鉴于电力系统因通信网异常、自然灾害对电力系统通信通道物理层破坏或不具备电力专线通道时使用了公网通信,其过程存在安全隐患,不符合电力二次系统安全防护的要求。在电力系统通信网异常的情况或不具备电力专线通道时通过PSTN/GSM/CDMA/GPRS/卫星电话等多种电话网络建立机密数据通道,为电网调度自动化实时数据的传输提供安全可靠的传输通道。从而实现随时随地采用多种方式在保证信息安全的前提下远程接入,并且无需应用环境或软件做任何改动。
1 目前电力系统通信现状
1.1 电力系统部署
电力二次系统划分为不同的安全工作区,反映了各区中业务系统的重要性的差别。不同的安全区确定了不同的安全防护要求,从而决定了不同的安全等级和防护水平。
根据电力二次系统的特点、目前状况和安全要求,整个二次系统分为四个安全工作区:实时控制区、非控制生产区、生产管理区、管理信息区。
(1)安全区Ⅰ是实时控制区,安全保护的重点与核心
凡是实时监控系统或具有实时监控功能的系统,其监控功能部分均应属于安全区Ⅰ。
例如:调度中心中EMS系统和广域相量测量系统(WAMS)、配电自动化系统、变电站自动化系统、发电厂自动监控系统或火电厂的管理信息系统(SIS)中AGC功能等。其面向的使用者为调度员和运行操作人员,数据实时性为秒级,外部边界的通信均经由电力调度数据网(SPDnet)的实时虚拟专用网(VPN)。区中还包括采用专用通道的控制系统,如:继电保护、安全自动控制系统、低频/低压自动减载系统、负荷控制系统等,这类系统对数据通信的实时性要求为毫秒级或秒级,是电力二次系统中最为重要的系统,安全等级最高。
(2)安全区Ⅱ是非控制生产区
原则上不具备控制功能的生产业务和批发交易业务系统或系统中不进行控制的部分,均属于安全区Ⅱ。
属于安全区Ⅱ的典型系统包括水调自动化系统、电能量计量系统、发电侧电力市场交易系统等。其面向的使用者为运行方式、运行计划工作人员及发电侧电力市场交易员等。数据的实时性是分级、小时级。该区的外部通信边界为SPDnet的非实时VPN。
(3)安全区Ⅲ是生产管理区
该区包括进行生产管理的系统,典型的系统为雷电监测系统、气象信息接入等。本安全区内的生产系统采取安全防护措施后可以提供WEB服务。该区的外部通信边界为电力数据通信网(SPTnet)。
(4)安全区IV是管理信息区
该区包括办公管理信息系统、客户服务等。该区的外部通信边界为SPTnet及因特网。该区在本文中不作详细规定,但必须具备必要的安全防护措施。
1.2 电力系统安全防护体系架构
该体系架构如图1所示。
1.3 电力系统网络结构的安全分析
(1)安全分区
电力系统网根据电力信息系统业务的重要性和对一次系统的影响程度进行分区,其中生产控制大区进一步分成控制区(安全区Ⅰ)和非控制区(安全区Ⅱ)。生产控制大区是安全防护的重点。
(2)网络专用
电力信息系统应该在专用通道上通过独立的网络设备组网,在物理层上实现与综合业务数据网和外部公共信息网的安全隔离。该网络应通过VPN技术划分成逻辑隔离的两个子网,分别服务于实时VPN和非实时VPN。
(3)横向隔离
电力信息系统应采用不同强度的安全设备实现不同安全区之间的隔离。在生产控制大区和管理信息大区之间采用电力专用的正反向隔离装置实现高强度隔离。在生产控制大区和管理信息大区内部采用国产防火墙实现逻辑隔离。
(4)纵向加密
在控制区与调度数据网的连接处部署电力专用的纵向加密认证装置和其他安全措施,以实现上下级二次系统之间的数据调度网通信的双向认证、数据加密以及访问控制。
(5)远程维护
①在拨号连接建立过程中对拨号实体(用户或者设备)进行基于数字证书的身份认证,通过后才可以建立网络层的连接;
②对通信过程中的认证信息与应用数据进行完整性、机密性保护;
③对授权的用户进行合理的权限限制,在经过认证的连接上应该仅能够行使受限的网络功能与应用;
④防护措施应该对用户操作、应用性能以及便携程度产生尽量小的影响;
