（系统分析与集成专业论文）满足二次防护要求的维护信息网络设计与开发.pdf

i 摘 要 随着计算机网络在工业中的广泛运用，远程在线监测与诊断技术获得了长足的 发展和进步。但是受到网络技术在信息安全上的约束和水电站物理位置的限制，目 前国内的水电站二次系统在功能和结构上存在很多漏洞或隐患，因此建立良好的防 护体系成为必然的选择。 本文综合分析了目前国内水电站二次系统网络结构现状，结合国家电力监管委 员会针对电力二次系统防护提出的具体要求，阐述了调整和优化水电站远程监测系 统结构和功能的必要性。从系统结构和系统安全两个方面解读了电力二次系统防护 规定，在网络层次、网络安全、数据安全和应用安全四个方面设计了防范处理策略 和方案。 本文结合葛洲坝水电站最优维护信息系统的初始网络结构提出了结构优化和功 能调整方案，展示了调整之后的最优维护信息系统框架，制定了单向隔离和双向隔 离两种安全区的隔离方案，设计了基于信息加密的网络通信方法和基于用户角色的 访问控制策略。制定了实时数据传输方案和历史数据分布式存储策略，并设计了访 问数据和更新数据的方法。最后描述了上述方案和设计在长江电力具体的实施情况 并做了展示。 经过调整和升级之后的最优维护信息系统的结构更加合理，组织更加严密，网 络更加安全，为葛洲坝水电站的安全稳定运行提供了更好的保障。 关键词：水电站；最优维护；二次防护；单向隔离；数据安全；传输存储；访问控制 ii abstract with the widely application of computer network in industry, the technique of remote on- line monitoring and fault diagnosis has got a high development and big progress. however, there are many loopholes or hidden dangers in function and structure in domestic hydropower secondary system because there are constrained by the network information security and the location of hydropower station. therefore, it is necessary to establish an excellent protection system. firstly, the present network structure in domestic hydropower secondary system is analyzed comprehensively in this paper. on the basis of studying the protection requirements of hydropower secondary system which were published by the state electricity regulatory commission, the necessity of adjusting and optimizing the structure and function of remote monitoring system is expounded. then, the rules of secondary power system protection are unscrambled from system structure and the security of system. the strategies of network tiers, network security, data security and application security are designed in this essay as well. secondly, the arrangements of optimizing system and adjusting function have been proposed which based on the initial network structure of optimal maintenance information system in hydropower plant. in the next part, the frame of optimal maintenance information system is described which has been adjusted. one- way isolation and two- way isolation are made for isolating security zones too. meanwhile, network communication which based on information encryption and role- based access control are also