地县一体化电能量采集系统的安全防御体系建设

2011-09-12洪道鉴王周虹姚卫兴

浙江电力 2011年10期

洪道鉴，王周虹，洪蕾，姚卫兴

（台州电业局，浙江临海 317000）

随着计算机信息技术的发展，各级电网逐步以电能量采集系统取代人工抄表来完成电能计量数据的采集处理，并以此作为电量销售结算的依据，为电网经营管理提供了快速、精确、便捷的电量信息管理手段。由于电能量采集系统不是一个孤立的系统，需要与不同的系统互联，在提供电量信息共享查询的同时，也带来了电量数据信息的安全问题。在电能量采集系统建设过程中往往比较重视应用功能需求的实现，而忽略数据安全措施的落实。本文在分析地-县一体化电能量采集系统结构特点的基础上，结合现代计算机网络安全技术以及行为管理理念，提出全面的安全防御体系建设方案。

1 地-县一体化电能量采集系统结构

地-县一体化电能量采集系统由集中于地区电力调度的主站系统、分布于各县局调度的采集子系统以及各变电站采集终端等部分组成，系统结构如图1所示。

变电站的采集终端（ERTU）通过RS-485总线采集电能表计量数据，并进行转存和按主站规约转发。县局采集子系统负责采集县局本级调度管理的变电站电量数据，通过电话交换网或数据网定时采集各变电站的ERTU数据，并通过数据网上传给地区局主站系统集中处理和发布。地区局主站系统采集地区本级调度管辖的变电站ERTU数据以及汇集各县局采集子系统采集到的电量数据，对全地区电量数据进行集中加工处理和存储，并通过WEB服务器发布电量数据及报表。系统主要实现变电站电能量数据的自动采集、数据正确性自动检查（双表比对、母线平衡分析）、换表、换电流互感器流程处理、线路和变压器损耗分析以及表计档案管理等功能。各级用户通过访问地区局的WEB服务器进行数据报表查询和流程处理。

图1 台州电网电能量采集系统安全防御体系结构

电能量采集系统不是封闭系统，主站系统除通过调度数据网与县局采集子站连接外，还需要和数据采集与监视控制（SCADA）系统连接，采集SCADA系统负荷积分电量数据，与管理信息网络连接，实现对用户的WEB服务和报表发布。

2 安全风险分析

地-县一体化电能量采集管理系统的安全风险包括网络安全和数据安全，主要表现在：

（1）非法网络用户入侵网络和主机操作系统，对网络以及主机进行攻击破坏，导致计算机网络系统瘫痪、服务中断。

（2）非法用户入侵数据库系统，破坏数据库结构，造成系统瘫痪或篡改电能计量数据导致数据不正确。

（3）因数据远程传输过程中采用明文数据传输而被攻击者截获篡改、信息假冒，导致数据不正确。

（4）应用系统用户权限管理、数据访问存在安全漏洞，导致用户可超出授权权限进行操作。

3 应用系统安全

电能量采集系统应用安全由多个层面组成，包括应用程序系统级安全、功能级安全、数据域安全、程序资源访问控制安全。其中前3个安全问题与电量的应用业务相关，程序资源访问控制相对来说比较独立，在服务端体现为访问目标资源前进行权限判断，在客户端则体现为界面组件元素的使能情况。在电量中心数据库设计时，建立电量采集原始数据库、应用数据库，其中原始数据库中的原始电量数据应用程序不可修改，应用数据库中涉及原始数据修正的应带修改标记及修改信息，确保电量数据的严密性。

4 安全防御体系

从安全的事前处理、事中处理、事后处理3个阶段出发，电能量采集系统的安全防御体系包括安全防护系统、灾难恢复系统、事故追查系统和安全管理制度，这4个部分完整结合构成全面的安全防御体系，相互关系如图2所示。

图2 电能量采集系统的安全防御体系关系

4.1 安全防护系统

安全防护系统是整个安全防御体系的关键，可阻止可能存在的一切黑客和病毒攻击，确保电能量采集系统安全稳定运行。

4.1.1 物理安全

物理安全的目的是保护电能量采集系统设备、网络设备等硬件设备和通信链路免受自然灾害和人为破坏，确保计算机系统和网络设备具有良好的电磁兼容工作环境，防止非法进入机房进行偷窃、切换电源等破坏活动的发生。机房应安装门禁系统、精密空调，配备可靠的UPS电源，确保电能量采集系统有良好的运行环境。

4.1.2 安全区域划分

根据《电力二次系统安全防护规定》，电能量采集系统的安全等级为安全Ⅱ区，属生产控制大区。由图1可见，电能量采集系统不是一个孤立的系统，横向需要与安全Ⅰ区（SCADA系统）、安全Ⅳ区（业务用户、PI数据平台等）互联，纵向通过数据网与县局安全Ⅱ区（采集子系统）互联。整个电量系统网络应遵循“安全分区、网络专用、横向隔离、纵向认证”的原则[1]。

