（电气工程专业论文）贵阳市南供电局调度自动化系统安全防护研究.pdf

重庆大学工程硕士学位论文 中文摘要 摘要 目前，电力：二次系统的安全已经提高到国家安全战略的高度，电力调度自动 化系统安全防护的重点是抵御病毒、黑客等通过各种形式对系统发起的恶意破坏 和攻击，尤其是集团式攻击，重点保护实时闭环监控系统及调度数据网络的安 全，从而保障国家重要基础设旋电力系统的安全。 为此，本文根据国家计算机信息安全的要求和贵阳南局信息网络的实际情 况，开展了以下几个方面的工作： 1 提出并实施了贵阳南局调度自动化网络安全防护整体方案，迸行了安全 评估，进行了安全区域的划分，提出了信息网络安全防护策略和防护流程，提出 并实施了主要的安全防护手段； 2 对调度自动化远动信息访问控制提出了有效的策略，从数据链路层和网 络层入手，对1 0 1 远动规约的数据单元( 报文) 格式，数据传输过程等进行了分 析和归纳。确定远动信息安全访问控制策略，从底层防止非法入侵； 3 重点对调度自动化系统核心数据库的访问和控制采取了有效的安全措 施： 4 根据实际需要，开发了利用远动规则和“安全岛”技术的调度自动化计 算机网络安全防护专用物理隔离装置，在保证网络透明性的同时，实现了对非法 信息的隔离。 通过上述安全措施和具体的整改，贵阳南局调度自动化系统在原来的基础上 进一步增强了抵御各种信息风险的能力，为电网生产运行提供及时、准确的数 据，从而为电网的安全稳定和优质经济运行提供了有力的保障。 关键字：调度自动化系统、安全防护、电力系统 重壅奎堂王堡堡主堂壁逢塞 一 墨茎垫至一 a b s t r a c t a tp r e s e n t ，t h es e c r u r i t yo fe m sb e c o m em o r ea n dm o t ei m p o r t m e n ti nn a t i o n a l s t r a t a g e m f o c a lp o i n to fs a f e t yp r o t e c t i o n o ne m si st or e s i s te v i li n t e n t i o nd e s t r o y i n g a n da t t a c kf r o mv i r u s ，h a c k e le t c t h r o u g hv a r i o u sk i n d so f f o r m ，e s p e c i a l l yt h eg r o u p t y p ea t t a c k s ，t ol a ys p e c i a ls t r e s so np r o t e c t i n gt h es e c u r i t yo fr e a lt i m em o n i t o r i n g s y s t e ma n dd i s p a t c h e r sd a t an e t w o r k , t h u s e n s u r et h es e c u r i t yo f t h en a t i o n a li m p o r t a n t i n f r a s t r u c t u r ep o w e r s y s t e m b a s e do nt h ed e m a n do fs t a t ep o w e ra n dt h ef a c to fs o u t hg u i y a n gp o w e r s u p p l y b u r e a u t h em a i nc o n t e n t so f t h i sp a p e ra l ea sf o l l o w i n g ： 1 t h ei n t e g r a t e ds a f e t yp r o t e c t i o ns c h e m eo ne m si ns o u t hg u i y a n gs u p p l y b u r e a ui sp r o p o s e da n dc a r r i e do n , t h es a f ea s s e s s m e n ti sm a d eo nc o m p u t e r i n f o r m a t i o nn e t w o r ko fs o u t hg u i y a n gp o w e rs u p p l yb u r e a u t h es t r a t e g i e s ， f l o w sa n dm e a s u r e so f s a f e t yp r o t e c t i o ni nc o m p u t e ri n f o r m a t i o nn e t w o r ki s p r o p o s e d 2 t h ee f f e c t i v es t r a t e g i e si ni n f o r m a t i o nc o n t r o l l i n ga n dv i s i t i n go fe m sa l e p r o p o