近年來(lái)國(guó)外頻現(xiàn)針對(duì)電力系統(tǒng)的網(wǎng)絡(luò)攻擊事件。國(guó)內(nèi)雖尚未出現(xiàn)類(lèi)似的破壞性事件，但是小規(guī)模的電腦病毒感染事件也層出不窮。雖然目前這類(lèi)事件都出現(xiàn)在交流系統(tǒng)中，但并不代表國(guó)內(nèi)的直流輸電系統(tǒng)毫無(wú)漏洞。直流控制保護(hù)系統(tǒng)是直流輸電系統(tǒng)的大腦，一旦直流控制保護(hù)系統(tǒng)網(wǎng)絡(luò)遭到侵入、設(shè)備反饋信息或控制指令遭到篡改而造成設(shè)備誤動(dòng)或拒動(dòng)，將導(dǎo)致嚴(yán)重后果。

為全面提升直流控制保護(hù)系統(tǒng)網(wǎng)絡(luò)安全防護(hù)水平，需要對(duì)直流控制保護(hù)系統(tǒng)網(wǎng)絡(luò)安全現(xiàn)狀進(jìn)行綜合分析，從技術(shù)、管理等方面分析存在的風(fēng)險(xiǎn)，并針對(duì)風(fēng)險(xiǎn)點(diǎn)提出改進(jìn)建議。

1 直流控制保護(hù)系統(tǒng)總體網(wǎng)絡(luò)結(jié)構(gòu)

目前國(guó)內(nèi)的直流控制保護(hù)系統(tǒng)內(nèi)部均可分成站控層、間隔層、過(guò)程層3層結(jié)構(gòu)，如圖1所示。各層設(shè)備之間通過(guò)不同的通信方法實(shí)現(xiàn)數(shù)據(jù)交互。

站控層網(wǎng)絡(luò)實(shí)現(xiàn)站控層設(shè)備和間隔層設(shè)備之間的通信，其主要包含數(shù)據(jù)采集與監(jiān)視控制（supervisory control and data acquisition, SCADA）網(wǎng)、就地控制網(wǎng)，采用以太網(wǎng)方式；間隔層網(wǎng)絡(luò)實(shí)現(xiàn)各控制保護(hù)主機(jī)之間的通信，采用以太網(wǎng)、快速控制總線、現(xiàn)場(chǎng)總線等方式；過(guò)程層網(wǎng)絡(luò)實(shí)現(xiàn)過(guò)程層設(shè)備（接入遙測(cè)和遙信量）與控制保護(hù)主機(jī)之間的通信，采用以太網(wǎng)、現(xiàn)場(chǎng)總線、測(cè)量總線等方式。

圖1 直流控制保護(hù)系統(tǒng)網(wǎng)絡(luò)構(gòu)架示意圖

2 直流控制保護(hù)系統(tǒng)網(wǎng)絡(luò)邊界情況

當(dāng)前，我國(guó)所有換流站生產(chǎn)系統(tǒng)的網(wǎng)絡(luò)架構(gòu)都可分為安全1區(qū)和安全2區(qū)兩部分，其中安全1區(qū)為實(shí)時(shí)控制區(qū)，安全2區(qū)為非實(shí)時(shí)控制區(qū)。直流控制保護(hù)系統(tǒng)部署在安全1區(qū)，保信子站、一體化電源、電能計(jì)量等輔助系統(tǒng)部署在安全2區(qū)，如圖2所示。

圖2 換流站生產(chǎn)系統(tǒng)整體網(wǎng)絡(luò)圖

1）直流控制保護(hù)網(wǎng)絡(luò)站內(nèi)邊界

直流控制保護(hù)系統(tǒng)與換流站內(nèi)其他設(shè)備的通信通道包括：①通過(guò)控制總線與閥控、閥冷、故障錄波等通信；②通過(guò)規(guī)約轉(zhuǎn)換器或輔助系統(tǒng)工作站與保信子站、電能計(jì)量、一體化電源等系統(tǒng)通信。

2）直流控制保護(hù)網(wǎng)絡(luò)站外邊界

直流控制保護(hù)系統(tǒng)對(duì)外與調(diào)控中心、直流技術(shù)中心、集中監(jiān)視中心及對(duì)端換流站通信，共4個(gè)站外通信通道，詳見(jiàn)表1。

表1 直流控制保護(hù)系統(tǒng)站外通信通道表

3 直流控制保護(hù)系統(tǒng)網(wǎng)絡(luò)安全防護(hù)現(xiàn)狀

直流控制保護(hù)系統(tǒng)網(wǎng)絡(luò)總體上能夠按照結(jié)構(gòu)安全、網(wǎng)絡(luò)專(zhuān)用、邊界安全、本體安全的安全防護(hù)原則進(jìn)行配置。

