北极星智能电网在线讯:我国电网发展进入“电力流、信息流、业务流”高度融合的智能电网阶段,电网调度控制系统及通信网络是智能电网“大脑”及“神经中枢”,管理控制着电网的可靠运行。通过对电网调度控制系统及通信网络的破坏,将对智能电网实体形成致命威胁。当前,网络空间已成为陆地、海洋、天空和太空之后的第五作战空间,国际上已经围绕“制网权”展开了国家级别的博弈甚至局部网络战争,作为国家关键基础设施的电网无疑是网络攻击的重要目标。
我国是世界上最早重视电网监控系统信息安全问题,并且大规模开展系统性安全防护的国家之一。全国电网监控系统安全防护体系的建立始于本世纪伊始,其里程碑是2001年国家电力调度数据(骨干)网的组网技术体制的确立,发展至今经历了三大阶段。
1 电力调度数据专网专用的防护策略
上世纪90年代初,我国电力系统建设了X.25分组交换网,主要用于远程传输调度数据业务,及少量办公及管理信息业务。进入21世纪,该网络面临向基于IP的数据网升级换代,当时有多个组网技术体制可供选择,主要包括: 基于ATM虚电路的IP专网 、基于SDH电路的IP专网、以及综合IP数据网的虚拟专网VPN。通过重点分析比较了不同技术体制下调度数据网及其承载的调度控制业务的信息安全风险,确定了基于SDH电路构建电力调度数据IP专网的技术路线。
在此基础上,进一步形成了我国电力系统第一个强制执行的信息安全法规:中华人民共和国国家经济贸易委员会第30号令《电网和电厂计算机监控系统及调度数据网安全防护规定》(2002年5月8日发布)。该规定以“防范对电网和电厂计算机监控系统及调度数据网络的攻击侵害及由此引起的电力系统事故,保障电力系统的安全稳定运行”为目标,规定了电力调度数据网络只允许传输与电力调度生产直接相关的数据业务,并与公用信息网络实现物理层面上的安全隔离,奠定了我国电力监控系统“结构性安全”的重要技术基础,成为我国电力监控系统信息安全防护体系建设启动的标志。
2 基于边界安全的纵深防护体系
随着电力监控系统自动化水平的提高、功能的丰富及调度数据网覆盖范围的延伸、用户的增加,电力监控系统信息安全威胁来源愈发多元化。为了应对新的信息安全风险,2002年启动了国家 “863”项目“国家电网调度中心安全防护体系研究及示范”,经过3年的研究论证,首次提出了我国电力系统信息安全防护总体策略:“安全分区、网络专用、横向隔离、纵向认证”。其中“安全分区”:将各项电力各类信息系统按照其业务功能与调度控制的相关性,分为生产控制类业务及管理信息类业务,分别置于生产控制大区与管理信息大区中;“网络专用”:利用网络产品组建电力调度数据网,为调度控制业务提供专用网络支持;“横向隔离”:通过自主研发的电力专用单向隔离装置实现生产控制大区与管理信息大区的安全隔离;“纵向认证”:通过自主研发的电力专用纵向加密认证装置为上下级之间的调度业务数据提供加密和认证保护,保证数据传输和远方控制的安全。 由此形成了以边界防护为要点、多道防线构成的纵深防护体系。
2004年12月,该体系以国家电力监管委员会5号令《电力二次系统安全防护规定》及《电力二次系统安全防护总体方案》等相关配套技术文件形式发布,成为我国电力监控系统第一阶段安全防护体系全面形成的标志。该体系的实施范围包括省级及以上调度中心、地县级调度中心、变电站、发电厂、配电及负荷管理环节相关电力监控系统。