智能电站控制―维护―管理系统集成中的安全隔离技

标签：智能化变电站 CMMS

摘要：控制—维护—管理系统(control maintenance managementsystem，CMMS)集成是实现智能化电站的基础，信息安全是系统集成中的关键问题。为此提出了CMMS 安全隔离设计方法，分析了大型电站CMMS 的安全现状，对系统网络进行安全分区，加装安全隔离装置;设计了一种新的数据传输策略，保证安全隔离后系统原有功能能够正常使用;并给出了实现安全隔离的硬件、软件部署方案。该系统已在葛洲坝电站成功应用，安全测试与实际应用表明，安全隔离后的CMMS 运行稳定可靠，安全防护效果显著。CMMS 的安全隔离为控制、维护和管理系统集成的安全设计提供了参考解决方案。

0 引言

目前在大型水电站中主要存在控制、维护和管理3 种系统，为实现智能化电站，加强系统之间的信息共享，综合考虑系统性能、可靠性及效益，人们将维护与控制、管理系统进行集成，提出了控制-维护-管理系统(control maintenance management system，CMMS)[1]，并在水电站逐步推广，从而改变了控制、维护和管理系统相互孤立、缺乏信息交换的局面，提高了发电企业的综合效益，增强了竞争力。

与此同时，CMMS 还没有建立可靠的安全体系，网络中存在许多潜在的威胁和安全隐患，随着信息技术的发展，CMMS 中的安全问题愈来愈突出[2-3]：

1)维护系统与控制系统、管理信息系统存在频繁的信息交互，网络通道比较复杂，这使得病毒和黑客能够通过Internet 轻易地对系统进行恶意攻击，从而引起系统的不稳定和安全事故;

2)由于具有控制功能的监控系统与维护系统之间存在互联通道，可能存在采用“搭接”等手段对传输电力控制信息进行“窃听”和“篡改”，进而对电力一次设备进行非法破坏性操作的威胁，影响发电生产安全甚至整个电网的安全;

3)有些CMMS 用户的PC 机还布置在局域网内，许多人对信息安全问题的重视程度还不够，对新出现的安全问题的认识还不足，这可能使系统存在潜在的安全隐患;

4)缺乏对重要数据的安全性保护。由于CMMS 系统中的数据集中存放在少量几个数据库中，而目前对数据库采用的安全措施强度不够，存在着大量的结构化查询语言(structured query language，SQL)注入等攻击漏洞。因此必须对CMMS 系统实施有效的安全防护。

目前国内外对电力信息系统安全防护的研究已取得一些成果[4-7]。文献[4]采用防火墙等传统网络安全技术对调度数据网络进行安全设计，其设计方案对电力信息系统安全来说有一定不足。文献[5-7]分别对电厂二次系统等进行安全分析与硬件防护，但对防护后安全区之间的数据传输策略以及软件改造则研究得比较少。本文对CMMS 进行安全隔离，主要从系统网络结构、数据传输策略及应用软件改造几个方面入手：

1)对网络进行安全分区，切断不必要的网络通道，对存在安全隐患的网络通道加装安全隔离装置，特别是在安全II 区与安全III 区间，通过专用网络隔离设备切断其TCP 连接，确保安全I 区和安全II内系统不受直接的网络攻击。

2)由于网络结构变化，安全II 区与安全III 区间的TCP 连接被阻止，安全III 区许多原有的应用将不能使用。以往通常采用在III 区建立镜像数据服务器、利用通信软件定期同步II 区数据的方法保证原有应用[5]，但该方法实时性较差，且增加了系统投资成本。为此本文设计了一种新的数据传输策略，通过应用软件改造，在保证系统安全、可靠、高效运行前提下，无需增加镜像服务器即可实现2个安全区间的实时数据交互。

1 CMMS 安全现状分析

1.1 CMMS 集成框架

CMMS 框架下，最优维护系统(hydropowerplant optimal maintenance system，HOMS)从机组级、厂房级和企业级分层次与控制、管理系统进行集成[8-9]，其结构如图1 所示。

1)机组级。维护系统包括集成监测与综合诊断系统，主要由机组集成监测与综合诊断单元(简称为综合单元)以及辅助设备(集成在机组综合单元)、机械、电气以及控制系统4 个设备数字化及状态分析单元(简称为设备单元)组成[10]，完成对机组设备以及控制系统的实时在线监测。

2)厂房级。在机组级基础上建立维护局域网，添加诊断工作站、运行分析站、厂房级WEB 服务器、维护数据服务器及交换机等设备，对机组设备进行运行分析、故障诊断及健康状况评价，并以网页形式发布监测与分析诊断信息。

3)企业级。与管理信息系统集成，获取维护管理数据以及设备离线检测与分析数据;维护决策支持系统综合考虑各方面因素(设备健康状况、水力资源及电力市场等)，提供最优维护辅助决策;通过企业级WEB 服务器，将各类辅助决策信息提供给企业级用户，作为决策依据。

CMMS 框架下HOMS 为专家进行远程故障诊断与维护决策提供了交互式信息平台，为电站实现状态检修打下了基础[11]。

1.2 CMMS 安全分析

在 CMMS 中，HOMS 系统与其他系统信息交互频繁，各个系统的物理位置不同，管理部门也不同，因此形成了复杂的网络通道。随着通信技术和网络技术的迅猛发展，这种复杂性可能导致黑客、病毒以及恶意代码等通过各种形式对系统发起恶意攻击[12]，甚至对电力一次设备进行非法破坏性的操作，在没有进行有效安全防护的情况下，系统存在严重的安全隐患。

1)机组级子系统与控制系统，如现地控制单元(local control unit，LCU)、调速器、励磁调节器等一次设备存在信息交互通道，在没有采取安全防护措施的情况下，可能导致电力一次设备遭受恶意攻击或者破坏，影响一次设备的安全运行，甚至造成整个电力系统崩溃。