站外通信方面，直流控制保護(hù)系統(tǒng)與調(diào)控中心、直流技術(shù)中心間的通信通道均配置縱向加密認(rèn)證裝置，直流控制保護(hù)裝置和SCADA網(wǎng)絡(luò)通過(guò)2M專(zhuān)用通道（未配置縱向加密設(shè)備）與對(duì)站通信；站內(nèi)通信方面，安全2區(qū)電能計(jì)量、保信子站及一體化電源系統(tǒng)通過(guò)規(guī)約轉(zhuǎn)換裝置（未配置橫向隔離設(shè)備）接入直流控制保護(hù)系統(tǒng)SCADA網(wǎng)絡(luò)；系統(tǒng)本體安全方面，直流控制保護(hù)系統(tǒng)網(wǎng)絡(luò)采用星型結(jié)構(gòu)連接，采用私有協(xié)議，具有白名單注冊(cè)等嚴(yán)格的數(shù)據(jù)校驗(yàn)機(jī)制和風(fēng)暴抑制功能，可以保證數(shù)據(jù)傳輸安全可靠。

4 直流控制保護(hù)系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)點(diǎn)分析

結(jié)合直流控制保護(hù)系統(tǒng)網(wǎng)絡(luò)安全防護(hù)現(xiàn)狀，對(duì)存在的風(fēng)險(xiǎn)從攻擊方式、影響程度等方面進(jìn)行綜合分析，具體情況如下。

1）風(fēng)險(xiǎn)一：監(jiān)控工作站及部分系統(tǒng)平臺(tái)采用Windows等國(guó)外操作系統(tǒng)

風(fēng)險(xiǎn)點(diǎn)：換流站運(yùn)行監(jiān)控工作站及部分控制保護(hù)系統(tǒng)平臺(tái)均采用Windows等非國(guó)產(chǎn)安全操作系統(tǒng)，無(wú)法完全掌握其安全漏洞和后門(mén)程序，目前雖然采取了接入管理、惡意代碼防范等安全加固措施，仍存在被非法入侵的風(fēng)險(xiǎn)。

攻擊方式：①利用非國(guó)產(chǎn)安全操作系統(tǒng)的漏洞，獲取遠(yuǎn)程控制權(quán)限；②或利用U盤(pán)擺渡攻擊等方式，植入木馬或病毒，發(fā)送錯(cuò)誤信息和控制命令；③或通過(guò)邏輯炸彈、時(shí)間炸彈等方式進(jìn)行攻擊。

影響：造成直流輸電系統(tǒng)運(yùn)行異常，極端情況下可能導(dǎo)致閉鎖停運(yùn)。

2）風(fēng)險(xiǎn)二：直流控制保護(hù)SCADA網(wǎng)絡(luò)外部通信安防措施不完善

風(fēng)險(xiǎn)點(diǎn)：換流站安全1區(qū)SCADA網(wǎng)絡(luò)延伸至對(duì)端換流站或集中監(jiān)視中心采用明文傳輸方式,且物理防護(hù)相對(duì)薄弱。部分直流工程為滿足遠(yuǎn)方集中監(jiān)控需求，在一端換流站配置遠(yuǎn)方運(yùn)行人員工作站，實(shí)現(xiàn)對(duì)對(duì)端換流站的遠(yuǎn)方監(jiān)視功能；部分換流站SCADA系統(tǒng)采用網(wǎng)絡(luò)延伸方式連接到集中監(jiān)視中心，實(shí)現(xiàn)集中監(jiān)視功能。

攻擊方式：在遠(yuǎn)程通道上串入攻擊裝置，通過(guò)重放攻擊方式發(fā)送錯(cuò)誤信息或控制命令。

影響：造成直流輸電系統(tǒng)運(yùn)行異常，極端情況下可能導(dǎo)致閉鎖停運(yùn)。

3）風(fēng)險(xiǎn)三：換流站安全1區(qū)和安全2區(qū)安全隔離措施不完善

風(fēng)險(xiǎn)點(diǎn)：換流站內(nèi)安全1區(qū)與安全2區(qū)的網(wǎng)絡(luò)連接未進(jìn)行邏輯隔離。換流站內(nèi)電能計(jì)量、一體化電源等安全2區(qū)系統(tǒng)接入安全1區(qū)的直流控制保護(hù)系統(tǒng)網(wǎng)絡(luò)，安全1區(qū)和安全2區(qū)之間未安裝硬件防火墻等邏輯隔離設(shè)備，不滿足“網(wǎng)絡(luò)專(zhuān)用”安全要求。

攻擊方式：可利用安全2區(qū)主機(jī)作為攻擊跳板向安全1區(qū)傳播病毒、木馬，采取偽造攻擊、重放攻擊等方式向直流控制保護(hù)系統(tǒng)發(fā)送錯(cuò)誤信息。

影響：導(dǎo)致直流控制保護(hù)網(wǎng)絡(luò)無(wú)法正常運(yùn)行。

4）風(fēng)險(xiǎn)四：站間監(jiān)視信息交互采用網(wǎng)絡(luò)通用協(xié)議傳輸

風(fēng)險(xiǎn)點(diǎn)：部分換流站SCADA網(wǎng)絡(luò)站間通信采用104規(guī)約的明文傳輸，相互傳輸直流場(chǎng)遙測(cè)和遙信信號(hào)，不滿足“縱向認(rèn)證”要求。