4.1.3 横向安全隔离措施

由于电能量采集系统核心设备属安全Ⅱ区，与电量采集系统的业务用户（安全Ⅳ区）分属不同的控制大区，不允许用户与核心数据服务器之间建立直接连接。为确保用户正常使用，将WEB服务外移至安全Ⅲ区，在安全Ⅲ区设置数据镜像服务器和数据发布服务器，核心数据服务器的数据通过单比特应答的正反向安全隔离装置进行网络隔离和数据同步，阻断E-Mail，WEB，Telnet，Rlogin，FTP等安全风险高的通用网络服务和以B/S或C/S方式的数据库访问穿越专用横向单项安全隔离装置，仅允许纯数据的单项安全传输，确保电能量采集系统核心数据不受外部网络用户的任何影响。

电能量采集系统（安全Ⅱ区）与SCADA系统（安全Ⅰ区）同属控制大区，它们之间由防火墙进行隔离，防火墙按照最小满足原则配置安全规则。

4.1.4 纵向安全加密认证措施

地-县一体化电能量采集系统的地调主站系统与分布在县局的采集子站系统之间通过调度数据广域网连接。为确保传输数据的安全性，在数据网中配置电量专用MPLS-VPN通道，与其他应用系统（SCADA、保护信息等）有效隔离。同时在主站以及各县局子站分别布置纵向加密认证装置，为广域网通信提供认证与加密功能，实现数据传输的机密性、完整性保护。通过隧道配置建立加密装置间的加密信道，并对传输的报文进行加密，设备密钥由纵向加密认证装置产生，其私钥保存在装置内，公钥经上级调度数字证书服务系统签名，以数字证书的方式发布。

变电站采集终端与采集子系统之间有网络、电话拨号等传输方式，这些传输通道上的数据同样可能受到外界安全因素的影响。对于网络传输通道，利用调度数据网电量专有MPLS-VPN通道传输，与其他业务有效隔离。电话拨号通道采用调度专用电话系统，与行政电话、市话相互独立，有效防止外部干扰。

4.1.5 主机安全加固及病毒防护

主机操作系统以及数据库系统的默认配置存在较大的安全漏洞，为提高系统安全性，需要对电能量采集主站系统各数据应用服务器和数据库通过更新补丁、加固文件系统、配置文件、帐号管理、远程登陆和远程服务、存储过程、备份过程、角色和权限审核、并发事件资源限制、访问时间限制等项目按照最小满足原则进行配置。

计算机病毒会严重威胁电能量采集管理系统正常运行，但由于电能量采集系统属安全控制大区，不允许与外网连接，无法通过Internet来更新补丁和升级病毒库，为此在安全Ⅱ区建立独立的防病毒服务器对系统统一进行补丁升级和病毒库更新管理，防病毒服务器的代码更新来自上级调度相同安全区的专用防病毒服务。

4.2 灾难恢复系统

灾难恢复系统属于安全事件的事中处理和事后处理，主要作用是一旦发生安全防护系统未能阻挡的黑客攻击、合法用户操作不当或硬件损坏、地震等突发事件造成系统瘫痪等安全事件后，保证业务处理系统能够在指定时间内恢复正常运转。

通过建设备份系统，对实时运行的电能量采集系统的关键主机、数据库进行备份存储，每周定期进行全备份、每天进行增量备份，确保系统可恢复到故障前的状态。备份存储设备可采用磁带、磁盘库等备份系统，通过商用的备份管理软件实现系统的备份管理。若条件允许，应建立异地备份系统。

4.3 事故追查系统

事故追查系统也属于安全事件的事中处理和事后处理，主要作用是：在网络安全事件发生过程中能够向网络安全管理员提供必要的信息，帮助其采取相应的措施阻止安全事件的继续发展，避免安全事故的发生；当发生网络安全事件后，能够使网络管理人员、调查人员明确造成安全事件的原因所在，为追究责任人提供技术证据。在正常情况下，可通过事故追查系统反馈安全薄弱环节，不断完善安全防护系统及灾难恢复系统的配置策略，使系统更加安全。

为达到安全事件原因追查的目的，一方面可通过开启电能量系统各主机的审计功能、应用系统事件日志功能、防火墙的异常事件记录功能，实现对电能量系统的安全事件进行一定程度的追踪分析。另一方面可通过安装入侵检测系统（IDS）、安全监管系统，对电能量系统网络通信进行记录、异常报警，及时通知管理员采取相应的防护措施。部署安全审计措施，将安全审计与安全区网络管理系统、综合告警系统、IDS管理系统、敏感业务服务器登录认证和授权、应用访问权限等结合在一起。

4.4 安全管理制度

完善和规范网络系统安全规章制度、操作流程和故障处理流程，是安全管理的前提、依据和要求，防范因制度缺陷带来的风险，有利于避免误操作。技术层面各种安全措施的执行都需要配套相应的制度，对技术层面不能解决的内部安全问题可通过制度约束来弥补。为保障电能量采集系统的安全运行，应建立网络接入管理制度、机房人员出入管理制度、数据备份管理制度、安全责任制度、安全评估制度[1]以及电能量业务流程管理制度等，并严格执行，这是实施安全管理的关键。