designed. after making the programs of real- time data transfer and the history data storage, the solutions of accessing data and updating the history data are developed as well. finally it shows the running status of the whole system on yangtze river s electric power station. after adjusting and optimizing, the structure of optimal maintenance information system becomes more reasonable, the organization becomes more rigorous and the network becomes safer, it provides better protection for hydropower plant. key words： hydropower plant; optimal maintenance; secondary protection; one- way isolation; data security; transfers and storage; access control; 独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得的研 究成果。尽我所知，除文中已经标明引用的内容外，本论文不包含任何其他个人或 集体已经发表或撰写过的研究成果。对本文的研究做出贡献的个人和集体，均已在 文中以明确方式标明。本人完全意识到本声明的法律结果由本人承担。 学位论文作者签名： 日期： 年 月 日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，即：学校有权 保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借阅。 本人授权华中科技大学可以将本学位论文的全部或部分内容编入有关数据库进行检 索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。 保 密，在_ _ _ _ _ _ _ _ 年解密后适用本授权书。 本论文属于 不保密。 （请在以上方框内打“ v” ） 学位论文作者签名： 指导教师签名： 日期： 年 月 日 日期： 年 月 日 1 1 绪 论 1.1 电力二次系统的定义 电力系统是一个庞大复杂的系统，根据功能可以将它划分为两个部分3：电力一 次系统和电力二次系统。电力一次系统是指直接生产、输送和分配电能的系统，是 电力系统的主要部分；电力二次系统是指由各级电力监控系统、电力调度数据网络、 各级管理信息系统和电力数据通信网络所构成的大系统。其中电力监控系统是指用 于监视和控制电网及电厂生产运行过程的业务处理系统及智能设备，它是基于计算 机及网络技术开发的。具体来说，电力监控系统包括电力数据采集与监控系统、能 量管理系统、变电站自动化系统、换流站计算机监控系统、发电厂计算机监控系统、 配电自动化系统、微机继电保护和安全自动装置、广域相量测量系统、负荷控制系 统、水调自动化系统和水电梯级调度自动化系统、电能量计量计费系统、实时电力 市场的辅助控制系统等。电力调度数据网络是指各级电力调度专用广域数据网络、 电力生产专用拨号网络等。 1.2 电力二次系统防护的内容及特点 随着通信技术和网络技术的发展，接入电力调度数据网的电力监控系统越来越 多，在调度中心、电厂、变电站、用户等之间进行的数据交换也越来越频繁。因此， 在电力控制系统和数据网络的安全性、可靠性、实时性方面提出了更高的要求。目 前有一些调度中心、发电厂、变电站在规划、设计、建设监控系统和数据网络时， 对网络安全重视不够，加上缺乏有效的指导，不自觉地引入了一些安全隐患。如一 些电厂水电机组生产实时系统、监控系统、变电站自动化系统、调度自动化系统与 当地的管理信息系统或其他数据网络连接时，没有采取有效的措施进行安全隔离， 严重威胁到电网的运行安全。 为了防范黑客及恶意代码等对电力二次系统的攻击侵害及由此引发电力系统事 故，建立电力二次系统安全防护体系，保障电力系统的安全稳定运行，国家电力监 管委员会在 2005 年 2 月发布第 5 号令即 电力二次系统安全防护规定 。 规定指出3： 电力二次系统安全防护工作应当坚持安全分区、网络专用、横向隔离、纵向认证的 原则，保障电力监控系统和电力调度数据网络的安全。电力二次系统的规划设计、 项目审查、工程实施、系统改造、运行管理等应当符合相关规定的要求。 在技术措施上，发电企业、电网企业、供电企业内部所有基于计算机和网络技 2 术的业务系统，原则上划分为生产控制大区和管理信息大区。生产控制大区可以分 为控制区（安全区 i）和非控制区（安全区 ii） ；管理信息大区内部在不影响生产控 制大区安全的前提下，可以根据各企业不同安全要求划分安全区3。 