规约转换技术在长沙生产运营中心安全接入区的应用

李文明，苏 亮

（五凌电力有限公司，湖南 长沙410004）

1 引言

生产控制系统直接面向用电用户，其安全、稳定、可靠的运行事关工业生产运行、国家经济安全和人民生命财产安全[1]。目前生产系统由控制系统主站监控系统和远程终端控制器组成，而通信方式，由于远程终端数量庞大且分散在不同的环境区域，因此采用光纤加无线网络的通信方式实现数据的采集和监控。控制系统主站监控系统需要实现对远程终端所有数据的监测和控制功能，对于部分通信条件受限制的远程终端，也要求通过部署安全防护措施后，实现二遥或者三遥的功能。

2 概况

长沙新能源生产运营中心是按照国家电投集团公司“省为实体、集中监控、区域维检、场站安保”的原则于2016年10月建成投运，中心软硬件可满足未来100个的新能源项目接入，目前已接入窑坡山风电场、东岗岭风电场、大青山风电场、新邵龙山风电场、古台山风电场、土木溪水电站、龙家山水电站、东山光伏、鹤巢湖光伏、九华光伏与综合会馆屋顶光伏，可控装机容量33万kW，运营中心与接入场站分别采用电力、电信2M专线双路由与场站进行实时通信，网络拓扑如图1所示。

图1 运营中心与场站网络拓扑图

3 存在的威胁

由于运营中心租用电信公网作为生产数据的备用通信通道，易遭受互联网黑客的攻击，从而对主站系统和终端进行非法破坏。同时各场站生产控制系统终端数量庞大且分散在不同环境区域，通信方式不统一，导致存在较多的安全隐患，主要存在如下几方面的网络威胁：

（1）运行要求和威胁：生产控制系统具有实时性要求，任何信息处理过程中的延迟和耽搁都是不允许的，数据丢失、延迟、乱序传输等都将给控制系统带来严重或者致命的问题。

（2）可用性威胁：生产控制系统需要对现场的设备进行实时监控，外部攻击对生产控制系统的可靠性和可维护性造成威胁。

（3）通信协议威胁：生产控制系统采用电力常用远动通信规约（如IEC 104等），这些协议在设计上并未充分考虑安全性。

（4）通信通道威胁：生产控制系统存在租用光纤或无线公网的通信通道，很容易遭受互联网黑客的攻击，从而对主站系统和终端进行破坏或非法操作。

4 防护原则

通过数据安全代理技术的研究，采用在安全交换区与内网之间通过专用隔离装置进行整体数据交互，在满足14号令安全要求的基础上，实现不同安全区之间的数据交换。

4.1 安全防护要求

按照国家能源局下发的（国能安全〔2015〕36号）《电力监控系统安全防护总体方案》要求，需对典型生产控制系统中电网调度自动化系统和电力负荷控制管理系统的逻辑边界分析及安全防护部署[2]，如图2所示。

图2 电力监控系统安全防护要求

具体要求如下：

（1）电网调度自动化系统与本级调度自动化或其他系统通信时应当采用逻辑隔离防护措施，保障调度自动化系统安全。

（2）在前置机应当配置安全模块，对控制命令和参数设置指令进行签名操作，实现子站对主站的身份鉴别与报文完整性保护。

（3）对重要子站及终端的通信可以采用双向认证加密，实现主站和子站间的双向身份鉴别，确保报文机密性和完整性。

（4）对于采用公网作为通信信道的前置机，公网前置机属于安全接入区，必须采用电力专用的正反向隔离装置与自动化系统进行隔离。

4.2 防护原则

安全接入区可信接入及交换总线防护设计原则如下：

（1）全面防护原则：IT安全风险的控制需要多角度、多层次，从各个环节入手，做好全面保障。在“双网双机、分区分域、安全接入、动态感知、精益管理”基础上，从物理、边界、网络、主机、应用、数据和终端等层面，提高等级保护纵深防护能力[2]。

