近年來國外頻現針對電力系統的網絡攻擊事件。國內雖尚未出現類似的破壞性事件，但是小規模的電腦病毒感染事件也層出不窮。雖然目前這類事件都出現在交流系統中，但并不代表國內的直流輸電系統毫無漏洞。直流控制保護系統是直流輸電系統的大腦，一旦直流控制保護系統網絡遭到侵入、設備反饋信息或控制指令遭到篡改而造成設備誤動或拒動，將導致嚴重后果。

為全面提升直流控制保護系統網絡安全防護水平，需要對直流控制保護系統網絡安全現狀進行綜合分析，從技術、管理等方面分析存在的風險，并針對風險點提出改進建議。

1 直流控制保護系統總體網絡結構

目前國內的直流控制保護系統內部均可分成站控層、間隔層、過程層3層結構，如圖1所示。各層設備之間通過不同的通信方法實現數據交互。

站控層網絡實現站控層設備和間隔層設備之間的通信，其主要包含數據采集與監視控制（supervisory control and data acquisition, SCADA）網、就地控制網，采用以太網方式；間隔層網絡實現各控制保護主機之間的通信，采用以太網、快速控制總線、現場總線等方式；過程層網絡實現過程層設備（接入遙測和遙信量）與控制保護主機之間的通信，采用以太網、現場總線、測量總線等方式。

圖1 直流控制保護系統網絡構架示意圖

2 直流控制保護系統網絡邊界情況

當前，我國所有換流站生產系統的網絡架構都可分為安全1區和安全2區兩部分，其中安全1區為實時控制區，安全2區為非實時控制區。直流控制保護系統部署在安全1區，保信子站、一體化電源、電能計量等輔助系統部署在安全2區，如圖2所示。

圖2 換流站生產系統整體網絡圖

1）直流控制保護網絡站內邊界

直流控制保護系統與換流站內其他設備的通信通道包括：①通過控制總線與閥控、閥冷、故障錄波等通信；②通過規約轉換器或輔助系統工作站與保信子站、電能計量、一體化電源等系統通信。

2）直流控制保護網絡站外邊界

直流控制保護系統對外與調控中心、直流技術中心、集中監視中心及對端換流站通信，共4個站外通信通道，詳見表1。

表1 直流控制保護系統站外通信通道表

3 直流控制保護系統網絡安全防護現狀

直流控制保護系統網絡總體上能夠按照結構安全、網絡專用、邊界安全、本體安全的安全防護原則進行配置。

站外通信方面，直流控制保護系統與調控中心、直流技術中心間的通信通道均配置縱向加密認證裝置，直流控制保護裝置和SCADA網絡通過2M專用通道（未配置縱向加密設備）與對站通信；站內通信方面，安全2區電能計量、保信子站及一體化電源系統通過規約轉換裝置（未配置橫向隔離設備）接入直流控制保護系統SCADA網絡；系統本體安全方面，直流控制保護系統網絡采用星型結構連接，采用私有協議，具有白名單注冊等嚴格的數據校驗機制和風暴抑制功能，可以保證數據傳輸安全可靠。

4 直流控制保護系統網絡安全風險點分析

結合直流控制保護系統網絡安全防護現狀，對存在的風險從攻擊方式、影響程度等方面進行綜合分析，具體情況如下。

1）風險一：監控工作站及部分系統平臺采用Windows等國外操作系統

風險點：換流站運行監控工作站及部分控制保護系統平臺均采用Windows等非國產安全操作系統，無法完全掌握其安全漏洞和后門程序，目前雖然采取了接入管理、惡意代碼防范等安全加固措施，仍存在被非法入侵的風險。

攻擊方式：①利用非國產安全操作系統的漏洞，獲取遠程控制權限；②或利用U盤擺渡攻擊等方式，植入木馬或病毒，發送錯誤信息和控制命令；③或通過邏輯炸彈、時間炸彈等方式進行攻擊。

