近年來國外頻現(xiàn)針對電力系統(tǒng)的網(wǎng)絡(luò)攻擊事件。國內(nèi)雖尚未出現(xiàn)類似的破壞性事件，但是小規(guī)模的電腦病毒感染事件也層出不窮。雖然目前這類事件都出現(xiàn)在交流系統(tǒng)中，但并不代表國內(nèi)的直流輸電系統(tǒng)毫無漏洞。直流控制保護系統(tǒng)是直流輸電系統(tǒng)的大腦，一旦直流控制保護系統(tǒng)網(wǎng)絡(luò)遭到侵入、設(shè)備反饋信息或控制指令遭到篡改而造成設(shè)備誤動或拒動，將導(dǎo)致嚴重后果。

為全面提升直流控制保護系統(tǒng)網(wǎng)絡(luò)安全防護水平，需要對直流控制保護系統(tǒng)網(wǎng)絡(luò)安全現(xiàn)狀進行綜合分析，從技術(shù)、管理等方面分析存在的風(fēng)險，并針對風(fēng)險點提出改進建議。

1 直流控制保護系統(tǒng)總體網(wǎng)絡(luò)結(jié)構(gòu)

目前國內(nèi)的直流控制保護系統(tǒng)內(nèi)部均可分成站控層、間隔層、過程層3層結(jié)構(gòu)，如圖1所示。各層設(shè)備之間通過不同的通信方法實現(xiàn)數(shù)據(jù)交互。

站控層網(wǎng)絡(luò)實現(xiàn)站控層設(shè)備和間隔層設(shè)備之間的通信，其主要包含數(shù)據(jù)采集與監(jiān)視控制（supervisory control and data acquisition, SCADA）網(wǎng)、就地控制網(wǎng)，采用以太網(wǎng)方式；間隔層網(wǎng)絡(luò)實現(xiàn)各控制保護主機之間的通信，采用以太網(wǎng)、快速控制總線、現(xiàn)場總線等方式；過程層網(wǎng)絡(luò)實現(xiàn)過程層設(shè)備（接入遙測和遙信量）與控制保護主機之間的通信，采用以太網(wǎng)、現(xiàn)場總線、測量總線等方式。

圖1 直流控制保護系統(tǒng)網(wǎng)絡(luò)構(gòu)架示意圖

2 直流控制保護系統(tǒng)網(wǎng)絡(luò)邊界情況

當前，我國所有換流站生產(chǎn)系統(tǒng)的網(wǎng)絡(luò)架構(gòu)都可分為安全1區(qū)和安全2區(qū)兩部分，其中安全1區(qū)為實時控制區(qū)，安全2區(qū)為非實時控制區(qū)。直流控制保護系統(tǒng)部署在安全1區(qū)，保信子站、一體化電源、電能計量等輔助系統(tǒng)部署在安全2區(qū)，如圖2所示。

圖2 換流站生產(chǎn)系統(tǒng)整體網(wǎng)絡(luò)圖

1）直流控制保護網(wǎng)絡(luò)站內(nèi)邊界

直流控制保護系統(tǒng)與換流站內(nèi)其他設(shè)備的通信通道包括：①通過控制總線與閥控、閥冷、故障錄波等通信；②通過規(guī)約轉(zhuǎn)換器或輔助系統(tǒng)工作站與保信子站、電能計量、一體化電源等系統(tǒng)通信。

2）直流控制保護網(wǎng)絡(luò)站外邊界

直流控制保護系統(tǒng)對外與調(diào)控中心、直流技術(shù)中心、集中監(jiān)視中心及對端換流站通信，共4個站外通信通道，詳見表1。

表1 直流控制保護系統(tǒng)站外通信通道表

3 直流控制保護系統(tǒng)網(wǎng)絡(luò)安全防護現(xiàn)狀

直流控制保護系統(tǒng)網(wǎng)絡(luò)總體上能夠按照結(jié)構(gòu)安全、網(wǎng)絡(luò)專用、邊界安全、本體安全的安全防護原則進行配置。

