李建锋

（新疆华电哈密热电有限责任公司，新疆哈密 839000）

0 引言

在科学技术快速发展的背景下，电力系统中应用了大量的安全自动装置、故障录波器和微机型继电保护，逐渐朝着智能化和自动化的方向发展，依托于网络技术和信息技术的继电保护及故障信息系统，取得了良好发展。该系统可以显著提升电网调度运行管理信息化和智能化水平，同时有助于电力企业工作人员更好地控制二次装置。不过，该系统在运行过程中容易产生信息安全问题，对此项课题进行研究意义重大。

1 继电保护及故障信息系统的框架和主要管理模式

1.1 系统框架

继电保护及故障信息系统由两个部分构成，分别为主站和子站，二者之间需要通过电力信息传输网络相连（图1）。其功能可以分为两种，一个是继电保护运行管理，另一个是电网故障分析。其中，前者的管理范围涵盖设备、保护信息和定值，可以实现对日常工作的保护；而后者属于高级应用，功能较为全面，分别为网络、故障定位、滤波分析、短路电流分析等。Brower/Server 是系统的主要结构，每个子站在系统中的定位是数据服务器，集信息管理、数据采集和信息发布服务等功能于一体，在运行过程中子站需要积极响应主站的任务要求。

1.2 主要管理模式

由于地方特点存在差异，继电保护及信息管理系统在不同地区的应用管理模式差别显著。

（1）三级管理模式。所谓的三级管理模式是指主站、分站和子站，该模式较为复杂。以500 kV 变电站中所应用的继电保护及故障信息系统为例，主站会接收和处理500 kV 的信息，而220 kV 或低于220 kV 的信息则会被分站所接收和处理。主站会基于实际情况，对分站信息进行合理调配。如果应用系统的变电站是220 kV 变电站，则站内信息主要由分站处理，主站需要对各分站的信息调取接口进行保留。这种管理模式虽然复杂程度较高，但应用效果却极为显著[1]。

图1 继电保护及故障信息系统的通信协议

（2）二级管理模式。与三级管理模式相比，二级管理模式缺少分站，具有结构简化的优势。简言之，就是继电保护及故障信息系统由主站和子站组成。由于组成部分较少，因此信息传输量偏大，可以减少网络管理工作量，它在科研项目系统中较为适用，但却不适用于电力系统。

2 安全区域的划分

对于继电保护和故障信息系统而言，安全分区是构建二次系统安全防护体系的结构基础，其重要性不言而喻。发电企业、电网企业和供电企业需要将计算机和网络技术应用系统作为基础划分安全区域，原则上可以将安全区域分为两个大区域——生产控制大区和管理信息大区。

2.1 生产控制大区的安全区划分

（1）控制区。控制区中的业务系统和其他功能模块具有一定的典型特征，主要表现为在电力生产过程中，业务系统和其他功能模块属于重要环节，能够实时监控电力一次系统，此外，安全防护的重点还包括纵向使用的电力调度数据网络和专用通道。电力数据和监控系统，属于继电保护及故障信息系统的重要功能，除此之外，能量管理、配网自动化、变电站自动化等系统同样关键。由相关资料可知，系统的数据传输速率非常高，主要原因是数据传输使用了专用通道，所受限制较小。专用通道控制系统同样是生产控制区的业务系统，如安全自动控制、负荷管理、继电保护等系统，这些系统对数据传输速率提出了非常严格的要求，需要传输实时性达到毫秒级[2]。

（2）非控制区。非控制区功能模块与控制区功能模块相比，其主要差别体现在前者不具备控制功能，通过对电力调度数据的运用，联系控制区域的各项业务系统和功能模块。培训模拟系统、继电保护故障录波信息管理系统、能量计量系统属于该区域的主要业务功能。该区域的数据采集频度为两种，一种是分钟级，另一种是小时级。

2.2 管理信息大区的安全区划分

生产控制大区之外的电力企业管理业务系统的集合，就是所谓的管理信息大区。电力企业在划分安全区域时，需要基于实际情况，并遵循不干扰生产控制大区的原则。考虑到业务系统和功能模块之间存在密切的关联，在安全中安置业务系统的过程中，应遵循如下原则：

（1）在控制区域内安置具有控制功能的业务系统，这里的控制系统包括已经具备控制功能系统和未来具备控制功能的系统。

（2）在进行系统安置过程中，应确保业务系统被完全安装于同一个区域内，如果功能模块和业务系统所处安全区域不同，需要借助安全隔离设施完成通信。

（3）在迁移业务系统和功能模块时，不能向低等级安全区域迁移高等级安全区域的业务系统和功能模块，但在特定条件下，高等级安全区域的业务系统和功能模块可以向低等级安全区域转移。