s e d b a s e do nt h ed a t al i n kl a y e ra n dn e t w o r kl a y e r , t h ef o r m a to f d a t a u n i ti n1 0 1p r o t o c o l sa n dt h et r a n s m i s s i o np r o c e s sa r ea n a l y z e d t h ec o n t r o l s t r a g e t yo f t h e i n f o r m a t i o n i n t e r v i e w i n gi sc o r f i r m e d 3 t h e s a f e t ym e a q l i l e so f c o n t r o la n da c c e s s i n g t ot h ec o r ed a t a b a s ei ne m s a r e t a l k e d 4 a c c o r d i n gt ot h ea c t u a ln e e d ，s p e c i a lp o w e rg a pd e v i c ef o rp o w e rs y s t e m s e c u r i t y a r ed e v e l o p e d i tr e a l i z e dt oi s o l a t eo nu n l a w f u li n f o r m a t i o n t h ew o r k sa b o v ea r ec a r r i e do u t s u c c e s s f u l l ya n dt h ec a p a b i l i t yf o rs e c u r i t y p r o t e c t i o ni si m p r o v e d t h u si tc k np r o v i d et i m e l ya n dc o r r e c td a t at ot h ep o w e r s y s t e m o p e r a t i o n a n d i tb e n e f i t st h ep o w e r s y s t e mo p e r a t i o n 。 t h er e s e a r c hi sl e a d i n gi nc h i n a , s oi ti sv e r yu s e f u lf o r r e f e r e n c ei np o w e r s y s t e m s e c u r i t yp r o t e c t i o ni nt h ef e a t u r e k e y w o r d s ：e m s ，s e c u r i t yp r o t e c t i o n ，p o w e rs y s t e m i l 重盎奎堂三翌堡主兰垡笙塞一j 壁堕一 1 概述 近些年来，计算机网络技术的发展非常迅速，越来越多的生产运行和办公系 统都实现了计算机控制和自动化。网络通信技术给我们带来了便利，但是层出不 穷的病毒、黑客事件也给企业内部网络带来诸多安全威胁，特别是对于那些与外 部公网直接连接的企业或职能部门。 网络安全从一般理论上来讲是指网络系统的硬件、软件及其系统中的数据受 到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正 常地运行【”。其本质上来讲是网络上的信息安全。从广义来说，主要涉及到网络 上信息的保密性、完整性、可用性、真实性和可控性【2 j 。 网络安全的含义对不同的行业领域会有不同的认识和侧重。就电力系统而 言，目前网络安全主要所关心的是对网络信息的访问、读写等操作受到保护和控 制，避免出现病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威 胁：制止和防御网络黑客的攻击；避免因为系统的崩溃和损坏而对系统存贮、处 理和传输的信息造成破坏和损失。网络安全的目的是确保系统生产的正常运转。 对于电力系统各级调度中心来讲，主要就是确保调度自动化系统的正常运行。 目前通常的安全防范措施主要是在内网系统中适当配置防火墙、入侵检测、 漏洞扫描、病毒查杀和安全审计等软硬件技术和手段【4 】【6 l 【7 1 。实践表明，这些措 煎在一定程度上确实维护了网络安全，但从根本上讲，这些措施最多只是增加了 病毒侵入和黑客入侵的难度，也就是说，只要内外网之间存在这实时的物理通 道，就无从堵截黑客及很多恶意攻击，特别是对于核心部门领域，如生产实时控 制系统，几乎都有自己的内部网络，内部网络和外网( i n t e m e t ) 之间本应该断 开为好，但这些内部网的用户都有访问因特网资源、收发电子邮件的需求，因此 用户呼唤安全级别更高的网络安全产品和整体的安全解决方案。计算机网络安全 已经提高到国家战略安全的高度，研究开发计算机阍络安全技术势在必行。 