⑤远程拨号防护采用专用的拨号安全服务器技术,为远程维护提供机密性、完整性及可审计的保障。
(6)无线公网加密
电力系统采用公用通信网络:GPRS、CDMA、TD-SCDMA、ADSL和无线局域网通信时,应当采取具有一定强度的数据加密等有效防护措施。
2 电力系统无线公网通信技术
2.1 GPRS技术
GPRS是通用分组无线业务(General Packet Radio Service)的简称,GPRS是在现有的GSM网络基础上叠加了一个新的网络,同时在网络上增加一些硬件设备和软件升级,形成了一个新的网络实体,提供端到端、广域的无线IP连接。目的是为GSM用户提供分组的数据业务。
GPRS是一种新的移动数据通信业务,在移动用户和数据网络之间提供一种连接,给移动用户提供高速无线IP服务。GPRS理论带宽可达171.2K。实际应用带宽大概在40~100Kbps,分组交换接入时间缩短为<1s,能提供快速即时的高速TCP/IP连接,每个用户可同时占用多个无线信道,同一无线信道又可以由多个用户共享,资源被有效利用。
GPRS采用与GSM同样的无限调制标准、同样的频带、同样的突发结构、同样的跳频规则以及同样的TDMA帧结构。GPRS允许用户在端到端分组转移模式下发送和接收数据,而不需要利用电路交换模式的网络资源。从而提供了一种高效、低成本的无线分组数据业务。特别使用间断的、突发性的和频繁少量的数据传输,可以用于数据传输及远程监控等应用,也适用于偶尔的大数据量传输。
2.2 CDMA技术
CDMA,就是利用展频的通讯技术,因而可以减少手机之间的干扰,并且可以增加用户的容量,而且手机的功率还可以做的比较低,不但可以让使用时间更长,更重要的是可以降低电磁波辐射对人的伤害。CDMA的带宽可以扩展较大,还可以传输影像,这是第三代手机为什么选用CDMA的原因。就安全性能而言,CDMA不但有良好的认证体制,更因为其传输的特性,用数码来区分用户,防止被人盗听的能力大大地增强。目前CDMA系统正快速发展中。Wideband CDMA(WCDMA)宽带码分多址传输技术,为IMT-2000的重要基础技术,将是第三代数字无线通信系统的标准之一。
2.3 卫星通信技术
是由通信卫星和经该卫星连通的地球站两部分组成。静止通信卫星是目前全球卫星通信系统中最常用的星体,是将通信卫星发射到赤道上空35860km的高度上,使卫星运转方向与地球自转方向一致,并使卫星的运转周期正好等于地球的自转周期(24h),从而使卫星始终保持同步运行状态。故静止卫星也称为同步卫星。静止卫星天线波束最大覆盖面可以达到大于地球表面总面积的三分之一。因此,在静止轨道上,只要等间隔地放置三颗通信卫星,其天线波束就能基本上覆盖整个地球(除两极地区外),实现全球范围的通信。目前使用的国际通信卫星系统,就是按照上述原理建立起来的,三颗卫星分别位于大西洋、太平洋和印度洋上空。
与其它通信手段相比,卫星通信具有许多优点:一是电波覆盖面积大,通信距离远,可实现多址通信。在卫星波束覆盖区内一跳的通信距离最远为18000km。覆盖区内的用户都可以通过通信卫星实现多址联接,进行即时通信。二是传输频带宽,通信容量大。卫星通信一般使用1~10GHz的微波波段,有很宽的频率范围,可在两点间提供几百、几千甚至上万条话路,提供每秒几十兆比特甚至每秒一百多兆比特的中高速数据通道,还可传输多路电视。三是通信稳定性好、质量高。卫星链路大部分是在大气层以上的宇宙空间,属恒参信道,传输损耗小,电波传播稳定,不受通信两点间的各种自然环境和人为因素的影响,即便是在发生磁爆或核爆的情况下,也能维持正常通信。
卫星传输的主要缺点是传输时延大。在打卫星电话时不能立刻听到对方回话,需要间隔一段时间才能听到。其主要原因是无线电波虽在自由空间的传播速度等于光速(每秒30万公里),但当它从地球站发往同步卫星,又从同步卫星发回地球站,这“一上一下”就需要走8万多公里。打电话时,一问一答无线电波就要往返近16万公里,需传输0.6s的时间。也就是说,在发话人说完0.6s以后才能听到对方的回音,这种现象称为“延迟效应”。由于延迟效应现象的存在,使得打卫星电话往往不象打地面长途电话那样自如方便。
