调度自动化系统及调度数据网安全分析探讨
随着电力系统电网建设步伐的加快,智能综合自动化无人值班变电站的不断增加,对电网安全、稳定、优质、经济运行提出了越来越高的要求,地区电网调度自动化系统的内涵也在不断延伸,由原来单一的EMS(能量管理系统)系统,扩展为EMS、TMR(电能量自动计量系统)、厂站自动化(含厂站监控系统)、水调自动化、雷电监视、继电保护与故障录波管理系统等,还包括电力市场技术支持系统、DMIS(调度管理信息系统)、OMS(调度生产管理系统)、SGDnet(调度数据网)以及二次系统安全防护的相关内容,地区电网的运行与控制越来越依赖于完善、先进和实用的调度自动化系统。
2006年池州公司电力调度数据专用网络的接入,在其网络范围内形成一个高速可靠、安全稳定的多业务数据传输平台,从而逐步实现电力调度自动化、电量计费、继电保护管理信息、电力市场技术支持等业务的网络接入功能,调度信息改为纯数字接口通信方式进行传输。同时,充分利用该数据专网的网络迂回及自愈功能,有效地提高信息传输的可靠性及稳定性,从而使“省调”与“地调”及变电站之间的信息传输容量和传输效率大大提高。
2.公司能量管理系统(SCADA/EMS)设备状况及安全防护部署
SCADA/EMS系统为整个电力自动化系统提供电力系统的运行状态和监控操作手段。SCADA系统是电力系统自动化的实时数据源,为调度及其他PAS(高级应用软件)提供大量的实时数据,同时在DTS(仿真模拟培训系统)、MIS等系统中都需要用到电网的实时数据,系统从厂站接收遥测、遥信数据,这类数据实时性较强,每秒都有数据传输;同时向厂站发送遥控、遥调、校时命令及计划数据,数据可靠性要求较高,与电网安全直接相关。
池州电网规模的快速发展,调度自动化系统处理的信息量越来越大,直接可观测的范围越来越广,使得电网调度自动化系统成为了调度和变电的“千里眼、千里手”。公司目前电网调度自动化系统接收和处理25个厂站综自变电站的信息,在电网调度的层次之下,已建设投运三个集控中心,一个监控中心。集控中心和监控中心管辖的变电站均已全部撤人,实现无人值守。
2.1早期能量管理系统(SCADA/EMS)设备状况及安全防护部署
池州供电公司早期EMS系统的软件为积成电子的IES500系列软件,该软件于2001年10月投入运行至今(新系统9月份通过省公司验收后,IES500系统退出运行),期间对各项应用进行过多次修改,但主程序版本未变。随着计算机技术发展,ies500系统设计理念、软件版本、硬件设备都日趋老化,已不能适应池州地区电网目前快速发展的规模。目前该系统二次安全防护,是在2005年时将SCADA内网与WEB服务器之间安装了正向隔离装置,SCADA内网通过隔离服务器并通过一套数据传输软件向WEB服务器传输数据,在数据交换量较大的情况或系统运行不稳定的情况下,有数据传输中断现象,导致外网数据保持不变,但重启后都能恢复正常,基于上述情况目前WEB数据浏览主要采用ies600系统,ies500系统WEB数据浏览做为备用存在。
2.2新能量管理系统(SCADA/EMS)设备现状安全防护部署
2.2.1新能量管理系统(SCADA/EMS)简介
池州供电公司目前试运行ies600能量管理系统,是积成电子股份有限公司在iES500系统基础上全新开发的升级换代产品,采用了国内外电子信息技术和SCADA/PAS/DTS系统技术的最新研究成果,该系统的应用层主要是电网数据采集与监控系统、高级应用软件、调度员培训仿真系统三部分。具有技术先进、实用性强、安全稳定、高度智能化、配置灵活、文护方便等特点。2008年8月份开始组建,2009年3月份开始投入试运行。
由图二可知:ies600系统各功能模块更趋完善,PAS高级应用软件(含AVC、DTS相关功能应用模块)。 整个EMS系统由数据采集和数据通信服务器、SCADA实时服务器、历史数据服务器、PAS服务器(含AVC及DTS服务器)、调度集控工作站(青阳集控中心)、文护工作站、PAS工作站、WEB服务器等主要节点构成。