1 1 电力调度自动化系统面临的风险 对于电力系统来讲，电网调度自动化监控系统及调度数据网作为电力系统的 重要基础设施，不仅与电力系统生产、经营和服务相关，而且与电网调度安全运 行密切关联，是电力控制系统安全的重要组成部分。随着通信技术和网络技术的 发展，接入电力调度数据网的控制系统越来越多，特别是电力市场的发展，数据 交换非常频繁，这对电力调度控制系统和数据网络的安全性、可靠性和实时性提 里壅盔堂三塞堡主堂垡鲨苎 ! 塑堕 出了新的挑战。目前电力系统信息网络可能所受到的攻击包括黑客入侵，内部信 息泄漏，不良信息的进入内网等方式，所面临的风险包括以下内容【2 】1 1 2 】1 2 7 】 表1 1 调度自动化系统网络面临的主要风险 t a b l e 1 1c o m i n gr i s ko f e m s 优先级风险说明举例 旁路控制fb y p a s s i n g入侵者对发电厂、变电站发送非法控制命 0 c o n t r o l s )令，导致电力系统事故，甚至系统瓦解。 完整性破坏( i n t e g r i t y非授权修改电力控制系统配置或程序：非授 l v i o l a t i o n )权修改电力交易中的敏感数据。 违反授权( a n t h o r i z a t i o n电力控制系统工作人员利用授权身份或设 2 v i o l a t i o n ) 备，执行非授权的操作。 工作人员的随意行为电力控制系统工作人员无意识地泄漏口令等 3 ( i n d i s c r e t i o n )敏感信息，或不谨慎地配置访问控制规则等 拦截或篡改调度数据广域网传输中的控制命 4 拦截篡改( i n t e r c e p t a l t e r ) 令、参数设置、交易报价等敏感数据。 5 非法使用( 1 1 1 e g i t i m a t eu s e ) 非授权使用计算机或网络资源。 信息泄漏( i n f o r m a t i o n 6 口令、证书等敏感信息泄密。 l e a k a g e ) 7 欺骗( s p o o f )w e b 服务欺骗攻击；i p 欺骗攻击。 8 伪装( m a s q u e r a d e )入侵者伪装合法身份，进入电力监控系统。 9 拒绝服务( a v m l a b i l i t y e g 向电力调度数据网络或通信网关发送大量雪 d e n i a lo f s e r v i c e ) 崩数据，造成拒绝服务。 1 0 窃听( e a v e s d r o p p i n g e g 黑客在调度数据网或专线通道上搭线窃听明 d a t a c o n f i d e n t i a l i t y ) 文传输的敏感信息，为后续攻击准备数据。 由于过去在规划、设计、建设控制系统和数据网络时，对网络安全问题认识 不足，现有的系统中存在这些安全隐患，对电力调度系统构成了威胁。2 0 0 0 年1 0 月1 3 日，四川二滩电厂由于控制系统死机造成川渝电网大范围的停电事 故，其中控制系统网络与办公自动化系统网络的直接互联就被认为是事故的一个 可能因素。 垩壅查堂：! 壁堡主兰堡堡奎一上! 垦耋l 图1 1 电力系统二次网络示意图 f i g i 1t h eg r a p ho f s e c o n d a r yn e t w o r k i n p o w e rs y s t e m 针对上述问题，原国家经贸委于2 0 0 2 年6 月8 日颁布了3 0 号令电网和电 厂计算机监控系统及调度数据网络安全防护的规定。 1 2 安全防护范围、目标和原则 1 2 1 安全防护范围 根据电网和电厂计算机监控系统及调度数据网络安全防护的规定3 0 号 令的要求，在电力监控系统和调度数据网都要属于二次安全防护的范围。对于贵 阳南供电局来讲，主要包括电力监控系统、m i s 系统、调度自动化系统、配电网 自动化系统、变电站自动化系统、调度数据网络、专用拨号网络、各监控系统内 部的局域网等。 1 2 2 安全防护目标 电力二次系统安全防护的重点是抵御病毒、黑客等通过各种形式对系统的发 起的恶意破坏和攻击，尤其是集团式攻击，重点保护实时闭环监控系统及调度数 据网络的安全，从而保障国家重要基础设施电力系统的安全。 根据国调安全防护的要求，各控制系统仅可与安全等级相同的控制系统相 连，仅可通过专用局域网或电力调度专用数据网络实现互联；各控制系统与办公 自动化系统( m i s ) 之间必须采用有效措旌( 如：可靠的防火墙、专用网关、网 段切换装霓等) 实行专用安全膈离，必须与外部因特网实行专用安全隔离。 重庆火学工程硕士学位论文 l 概述 1 2 3 调度自动化系统安全防护原则 1 ) 系统性原则( 木桶原理) ； 2 1 简单性原则： 3 1 实时、连续、安全相统的原则： 4 1 需求、风险、代价相平衡的原则； 5 ) 实用与先进相结合、方便与安全相统一的原则； 6 1 全面防护、突出重点( 实时闭环控制部分) 的原则 7 ) 分层分区、强化边界、整体规划、分步实旖的原则 8 ) 责任到人，分级管理，联合防护的原则。 