計規定實時數據的傳輸周期應為秒級，而生產管理類業務信息數據交換量大呈現出較強的隨機性，優先級程度并不高。為使安全等級不同的業務相互隔離，保證網絡信息的安全性、可靠性，調度業務根據安全級別劃分為兩大區即生產控制大區和信息管理大區，生產控制大區又分為控制區與非控制區，它們的業務類型和要求見表2。

表2　調度數據網業務類型及要求

2.4邊界防護

網絡縱向邊界是網絡流量的必經之地，也是各種網絡攻擊的突破口。在網絡縱向邊界上部署電力縱向加密認證裝置是一種行之有效的防御措施。通過數字證書認證并進行嚴密的隧道與策略配置，可以阻擋絕大多數外來攻擊、病毒和惡意代碼。還可以通過對縱向加密認證裝置服務日志進行配置來發現異常流量和惡意攻擊等網絡威脅。

在生產控制區（安全Ⅰ區和安全Ⅱ區）與信息管理區邊界處，必須采用具備隔離強度高于防火墻的物理隔離裝置。橫向隔離裝置基于“信息擺渡”的原理，采用兩個高性能嵌入式微處理器保證內外兩個安全區域不在同一時刻連通，同時又實現兩個大區之間的非網絡方式的高速數據交換。

2.5安全區拓撲結構

三個安全區之間可組成鏈式、三角和星型形三種拓撲結構，見圖1。

鏈式拓撲：控制區與非控制區通過防火墻連接，非控制區與信息管理區再通過隔離裝置進行安全防護，三個安全區形成一條鏈式連接結構。

三角拓撲：控制區與非控制區之間通過防火墻防護，信息管理區通過2臺隔離裝置分別與控制區和非控制區連接，三個安全區形成三角連接。

圖1　安全區網絡拓撲

星形拓撲：非控制區直接接入網絡匯聚點，控制區通過防火墻與匯聚點連接，匯聚點與信息管理區通過隔離裝置進行安全防護。

2.6專用通道的部署

為保證各個安全區應用業務之間的相互隔離，需要部署VPN來滿足業務系統的信息安全要求。采用BGP/MPLS VPN技術可將控制區、非控制區、信息管理區分割成3個相對獨自的邏輯專網，通過路由隔離、地址隔離和信息隱藏等手段提供安全保證。一個BGP/MPLS VPN網絡由用戶邊緣設備CE（Customer Edge），用戶邊緣路由器PE（Provider Edge）和服務商路由P（Provider）組成。控制區和非控制區業務通過交換機CE分別接入到業務邊緣路由器PE，并在PE上劃分VPN實現路由的隔離。廠站PE與主站P通過邊界網關協議BGP實現VPN路由信息的傳遞，并使用MPLS轉發VPN流量。

2.7路由設備的要求

網絡路由的可靠性和安全性依賴于路由器的性能，在BGP/MPLS VPN網絡中尤其需要注重P和PE路由器的選擇。在可靠性方面選取全分布式架構的路由器可以實現轉發與控制的分離，設備引擎負責路由的計算，分布式線卡完成數據的轉發，大大提高了網絡收斂時間，控制了包丟失率。同時各個線卡相互獨立，某一線卡故障時不會影響其他數據的轉發，整機可靠性隨著線卡數量而提升；為了保證信息的安全性，在路由器內嵌入安全模塊，通過對安全接口的調用實現身份認證、數據加密、簽名驗證等功能。

3　工程實踐與風險控制

3.1工程實踐

中電投東海馬陵風電數據網的接入部分嚴格按照上述二次安防總體原則進行規劃設計，數據網第一、第二平面采用兩套獨立的網絡接入設備，實現生產控制區業務接入的冗余，另建立一條以太網到E1的轉發網關，實現信息管理區業務的接入。

第一、第二平面均配置2臺H3C LS3900以太網交換機擔當CE，分別命名為實時CE和非實時CE，用于安全Ⅰ區和安全Ⅱ區縱向數據的匯集接入，以及安全區之間的橫向互聯，安全Ⅰ區及安全Ⅱ區業務終端均配置兩塊以太網卡，分別接入兩臺CE；雙平面均采用H3C MSR5040作為接入點路由器PE，PE通過2M E1接口接入華為Metro3000光端機進入省光傳輸網，在PE與CE之間部署兩臺NARI NetKeeper2000縱向加密裝置，進行本地與遠方業務系統之間數據通信的身份認證、數據的加密與解密；安全Ⅲ區為孤島運行狀態，單獨配置一面MIS網機柜，通過一臺H3C MSR5040路由器和H3C LS3900交換機建立一條以太網到E1的轉發網關與Ⅰ、Ⅱ區VPN通道隔離，在交換機與路由器之間部署一臺TG-1509硬件防火墻，實現數據交互包過濾和訪問控制。