电力调度数据网应当在专用通道上使用独立的网络设备组网，在物理层面上实 现与电力企业其它数据网及外部公共信息网的安全隔离。在生产控制大区与管理信 息大区之间必须安装经国家指定部门检测认证的电力专用单向安全隔离装置。 生产控制大区内部的安全区之间应当采用具有访问控制功能的设备、防火墙或 者相当功能的设施，实现逻辑隔离。在生产控制大区与广域网的纵向交接处，应当 设置经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及 相应设施。依照电力调度管理体制建立基于公钥技术的分布式电力调度数字证书系 统，生产控制大区中的重要业务系统应当采用认证加密机制。 除以上的要求之外，该规定还在安全管理方面做了非常详细地部署，国家电力 监管委员会负责电力二次系统安全防护的监管，制定电力二次系统安全防护技术规 范并监督实施。在相关电力系统单位中建立电力二次系统安全评估制度，采取以自 评估为主、联合评估为辅的方式，将电力二次系统安全评估纳入电力系统安全评价 体系。当电力生产控制大区出现安全事件，尤其是遭受黑客或恶意代码的攻击时， 应当立即向其上级电力调度机构报告，并联合采取紧急防护措施，将危害降到最低 程度。 与其他行业的安全防护相比，电力二次系统的网络安全问题有所不同，有着诸 多特殊性6： 1) 重要性：电力是国民经济的命脉，是社会生产的动力来源，而电力二次系统 直接或间接地控制着电力一次设备，对电力生产实施监控。随着自动化程度 的不断提高，电力生产对电力二次系统有着越来越强的依赖性。因此网络安 全就显得十分重要。 2) 实时性和连续性：电力二次系统运行必须保证与一次系统运行同步，因此不 能出现二次系统瘫痪或者监测管理中断的情况， 否则将会给一次生产造成不 可估量的损失，因此它必须具备实时性和连续性的特点。 3) 整体性：电力二次系统形成了一个完整的整体，如果在某一个点被击破，那 么危害将波及全网，可能造成整个系统的瘫痪。 4) 复杂性： 电力二次系统是一个庞杂的大系统， 涉及安全自动装置、 微机保护、 监控系统、调度自动化系统、能量计量、电力市场等等系统，系统间存在相 互的交叉连接和数据通信，信息量十分庞大，信息传输错综复杂。 3 5) 分散性：分散性指两个方面，一是地理位置分散，二是设备或系统分散，并 且各个设备和系统的安全等级和要求也不相同， 必须针对不同的对象实施不 同的防护策略。 6) 专用性：电力二次系统中大量的装置、设备或系统有很强的专用性，使用的 应用层协议也是电力系统专用的，在一段时间内不可能对这些软、硬件进行 安全改造。 7) 独立性：电力企业建立了独立的通信网络，并在通信络上建立了独立的数据 交换网络。 正是因为电力二次系统具有的诸多特性，在系统架构、网络设计和安全防范方 面都必须提出缜密详细的解决方案，在满足国家要求和系统需求的前提下，做到系 统分层管理、整合发布，使二次系统防护发挥积极的作用。 1.3 电力二次系统防护的现状 随着电力系统的大规模网络化和计算机应用的逐渐增多，电力系统的运行越来 越依赖于信息网络系统。电力信息网络系统的网络安全问题显得越来越重要。然而 由于系统结构不合理或防护措施不完善，在实际生产过程中给电力系统造成了很大 的危害： 在 2000 年 10 月 13 日，二滩电站由于收到异常信号引起控制系统死机，造成瞬 间甩出力达到 89 万千瓦，导致所在电网大范围停电，电网几乎崩溃，虽然现在还不 能确定事故的根本原因，但其控制系统网络与办公自动化系统网络的直接互联被认 为是诱因之一7； 2001 年， 南京银山电子有限公司原总工程师和公司 8 名科技人员先后集体跳槽， 此后“ 银山” 销售安装在全国 147 个电站的录波器就频频发生质量问题。 经“ 银山” 紧急 攻关发现，有人在录波器的在线软件中设置了“ 逻辑炸弹” ：一个在 2001 年 9 月 1 日 零时零分零秒爆发，一个在 2001 年 10 月 1 日零时零分零秒爆发10； 2003 年 12 月 15 日，在龙政直流输电系统龙泉、政平两个换流站的控制系统中 发现win/mofei.worm” 计算机蠕虫病毒，随后在鹅城换流站、辛安开关站也发现同一 病毒，国家电网公司非常重视，成立了专门的工作小组组织落实病毒清除工作。主 要采取了网络封堵和隔离、集中清除病毒等多项措施，设备生产厂家配合经过多次 处理，解决了这几个站的计算机病毒问题，所幸没有对电力生产造成直接影响11。 结合已经发生的事故和电力二次系统的结构特点，国家电力监管部门在电力二 次系统安全防护工作中投入了大量的精力， 并取得了很大的进展12： 在 2002 年 5 月， 4 国家经贸委发布 30 号令即电网和电厂计算机监控系统及调度数据网络安全防护的 规定 ，该号令对于规范和统一电力二次系统安全防护的方案设计、工程实施和运行 监管，保障电力系统的安全、稳定、经济运行，具有重要意义，成为电力二次系统 安全防护的纲领性文件。同年， 国家电网调度中心安全防护体系研究及示范被列 入国家 863 计划和国家电网科技项目。在 2003 年，电力二次系统安全防护内容被纳 入电力系统安全性评价体系 。