1 3 e m s 系统安全需求分析 为应对可能面临的信息网络风险，采取的网络安全措施应一方面要保证电力 生产与办公系统和网络的稳定运行，另一方面要保护运行在内部网上的敏感数据 与信息的安全，归结起来，应充分保证以下几点： 1 ) 网络可用性：网络是业务系统的载体，专用安全隔离系统必须保证内部 网络的持续有效的运行，防止对内部网络设施的入侵和攻击、防止通过消耗带宽 等方式破坏网络的可用性； 2 ) 业务系统的可用性：运行电力调度自动化系统专网的各主机、数据库、 应用服务器系统的安全运行同样十分关键，网络安全体系必须保证这些系统不会 遭受来自网络的非法访问、恶意入侵和破坏： 3 ) 数据机密性：对于电力调度自动化系统，保密数据的泄密将直接带来电 力系统以及国家利益的损失。网络安全系统应保证内网机密信息在存储与传输时 的保密性。 4 ) 访问的可控性：对关键网络、系统和数据的访问必须得到有效的控制， 这要求系统能够可靠确认访问者的身份，谨慎授权，并对任何访问进行跟踪记 录。 5 ) 网络操作的可管理性：对于网络安全系统应具备审记和日志功能，对相 关重要操作提供可靠而方便的可管理和维护功能。 基于上述需求，并且充分考虑将来规划后网络的可行性和可扩展性以及可管 理性，本着“少花钱多办事”的原则，规划后的网络安全隔离系统应该具备如下特 征： 1 ) 保证电力调度自动化系统内网与外网任一时刻保持专用安全隔离，但同 时能够根据业务需要与外部网络之间满足可控的多种形式的信息和数据交换； 2 ) 专用安全隔离系统整体本身具有充分的抗攻击和防病毒能力； 4 重庆丈学1 j 程硕士学位论文 1 概述 3 ) 专用安全隔离系统具备多层面的完备的审计设施，身份验证机制，且具 有管理集中等特点。 根据以上对电力系统内部网络的业务与安全性分析可以看出，通过传统安全 产品防火墙、入侵监测等无法保证内部网涉密数据的安全，使用传统专用安全隔 离卡一方面无法满足业务对数据交换的需求，另一方面存在安全管理方面的隐 患。因此有必要开发新一代专用安全隔离产品，在保证电力系统内部网用尸网上 各类办公业务正常运转需求的前提下。同时保证内网与公网之问专用安全隔离， 以保护内网及专网的信息安全性。 重壅查兰三塞堡主堂垡堡塞! 塑鏖塑垫垡i ! ! 塑塑室全! 羔j i 一 2 调度自动化系统网络安全评估 2 1 贵阳南局调度自动化网络安全现状 贵阳市南供电局位于贵州省首府贵阳市，担负对贵阳市区南部和周边地区的 供电的关键任务。在局领导和广大职工的努力下，电网安全生产一直保持很高的 水平，各项运行指标在南方电网各供电公司中处于领先地位。 贵阳市南供电局积极贯彻“科技兴网”的战略思想，用先进的科技手段“武装” 电网。调度自动化工作走在了前列。目前已经实现了变电站实时监控、无人值班 ( 少人职守) ，开通了高速数据通信网，局机关与省公司、各分区县局、变电站 的联网，实现了办公自动化。 贵阳市南区供电局一直十分重视调度自动化信息网络安全工作，采取了很多 技术措施和组织管理措施，保证信息的安全。从信息网络的设计和建设开始，就 考虑信息的安全问题，合理规划网络，与外网采用防火墙隔离，在局域网内部安 装了杀病毒软件，防止黑客和病毒的攻击。在管理方面，采取了负责到人，分级 管理、严格权限等措施，取得了很好的效果。 随着电力改革的推迸和电力市场的建立，要求在供电局、变电站、用户等之 间进行的数据交换也越来越频繁。电力一次设备的改善使得其可控性能满足闭环 的要求。电厂、变电站减人增效，大量采用远方控制，对电力控制系统和数据网 络的安全性、可靠性、实时性提出了新的严峻挑战。而另一方面，i n t e m e t 技术 和因特网已得到广泛使用，e - m a i l 、w e b 和p c 的应用也日益普及，但同时病毒 和黑客也日益猖獗。因此、二次系统安全防护的重要性日益得到国家有关部门的 重视。如前所述，原国家经贸委、国调颁布了一系列电力系统z - 次安全防护规定 和要求。在这样的大背景下，贵阳市南区供电局和深圳众能电气有限公司合作， 对目前的调度自动化信息网络安全状况进行评估，按照国家的要求进行整改，在 原来的基础上进一步增强抵御各种信息风险的能力，为电网生产运行提供及时、 准确的数据，从而为电网的安全稳定和优质经济运行提供有力的保障。 6 茎壅叁堂点堡堡主兰垡笙塞 ! 塑堕鱼塾些墨堑塑塑塞全堕 图2 1 贵阳南局调度自动化系统网络示意图 f i g - 2 ld i s p a t c hs y s t e mn e t w o r ko f s o u t h g u i y a n gp o w e rs u p p l yc o m p a n y 蔓鏖奎堂三堡堡主堂堡兰茎! 塑窒旦型些墨丝旦丝室全! 