卫星通信是军事通信的重要组成部分。目前,一些发达国家和军事集团利用卫星通信系统完成的信息传递,约占其军事通信总量的80%。
3 电力系统通信存在的风险及隐患
3.1 电力系统通信存在的隐患
(1)随着电网调度自动化技术的发展和设备的日趋完善可靠,越来越多的变电站依靠电网自动化设备成为无人值守变电站.在这些无人值守站中远动设备成为监视、控制变电站的唯一手段.在现场,RTU、主站设备、通信通道形成一套完整的闭环系统,其中任何一个环节出现问题都会使变电站处于失去监控的危险状态。
(2)故障期间变电站脱离了调度、运行人员的监控如果这时变电站设备发生故障,集控站和调度人员得不到任何信息,极有可能造成事故扩大或延误事故分析处理,对电网的安全运行、经济调度都会造成威胁和损失。
(3)自然灾害多,使电力系统通信通道物理层受到破坏,如2008年初的雪灾中出现了这种威胁,由于电力通信网复合在地线中,而地线尚无有效的融冰手段,地线断裂将就导致电力通信通道中断,严重影响电力系统的运行安全。
3.2 电力系统公网通信存在的风险及隐患
公网的安全风险现说明如下:通用分组无线业务(GPRS)是一种对GSM网进行改进的数据传输标准,它在GSM上提供分组交换和分组传输的能力,利用现有的GSM的基础设备,能以高达115kbit/s甚至170kbit/s的传输速率实现端到端的分组交换数据业务。
由于GPRS是基于IP的骨干网,而目前许多黑客都对TCP/IP协议非常熟悉,这就使得它更容易受到攻击。GPRS可能面临的攻击风险有:
(1)黑客
是指试图从外部IP网络(如Internet)侵入到GPRS系统的人,他们的目的是破坏GPRS网络或者窃取信息以显示他们的能力。
(2)管理人员
应确保GPRS的网络管理人员对系统不造成任何危害,对他们访问内部网络的权限要加以限制。
(3)转包商
大多数转包商都不是有意的破坏GPRS网络,但是由于疏于软件更新或其它类似的情况都会对网络造成威胁。
(4)合作者
诸如ISP等。因为ISP直接与GPRS骨干网相连,无疑就成为一个开放的互联,他可能在无意之间泄露了一些信息或者向第三方提供了物理层的链路。这都使得GPRS网存在着安全隐患。因此非授权人员利用外网通道为条件,可以有如下的破坏方式:
①扰乱正常的远动数据通信,导致采集数据错误,影响调度运行人员的判断;
②模拟主站遥控、遥调命令来操作变电站设备,破坏电网运行。
3.3 电力系统公网通信的安全防护需求
电力二次系统公网通信传输的数据非常混乱,从加密的技术角度来区分,可分为实时数据和非实时数据两类.
(1)实时数据的数据特点
无线网络中传输的实时数据,其通信规约对时间的要求很严格,不允许有较大的传输延迟;另一方面,实时数据的数量相对较小,数据流量比较稳定.主要包括:
①下行数据。包括遥控、遥调和保护装置及其他自动装置的整定值信息等。这类数据与设备状态相关,直接影响到电网的安全运行。安全要求和实时要求都很高。
②上行数据。包括遥信、遥测、时间顺序记录(SOE)信息等。这类数据是电网稳定运行的判据,也是调度决策的依据,实时性要求很高。
③管理数据。如负荷管理、停电计划等管理信息系统(MIS)的重要管理数据。这类数据对保密性有一定要求。
实时数据其数据流量稳定且时效快,但是要求实时性高、可靠性高,其保密性和数据完整性的要求也高,因此对实时数据加密必须慎之又慎。
(2)非实时数据的数据特点
无线网络中传输的非实时数据。其数据量一般较大,但时效性不高,可以允许一定的传输延迟。它主要包括电力设备的维护日志、电力用户的电能质量信息等。非实时数据时效性要求不高,但是对数据完整性和保密性有一定的要求,在数据加密中要注意选择合适的算法。
(游米儿)