(嘉陵江亭子口水利水电开发有限公司，四川 苍溪，628400)

亭子口水利枢纽位于四川省广元市苍溪县境内，下距苍溪县城约15km，是嘉陵江干流开发中唯一的控制性工程，是以防洪、灌溉及城乡供水、发电为主，兼顾航运，并具有拦沙减淤等效益的综合利用工程。该工程装有4台单机容量为275MW的水轮发电机组，首台机组于2013年6月发电，4台机组2013年底全部建成投产。电站出线电压等级为500kV。

1 亭子口水电站网络安全防护基本情况

1.1 网络安全防护目标

(1)抵御黑客、病毒、恶意代码等通过各种形式对电力二次系统发起的恶意破坏和攻击，尤其是集团式攻击；

(2)防止内部未授权用户访问系统或非法获取信息以及重大违规操作行为；

(3)防护重点是通过各种技术和管理措施，对实时闭环监控系统及调度数据网络的安全实施保护，防止电力二次系统瘫痪和失控，并由此导致电力系统故障。

1.2 网络安全防护现状及安全分析

1.2.1 计算机监控系统

采用南瑞自控公司SSJ-3000型水电厂计算机监控系统。系统采用传输速率为1000Mbps的工业以太网结构，系统内各节点全部接入该网络。计算机监控系统是安全防护的重点，其安全问题包括：

(1)监控系统与厂内各系统横向通信的安全；

(2)与调度端的通信对数据实时性、机密性、完整性要求高；

(3)数据服务器操作系统、数据库及应用程序安全；

(4)防范病毒入侵网络和传播。

1.2.2 相量测量装置(PMU)

采用江苏华瑞泰科技股份有限公司LPS-700装置，采用光纤以太网组成分布式结构。与调度端的网络通信接口应采取纵向防护措施。

1.2.3 安全自动装置

配置二套(双重化)安全稳定装置，具有与系统安全自动装置的接口，接收系统发来的因故障需要切亭子口电站机组的命令。装置的安全问题来自与调度端的网络通信，对于装置间专用通道不考虑其安全性。

1.2.4 泄洪闸控制系统

泄洪闸控制系统采用集控级和现地控制级两级分布式控制结构。电站计算机监控系统的大坝LCU作为泄洪闸控制系统的集控级，现地控制级设备级包括8套表孔闸门控制设备、5套底孔闸门控制设备及左/右岸灌溉引水渠闸门控制设备。大坝LCU是计算机监控系统的现地控制级设备，与计算机监控系统之间采用网络通信接口。泄洪闸控制系统为具有控制功能的业务系统，应划入安全区Ⅰ，因此，与计算机监控系统之间的连接无需隔离。

1.2.5 电能量计量系统

电能量计量系统由电能量采集装置和计量点电表构成，与计算机监控系统之间的通信方式采用RS485串行通信方式。电能量计量系统与调度端的网络通信存在病毒传播、网络攻击和违规操作的隐患。

1.2.6 继电保护及故障信息管理系统

采用上海许继电气有限公司的I-POFAS智能型电网故障信息处理系统子站，通过以太网将发变组、500kV线路、主变、母线的保护和故障录波等信息集中到统一数据平台。出于安全考虑，保护定值校核修改功能被屏蔽，系统仅完成保护和故障信息处理和发送。

1.2.7 水调自动化分站系统

亭子口水电站水调自动化分站系统与计算机监控系统采用串行通信接口。另外水调自动化分站系统还需要与相关服务系统通信以获取水文、气象等数据。

1.2.8 水电站报价系统

水电站报价系统，作为电力市场运营系统的组成部分，应划入安全区Ⅱ，具有很高的保密性要求。与调度端的通信为电力调度数据网网络方式。远程网络通信须符合纵向认证的相关规定。

1.2.9 机组状态监测系统

亭子口水电站4台机组采用北京华科同安的机组状态监测分析系统。系统的安全问题在于采用防火墙同Web服务器进行隔离，防护强度不够，系统内部存在病毒传播和遭到网络攻击的隐患。

1.2.10 工业电视系统

亭子口工业电视系统由合肥金星机电科技发展有限公司提供，采用全数字分级分区方案，能够兼容高清和标清网络摄像机。系统共分为控制级和分区级，主要由网络设备、控制级设备、分区级设备、前端设备组成。工业电视系统应划分为管理信息大区系统的安全区Ⅲ。

1.2.11 MIS网

MIS网是管理信息大区的主干网络，由于其应用系统杂、使用人员多、向公共网络开放，因此信息安全问题较严重，包括：

(1)MIS网与Internet连接，工作人员使用网络浏览器、即时通信工具和电子邮件的频率很高，存在很大的病毒感染和网络攻击隐患；

(2)由于防火墙的局限性，单纯使用防火墙很难对内部网络起到完善的保护作用；

(3)出差人员使用移动终端通过访问办公OA系统，数据经过PSTN时存在被窃取的安全隐患。同时终端的安全防护和管理不严格，可能造成病毒、恶意代码和网络攻击进入MIS网内部；