翌堕一 贵阳南局调度自动化系统总体安全现状分析如下： 1 ) e m s 系统为1 0 1 0 0 m 的以太网结构，通过两台a s x 一1 0 0 0 核心交换机以 及一台e s x 2 4 0 0 骨干路由器构成网络骨干：两台a s x - 1 0 0 0 核心交换机分别放 鼍局大楼中，通过a t m 光纾进行连接成1 5 5 m 的高速网络主干； 2 ) 网络中的服务器采用w i n d o w s d i g i t a l t r u e 6 4 u n i x 操作系统； 3 ) e m s 系统有统的i n t e r n e t 出e l ，在出口处采用c h e c k p o i m 防火墙防 护，实施访问控制手段； 4 ) e m s 系统采用了o r a c l e 数据库，用于保存所有实时和历史的运行信 息，并且部署了l e g a t o 数据备份系统： 5 ) e m s 系统一部分服务器和工作站已安装n o r t o n 、k i l l 等防病毒产品，但 是病毒定义库未更新到最新的版本；部分服务器未安装防病毒产品； 6 ) e m s 系统没有部署入侵检测等安全防护设备； 7 ) e m s 系统的部分w i n d o w s 服务器未安装最新的操作系统补丁； 8 ) e m s 系统中各关键系统的管理员口令设置基本合理，网络、系统管理员 的都经过必要的培训，信息安全组织机构基本具备，避免了重大信息安全事故的 发生。 2 2 调度自动化系统存在的安全隐患 网络安全隔离强度不够 目前e m s 系统部署的是普通的防火墙，传统的基于逻辑控制机制的防火 墙、防病毒系统、漏洞扫描等，对于一般的应用场合来讲，上述防火墙的揞藏已 经足够。但对于涉密机构( 如军事、政府、电力、金融等) 核心控制系统，由于 普通防火墙是基于逻辑实体，其本身也有可能被操纵，因此安全控制有限，且对 各种专用的通信协议和规约适应性不够，因此无法满足高度数据安全要求。正因 为如此，涉密网不能把机密数据的安全完全寄托在用概率来作判断的防护上，必 须有一道绝对安全的大门，保证涉密网的信息不被泄露和破坏。 没有部署整体的防护方案 网络安全防护是一个系统工程，具有长期性：一方面随着网络的日益开放， 生产控制系统计算机应用的大量增加，对数据网络的依赖性越来越强，生产控制 系统也越来越庞大，安全性相对也脆弱；另一方面，计算机技术曰新月异，黑客 的工具也发展很快，今天的行之有效的防火墙或隔离装置安全策略也许明天就可 能出现漏洞。因此，网络安全防护必须紧跟技术进步，不断更新和完善安全措 施，及时反应，堵住可能出现的漏洞，防患于未然。 8 重鏖查堂三堡堡主堂垡笙奎! 塑壁垒垫些墨竺塑丝窒全塑堕一 多余的服务启用太多 服务器如果启用服务，就会开放一些端口。而且服务端软件的漏洞也比较 多，很容易被别人利用并进行攻击。在检测过程中发现一些服务是启用的，如： d h c pc l i e n t 、d n sc l i e n t 、i i s 、 e m o t er e g i s t r ys e r v i c e 等。 软件的补丁未及时更新 无论是系统软件或者是应用软件，补丁除了能增加功能外，另外的一个重要 目的是修改软件的错误漏洞，如果能及时的把系统和应用软件的补丁打上不但能 够修补软件的漏洞，而且可以在防病毒方面起到一定的作用。 网络管理工具尚需配备 随着信息中心下一步的网络改造和发展，网络中会增加更多的计算机和打印 机等网络设备。网络的扩大随之带来网络管理难道的进一步增加。在一个较大规 模的网络中如果没有专用的网络管理工具和网络故障诊断工具，网络管理员在出 了问题的时候，往往会费时费力，特别在网络出现严重的故障时会影响到整个办 公系统的正常运行。 2 3 调度自动化系统安全防护需要解决问题 从国家层面来看，电力系统计算机网络安全已经提高到国家战略安全的高 度，由于计算机网络安全产品的特殊性，对关系国计民生的重要单位、企业等的 安全防护要求必须采用国产产品，核心软件要有自主知识产权。为此，国内计算 机厂商、科研院所等相继开发了些通用和专用的网络安全产品，如防火墙等。 由于安全防护是一个动态过程，随着计算机和通信技术的飞速发展，网络攻击手 段也日新月异，因此安全防护不仅要跟上i t 技术发展的浪潮，而且在技术上要 超前发展，始终领先一步。 根据电力调度自动化系统安全防护的范围、目标和原则，重点是保护实时闭 环监控系统及调度数据网络的安全，从而保障国家重要基础设施电力系统的安 全。根据国调安全防护的要求，各控制系统仅可与安全等级相同的控制系统相 连，仅可通过专用局域网或电力调度专用数据网络实现互联；各控制系统与办公 自动化系统( m i s ) 之间必须采用有效措施实行专用安全隔离，必须与外部因特 网实行专用安全隔离。因此需要重点解决以下几个问题： 整体防护方案 信息网络安全防护必须全面防护、突出重点，连续统一，以往的实践证明局 部措施很难持久奏效。因此需要根据国家的要求和贵阳供电局信息网络现状，进 行详细的研究和设计，包括风险评估、攻击演习、漏洞扫描、安全体系的评估、 重鉴查堂王堡堡主堂堡垒苎! 塑堕鱼垫些墨堕旦丝塞全i ! 堕一 安全设备的部署及性能评估、安全管理措旋的评估等。在此基础上制定整体的防 护方案。 远动信息访问控制 对从变电站r t u 采集的实时信息、与上级省调和下级县调及区调交换的实 时信息，必须进行安全访问，特别是对于遥控和遥调命令更要保证安全。因此需 要详细分析调度自动化系统远动规约，从数据链路层和网络层入手，防止非法入 侵。 数据库的访问控制 贵阳南局信息中心数据库采用了o r a c l e ，保存了大量电网运行和管理的 信息。无论是数据库的泄密，还是数据库系统受到攻击，都会产生极其严重的后 果。为此，保证数据库的安全是网络安全防护的核心。 