影響：造成直流輸電系統運行異常，極端情況下可能導致閉鎖停運。

2）風險二：直流控制保護SCADA網絡外部通信安防措施不完善

風險點：換流站安全1區SCADA網絡延伸至對端換流站或集中監視中心采用明文傳輸方式,且物理防護相對薄弱。部分直流工程為滿足遠方集中監控需求，在一端換流站配置遠方運行人員工作站，實現對對端換流站的遠方監視功能；部分換流站SCADA系統采用網絡延伸方式連接到集中監視中心，實現集中監視功能。

攻擊方式：在遠程通道上串入攻擊裝置，通過重放攻擊方式發送錯誤信息或控制命令。

影響：造成直流輸電系統運行異常，極端情況下可能導致閉鎖停運。

3）風險三：換流站安全1區和安全2區安全隔離措施不完善

風險點：換流站內安全1區與安全2區的網絡連接未進行邏輯隔離。換流站內電能計量、一體化電源等安全2區系統接入安全1區的直流控制保護系統網絡，安全1區和安全2區之間未安裝硬件防火墻等邏輯隔離設備，不滿足“網絡專用”安全要求。

攻擊方式：可利用安全2區主機作為攻擊跳板向安全1區傳播病毒、木馬，采取偽造攻擊、重放攻擊等方式向直流控制保護系統發送錯誤信息。

影響：導致直流控制保護網絡無法正常運行。

4）風險四：站間監視信息交互采用網絡通用協議傳輸

風險點：部分換流站SCADA網絡站間通信采用104規約的明文傳輸，相互傳輸直流場遙測和遙信信號，不滿足“縱向認證”要求。

攻擊方式：在遠程通道上串入攻擊裝置，對站間通信的遙信及遙測數據進行竊聽或篡改。

影響：對站監視數據無法正常顯示，直流運行數據、設備參數等敏感信息泄露。

5 直流控制保護系統網絡安全提升對策

針對當前直流控制保護系統網絡的安全現狀和特點，安全防護提升思路可以考慮從以下幾個方面進行。

1）加快推進基于國產安全操作系統的換流站監控系統的實施，積極落實軟硬件的國產化，逐步完成在運換流站監控系統改造，夯實換流站的網絡安全基礎。

2）強化換流站基建階段網絡安全管控，制定完善的標準規范；工程投產前開展網絡安全等級保護測評和風險評估驗收工作，確保國家關鍵信息基礎設施網絡安全相關要求落實到位。

3）取消換流站內監視對端站的工作站并斷開網絡連接；取消部分集中監視中心以網絡延伸方式監視換流站的工作站，并斷開網絡連接；因為運維原因確有監視需求的，建議改造為IP KVM（keyboard- video-mouse over IP）方式，并在通信線路增加縱向加密裝置；對于采用104規約明文傳輸數據的換流站，在站間SCADA網絡連接通道中加裝縱向加密裝置。

4）完善換流站內不同安全區業務間的隔離和訪問控制措施，實現監控系統內部各區域間邏輯隔離或物理隔離，避免網絡入侵和信息泄露風險。

例如，換流站都有通過規約轉換器或輔助系統工作站將保信子站、電能計量、一體化電源等安全2區系統接入安全1區控制保護網絡，從而通過SCADA系統實現一體化監控的設計，應當在規約轉換器或輔助系統工作站與直流控制保護網絡之間增加防火墻，以實現網絡隔離。

部分換流站還存在將安全1區的閥基電子設備通過規約轉換器或輔助系統工作站接入SCADA系統的設計，對此，應該更改設計，將閥基電子設備直接接入SCADA系統，若技術上確有困難，無法直接接入，應增加一臺安全1區專用規約轉換器或輔助系統工作站，以用來將閥基電子設備等安全1區裝置接入SCADA系統，從而保證網絡隔離，專網專用。

6 結論

直流控制保護系統的網絡安全防護工作不可能一蹴而就。隨著直流控制保護技術的發展和換流站運維需求的變化，隨時可能有新的系統接入直流控制保護系統網絡，從而產生新的網絡邊界和安全風險點。

行業內相關人員應該時刻保持網絡安全防護意識，在開展業務工作時充分考慮到可能存在的網絡安全問題，并及時從管理措施和技術措施上加以解決，才能保障直流控制保護系統的正常運行。