2004 年 2 月，调度中心及网络安全防护策略研究项 目通过国家电网公司验收，随后又通过 863 课题组的验收，标志着国内的电力二次 系统防护工作取得了阶段性的胜利。在此基础上，国家电力监管委员会又在 2005 年 2 月发布实施了电力二次系统安全防护规定 ，进一步对电力二次系统的防护做了 更加详细的要求和部署。 与此同时，其他国家和地区也同样在电力二次系统防护领域做了相应的举措， 例如在北美，美国、加拿大等几个国家联合成立了专门的北美电力可靠性协会 (nero)，对电力系统的物理安全和网络安全进行全面的控管。 1.4 本文主要研究工作及意义 现在，我国的水电站越来越重视二次系统的开发和使用，随着计算机网络的发 展，二次系统中所使用的信号处理技术、诊断分析技术以及网络技术也越来越先进， 在规划和开发过程中，安全问题也随之而来，而当前我国水电站二次系统防护还处 在逐步完善的阶段，还存在很多亟待解决的问题。 本文就是基于目前水电站二次系统中存在着很多不足的现状，结合对长江电力 最优维护信息系统的研究，在原始网络结构的基础上，对电力二次系统防护中涉及 到的网络结构规划、网络通信安全、数据安全和应用安全等方面做了详细设计。在 分析国家相关部门的要求之后，针对现场的具体情况做出了合理地调整，在保证电 力一次系统正常运行的前提下，架构了二次防护系统。 全文共分五章，各章的主要研究工作如下： 第一章：阐述了电力二次系统的定义，结合国家电力监管部门的相关文件，描 述了电力系统二次防护中的具体要求，随后结合电力系统论述了二次防护的特点， 最后对当前国内外电力二次系统防护的现状做了介绍。 第二章：从网络结构、网络安全、数据安全和应用安全四个方面分析了电力监 管部门对电力系统二次防护的具体要求，并在此基础上划分了网络的结构层次，分 析了网络安全威胁的来源和应对策略，介绍了数据安全保障体系，探讨了 web 应用 和数据库应用所受到的威胁和应对措施。 5 第三章：调整了最优维护信息系统的结构和功能，提出了安全区隔离的多种解 决方案，在服务器安全、通信安全和访问控制上制定了符合二次防护要求的策略， 并设计了数据传输和存储方案，最后对数据的访问和更新做了规划。 第四章：介绍了方案和策略在长江电力股份有限公司最优维护信息系统中具体 实施情况，并对系统应用情况和运行情况做了介绍，运行情况表明优化之后的最优 维护信息系统符合电力二次系统防护要求，并为发电厂的运行检修提供了很好的技 术支持。 第五章：总结全文，阐述本文取得的主要成果，提出了尚待改进的问题，指出 了满足电力系统二次防护要求的远程监测与诊断分析系统在电厂监测和检修维护工 作中的实际意义、应用前景和发展方向。 6 2. 电力二次系统防护要求分析 2.1 电力二次系统结构要求 2.1.1 电力二次系统的运行模式 电力二次系统包括各级电力监控系统、电力调度数据网络、各级管理信息系统 和电力数据通信网络。下面以远程在线监测系统为例来讨论电力二次系统的运行模 式。远程监测是指在远方获取现场的信息，一般是通过数据采集设备获取机组数据， 借助 internet或者无线通讯把数据传输到远方终端，使用户有如亲临现场，在终端就 可以对现场设备的运行情况进行监视与分析。 远程监测已经在很多行业得到了应用，特别是电信、电力行业，如基站监控系 统、 变电站自动化系统、 远程抄表系统等。 目前， 实现远程监测模式可以分为两类24： 基于客户端软件和服务器软件的 c/s（client/server）模式和基于浏览器和 web 服务 器软件的 b/s（browser/server）模式，这两种模式各有其优缺点，适用范围也不相 同。 c/s（client/server）结构，即客户机和服务器结构。通过它可以充分利用两端硬 件环境的优势，将任务合理分配到客户端和服务端来实现，降低了系统的通讯开销。 应用逻辑 客户端（第一层） 用户接口 应用逻辑 d b m s 数据库服务端（第二层） 图 2.1 c/s 模式结构 传统的 c/s 体系结构虽然采用的是开放模式，但这只是系统开发过程中的开放 性，在特定的应用中无论是客户端还是服务端都还需要特定的软件支持。由于没能 提供用户真正期望的开放环境， c/s 结构的软件需要针对不同的操作系统开发不同版 本的软件，加之产品的更新换代很快，导致 c/s 模式已经很难适应局域网内大量用 户同时使用。c/s 架构软件的优势与劣势可以概括为以下几个部分17： 7 1) 应用服务器负荷较轻 最简单的 c/s 体系结构的数据库应用由两部分组成，即客户应用程序和数据库 服务器程序，二者可分别称为前台程序与后台程序。运行数据库服务器程序的机器， 也称为应用服务器。一旦服务器程序被启动，就随时等待响应客户程序发来的请求。 客户应用程序运行在用户自己的电脑上，对应于数据库服务器，可称为客户电脑， 当需要对数据库中的数据进行任何操作时，客户程序就自动寻找服务器程序，并向 其发出请求，服务器程序根据预定的规则做出应答，送回结果，应用服务器运行过 程中，用于数据处理的负荷较轻。 2) 数据的储存管理功能较为透明 在数据库应用中，数据的储存管理功能是由服务器程序和客户应用程序分别进 行的，对于工作在前台程序上的用户是“ 透明” 的，也就是说他们无须关心（通常也 无法干涉）处理的具体过程，就可以完成存储。 