攻擊方式：在遠(yuǎn)程通道上串入攻擊裝置，對(duì)站間通信的遙信及遙測(cè)數(shù)據(jù)進(jìn)行竊聽(tīng)或篡改。

影響：對(duì)站監(jiān)視數(shù)據(jù)無(wú)法正常顯示，直流運(yùn)行數(shù)據(jù)、設(shè)備參數(shù)等敏感信息泄露。

5 直流控制保護(hù)系統(tǒng)網(wǎng)絡(luò)安全提升對(duì)策

針對(duì)當(dāng)前直流控制保護(hù)系統(tǒng)網(wǎng)絡(luò)的安全現(xiàn)狀和特點(diǎn)，安全防護(hù)提升思路可以考慮從以下幾個(gè)方面進(jìn)行。

1）加快推進(jìn)基于國(guó)產(chǎn)安全操作系統(tǒng)的換流站監(jiān)控系統(tǒng)的實(shí)施，積極落實(shí)軟硬件的國(guó)產(chǎn)化，逐步完成在運(yùn)換流站監(jiān)控系統(tǒng)改造，夯實(shí)換流站的網(wǎng)絡(luò)安全基礎(chǔ)。

2）強(qiáng)化換流站基建階段網(wǎng)絡(luò)安全管控，制定完善的標(biāo)準(zhǔn)規(guī)范；工程投產(chǎn)前開(kāi)展網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)和風(fēng)險(xiǎn)評(píng)估驗(yàn)收工作，確保國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全相關(guān)要求落實(shí)到位。

3）取消換流站內(nèi)監(jiān)視對(duì)端站的工作站并斷開(kāi)網(wǎng)絡(luò)連接；取消部分集中監(jiān)視中心以網(wǎng)絡(luò)延伸方式監(jiān)視換流站的工作站，并斷開(kāi)網(wǎng)絡(luò)連接；因?yàn)檫\(yùn)維原因確有監(jiān)視需求的，建議改造為IP KVM（keyboard- video-mouse over IP）方式，并在通信線路增加縱向加密裝置；對(duì)于采用104規(guī)約明文傳輸數(shù)據(jù)的換流站，在站間SCADA網(wǎng)絡(luò)連接通道中加裝縱向加密裝置。

4）完善換流站內(nèi)不同安全區(qū)業(yè)務(wù)間的隔離和訪問(wèn)控制措施，實(shí)現(xiàn)監(jiān)控系統(tǒng)內(nèi)部各區(qū)域間邏輯隔離或物理隔離，避免網(wǎng)絡(luò)入侵和信息泄露風(fēng)險(xiǎn)。

例如，換流站都有通過(guò)規(guī)約轉(zhuǎn)換器或輔助系統(tǒng)工作站將保信子站、電能計(jì)量、一體化電源等安全2區(qū)系統(tǒng)接入安全1區(qū)控制保護(hù)網(wǎng)絡(luò)，從而通過(guò)SCADA系統(tǒng)實(shí)現(xiàn)一體化監(jiān)控的設(shè)計(jì)，應(yīng)當(dāng)在規(guī)約轉(zhuǎn)換器或輔助系統(tǒng)工作站與直流控制保護(hù)網(wǎng)絡(luò)之間增加防火墻，以實(shí)現(xiàn)網(wǎng)絡(luò)隔離。

部分換流站還存在將安全1區(qū)的閥基電子設(shè)備通過(guò)規(guī)約轉(zhuǎn)換器或輔助系統(tǒng)工作站接入SCADA系統(tǒng)的設(shè)計(jì)，對(duì)此，應(yīng)該更改設(shè)計(jì)，將閥基電子設(shè)備直接接入SCADA系統(tǒng)，若技術(shù)上確有困難，無(wú)法直接接入，應(yīng)增加一臺(tái)安全1區(qū)專(zhuān)用規(guī)約轉(zhuǎn)換器或輔助系統(tǒng)工作站，以用來(lái)將閥基電子設(shè)備等安全1區(qū)裝置接入SCADA系統(tǒng)，從而保證網(wǎng)絡(luò)隔離，專(zhuān)網(wǎng)專(zhuān)用。

6 結(jié)論

直流控制保護(hù)系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)工作不可能一蹴而就。隨著直流控制保護(hù)技術(shù)的發(fā)展和換流站運(yùn)維需求的變化，隨時(shí)可能有新的系統(tǒng)接入直流控制保護(hù)系統(tǒng)網(wǎng)絡(luò)，從而產(chǎn)生新的網(wǎng)絡(luò)邊界和安全風(fēng)險(xiǎn)點(diǎn)。

行業(yè)內(nèi)相關(guān)人員應(yīng)該時(shí)刻保持網(wǎng)絡(luò)安全防護(hù)意識(shí)，在開(kāi)展業(yè)務(wù)工作時(shí)充分考慮到可能存在的網(wǎng)絡(luò)安全問(wèn)題，并及時(shí)從管理措施和技術(shù)措施上加以解決，才能保障直流控制保護(hù)系統(tǒng)的正常運(yùn)行。