2.3公司能量管理系统(SCADA/EMS)与其它系统间互联二次防护部署情况及存在缺陷
池州电网调度自动化系统(SCADA/EMS)通过WEB服务器并经安氏防火墙、交换机与公司生产管理系统(局MIS)连接,以实现整个实时系统的对外信息发布。池州电网调度自动化系统与各变电站远动装置的数据传送通过传统远动专用通道进行;与安徽省调电网调度自动化系统通讯通过两种方式进行:一种是通过安徽省调至池州地调的传统专用远动通道,使用调制解调器与省调调度自动化系统进行上、下行数据的实时传送。另一种是通过SCADA系统内一台专用的通讯网关机,使用Tase.2协议,经安徽电力调度数据网中的实时业务逻辑子网,与安徽省调实时的进行上、下行数据的传送。调度管理系统(OMS)、调度生产管理系统(DMIS)其主要通过安徽调度数据网中的非实时业务逻辑子网,访问省调内部网站,从而完成诸如:报表、工作票申报、三项分析等业务。
池州PDM2000电能量系统。主站系统网络采用双网、双服务器、双前置结构,构成网络化、功能分布式的体系结构。厂站采用2种采集终端,省公司关口电量的变电站采用兰吉尔FFC型远方采集终端,其它变电站均采用PSM-ID电能量远方采集终端。接收的所有厂站端(25个厂站端,其中8个厂站是省调关口站),主站与厂站通讯方式采用网络及拨号两路电量数据采集通道,一主一备,使电能量系统运行更加稳定可靠。与电网调度自动化系统(SCADA/EMS)通过防火墙相连,内网数据通过正向型隔离装置送至WEB服务器,WEB服务器与公司MIS网相连。
调度员仿真(DTS)系统采用先进技术,实现地调DTS系统既可以进行联网运行又可以进行单机运行,既可以用于调度员培训模拟,又可为调度、方式、保护、电网规划等电网专业人员提供一个数字化、图形化的电力系统运行分析平台,具备省调、地调联合反事故演习的功能。经防火墙
图3为池州电网调度自动化系统(ies500系统)2005年后与其它系统间互联拓扑示意图
在2005年之前调度端系统防护只有一台安氏防火墙,ies500系统易受外网黑客和蓄意破坏者和病毒的攻击。同时,在省公司二次防护工作未开展之前,电力调度的自动化系统管理人员和其它系统应用人员对计算机网络安全和信息安全的意识不够强,缺乏系统的安全口令长度限制管理和关键信息加密传输,自动化系统内部存有不安全入口,使系统的网络安全和数据信息安全得不到有效保护。
由图3、4可见,调度自动化系统与多个系统互联,中间严格采用安全分区、网络专用、横向隔离、纵向认证的原则,所有I区、II区业务没有跨接III区的现象。但要使调度自动化
二次防护部署目前亟待解决如下问题:
1)由于池州地区调度二次安全防护系统的设备由多厂家组成,防火墙防护策略配置不够全面,不标准。
2)池州地区调度所辖范围内所有厂站端二次系统安全防护设备配置较少,不能完全符合二次安全防护规定,建议由省公司统一对各变电站安装二次安全防护设备,在220kV变电站Ⅰ区出口全部布置纵向认证加密装置,Ⅱ区出口全部布置防火墙,在重要的110kV变电站配置防火墙。各防火墙按照安装部位及防护要求,对其策略进行统一规定,配置。
3)防火墙无法防范病毒和内部攻击,且只能按照固定的工作模式来防范已知的威胁,因此需在系统加装入侵检测系统(IDS),在内外网联接处的两侧和重要工作站加装网络监测器和控制台,为网络提供实时的入侵检测。
4)目前池州地区四个县调通过专线或模拟通道接收我公司转发遥测、遥信量,在安全部署与管理方面,我们自动化部门不具备直接管理权限,他们的安全部署与防护策略应充分考虑到系统安全隔离措施,以防存在系统漏洞,造成之间可以互联的情况发生。
5)为了文护调度实时数据网络和变电站系统间信息的安全传输,应提倡对遥控、重要遥测、重要遥信报文进行加密传输。
系统攻击事件:
事件一:
2000年10月某日,四川某水电厂自动控制系统收到异常信号,造成停机事件。
事件二:
2007年,我国互联网木马病毒和僵尸网络攻击造成各地调度自动化系统安全问题日益严重事件。