3) c/s 架构的劣势是维护成本高昂 首先，如果系统采用 c/s 架构，则要选择适当的数据库平台来实现数据库中数 据的真正统一，使分布于两地的数据同步，并完全交由数据库系统去管理，但逻辑 上两地的操作者要直接访问同一个数据库才能实现，因此，如果需要建立实时的数 据同步，就必须在两地间建立实时的通讯连接，保持两地的数据库服务器在线运行， 网络管理人员既要对服务器进行维护管理，又要对客户端进行维护和管理，这需要 高昂的投资和复杂的技术支持，维护成本很高，维护任务量大。 其次，传统的 c/s 结构的软件需要针对不同的操作系统开发不同版本的软件， 由于产品的更新换代十分快，开发代价高而效率却较低，导致 c/s 模式已经不适应 工作的需要。 在 java 这样的跨平台语言出现之后， b/s 架构更是猛烈冲击 c/s 架构， 对其形成威胁和挑战。 随着 internet技术的兴起，b/s（browser/server）结构即浏览器和服务器结构随 之出现， 它是对 c/s 结构的一种变化或者改进的结构。 如图 2.2 所示， 在这种结构下， 用户的工作界面是浏览器来，极少部分事务逻辑在前端实现，主要事务逻辑在服务 器端实现，形成三层结构。这样就大大简化了客户端电脑的负荷，减轻了系统维护 与升级的成本和工作量，降低了用户的总体成本。 以目前的技术看，在局域网中建立 b/s 结构的网络应用和 internet/intranet 模式 下的数据库应用，易于把握，成本也是较低的。它能有效地保护数据平台和管理访 问权限，服务器数据库也更安全。b/s 架构软件的优势与劣势可以概括为以下几个部 分26： 8 客户端w e b 服务器 数据库服务器 h t t p 请求 h t m l 页面 s q l 命令 返回结束 图 2.2 b/s 模式结构 1) 维护和升级方式简单 目前，软件系统的改进和升级越来越频繁，b/s 架构的产品升级更为方便。对一 个大型企业来说，系统管理人员如果需要在几百甚至上千部电脑之间来回奔跑，效 率和工作量是可想而知的，但 b/s 架构的软件只需要管理服务器就行了，所有的客 户端只是浏览器，根本不需要做任何的维护。无论用户的规模有多大，有多少分支 机构都不会增加任何维护升级的工作量，所有的操作只需要针对服务器进行。 2) 成本降低，选择更多 凡使用 b/s 架构的应用管理软件都不会受到操作系统版本的限制，也就是说不 管服务器使用的操作系统是 windows 还是 linux，在客户端的用户都可以获得服务 器信息，并且免费的 linux操作系统和免费的 mysql数据库也大大降低了开发成本， 越来越受关注。 3) 应用服务器负荷较重 由于 b/s 架构管理软件只安装在服务器端上，网络管理人员只需要管理服务器 就行了，用户的主要事务在服务器端实现，极少部分事务逻辑在客户端实现，网络 管理人员只需要做硬件维护即可。这样就导致应用服务器运行数据负荷较重，一旦 发生服务器崩溃等问题，后果不堪设想。 虽然 c/s 模式和 b/s 模式各有优缺点，但是借助于浏览器的兼容性和可扩展性， 远程监测系统的各项功能实现起来更加方便。在服务器端发布新版本软件之后，客 户端就可以享受到最新的服务，并不需要做任何改动，这种特性更适合于具有大量 用户的电力系统网络结构。与此同时，b/s 模式在服务器性能和数据备份上的要求更 容易在物理上实现，因此在实际开发过程中远程监测系统大都采用 b/s 模式。 2.1.2 电力二次系统网络层次划分 电力二次系统可以划分为不同的安全工作区，不同的安全区具有不同的安全防 护要求，对应着不同的安全等级和防护水平。根据电力二次系统的特点、物理位置 和安全要求，整个系统分为生产控制大区和管理信息大区3，生产控制大区包括两个 9 安全工作区：实时控制区和非控制生产区，管理信息大区则包括生产管理区和管理 信息区。 1) 安全区 i 是实时控制区7，是安全保护的重点与核心 凡是实时监控系统或具有实时监控功能的系统的监控功能部分均应属于安全区 i。例如调度中心中的设备管理系统（ems）和广域相量测量系统（wams )、配电 自动化系统、变电站自动化系统、发电厂自动监控系统等。其使用者为调度员和运 行人员，数据实时性为秒级，外部边界的通信均经由电力调度数据网。安全区中还 包括采用专用通道的控制系统，如：继电保护、安全自动控制系统、低频/低压自动 减载系统、负荷控制系统等，这类系统对数据通信的实时性要求为毫秒级或秒级， 是电力二次系统中最重要系统，安全等级最高。 2) 安全区 ii 是非控制生产区 不具备控制功能的生产业务系统，或者系统中不进行控制的部分均属于安全区 ii。属于安全区 ii 的典型系统包括水调自动化系统、电能量计量系统、发电厂电力市 场交易系统等。其使用者为运行方式、运行计划工作人员及发电厂电力市场交易员 等。数据的实时性是分级、小时级。安全区 ii 的外部通信边界为电力调度数据网。 3) 安全区 iii 是生产管理区 该区包括进行生产管理的系统，典型的系统为雷电监测系统、气象信息接入等。 该区的外部通信边界为电力数据通信网(sptnet)。 4) 安全区 iv 是管理信息区 该区包括办公管理信息系统、客户服务等。该区的外部通信边界为 sptnet 及因 特网。 