(4)电厂OMS及计划申报发布终端与四川省调OMS系统之间如果经过综合数据通信网通信，须采用隔离措施保护内网安全。

2 亭子口水电站网络安全防护方案

2.1 安全分区

对亭子口水电站的应用系统按表1进行安全区划分，其中计算机监控系统和机组状态监测系统的Web服务器外移至安全区Ⅲ，并作为独立系统运行。

(1)安全区Ⅰ

包括计算机监控系统、安全自动装置、闸门控制系统、相量测量系统(PMU)等。计算机监控系统是实时生产监控系统，是整个安全保护的核心。这类系统对数据通信的实时性要求为毫秒级或秒级，其中负荷管理系统为分钟级。该区与调度的外部边界是电力调度数据网的实时子网和专用通道。

(2)安全区Ⅱ

包括水调自动化系统、电能量计量系统、继电保护故障信息管理系统、水电站报价系统、机组状态监测系统等。数据的非实时性是分钟级、小时级、日、月甚至年。该区与调度的外部边界目前主要是电力调度数据网的非实时子网及拨号方式。

(3)安全区Ⅲ

包括计算机监控系统WEB服务器、机组状态监测WEB服务器、水调自动化系统WEB服务器、工业电视系统、生产管理信息系统OMS及计划申报发布终端等。

(4)安全区Ⅳ

包括生产信息管理系统、办公自动化系统等。

表1 亭子口水电站安全分区规划表

安全区之间的连接拓扑采用链式结构，安全区Ⅰ和区Ⅱ之间通过防火墙实现逻辑隔离，安全区Ⅱ和安全区Ⅲ之间通过隔离装置实现横向隔离或反向隔离，安全区Ⅲ和安全区Ⅳ通过防火墙确保安全区Ⅲ系统的安全。

亭子口水电站二次系统安全防护系统的网络结构见图1。

2.2 生产控制大区防护措施

2.2.1 网络专用

(1)电力调度数据网是生产控制大区与调度端通信的专用网络。它提供逻辑隔离的实时子网和非实时子网，分别接入安全区Ⅰ和安全区Ⅱ的业务系统；

图1 亭子口水电站二次系统安全防护方案设备配置

(2)对电力调度数据网络设备进行安全配置；

(3)对接入电力调度数据网的业务设备必须进行严格的安全审查，保证接入系统不会降低调度数据网的安全性。

2.2.2 横向隔离

2.2.2.1 安全区Ⅰ和安全区Ⅱ的隔离

安全区Ⅰ和安全区Ⅱ各配置一台区内交换机作为区内业务设备汇聚节点。两交换机经防火墙逻辑隔离，防火墙应配置严格的访问控制策略。

2.2.2.2 生产控制大区与管理信息大区的隔离

(1)安全区Ⅲ配置一台区内交换机作为区内业务设备的汇聚节点，与安全区Ⅱ交换机采用正向物理隔离装置隔离；

(2)如果水调自动化系统以网络方式从安全区Ⅲ相关系统获取水文、气象信息，必须部署反向物理隔离装置切断网络连接，并对信息进行严格检查过滤。

横向隔离的部署见图2。

图2 生产控制大区横向隔离措施

2.2.3 纵向认证

为保证生产控制大区业务系统同调度端交换信息的保密性、完整性和可用性，在电力调度数据网接入系统实时VPN交换机和接入路由器之间须布置国家指定部门检测认证的电力专用纵向加密认证装置；非实时VPN交换机和接入路由器之间须布置经过国家相关部门认证和测试的硬件防火墙。纵向认证及通信防护见图3。

图3 生产控制大区纵向通信防护

2.3 管理信息大区防护措施

2.3.1 横向隔离

安全区Ⅲ、Ⅳ之间采用防火墙逻辑隔离，防火墙应设置严格的访问控制策略和访问权限，有效保护计算机监控系统和机组状态监测系统Web服务器的安全，如图4所示。

图4 管理信息大区横向隔离

2.3.2 远程通信防护

整合亭子口水电站管理信息大区网络原有的网络边界防护，提出下列防护方案：

图5 管理信息大区远程通信防护

(1)电站MIS网与企业网接入路由器之间采用防火墙隔离。防止企业网内部的病毒传播、黑客攻击和非法操作，增强对网络关口的审计监察能力；

(2)电站MIS网与Internet之间采用防火墙隔离，严格限制接入Internet的应用程序和服务，禁止外部对内网的非法访问，隐藏内网的拓扑结构和真实IP；

(3)拨号网络接入路由器须固定访问路由器，严格控制远程拨号用户的权限。内网和PSTN经防火墙隔离，采用VPN保证数据通信安全。

2.3.3 病毒防护

管理信息大区网络连接的服务器和终端数量大，为有效防范病毒在网络中传播，应建立全面的病毒防护体系。具体包括以下方面：

(1)建立多层防毒机制，病毒防护覆盖安全区Ⅲ、Ⅳ的所有服务器和工作站；

(2)安全区Ⅲ、Ⅳ统一部署病毒防护系统；

(3)安全区III/IV的网络防病毒系统可以通过自动升级病毒库的方式进行在线升级；

(4)重视并加强对移动介质的病毒防护。远程拨号访问MIS网络的笔记本电脑应与网内同步更新病毒软件。

3 结语

针对亭子口水电站网络系统和基于网络的电力生产控制系统，通过系统结构调整、边界防护的强化和内部安全措施的部署并配合安全管理，形成由边界到核心、由设备到人员的立体防护体系，确保电站生产控制系统的安全及敏感数据的保密性、完整性和可用性。