站外通信方面，直流控制保護系統(tǒng)與調(diào)控中心、直流技術(shù)中心間的通信通道均配置縱向加密認證裝置，直流控制保護裝置和SCADA網(wǎng)絡(luò)通過2M專用通道（未配置縱向加密設(shè)備）與對站通信；站內(nèi)通信方面，安全2區(qū)電能計量、保信子站及一體化電源系統(tǒng)通過規(guī)約轉(zhuǎn)換裝置（未配置橫向隔離設(shè)備）接入直流控制保護系統(tǒng)SCADA網(wǎng)絡(luò)；系統(tǒng)本體安全方面，直流控制保護系統(tǒng)網(wǎng)絡(luò)采用星型結(jié)構(gòu)連接，采用私有協(xié)議，具有白名單注冊等嚴格的數(shù)據(jù)校驗機制和風(fēng)暴抑制功能，可以保證數(shù)據(jù)傳輸安全可靠。

4 直流控制保護系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險點分析

結(jié)合直流控制保護系統(tǒng)網(wǎng)絡(luò)安全防護現(xiàn)狀，對存在的風(fēng)險從攻擊方式、影響程度等方面進行綜合分析，具體情況如下。

1）風(fēng)險一：監(jiān)控工作站及部分系統(tǒng)平臺采用Windows等國外操作系統(tǒng)

風(fēng)險點：換流站運行監(jiān)控工作站及部分控制保護系統(tǒng)平臺均采用Windows等非國產(chǎn)安全操作系統(tǒng)，無法完全掌握其安全漏洞和后門程序，目前雖然采取了接入管理、惡意代碼防范等安全加固措施，仍存在被非法入侵的風(fēng)險。

攻擊方式：①利用非國產(chǎn)安全操作系統(tǒng)的漏洞，獲取遠程控制權(quán)限；②或利用U盤擺渡攻擊等方式，植入木馬或病毒，發(fā)送錯誤信息和控制命令；③或通過邏輯炸彈、時間炸彈等方式進行攻擊。

影響：造成直流輸電系統(tǒng)運行異常，極端情況下可能導(dǎo)致閉鎖停運。

2）風(fēng)險二：直流控制保護SCADA網(wǎng)絡(luò)外部通信安防措施不完善

風(fēng)險點：換流站安全1區(qū)SCADA網(wǎng)絡(luò)延伸至對端換流站或集中監(jiān)視中心采用明文傳輸方式,且物理防護相對薄弱。部分直流工程為滿足遠方集中監(jiān)控需求，在一端換流站配置遠方運行人員工作站，實現(xiàn)對對端換流站的遠方監(jiān)視功能；部分換流站SCADA系統(tǒng)采用網(wǎng)絡(luò)延伸方式連接到集中監(jiān)視中心，實現(xiàn)集中監(jiān)視功能。

攻擊方式：在遠程通道上串入攻擊裝置，通過重放攻擊方式發(fā)送錯誤信息或控制命令。

影響：造成直流輸電系統(tǒng)運行異常，極端情況下可能導(dǎo)致閉鎖停運。

3）風(fēng)險三：換流站安全1區(qū)和安全2區(qū)安全隔離措施不完善

風(fēng)險點：換流站內(nèi)安全1區(qū)與安全2區(qū)的網(wǎng)絡(luò)連接未進行邏輯隔離。換流站內(nèi)電能計量、一體化電源等安全2區(qū)系統(tǒng)接入安全1區(qū)的直流控制保護系統(tǒng)網(wǎng)絡(luò)，安全1區(qū)和安全2區(qū)之間未安裝硬件防火墻等邏輯隔離設(shè)備，不滿足“網(wǎng)絡(luò)專用”安全要求。

攻擊方式：可利用安全2區(qū)主機作為攻擊跳板向安全1區(qū)傳播病毒、木馬，采取偽造攻擊、重放攻擊等方式向直流控制保護系統(tǒng)發(fā)送錯誤信息。

影響：導(dǎo)致直流控制保護網(wǎng)絡(luò)無法正常運行。

4）風(fēng)險四：站間監(jiān)視信息交互采用網(wǎng)絡(luò)通用協(xié)議傳輸

風(fēng)險點：部分換流站SCADA網(wǎng)絡(luò)站間通信采用104規(guī)約的明文傳輸，相互傳輸直流場遙測和遙信信號，不滿足“縱向認證”要求。