开发二次安全防护专用物理隔离装置 传统的防火墙是基于逻辑实体，其本身也有可能被操纵，因此安全控制有 限，且对各种专用的通信协议和规约适应性不够，因此无法满足调度自动化系统 这样的实时监控制系统高度数据安全要求。正因为如此，控制系统不能把机密数 据的安全完全寄托在用概率来作判断的防护上。同时由于计算机网络安全产品的 特殊性，对关系国计民生的重要单位、企业等的安全防护要求必须采用国产产 品，核心软件要有自主知识产权。按照3 0 号令的安全防护要求必须开发新一代 专用安全隔离产品，在保证电力系统内部网用户网上各类办公业务正常运转的需 求的前提下，同时保证内网与公网之间专用安全物理隔离，以保护内网及专网的 信息安全性。 2 4 小结 随着电力改革的推进和电力市场的建立，要求在供电局、变电站、用户等之 间进行的数据交换也越来越频繁。电力一次设备的改善使得其可控性能满足闭环 的要求。电厂、变电站减人增效，大量采用远方控制，对电力控制系统和数据网 络的安全性、可靠性、实时性提出了新的严峻挑战。而另方面，i n t e r n c t 技术 和因特网已得到广泛使用，e - m a i l 、w e b 和p c 的应用也日益普及，但同时病毒 和黑客也日益猖獗。因此、二次系统安全防护的重要性日益得到国家有关部门的 重视a 本章根据原国家经贸委、国调颁布了一系列电力系统二次安全防护规定和 要求，对目前的调度自动化信息网络安全状况进行评估，按照国家的要求进行整 改，在原来的基础上进一步增强抵御各种信息风险的能力，提出了整体防护方 案，为电网生产运行提供及时、准确的数据，从而为电网的安全稳定和优质经济 运行提供有力的保障。 1 0 重庆大学_ f ：程硕士学位论文 3 电力系统远动通讯规约分析 电力系统远动通讯规约分析 3 1 常用远动通讯规约简介及发展趋势1 1 3 】1 1 4 】 目前，在电力系统变电站与调度端之间，常用的协议有仅适用于点对点通讯 的c d t ( 循环式) 协议，以及既可以用于点对点通讯又可进行总线式通讯的 p o l l i n g ( 论询) 协议，常见的p o l l i n g 协议有1 8 0 1 协议、s e r i e sv 协议、 9 4 f 协议、i e c 8 7 0 5 1 0 1 协议和d n p 协议等。每种协议既有其优点，也有其局 限性。 c d t 协议 c d t 协议为循环传输方式，无模拟量变化传输功能，在1 ：n 的远动系统 中，传输效率低，传输速度慢。由于c d t 协议有多个版本，所以其具体实现方 法，如遥控字的数据结构，一个字节8 位数据的发送顺序等存在差异，普遍存在 着协议接口问题。传统做法是一种协议编制一个接口处理程序，接入新型远动则 必须重新编制程序。 1 8 0 1 协议 1 8 0 1 协议报文用一个字节表示逻辑r t u 个数，最大为2 5 6 个，用4 位表示 板地址，最多为1 6 个。遥测板地址、遥信板地址、遥控板地址统一编址。每个 遥测板地址表示1 2 个遥测量，每个遥信板地址表示2 4 个遥信量，每个遥控板地 址表示8 个遥控对象。在变化数据报文中，遥测、遥信序号由板地址确定，在遥 控选择、遥控执行报文中，遥控对象也由板地址确定。 心f 协议 衅f 协议主站与子站通讯报文的应答逻辑关系比较复杂，对程序编写及运行 维护人员有较高要求。 s e r i e s v 协议 子站回答报文中不包含命令码。在双前置机系统中，当值班机与远动通讯 时，备用机不能同时侦听，因此难能达到热备用的目标。 i e c 6 0 8 7 0 ，5 1 0 1 协议 i e c 8 7 0 - 5 - 1 0 1 协议针对i e c 8 7 0 5 基本标准中的f t l 2 异步式字节传输 ( a s y n c h r o n o u sb y t et r a n s m i s s i o n ) 帧格式，对物理层、数据链路层、应用层、 用户进程作了大量具体的规定和定义。 i e c 8 7 0 - 5 - 1 0 1 协议支持时钟同步、电能脉冲计数量的传输、装载参数、文件 传输、通道诊断、子站事件触发传输数据等功能。 重庆大学工程硕士学位论文3 电力系统远动通讯规约分析 d n p 协议 d n p3 0 是开放式协议，它可以对不同的数据类型安排不同的优先级；支持 主动上报信息：支持主站与子站对时；允许多主站和对等操作。 d n p3 0 是分层实现的协议。它定义了三层，即应用程序层、数据链路层和 物理层。为了实现的方便，d n p3 0 在应用程序层与数据链路层之间还增加了虚 拟传输层。 在d n p 协议中，每一个数据类型应称为一个对象组( o b j e c tg r o u p ) ，每一 个对象组中有对象组变量( o b j e c tg r o u pv a r i a t i o n ) ，不同对象组变量表明所对 应对象组中数据的不同组织方式。对于遥信、遥测等信息，d n p 协议采用轮询 方式，而对于变位信息( 如s o e 数据) ，由发生数据变化的设备( 即子站) 主 动上报，而不需主站去询问。 从电力调度自动化系统的发展趋势来看，由于我国加入了w t o ，各种技术 标准都与国际接轨，因此越来越多的采用了i e c6 0 8 7 0 5 1 0 1 和1 0 4 远动规约。 