規約轉換技術在長沙生產運營中心安全接入區的應用

李文明，蘇 亮

（五凌電力有限公司，湖南 長沙410004）

1 引言

生產控制系統直接面向用電用戶，其安全、穩定、可靠的運行事關工業生產運行、國家經濟安全和人民生命財產安全[1]。目前生產系統由控制系統主站監控系統和遠程終端控制器組成，而通信方式，由于遠程終端數量龐大且分散在不同的環境區域，因此采用光纖加無線網絡的通信方式實現數據的采集和監控。控制系統主站監控系統需要實現對遠程終端所有數據的監測和控制功能，對于部分通信條件受限制的遠程終端，也要求通過部署安全防護措施后，實現二遙或者三遙的功能。

2 概況

長沙新能源生產運營中心是按照國家電投集團公司“省為實體、集中監控、區域維檢、場站安保”的原則于2016年10月建成投運，中心軟硬件可滿足未來100個的新能源項目接入，目前已接入窯坡山風電場、東崗嶺風電場、大青山風電場、新邵龍山風電場、古臺山風電場、土木溪水電站、龍家山水電站、東山光伏、鶴巢湖光伏、九華光伏與綜合會館屋頂光伏，可控裝機容量33萬kW，運營中心與接入場站分別采用電力、電信2M專線雙路由與場站進行實時通信，網絡拓撲如圖1所示。

圖1 運營中心與場站網絡拓撲圖

3 存在的威脅

由于運營中心租用電信公網作為生產數據的備用通信通道，易遭受互聯網黑客的攻擊，從而對主站系統和終端進行非法破壞。同時各場站生產控制系統終端數量龐大且分散在不同環境區域，通信方式不統一，導致存在較多的安全隱患，主要存在如下幾方面的網絡威脅：

（1）運行要求和威脅：生產控制系統具有實時性要求，任何信息處理過程中的延遲和耽擱都是不允許的，數據丟失、延遲、亂序傳輸等都將給控制系統帶來嚴重或者致命的問題。

（2）可用性威脅：生產控制系統需要對現場的設備進行實時監控，外部攻擊對生產控制系統的可靠性和可維護性造成威脅。

（3）通信協議威脅：生產控制系統采用電力常用遠動通信規約（如IEC 104等），這些協議在設計上并未充分考慮安全性。

（4）通信通道威脅：生產控制系統存在租用光纖或無線公網的通信通道，很容易遭受互聯網黑客的攻擊，從而對主站系統和終端進行破壞或非法操作。

4 防護原則

通過數據安全代理技術的研究，采用在安全交換區與內網之間通過專用隔離裝置進行整體數據交互，在滿足14號令安全要求的基礎上，實現不同安全區之間的數據交換。

4.1 安全防護要求

按照國家能源局下發的（國能安全〔2015〕36號）《電力監控系統安全防護總體方案》要求，需對典型生產控制系統中電網調度自動化系統和電力負荷控制管理系統的邏輯邊界分析及安全防護部署[2]，如圖2所示。

圖2 電力監控系統安全防護要求

具體要求如下：

（1）電網調度自動化系統與本級調度自動化或其他系統通信時應當采用邏輯隔離防護措施，保障調度自動化系統安全。

（2）在前置機應當配置安全模塊，對控制命令和參數設置指令進行簽名操作，實現子站對主站的身份鑒別與報文完整性保護。

（3）對重要子站及終端的通信可以采用雙向認證加密，實現主站和子站間的雙向身份鑒別，確保報文機密性和完整性。

（4）對于采用公網作為通信信道的前置機，公網前置機屬于安全接入區，必須采用電力專用的正反向隔離裝置與自動化系統進行隔離。

4.2 防護原則

安全接入區可信接入及交換總線防護設計原則如下：

（1）全面防護原則：IT安全風險的控制需要多角度、多層次，從各個環節入手，做好全面保障。在“雙網雙機、分區分域、安全接入、動態感知、精益管理”基礎上，從物理、邊界、網絡、主機、應用、數據和終端等層面，提高等級保護縱深防護能力[2]。

（2）適度防護原則：風險永遠不可能徹底消除，明確可接受的風險，進行適度保護是風險管理的精華。

（3）合規性原則：遵循國家的相關政策、標準和規范，滿足所屬行業監管要求，符合公司自身業務活動和發展需求。

（4）就高防護原則：充分考慮與運營中心的安全防護等級的一致性，保證運營中心的各類網絡、存儲資源按照高等級系統要求就高防護[3]。

5 實施方案

根據電力監控系統安全防護方案要求，使用公網通信時應當設立安全接入區，并采用安全隔離、訪問控制、認證及加密等安全措施。然而，部署安全接入區之后使得生產控制大區與遠程終端之間直接網絡通信已經斷開，而IEC104規約是基于TCP/IP網絡通信規約，安全接入區的結構使得主站的規約通信被安全隔離裝置攔截，且終端的規約也被隔斷，因此，采取的方案需解決通信協議在通過安全接入區后仍可進行正常通信的問題。