2)厂房级子系统接入企业管理信息网，黑客、病毒等可通过网络通道对厂房级子系统进行攻击、入侵，影响系统的稳定运行，甚至会对一次设备的安全乃至整个电网安全造成威胁。

3)重要数据的安全性威胁。由于HOMS 系统中的数据集中存放在少量几个数据库中，而目前存在着大量的SQL 注入等攻击漏洞，将会对HOMS数据产生威胁。

2 安全隔离网络设计

2.1 安全区划分

为了防范黑客及恶意代码等对电力二次系统的攻击侵害，根据国家电监会发布的《电力二次系统安全防护规定》，将二次系统按照安全级别划分为不同的安全工作区。HOMS 系统与生产密切相关，但不直接控制生产过程。为了发挥HOMS 系统强大的远程监测与分析诊断功能，使安全III 区用户能正常使用HOMS 系统，所以电厂将HOMS 系统企业级子系统部署在安全III 区，厂房级子系统及机组级子系统划分在安全II 区，保持原有结构不变。与HOMS 系统相关的多个系统分别属于不同的安全区，如：监控系统、调速器等属于安全I 区，管理信息系统属于安全III 区。

2.2 安全隔离后系统的网络结

构安全分区后，对HOMS 系统进行隔离，主要是调整系统网络结构，切断不必要的网络通道，对存在安全隐患的网络通道加装安全防护装置[13]。在安全II 区与安全III 之间，加装正、反向隔离装置，切断其TCP 连接，确保安全I 区和安全II 内系统不会受到直接的网络攻击。企业级子系统与厂级子系统通过正、反向隔离装置有机地联系在一起，这样既确保了HOMS 系统数据的安全性，又实现了安全II 区与安全III 区的数据交互;机组级子系统与安全I 区设备通过正向隔离装置进行隔离，并切断机组级子系统向安全I 区设备发送数据的通道，保证电力一次设备的安全性和可靠性;企业级子系统，通过硬件防火墙与管理信息网相连，抵御网络恶意代码等的攻击。安全隔离后系统的网络结构见图2。

3 安全隔离数据传输策略设计

3.1 总体思路

安全隔离后，安全I/II 区与安全III 区之间安装了电力系统专用横向隔离装置。隔离装置切断了安全区之间的TCP 连接，禁用了SQL 等数据查询命令;且安全区之间数据只能单向传输，因此系统许多原有的应用及数据传输方式将不能使用，需要进行改造才能适应新的网络结构。目前，在HOMS系统中，主要的数据包括实时数据和历史数据[14]。不同的数据其传输策略也不相同。

3.2 实时数据传输策略

实时数据表征机组实时运行状态与健康状态，贯穿整个监测系统，其数据源位于HOMS 系统底层设备单元的数据采集系统。各设备单元将采集到的实时数据经过分析处理，上传至综合单元;综合单元进行数据综合和存储，并以每1s 一次的频率向上转发至厂级WEB 服务器;厂级WEB 服务器上部署数据转发程序，接收实时数据，响应客户连接请求，并以Flash 及曲线的形式将实时数据展现给用户。

加装隔离装置以后，位于安全II 区的用户对实时数据的浏览不受影响，但位于安全III 区的用户由于无法向安全II 区发送TCP 数据连接请求，所以不能获取实时数据。为此采取的数据传输策略为：选择面向无连接的UDP 传输模式，由厂级WEB服务器主动将接收到的实时数据转发至企业级WEB 服务器。由于在实时数据与客户端的交互过程中，Flash 可视化及曲线显示模块不支持UDP 协议，因此必须在企业级WEB 服务器上对实时数据进行转换，并以TCP 模式与客户端进行通信，通过可视化模块中的脚本完成实时数据的交互。实时数据详细的传输流程如图3 所示。

改变数据传输策略后，处于安全III 区的用户在WEB 页面提交查询请求给Flash，Action Script脚本响应客户端动作并调用Socket 服务，向数据缓存与转发模块提交TCP 连接申请;转发模块与客户端建立通信连接后，从企业级WEB 服务器调出指定的Flash 文件并接收从安全II 区转发过来的实时数据，最后返回到WEB 页面展现给用户。

3.3 历史数据传输策略

历史数据表征机组历史运行状况与健康状况，为专家进行机组故障辨识、故障分析与诊断提供了宝贵的运行数据与样本资料。它是由机组综合单元根据各设备单元上传的监测数据，经过分析和处理所得到的，根据其距离当前时间的长短分别保存在厂级数据库服务器和机组综合单元的数据库中(距今超过3 个月的数据保存在厂级数据库服务器中，否则数据保存在机组综合单元的数据库中)。根据数据生成方式以及保存条件的不同，历史数据可分为原始采样数据、瞬变状态数据、详细状态数据、概要状态数据与趋势数据。用户可通过WEB 服务器使用SQL 命令访问数据库进行调阅。

由于SQL命令是一种基于TCP协议的双向访问方式，加装横向隔离装置之后，TCP 连接被切断，安全Ⅲ区用户将无法通过数据库查询命令访问历史数据，所以必须进行应用程序改造。改造后的数据传输方案为：企业级WEB 服务器响应远程用户请求，将数据查询命令写入文件;反向隔离通信软件将文件进行加密，并通过反向隔离装置传至厂级WEB 服务器，厂级WEB 服务器实时检测文件更新，读取文件，根据查询命令访问数据库服务器获取数据，生成数据文件;正向隔离通信软件将数据文件通过正向隔离装置返回企业级WEB 服务器，企业级WEB 服务器访问数据文件，生成WEB 页面，与用户完成数据交互。历史数据传输流程见图4。