由于1 0 4 规约是对1 0 1 规约的i p 网络封装，因此，本文主要就1 0 1 规约的应用 数据结构和帧格式进行探讨，找出其规律，以便在安全防护中采取措施。 3 2i e c 6 0 8 7 0 5 1 0 1 远动规约参考模型和应用数据结构 3 2 1 参考模型 i e c6 0 8 7 0 5 - 1 0 1 中使用的参考模型源于开放式系统互联的i s o o s i 参考模 型： 奠垂1 l1 9 0 专曩蔓 l 蠢2 ：m i 菇r i m 图3 1 参考模型 f i g 3 1r e f e r e n c em o d e l 由于远动系统在有限传输带宽下要求特别短的反映时间，故1 0 1 远动规约采 用增强性能结构( e p a 卜模型2 ，这种模型仅用三层即物理层、链路层、应用 层。用于模型2 的传输帧的信息结构示于图3 2 。 重庆大学r 程硕士学位论文3 电力系统远动通讯规约分析 蕞蓐规约 蕞撂单元 图3 2 使用参考模型2 的帧结构 f i g 3 2f r a m e s t r u c t u r eo f r e f c r e r l c em o d e l2 3 2 2 1 0 1 远动规约应用数据结构 规约数据单元由规约控制信息和服务数据单元组成。参考模型2 的数据单元 之间关系示于图3 3 。 由于1 0 1 远动规约中未采用应用规约控制信息( a p c i ) ，所以在应用层中的应 用规约数据单元和应用服务数据单元是一样的，也和链路层中的链路服务数据单 元是一致的。l o l j 丞动规约中属于链路规约控制信息的内容是：两个启动字符、 两个l 、控制域、链路地址域、帧校验和结束字符。 链路规约数据单元即报文由两部份组成即链路规约控制信息和应用服务数据 单元( 即应用规约数据单元或链路服务数据单元) 所组成。一个链路规约数据单元 只包含一个应用服务数据单元。 圈3 3 参考模型2 的数据单元之间关系 f i g 3 3r e l a t i o n s h i pa m o n gd a t au n i to f r e f e r e n c e m o d e l2 重庆大学工程硕七学位论文 3 电力系统远动通讯规约分析 3 2 3 应用服务数据单元( a s d u ) 结构 应用服务数据单元即报文的数据区，其一般结构如表3 1 ，它由数据单元标 识，一个或多个信息体和应用服务数据单元的公共时标所组成。 数据单元标识符：= c p 3 2 ( 类型标识、可变结构限定词、传送原因、公共地 址) 信息体：= c p 1 6 + 8 j + 8 t ( 信息体地址、信息元素集、时标) 可变参数，：= 信息元素的8 位位组数 可变参数t ：= 若为3 代表时标，为。表示无时标 数据单元标识符在所有应用服务数据单元中其结构应相同，在一个应用服务 数据单元中信息体的结构和类型应相同，结构和类型由类型标识定义。 数据单元标识符由类型标识，可变结构限定词，传送原因和应用服务单元的 公共地址所组成，每一个项均为8 位位组。 表3 i 应用服务数据单元结构 t a b l e 3 1d a t au n i ts t r u c t u r e a 的u t 童用麓悖t 譬元l a s d u = 斑用鼻囊元l a p c i 一盅詹舛控稿 k p 眦j 一麓纛均t 曩置i l s d u 一鼙蠹蠡一单元 l p c i 一羹蘑囊约控蓿 a s d ua s d u 的簟 交囊标识 豉一 数曩 摹斋 a s d u 长度。 簟元 类懑 可壅结构 煨定嘲 标识 传莲愿嘲 公共t 址 信息体冀基 德立体地址 唐毫肆 售患体元素 信纛体时标 瞎直律公共对标 - 为任选嚷事捧藿串 束采用 3 3i e c 6 0 8 7 0 - 5 1 0 1 规约数据单元( 报文) 格式 为了在网络安全防护专用物理隔离装置中进行有效的，必须详细分析远动规 约的数据单元( 报文) 格式，如远动链路的建立、复位、数据传输、召唤服务等 1 4 重庆大学工程硕士学位论文3 电力系统远动通讯规约分析 报文的帧格式。 复位远动终端报文( 发送确认帧) 图3 4 所示为复位远动终端发送帧及其确认帧。 cr pn aj c 1 n 秘h 1 揩0 l 露9 甜h 】0a c dd f c0o t 蠢t t 茹囊撑识 0 5 可堂培掏曩室坷 ! 一 旦墨苎墨! ! 恃蠢一因 op n 0001 1t 童单元公共鼍 l 雄t 0o00 h 鼍和c c s 图3 4 复位远动终端发送帧及其确认帧 f i g 3 4s e n df r a m ea n da f f i r mf t a n l eo f r e s e tt e r m i n a lu n i t 传送原迭【： ：= 激活： 传送原因： ：= 激活确认 主站向子站发送c _ i 啦a ja c t 帧，子站接收到此报文，以激活肯定认可 ( c _ r pn a 一1 a c t c o n ) 帧回答，子站即开始对本站进行初始化。 复位远方链路( 发送确认帧) 主站向予站发送复位远方链路帧( c r i ，n a ls e n d 见圈3 5 ) ，子站正确收 到，以确认帧( m r l n a - lc o n 见图3 6 ) 回答，并将子站的f c b 位清零。 