事件总结:由于对第三方人员设备接入控制不当,各地操作系统使用弱口令,登录没有上限限制。
措施:建议由省公司对各防火墙按照安装部位及防护要求,对其策略进行统一规定,配置,以达到高效防护要求,对口令及对第三方接入系统人员予以严把关。
3.电力调度数据专用网络现状与安全防护措施
目前电力调度数据专用网络(SGDnet)在电力系统中的应用日益广泛,已经成为不可或缺的基础设施。电力调度数据网络是电网调度自动化系统的重要支撑平台,网络安全是系统安全的保障,专用数据网络是整体安全防护体系的基础,专网体现在网络互联、网络边界、网络用户的可管性和可控性。
我公司调度数据专用网络一期工程在2006年9月正式接入,迄今已运行三年,到2010年二期工程规划开通运行。池州地区调度数据网主要功能是,传输Ⅰ区的实时数据、控制命令,Ⅱ区的非实时业务,以及对调度数据网本身的软硬件进行配置管理。
3.1池州地区调度数据网网络配置及架构
池州公司调度数据专用网络主设备为华为公司生产的各型号路由器,共25台,主站端设备有调度数据网网管机一台(hp DL360 proLiant),核心路由器共两台,型号分别是Quidway NE-08和Quidway NE-40,均安装在自动化机房。其余路由器安装在各变电站。厂站广域网数据通道通道采用SDH下发的2M E1通道互联,备用通道采用专线通道。主要变电站在拓扑上构成环路,形成双链路,保证可靠性。
图5为池州电力调度数据专用网络(SGDnet)拓扑示意图
电力调度数据专用网络采用层次化设计结构,可划分为核心层、骨干层和接入层。从功能上说,核心层主要负责整个网络的数据交换,骨干层主要负责整个网络的数据汇聚,接入层则主要负责各应用系统的接入功能。池州调度数据专用网络覆盖本地区具备通道条件的220kV变电站、110kV变电站、35kV变电站、集控站。
3.2安徽省调度数据网网络配置及架构
安徽电力地区调度数据网络工程,它利用在SDH光纤传输通道上建立高带宽、高性能、透明的、以调度数据为主要承载对象的数据通信网络,主要为安徽电力相关单位的电力调度业务提供服务。
安徽电力地区调度数据网作为安徽电力调度数据网的有机组成部分,主要基于IP-over-SDH技术构成。已建的安徽电力调度数据网采用层次化设计,分为三层:核心层、骨干层和接入层。其核心层6个(包括安徽省调),骨干层12个节点,分设在安徽省12个地调;接入节点则含盖各电厂和变电站。
3.3池州调度数据网设备配置
池州地区调度数据网络设备及软件选型如下:
l 核心层路由器:NE40-8;NE40-4;
l 骨干层路由器:NE40-4;
l 接入层路由器:AR4620;
l 以太网交换机;
l 网管系统:华为网管平台1套;硬件平台:1台主流服务器。
3.4池州调度数据网业务接入现状
本地调度数据专网由变电站节点,路由设备、交换设备、安全设备、网关设备和网管设备等组成。
池州调度数据专用网络建成后,承载了调度自动化系统、电量计费PDM2000系统、保护故障录波管理系统等,实时控制区业务主要包括:RTU、EMS;生产区业务主要包括:电量计费、保护故障录波管理系统。是保障安池州电网安全、优质、经济运行的基础设施。
不同结构层面上所接入的业务也有所不同,具体如下:
l 变电站接入的业务有:RTU、电量计费、保护故障录波管理系统;
l 地调接入的业务有:EMS、电量计费;
3.5池州调度数据网安全防护
建立调度数据专网安全防护体系,首先要制定安全防护策略。应用系统的安全策略位于安全防范的最高一级,是决定系统的安全要素。从大的方面讲,安全策略决定了一个系统要达到的安全级别及可以付出的代价;从小的方面讲,安全策略的具体规则用于说明哪些行为是允许的,哪些行为是禁止的。系统是否安全,很大程度上依赖于最初设计时制定的安全策略,因为今后的安全措施,都围绕这一策略来选择和使用,如果在安全策略上出了问题,将会给今后的应用系统带来安全隐患,从而使将来的安全建设处于十分被动的局面。