具体的安全分区如图 2.3 所示， 在生产控制大区和管理信息大区之间通过专用安 全隔离装置进行隔离，而在大区内部的安全区之间通过防火墙隔离。在多个系统通 信过程中，两个生产大区之间在加装 ip 认证加密装置之后通过虚拟专用网（virtual private network）进行连接，两个管理信息大区之间通过防火墙之后再连接到虚拟专 用网中。在把整个网络连接到广域网络之前，必须加装防火墙。在物理环境下必须 严格做到横向隔离，纵向认证。在满足安全区之间基本通信的前提下，保证安全区 不受外界网络的恶意攻击，即使某一个安全区受到攻击并出现系统问题，也不会波 及到系统的其他安全区，从而把危害限制到很小的范围之内，便于排查并及时消除 威胁。 10 安全区i （实时控制区） 防 火 墙 安全区i i （非控制生产区 ） 安全区i i i （生产管理区 ） 防 火 墙 安全区iv （管理信息区） 防 火 墙 广 域 网 / 互 联 网 隔专 离用 装安 置全 隔专 离用 装安 置全 （正向型） （反向型） 图 2.3 电力二次系统安全分区示意图 2.2 电力二次系统网络安全要求 2.2.1 网络安全定义及要求 网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全 技术、应用数学、数论、信息论等多种学科的综合性学科13。网络安全是指网络系 统的硬件、软件及系统中的数据受到合理的保护，不会因为偶然的或者恶意的原因 而遭到破坏、更改或泄露，系统能够连续、可靠、正常地运行，网络服务不出现中 断的情况。网络安全从其本质上来讲就是网络上的信息安全。从广义来说，凡是涉 及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都 是网络安全的研究范畴。 网络安全的具体含义会随着对象的变化而变化。比如：从用户（个人、企业等） 的角度来说，他们希望涉及个人隐私或商业利益的信息在网络上传输时受到严格的 保护，避免其他人或对手利用窃听、冒充、篡改等手段侵犯用户的利益和隐私。从 网络运行和管理者角度说，他们希望对本地网络信息的访问、读写等操作受到保护 和控制，避免出现“ 后门” 、病毒、非法存取、拒绝服务和网络资源非法占用和非法 控制等威胁，制止和防御网络黑客的攻击。对安全保密部门来说，他们希望对非法 的、有害的或涉及国家机密的信息进行过滤和防堵，避免机要信息泄露，避免对社 会产生危害，对国家造成巨大损失。 建立安全的网络系统所要解决的根本问题是如何保证网络连通和可用性的同 时，对网络服务和客户应用进行控制和管理，以保证网络信息资源的完整性不受影 响，网络安全的具体要求有以下几个方面： 11 1) 保证信息的保密性：信息不会泄露给非授权用户、实体或过程。 2) 保证信息的完整性：数据不能被未经授权的用户改变的特性。即信息在存储 或传输过程中保持不被修改、不被破坏和丢失的特性。 3) 保证信息的可用性：可被授权实体访问并按需求使用的特性，即当需要时能 否存取所需的信息。 4) 保证信息的可控性：对信息的传播及内容具有控制能力。 2.2.2 电力二次系统网络安全风险 internet 技术已得到广泛使用，电子邮件、浏览器和私人计算机的应用也日益普 及，但同时病毒和黑客也日益猖獗，监控系统一旦与广域网相连，就可能面临此类 安全风险。除此之外，还存在对传输过程中的电力控制信息进行窃听或篡改进而对 电力一次设备进行非法破坏性操作的威胁。电力二次系统面临的主要安全风险可以 归纳为以下几个方面6： 1) 非法使用网络资源，指的是电力控制系统工作人员利用授权身份或设备，执 行非授权的操作。例如在 2003 年 12 月 30 日，龙泉、政平、鹅城换流站控 制系统发现病毒， 经查实是由外国技术人员在系统调试中用笔记本电脑上网 所致。这种风险的来源主要是人为的，在制定严格的安全操作规范的同时， 必须在物理上给予限制，添加防火墙和认证隔离装置，可以将这类风险降低 到最小程度。 2) 针对协议的漏洞进行网络攻击44。在计算机网络的各种通信协议的设计中， 或多或少存在一些可以被黑客利用的漏洞， 例如作为当前互联网通信广泛使 用的基本协议的 tcp/ip 协议族，主要由位于网络层和传输层的大量协议组 成，其中 tcp 协议位于传输层，负责管理主机间端对端的可靠通信。但是 在这个协议设计中通信的三次握手过程和序列号的可预测性都存在十分明 显的漏洞，广域网络中已经存在大量针对 tcp 协议安全漏洞的攻击，并对 传输层的通信产生极大的危害。类似地，针对路由协议、外部网关协议、网 际控制报文协议和域名解析协议等网络协议的攻击也是非常普遍的52。 3) 身份窃取，它是非法入侵的一种方式。身份窃取一般采用三种方式：第一种 是尝试用已知或假设的用户名登录，猜测口令；第二种是试图匹配窃取到的 口令文件，这一口令文件可能来自一个已崩溃的系统，这种进攻方式称为字 典式进攻，因为一般用户常常习惯于口令的重用，入侵者可以利用这一文件 来尝试登录到其他机器上。 对这种方法就只能通过减少口令重用并进一步采 12 用一次性口令，定期更改密码等措施来防备；第三种是窃取合法用户一次性 口令生成设备， 如果能得到该设备， 则一次性口令同样失效。 