為禁止低級別安全區向高級別區域訪問，在安全Ⅰ區和安全Ⅱ區CE間配置一臺硬件防火墻，通過網線級聯，一方面實現兩區的邏輯隔離，另一方面讓分區業務同時使用實時VPN和非實時VPN與中調進行數據傳輸，提高效率。生產控制大區與信息管理大區之間部署正、反向隔離裝置各一臺，其中生產控制區到管理信息區的單向數據傳遞采用SysKeeper2000（正向型）安全隔離裝置；管理信息區到生產控制區的單向數據傳遞則采用SysKeeper2000（反向型）安全隔離裝置使數據的交互形式為純文本數據或語言數據。

3.2風險控制

雖然本期工程的數據網二次安防建設已經滿足了《電網和電廠計算機監控系統及調度數據網絡安全防護規定》和《電力二次系統安全防護規定》的要求，構建了多層次網絡安全防護體系，但在防護策略和工程實施中仍存在以下風險，需要對風險點加以控制。

（1）安全區的拓撲采用的是鏈式拓撲結構，雖然有效地將三個安全區進行了隔離，但由于互通鏈路的唯一性存在單鏈路故障的高風險。如果采用三角形拓撲結構，一是兩臺隔離裝置成本較高，二是控制區與信息管理區直接連接，只有一層防護，控制區將承擔較大風險，采用星形連接的話風險程度將更高。因此建議鏈式結構基礎上增加冗余線路的設計，并配置雙鏈路互備互通，降低單點故障風險。

（2）盡管在縱向網絡邊界配置了防火墻和加密裝置，但仍存在漏洞，需要引入入侵檢測系統IDS（Intrusion Detection Systems）來補充。本工程后期新增一套ICEYE 204D四探針百兆入侵檢測設備，其IDS探頭主要部署在安全區橫向網絡邊界點以及與調度中心縱向互聯的接入點，實時檢測入侵行為、風險分析及安全審計。

（3）由于本站屬于無人值守類型，為方便運行人員遠程監控管理，中電投馬陵風電通過專用公網將本站信息傳輸至其鹽城監控中心。由于此公網采集數據與調度數據采集自同一終端，因此配置內外網雙主機，采用“雙機非網”結構模式，內網主機與終端通過以太網連接，外網主機與公網接連，內外網主機以高速串口非網絡協議方式連接，有效地進行網隔離。

（4）工程實施中交換機的縱向互聯與橫向互聯需要配置不同的VLAN（Virtual Local Area Network，虛擬局域網），縱向與橫向防火墻的安全策略也不盡相同，需根據不同的網絡防護要求實施；加密裝置應設置成透明模式，可使PE與CE通過網線直連，避免裝置故障引起數據中斷；網線必須采用屏蔽雙絞線，RJ45水晶頭制作時雙絞線裸露部分不超過12 mm，否則會造成近端串擾和回波損耗，引起通訊質量的下降和誤報警。

4　結論

通過對單獨風電廠接入系統的安全防護措施分析，提出在風電廠接入電網時除需根據調度數據網的“安全分區、橫向隔離、網絡專用、縱向認證”的基本防護原則確定數據網二次安防的總體架構，還需要通過優化安全拓撲結構，排除單點故障風險，如加入IDS彌補安全防護的不足、采取“雙機非網”結構實現內外網隔離等防護策略，提出施工調試時的注意事項，排除人為安全隱患。調度自動化安全是一個動態發展過程，不能僅僅依靠安全產品的堆積來實現，只有在不斷完善安全防護體系的同時加強對風險的控制，才能使電力二次系統的安全防護更加堅固可靠。

［1］ 彭清卿.國家電力調度數據網組網研究［J］.電力系統自動化術，2004，（8）.

［2］ 劉麗榕.國家電網調度數據網建設方案研究 ［J］.電力系統通信，2011，（220）.

［3］ 潘路.電力二次系統網絡信息安全防護的設計與實現［D］.華南理工大學碩士學位論文，2014.

［4］ 電監安全［2006］34號文.電力二次系統安全防護總體方案 ［S］.

［5］ 李芹.電力調度數據網測試模型［J］.電力系統自動化，2015，（1）.

［6］ 李高望.電力調度數據網傳輸特性分析［N］.中國電機工程學報，2012，（22）.

［7］ 刑寧哲.華北電力調度數據網若干問題分析和研究［J］.華北電力技術，2008，（03）.

［8］ 彭竹.電力行業工控終端設備安全接入系統的設計與實現［D］.中國科學院大學碩士學位論文，2015.

Application of Data Network Secondary Security Protection in Wind Power Plant

HE Jing-de
（Jiangsu Electric Power Design Institute， Nanjing 211100， China）

This paper describes the main risk of dispatching electric power data network， and the design of secondary security protection is introduced from the aspects of protection goal， principle， security division， authentication and isolation， access channel， route selection. Finally， analyses the protection scheme and construction risk in the process of debugging combine with the practice of wind farm， put forward the risk control measures.

dispatching data network； security protection； risk management.

TM614

B

1671-9913（2016）04-0072-04

2016-03-10

何璟德（1990- ），男，江蘇常州人，助理工程師，電氣工程及其自動化專業。