攻擊方式：在遠程通道上串入攻擊裝置，對站間通信的遙信及遙測數(shù)據(jù)進行竊聽或篡改。

影響：對站監(jiān)視數(shù)據(jù)無法正常顯示，直流運行數(shù)據(jù)、設(shè)備參數(shù)等敏感信息泄露。

5 直流控制保護系統(tǒng)網(wǎng)絡(luò)安全提升對策

針對當前直流控制保護系統(tǒng)網(wǎng)絡(luò)的安全現(xiàn)狀和特點，安全防護提升思路可以考慮從以下幾個方面進行。

1）加快推進基于國產(chǎn)安全操作系統(tǒng)的換流站監(jiān)控系統(tǒng)的實施，積極落實軟硬件的國產(chǎn)化，逐步完成在運換流站監(jiān)控系統(tǒng)改造，夯實換流站的網(wǎng)絡(luò)安全基礎(chǔ)。

2）強化換流站基建階段網(wǎng)絡(luò)安全管控，制定完善的標準規(guī)范；工程投產(chǎn)前開展網(wǎng)絡(luò)安全等級保護測評和風(fēng)險評估驗收工作，確保國家關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全相關(guān)要求落實到位。

3）取消換流站內(nèi)監(jiān)視對端站的工作站并斷開網(wǎng)絡(luò)連接；取消部分集中監(jiān)視中心以網(wǎng)絡(luò)延伸方式監(jiān)視換流站的工作站，并斷開網(wǎng)絡(luò)連接；因為運維原因確有監(jiān)視需求的，建議改造為IP KVM（keyboard- video-mouse over IP）方式，并在通信線路增加縱向加密裝置；對于采用104規(guī)約明文傳輸數(shù)據(jù)的換流站，在站間SCADA網(wǎng)絡(luò)連接通道中加裝縱向加密裝置。

4）完善換流站內(nèi)不同安全區(qū)業(yè)務(wù)間的隔離和訪問控制措施，實現(xiàn)監(jiān)控系統(tǒng)內(nèi)部各區(qū)域間邏輯隔離或物理隔離，避免網(wǎng)絡(luò)入侵和信息泄露風(fēng)險。

例如，換流站都有通過規(guī)約轉(zhuǎn)換器或輔助系統(tǒng)工作站將保信子站、電能計量、一體化電源等安全2區(qū)系統(tǒng)接入安全1區(qū)控制保護網(wǎng)絡(luò)，從而通過SCADA系統(tǒng)實現(xiàn)一體化監(jiān)控的設(shè)計，應(yīng)當在規(guī)約轉(zhuǎn)換器或輔助系統(tǒng)工作站與直流控制保護網(wǎng)絡(luò)之間增加防火墻，以實現(xiàn)網(wǎng)絡(luò)隔離。

部分換流站還存在將安全1區(qū)的閥基電子設(shè)備通過規(guī)約轉(zhuǎn)換器或輔助系統(tǒng)工作站接入SCADA系統(tǒng)的設(shè)計，對此，應(yīng)該更改設(shè)計，將閥基電子設(shè)備直接接入SCADA系統(tǒng)，若技術(shù)上確有困難，無法直接接入，應(yīng)增加一臺安全1區(qū)專用規(guī)約轉(zhuǎn)換器或輔助系統(tǒng)工作站，以用來將閥基電子設(shè)備等安全1區(qū)裝置接入SCADA系統(tǒng)，從而保證網(wǎng)絡(luò)隔離，專網(wǎng)專用。

6 結(jié)論

直流控制保護系統(tǒng)的網(wǎng)絡(luò)安全防護工作不可能一蹴而就。隨著直流控制保護技術(shù)的發(fā)展和換流站運維需求的變化，隨時可能有新的系統(tǒng)接入直流控制保護系統(tǒng)網(wǎng)絡(luò)，從而產(chǎn)生新的網(wǎng)絡(luò)邊界和安全風(fēng)險點。

行業(yè)內(nèi)相關(guān)人員應(yīng)該時刻保持網(wǎng)絡(luò)安全防護意識，在開展業(yè)務(wù)工作時充分考慮到可能存在的網(wǎng)絡(luò)安全問題，并及時從管理措施和技術(shù)措施上加以解決，才能保障直流控制保護系統(tǒng)的正常運行。