在防护机制中， 如果加入合法用户的某些个人信息， 只有在同时知道这些个人信息与拥有设 备时， 才可以得到正确的一次性口令， 两者的组合可使安全性有较大的提高。 4) 信息拦截和篡改， 它指的是恶意拦截或篡改在调度数据广域网中传输的控制 命令、参数、交易报价等敏感数据。针对这种攻击，可以利用信息加密解密 和数字签名等信息安全技术进行防范。 5) 信息泄漏，它指的是口令、证书等敏感信息泄密给未授权人员。 6) 网络欺骗44，网络欺骗的技术主要有蜜罐（honeypot）和分布式蜜罐、 欺骗空间技术等。主要方式有：ip 欺骗、arp 欺骗、dns 欺骗、web 欺骗、 电子邮件欺骗、源路由欺骗、地址欺骗等。以 arp 欺骗为例，如图 2.4 所 示的 arp 欺骗原理图，通过 arp 欺骗进行网页劫持的攻击有时会使 web 服务访问变得很慢，这类攻击利用 arp 欺骗手段，截取并篡改网络上访问 网页的数据包，添加包含有木马程序的网页的链接。比如，在网页源码的头 部插入代码，而当用户检查被访问的服务器上的网页原始代码时，却并没有 上面这行代码。这种情况很可能就是 arp 欺骗网页劫持攻击引起的。 网关192.168.1.1 mac：01- 01- 01- 01- 01- 01 主机a 被arp欺骗 ip：192.168.1.2 mac：02- 02- 02- 02- 02- 02 主机b 感染arp病毒 ip：192.168.1.3 mac：03- 03- 03- 03- 03- 03 发送伪造的arp reply包内容为： 192.168.1.2的mac 03- 03- 03- 03- 03- 03 发送伪造的arp reply包内容为： 192.168.1.1的mac 03- 03- 03- 03- 03- 03 arp 缓存表 192.168.1.2 03- 03- 03- 03- 03- 03 192.168.1.3 03- 03- 03- 03- 03- 03 arp 缓存表 192.168.1.1 01- 01- 01- 01- 01- 01 192.168.1.2 02- 02- 02- 02- 02- 02 arp 缓存表 192.168.1.1 03- 03- 03- 03- 03- 03 192.168.1.3 03- 03- 03- 03- 03- 03 图 2.4 arp 欺骗原理图 7) 拒绝服务，它的原理是向电力调度数据网络或通信网关发送大量数据，造成 网络或监控系统瘫痪。 拒绝服务攻击即攻击者想办法让目标机器停止提供资 源访问服务，是黑客常用的攻击手段之一。这些资源包括磁盘空间、内存、 进程甚至网络带宽，从而阻止正常用户的访问。其实对网络带宽进行的消耗 13 性攻击只是拒绝服务攻击的一个小部分，只要能够对目标造成麻烦，使某些 服务被暂停甚至主机死机，都属于拒绝服务攻击。 正常的tcp通信协议三次握手过程 syn syn+ack ack 带有虚假信息的地址请求 syn syn+ack 恶意的不完成三次握手 消耗系统资源 下一个带有虚假信息的地址 请求syn 虚假地址对应 的客户端 攻击者服务器 客户机 服务器 无信号返回 服务器无法释放 已分配资源 图 2.5 拒绝服务攻击原理 8) 网络监听， 指的是黑客在调度数据网或专线通道上搭线窃听以明文传输的敏 感信息，为后续攻击做准备。网络监听是主机的一种工作模式，在这种模式 下，主机可以接受到来自同一网段内在同一条物理通道上传输的所有信息， 而不管这些信息的发送方和接受方是谁。此时，如果两台主机进行通信的信 息没有加密， 只要使用某些网络监听工具就可以轻而易举地截取包括口令和 账号在内的信息资料。 虽然网络监听获得的用户账号和口令具有一定的局限 性，但监听者往往能够获得其所在的网段内所有用户的账号及口令。 2.3 电力二次系统数据安全要求 2.3.1 数据安全现状 在远程监测系统中，机组的运行状况及系统的工作情况都是通过数据进行表征 的，数据又分为实时数据和历史数据两种。实时数据是反映发电机组当前运行状况 的数据，通过界面展示给工作人员，而历史数据是把机组的运行数据和时间存储在 数据库中，可以方便工作人员查询机组历史的运行状况，分析和诊断都是依靠历史 数据来完成的，所以保证数据的安全性是监测系统工作的基础。但是就目前来说， 14 大多数监测系统的数据安全措施主要通过人工备份实现的，手动备份虽然可以实现 数据更新存储的功能，但是仍存在一些硬伤11： 1) 只保护了部分业务数据，对数据把握不全面，容易出现数据遗漏，严重的时 候会出现数据失效。 2) 备份的频率较低，每个月甚至每个季度备份一次，在分布式数据存储系统中 严重影响了数据的实时性和安全性。 3) 采用全备份方式备份数据，备份全部选中的文件夹，并不依赖文件的存档属 性来确定备份哪些文件，也就是说在没有启用日志的情况下进行备份，与差 异备份和增量备份相比，完全备份消耗了更多的系统资源和时间。 4) 备份时需要暂停应用，对监测系统的稳定运行造成一定的影响。 5) 在实行人工备份的过程中，难免会出现过失性操作或不可预计的误操作，对 原始数据造成损毁，智者千虑必有一失，人工备份会给整个系统带来安全隐 患。 6) 存储介质管理薄弱， 对磁盘、 光盘、 磁带机等存储介质没有严格地监管规范， 如果在备份的过程中出现介质故障，那么备份本身的可靠性同样得不到保 证。 