（4）对于孤立业务系统而言，由于其不存在外部网络联系，且安全分区要求较低，因此，电力企业在安置此类业务系统时很少会遵守安全区防护要求，但这种情况不利于继电保护和故障信息系统功能实现。建议电力企业对安全区防护要求进行落实[3]。

2.3 生产控制大区内部安全防护要求

（1）生产大区内部E-Mail 服务和通用Web 服务不能进行。

（2）非控制区内部业务系统可以对B/S 架构进行使用，但范围仅能局限于业务系统内部。纵向安全Web 业务允许提供，如工作人员可以在生产控制区域内使用安全技术保护后的Web服务器、同时Web 服务器还要支持HTTPS。

（3）使用加密认证机制对生产控制区域的业务系统进行保护，并基于现有技术和实际需求不断改造系统。

（4）生产区域内各系统和功能之间必须采取安全保护措施，业务系统和功能之间不能直接沟通，从而保证系统内部的安全。

（5）电力企业应使用国家认证后的操作系统，并通过加密、认证和访问权限等安全措施的应用，保证系统的安全。

（6）将入侵检测系统部署到的生产控制区的边界处。

（7）部署恶意代码防护系统，并且保证系统部署的全面性，通过这种措施的应用，降低木马病毒入侵系统的概率。

3 继电保护及故障信息系统安全防护方案

电力企业需要依据国家有关部门出台的规定，将电力系统二次安防系统划分为多个区域，且不同区域之间的安全防护要求不同，其中生产控制大区要求最高，考虑到继电保护及故障信息系统横跨多个防护安全区，故风险隐患较高，因此，系统安全防护应该在明确重点的基础上，制定切实可行的安全防护方案。

3.1 方案应包含的内容

（1）防止数据传输泄密，电力企业所制定的安全防护方案，需要对信息传送环节提出要求，避免信息在传输过程中被恶意拦截盗取，并通过加密措施使信息被截取后不被破译。

（2）禁止非法访问。系统应加强访问的控制和管理，其含义主要体现在以下3 个方面：①实现对访问终端的有效控制；②实现对访用户的控制；③实现对访问权限的控制。应通过权限等级设置的方式，禁止非法访问行为。

（3）禁止数据被伪造和篡改。继电保护及故障信息系统安全防护系统应具有数据鉴别功能，可以对数据进行监控，避免篡改和伪造数据现象的发生。

（4）对各种攻击进行抵御。继电保护及故障信息系统应运用多种防护手段，对拒绝服务和恶意程序入侵等攻击行为进行防范，以保证电力系统的安全。

3.2 安全方案的技术措施

（1）网络隔离。电力企业需要将硬件防火墙加装到主站和子站之间，以某电力公司为例，该公司为保护电力系统的安全，对某信息技术公司生产的嵌入式子站进行了应用，在了解后得知，这个子站内部设置了两个CPU（Central Processing Unit，中央处理器），其中一个CPU 具有数据采集功能，另一个CPU 与主站保持通信，然后利用物理隔离装置连接两个CPU，使单向通信成为可能。数据的传送方式为单向上送，通过这种安全防护措施的运用，有效解决实时控制区和非控制生产区之间的安全问题，同时还要将单相物理隔离装置设置到非控制生产区和管理信息区之间，并利用主站端的数据同步程序确保Web 服务器和主站数据间的同步效果。

（2）报文鉴别。目前，变电站所采用的规约多为Pooling，要求工作人员在继电保护及故障信息系统通信过程中封存不作应用。所谓的不作应用，是指与控制部分有关的功能码在子站通信程序中的不作应用。

（3）访问控制。继电保护及故障信息系统应具备访问控制功能，能够对非法用户、非法终端和非法程序的访问进行限制，并针对合法终端及合法用户设置访问权限，避免系统信息被非法所窃取。

4 结论

综上所述，在科学技术高速发展的背景下，继电保护及故障信息系统应运而生，并被电力行业所应用。该系统集多种技术于一体，有助于继电保护运行和管理自动化和智能化目标的实现。随着系统建设规模的持续增加，总结建设经验，应用各种安全防护技术，并在此基础上做好安全分区尤为关键。值得注意的是，二次安全防护的实现，不能对继电保护、故障录波器和安全自动装置造成不利影响。