5.1 改造思路

改造前運營中心監控系統前置機與終端的通信情況如圖3所示。

針對以上情況，提供了IEC 104代理方式的安全接入區規約轉換通信網關（安全I區及安全接入區各1臺），其中位于安全區I的規約轉換通信網關虛擬為1臺（或多臺）遠程終端，其程序剝離出應用層數據（IEC 104）轉發給安全接入區內規約轉換通信網關，并跟終端連接形成一條虛擬通信鏈路，運營中心監控系統前置機無需修改程序即可完成數據采集。系統結構如圖4所示。

圖4 改造后運營中心與場站通信圖

虛擬通信鏈路的數據召喚流程如下：

（1）運營中心監控系統前置機發出數據召喚請求，經TCP協議發送到安全區I的規約通信網關。

（2）安全區I規約通信網關經正向隔離發送數據到安全接入區規約通信網關。

（3）安全接入區規約通信網關發出數據召喚請求，路徑為主站縱向加密網關—公網—子站縱向加密網關—遠程終端。

（4）遠程終端返回數據，路徑為子站縱向加密網關—公網—主站縱向加密網關——安全接入區規約通信網關。

（5）安全接入區規約通信網關將相關返回數據存入到本機文件目錄。

（6）反向裝置配套傳輸程序讀取以上目錄文件，經反向裝置傳輸到安全區I規約通信網關的文件目錄。

（7）安全區I規約通信網關讀取文件轉換為內存數據以TCP協議方式發送到運營中心監控系統前置機，完成數據召喚采集的過程。

5.2 具體方案

在已部署有縱向加密裝置的電信通道基礎上建設安全接入區，在安全I區及安全接入區各增加一臺規約通信網關，在安全I區及安全接入區之間部署1臺正向隔離裝置及1臺反向隔離裝置，各設備功能作用如下：

（1）安全接入區規約通信網關

安全接入區規約通信網關主要負責將經過正向隔離裝置轉發過來的數據報文，通過設定策略，發送至指定的廠站；將廠站上行數據報文轉換為反向隔離裝置通信要求的格式后，發送至調度自動化主站系統。該網關采用安全的Linux操作系統，去除與數據轉發無關的網絡服務功能，內置系統防火墻僅接受設定策略地址的鏈接請求。

（2）生產控制大區規約通信網關

將自動化主站系統的下行數據報文，代理發送至正向隔離裝置的特定鏈路策略；將廠站上行數據報文文件轉換代理廠站終端數據報文格式，發送至調度自動化主站系統。該網關采用安全的Linux操作系統，去除與數據轉發無關的網絡服務功能，內置系統防火墻僅接受設定策略地址的鏈接請求。

（3）正向隔離裝置

主站下行數據報文通過正向隔離裝置轉發至廠站終端，確保主站系統與安全接入區數據的單向通信。

（4）反向隔離裝置

廠站上行數據報文通過反向隔離裝置轉發至調度自動化主站系統，確保安全接入區發送至自動化主站系統數據的安全性。

實施后的運營中心電力監控系統網絡拓結構如圖5所示。

圖5 改造后運營中心與場站網絡拓撲圖

改造后，在兩臺規約通信網關中安裝代理傳輸軟件，建立一條滿足電力監控系統安全防護要求的模擬數據通道，使主站下發和終端上送等數據通信能安全有效的穿過安全接入區，達到主站應用程序免改造的前提下實現安全防護的目標。

6 結束語

總的來說，新能源集中監控系統的建設是一個復雜的系統工程，它涉及到生產控制技術、數據通信技術、信息管理技術等多個領域的知識和內容[5]。該系統自產生之初就對實施商的實施能力和集中監控中心運營方的協調能力提出了較高的要求，加之系統建設沒有統一的標準以及對整個系統的理解不同，使得每一個新能源集中監控系統的建設內容和效果有所不同，但電力監控系統安全防護相關要求是明確的和具體的，它提出整個系統的建設框架，對整個項目的建設進行指導，對于電力監控系統安全防護相關內容的遵循使整個系統的建設過程更加合理和規范[6]，從而提高系統的安全性和可靠性。