7) 一旦出问题，恢复难度大，就算能够通过现有的存储策略实现数据恢复，但 是这种操作十分复杂，并且会消耗很长的时间。 纵观当前电力二次系统中数据安全措施的现状，在很多方面都存在疏漏，这些 漏洞可以通过制定相应的执行规范来避免，也可以通过引进先进的设备来进行防范， 但是要从根本上消除隐患，必须建立有效的数据安全保障体系。 2.3.2 数据安全保障体系 数据是整个监测系统的核心，保障数据的完整性、可靠性和安全性是监测系统 正常工作的前提。但是在现代计算机网络环境下，病毒和黑客等恶意攻击对监测系 统的网络和数据带来了威胁，加上人为破坏和过失性事件都可能会对整个系统造成 危害，建立完备数据安全体系的首要目的就是积极应对数据损毁性事件并稳步提升 监测系统的数据修复能力。 数据安全保障体系是一个面向监测系统中所有数据的完整体系，涉及到数据的 存储、访问、操作等一系列事件的安全。按照对数据的处理步骤，数据安全保障体 系需要从四个方面来建立： 首先必须有效的保护各种影响生产安全的数据，这些数据又可以按照其功能划 15 分为业务相关数据、代码和系统配置数据，每一种数据都需要有特定的保护措施。 在保护业务相关数据时，必须提高备份自动化程度，并合理地提高备份频率，把海 量数据分时存储，以便合理分配系统资源，避免影响系统正常运行。除此之外还要 保证备份介质本身的可靠性，并对备份介质制定有效的管理巡查机制，不能在源头 就出现故障。如果条件允许，还可以利用备份技术实现灾备能力（在发生灾难的时 候实现数据的恢复并维持相关应用的能力） 。而在应用代码和系统配置数据的保护工 作中，要根据它们的变化规律，进行定期的或周期性的备份，让整个系统能够正常 地不间断运转。 其次，要提高处理事故和恢复数据的速度。备份系统的性能指标首先要满足数 据恢复的要求，服务器或工作站的系统配置一定要达到或超过各种功能对资源的要 求总和。如果服务器只能提供基本的要求，那么当出现意外的资源请求时，势必会 造成系统工作缓慢直至系统瘫痪。另一方面，在成本合理的前提下，可以选择有利 于高速数据恢复技术，做好预防工作。专业的实施队伍和系统化的培训体系也是数 据安全保障体系不可或缺的一部分，为整个系统的正常运行提供强有力的保证。 再次，要减少日常维护对生产的负面影响。应该把对数据的操作与整个系统的 运行分割开来，不能相互干扰。在数据备份过程中，要用在线热备份功能取代当前 使用比较多的冷备份功能。所谓热备份，指的是在数据库运行的情况下备份数据库 的方法，而冷备份是发生在数据库已经正常关闭的情况下，相比较而言，热备份不 影响数据库的正常运行，更加符合工业现场对数据安全的要求。另一方面，要采取 合适的数据流量控制策略对数据进行分流分时备份，不能长时间占用系统资源而不 释放，这将导致系统资源枯竭，系统运行不畅。 最后，在成本允许的前提下，可以利用配置方便、功能全面的专业工具来降低 管理复杂程度，便于根据需求定制不同的备份策略。 2.4 电力二次系统应用安全要求 2.4.1web 应用安全 web 应用程序是指那些用户界面驻留在 web 浏览器中的应用程序，它是基于 web 开发的程序，因此它保留了 web 的绝大多数的特性，并且采用浏览器/服务器模 式来设计，常见的 web 应用包括门户网站、聊天室、论坛等。由于它是在互联网的 基础上开发出来的，发布之后会与广域网络相连，因此它同样受到来自于网络的威 胁，但是也有其特性。web 应用程序所受的威胁种类繁多，可以通过表 2.1 中所列的 方法对常见的攻击做好防护工作14。 16 表 2.1 web 应用所受威胁及防护 名称 简介/危害 防护方法 css、xss 跨站脚本攻击 浏览器下载含有恶意脚本的 远程 web 页面并释放执行该 脚本 对动态生成的页面的字符进 行编码， 对输入进行过滤和限 制， 使用 html 和 url 编码 进行开发 跨帧脚本攻击 远程攻击者可以利用 ie 存在 一个访问验证漏洞绕过“ 跨帧 脚本限制” ，盲目执行“ 受信 任” 的恶意脚本 对动态生成的页面的字符进 行编码， 对输入进行过滤和限 制， 使用 html 和 url 编码 进行开发 sql 注入攻击 利用设计上的漏洞， 在目标服 务器上运行 sql 命令 验证访问权限， 对用户输入信 息进行检查， 使用强数据类型 进行存储， 使用存储过程访问 数据库 执行远程命令 对用户提交参数缺少充分检 查， 远程攻击者可以利用这个 漏洞以 web 进程权限在系统 上执行任意命令 对用户提交的参数加以限制 并进行严格检查 从表 2.1 中可以看出，针对 web 应用的攻击主要集中在浏览器、页面数据和用 户信息上，浏览器的漏洞可以由系统更新来完善，而每一种基于浏览器和服务器模 式的开发语言都存在漏洞，如果开发者的编程习惯不规范或缺乏网络安全方面的技 术，那么系统很容易遭受攻击，因此在系统开发的过程中就应该注重产品的安全性 能。 2.4.2 数据库应用安全 数据库应用安全主要包括三个方面：完整性、保密性和可获（用）性53。完整 性既适用于数据库的个别元素也适用于整个数据库，所以在数据库管理系统的设计 中完整性是主要的关心对象。保密性由于推理攻击和内部泄