图3 5 复位远方链路发送帧 f i g 3 5s e n df a r l a eo f r e s e tt e r m i n a ll i n k 重庆大学 一程硕士学位论文 3 电力系统远动通讯规约分析 mr ln ic o n 1 0 l 1oa c d 僦0 o00 毽蘑慧址麓 奠较奠瓤( c s ) 1 6 h 图3 6 复位远方链路的确认帧 f i g 3 6a f f i r mf l a m eo f r e s e tt e r m i n a ll i n k 请求远方链路状态( 请求响应帧) 主站请求子站链路状态，发送请求链路状态的请求帧( c r qn a jl n k r e q 见图3 7 ) ，子站回送链路状态响应帧( m _ r q _ n a _ 1l n k r e s 见图3 8 ) n 答，报文 中的功能码表示链路状态。 c 漩一n a 一1l n k r e q l o h olp c b0l0o 1 蘑t 址 较翱c s ) l 村t 图3 7 请求链路状态的请求帧 f i g 3 7r e q u e s t f l a m e o f r e q u e s tl i n ks t a t e 其中，x ：= 0 0 0 1 链路忙：= 1 1 1 0 链路服务未工作： = 10 1 1 链路完好：= 1 1 1 1 链路服务未完成 图3 8 链路状态响应帧 f i g 3 8r e s p o n s ef r a m e o f l i n k i n gs t a t e 重庆大学 程硕士学位论文3 电力系统远动通讯规约分析 当主站多次向子站传送报文时，子站无响应，如询问次数超过1 0 次，即用此 报文询问子站链路状态。如子站回答忙帧时，也用此报文询问子站链路状态。 单点遥信帧 如发生单点遥信变化，子站回送报文m s p n a is p o n t 。帧格式如图3 9 所 不。 闰3 9 单点遥信帧 f i g 3 9s i n g l ep o i n tt e r m i n a ls i g n a lf r a m e 3 4 远动数据传输过程 发送确认帧过程： e e c 1 0 1 规约中正常发送确认帧传输过程如下图所示： 图3 1 0 正常发送确认帧传输过程 f i g 3 1 0t r a n s m i s i o n p r o g r e s so f s e n d a f i i 瑚劬啪e 里堕查兰兰型堡主堂垡堡茎_ 三旦垄墨堑垄塑塑塑i 里! ! ：至堑一 。，：箩鐾絮镶荐篙器亲竺篙裟髻然釜震 黧篙薹m 冀：嚣鬻篙婴糕茹鞴嚣 裂篓抓戮勰嚣茹，差姜罴”、acd=o 数据传完， 无新的数据需要报告。主站即转同珀曩1 反陋烈掘。 请求，响应帧过程： 未受干扰的请求，响应帧传输过程如图3 1 1 所示。 童嫱蔓予螭 予谶熏董站 鉴苎妻：i 蜮品i i 位粒b l l 辩聱譬i 鬻暴w 网氍 _ 一 蠢俺l t 弼f - 1 i i i 户蕞膏搴 蜮址，一l 鲋1 1 l i t 琏墨l 黼 位l a c l i - o l 婪堇二：兰j ，幂协”4 “ 酮维广瓢 用户量囊l 齄址一n + t l 掣耥 l i o 图3 11 请求2 级用户数据未受干扰的请求，响应过程 嘲1l 嘲u e 妣s p o n s e p r o g r e s s w h e nn od i s t u r b 。f a s k i n g 2 n dc u s t o m e rd 咖 为主站向子站n 询问2 级用户数据，子站刀圄送所请求的数据并在控制域中表 示有1 级用户数据要求访阀，主站向同一个子站 询问l 级用户数据，并改变其帧 计数位状态，子站露回送1 级用户数据，要求访阕位为o ，主站收到此响应帧，接 下去向子站订+ l 询问2 级用户数据。 3 5 小结 为了实现调度自动化( e m s ) 系统的信息网络安全防护，在安全防护专用 物理隔离装置中进行有效的隔离，必须对目前实际采用的远动规约进行分析，从 中找出规律。 重庆大学工程硕士学位论文 3 电力系统远动通讯规约分析 本章从贵阳南局调度自动化的实际情况出发，介绍了目前采用的常用的远动 通信规约。从其系统的发展趋势来看，由于我国加入了w t o ，各种技术标准都 与国际接轨，因此越来越多的采用了i e c6 0 8 7 0 5 1 0 1 和1 0 4 远动规约。由于 1 0 4 规约是对1 0 1 规约的i p 网络封装，因此，本文主要就1 0 1 规约进行讨论，对 于其他规约，可以采用同样的方法进行分析。 本章详细分析了1 0 1 远动规约的数据单元( 报文) 格式，如远动链路的建 立、复位、数据传输、召唤服务等报文的帧格式。分析了1 0 1 规约的参考模型和 应用数据结构，并对基本的数据传输过程如发送确认帧过程、请求响应帧过程 等进行了分析和归纳，将这些重要的特定码作为作为关键字，在控制策略中有针 对性的采取措施。 重庆大学j ：程硕士学位论文4 调度自动化系统( e m s ) 安全防护解决方案 4 调度自动化系统( e m s ) 安全防护解