从应用和连接方式来看,内部网络有两类:一类是与公网完全隔离、在链路层上建立的企业内部网络一般称为专用网络;另一类是连接于公网、并利用公网作为通道的企业内部网。第一类网络除了面临来自物理层面的安全问题外,主要面临内部的机犯罪问题,如违规或越权使用某些业务、查看修改机密文件或数据库等,以及从内部发起的对计算机系统或网络的恶意攻击。第二类网络除了具有上述安全问题外,还要承受来自公网的攻击和威胁,由于公网上黑客、病毒盛行,网络安全的攻击与反攻击比较集中地体现在公网上。[1]
池州公司按照省公司安全防护要求,根据电力生产业务对数据网络安全性、可靠性、实时性方面的特殊要求,并遵照国家对涉密单位和重要设施在网络安全方面的有关规定。首先应根据网络的规模、目的、服务对象、实时程度、安全级别等综合考虑,确定最基本的网络技术防护体制。
3.5池州调度数据网存在安全问题
池州调度数据网目前亟待解决如下问题:
1)部分厂站节点是单线接入调度数据网,一旦单线通信中断,就将影响自身及下属变电站与整个调度数据网的通信,影响网络运行的可靠性。
2)同时承载着调度控制业务和管理信息业务,应当在将来资源允许的条件下,将现有电力调度数据网上的Ⅱ业务逐步分离出去,改造成为实时控制业务专用的数据网络。
3)省公司应每年对路由器等关键设备进行巡检文护,内部防护设置,IP地址配置也应考虑完备。因遥控遥调与电网安全直接相关,可靠性要求较高;与计费相关的电力市场业务对安全性有特殊要求,不仅要求可靠,原始数据还要求保密。
4)传输的连续性,需要恒定带宽。
4. 地区调度自动化系统及调度数据网安全管理对策
地区调度自动化系统及调度数据网在制定了各自安全防护策略的基础上,还必须做到技术措施和管理制度双管齐下,才有可能从根本上保障信息和控制系统的安全。
在管理制度方面应做到:
1)对全网实施监管,EMS系统与电力调度数据网连接的节点都必须在有效的管理范围内,保障安全的系统性和全局性。
2)加强人员管理,建立一支高素质的网络管理队伍,防止来自内部的攻击、越权、误用及泄密。
3)加强运行管理,建立健全运行管理及安全规章制度,建立安全联防制度,将网络与EMS系统安全文护作为经常性的工作。将调度数据网设备运行文护纳入调度自动化系统正常运行值班工作中,设备的运行状况应在OMS运行日志中记录。
4)参加调度数据网运行的技术交流和培训,提高文护人员网络安全技术。
在技术措施方面严格遵守:
1)网络接入系统必须考虑整体的系统安全策略、在网络传输层,为了保证数据网络的安全,又能向外传输必要的数据,必须坚持调度控制系统与调度生产系统之间、调度生产管理系统与企业办公自动化系统(OA/MIS)之间有效安全隔离,它们之间的信息传输只能采用单向传输的方式。常采用的措施包括防火墙、专用网关(正向隔离装置)。
2)调度数据网内交换的信息属调度系统内部信息,必须严格执行国家和国家电网公司信息安全保密管理的有关规定。加密技术。该措施主要用于防止重要或敏感信息被泄密或篡改。该项技术的核心是加密算法。其加密方法主要有:对称型加密、不对称型加密、不可逆加密等。
3)身份认证技术。该项技术广泛用于广域网、局域网、拔号网络等网络结构。用于网络设备和远程用户的身份认证,防止非授权使用网络资源。
4)具备安全防护措施和系统恢复方案。对于网络关键资源如路由器、交换机等做到双机备份,以便出现故障时能及时恢复。
5)采取有效安全措施,防止未经允许的设备接入调度数据网,严禁调度数据网内各节点局域网络与电力信息网等其他网络直接互联互通。
6)要建立信息安全和IP地址保密措施,系统内部IP地址不得泄漏到调度数据网以外。
5.结束语
电力调度自动化系统网络安全及设备安全是整体的、动态的,不是单一的安全技术能够实现的,而是多种技术的综合。应当在保证电力自动化信息传输可靠性、实时性的前提下综合考虑调度数据专用网络安全策略,从中寻找到确保网络安全与技术安全的平衡点,从而建立起一套真正适合池州电网的安全保障体系。