（2）适度防护原则：风险永远不可能彻底消除，明确可接受的风险，进行适度保护是风险管理的精华。

（3）合规性原则：遵循国家的相关政策、标准和规范，满足所属行业监管要求，符合公司自身业务活动和发展需求。

（4）就高防护原则：充分考虑与运营中心的安全防护等级的一致性，保证运营中心的各类网络、存储资源按照高等级系统要求就高防护[3]。

5 实施方案

根据电力监控系统安全防护方案要求，使用公网通信时应当设立安全接入区，并采用安全隔离、访问控制、认证及加密等安全措施。然而，部署安全接入区之后使得生产控制大区与远程终端之间直接网络通信已经断开，而IEC104规约是基于TCP/IP网络通信规约，安全接入区的结构使得主站的规约通信被安全隔离装置拦截，且终端的规约也被隔断，因此，采取的方案需解决通信协议在通过安全接入区后仍可进行正常通信的问题。

5.1 改造思路

改造前运营中心监控系统前置机与终端的通信情况如图3所示。

针对以上情况，提供了IEC 104代理方式的安全接入区规约转换通信网关（安全I区及安全接入区各1台），其中位于安全区I的规约转换通信网关虚拟为1台（或多台）远程终端，其程序剥离出应用层数据（IEC 104）转发给安全接入区内规约转换通信网关，并跟终端连接形成一条虚拟通信链路，运营中心监控系统前置机无需修改程序即可完成数据采集。系统结构如图4所示。

图4 改造后运营中心与场站通信图

虚拟通信链路的数据召唤流程如下：

（1）运营中心监控系统前置机发出数据召唤请求，经TCP协议发送到安全区I的规约通信网关。

（2）安全区I规约通信网关经正向隔离发送数据到安全接入区规约通信网关。

（3）安全接入区规约通信网关发出数据召唤请求，路径为主站纵向加密网关—公网—子站纵向加密网关—远程终端。

（4）远程终端返回数据，路径为子站纵向加密网关—公网—主站纵向加密网关——安全接入区规约通信网关。

（5）安全接入区规约通信网关将相关返回数据存入到本机文件目录。

（6）反向装置配套传输程序读取以上目录文件，经反向装置传输到安全区I规约通信网关的文件目录。

（7）安全区I规约通信网关读取文件转换为内存数据以TCP协议方式发送到运营中心监控系统前置机，完成数据召唤采集的过程。

5.2 具体方案

在已部署有纵向加密装置的电信通道基础上建设安全接入区，在安全I区及安全接入区各增加一台规约通信网关，在安全I区及安全接入区之间部署1台正向隔离装置及1台反向隔离装置，各设备功能作用如下：

（1）安全接入区规约通信网关

安全接入区规约通信网关主要负责将经过正向隔离装置转发过来的数据报文，通过设定策略，发送至指定的厂站；将厂站上行数据报文转换为反向隔离装置通信要求的格式后，发送至调度自动化主站系统。该网关采用安全的Linux操作系统，去除与数据转发无关的网络服务功能，内置系统防火墙仅接受设定策略地址的链接请求。

（2）生产控制大区规约通信网关

将自动化主站系统的下行数据报文，代理发送至正向隔离装置的特定链路策略；将厂站上行数据报文文件转换代理厂站终端数据报文格式，发送至调度自动化主站系统。该网关采用安全的Linux操作系统，去除与数据转发无关的网络服务功能，内置系统防火墙仅接受设定策略地址的链接请求。

（3）正向隔离装置

主站下行数据报文通过正向隔离装置转发至厂站终端，确保主站系统与安全接入区数据的单向通信。

（4）反向隔离装置

厂站上行数据报文通过反向隔离装置转发至调度自动化主站系统，确保安全接入区发送至自动化主站系统数据的安全性。

实施后的运营中心电力监控系统网络拓结构如图5所示。

图5 改造后运营中心与场站网络拓扑图

改造后，在两台规约通信网关中安装代理传输软件，建立一条满足电力监控系统安全防护要求的模拟数据通道，使主站下发和终端上送等数据通信能安全有效的穿过安全接入区，达到主站应用程序免改造的前提下实现安全防护的目标。

6 结束语

总的来说，新能源集中监控系统的建设是一个复杂的系统工程，它涉及到生产控制技术、数据通信技术、信息管理技术等多个领域的知识和内容[5]。该系统自产生之初就对实施商的实施能力和集中监控中心运营方的协调能力提出了较高的要求，加之系统建设没有统一的标准以及对整个系统的理解不同，使得每一个新能源集中监控系统的建设内容和效果有所不同，但电力监控系统安全防护相关要求是明确的和具体的，它提出整个系统的建设框架，对整个项目的建设进行指导，对于电力监控系统安全防护相关内容的遵循使整个系统的建设过程更加合理和规范[6]，从而提高系统的安全性和可靠性。