水电厂计算机监控系统厂级与现地级通信防护探索

0 前 言

近年来 ， 随着网络安全问题的不断涌现 ， 国家对网络安全越来越重视。水电作为电力行业的重要组成部分，是我国重要的关键基础设施，关乎国计民生，其中作为安全 I 区的水电厂计算机监控系统是核心和重要的系统之一。在满足“安全分区、网络专用、横向隔离、纵向认证”基本原则的基础上，根据国家信息安全等级保护工作的相关要求，应对系统的综合安全防护持续加强。在极端情况，外部网络渗透攻击已能够进入水电厂计算机监控系统核心控制网络，为防止厂级服务器及现地级 LCU 网络通信报文被快速破解，应考虑网络通信加密防护，增强通信的抗破解及干扰能力，同时结合入侵检测系统的检测功能，为正确处置赢得时间。

1 网络拓扑结构简介

某巨型水电厂位于西南境内，是我国十三大水电基地中干流开发的控制性水电站。电站按“无人值班”（少人值守）原则设计，采用高度集成的计算机监控系统监视控制全厂水轮发电机组、厂用电及公共设施、GIS 开关站及大坝。厂级控制选用成熟可靠的主流服务器，现地级控制选用以高性能热备 CPU 为核心的PLC 作为控制单元。

图1 计算机监控系统典型拓扑图

2 数据通信加密

2.1 一般数据加密

一般的数据加密模型大致如下 [1]。用户 A 向用户 B 发送明文 X，通过加密算法 E 及加密密钥 K 运算后得出密文 Y。用户 B 接收到加密数据密文 Y 后再使用解密算法D 及解密密钥K 解密，获取明文X。

用户 A 明文X →计算密文 Y=E_K（X） → Internet →解密明文 X=D_k（Y） →用户B 获取明文X

2.2 加密体制

当前加密体制有两种，分为对称加密密码体制和非对称加密密码体制。对称加密密码体制即加密密钥与解密密钥是相同的密钥体制 [1]。非对称加密体制即加密密钥与解密密钥是不相同的密钥体制。二者产生的根本原因为密钥分配及数字认证的需要。根据实际情况及安全的需求，考虑使用非对称加密体制用于计算机监控系统厂级服务器与现地级LCU 通信加密。

2.3 应用探索

结合图 1 中的网络结构，将厂级服务器下发给现地级 LCU 的数据称为下行数据，将现地级 LCU 上送到厂级服务器数据称为上行数据。通过上下行报文的

方式设计厂级服务器及现地级LCU 之间的通信加密解密过程，如下。

下行数据过程：

服 务 器 下 行 报 文 X → 计 算 密 文 Y=E_PKB（X） → 现 地 级 LCU 解 密 报 文 获取下行报文X

上行数据过程：

LCU 上行报文 U →计算密文 V=E_PKA（X） →服务器解密报文 ΔU=D_SKA（V） →服务器获取上行报文U

为此必须为服务器及每个 LCU 配置一对公钥及私钥。考虑后续主备切换的便利性及实现难度，可将用于与现地级 LCU 通信的厂级服务器均配置成一对公钥及私钥，同时将每个LCU 中的两个CPU 均配置成一对。

3 后续管理维护

3.1 密钥管理

密钥管理的包括密钥生成、存储及传输，基本原则包括防丢失、防泄密。从便利性上考虑，可在厂级服务器中增加密钥生产器。为安全及备用情况，可一次性生成多组密钥。将生成的密钥存储于专门的储存设备，如光盘或加密U 盘，并将其放入专用的加密箱中保存，设备管理纳入电力监控系统安全防护移动设备管理清单中。对于现地级私钥管理，可采用专用配套的移动存储介质，通过现地级PLC 的专用功能来读取并存储用户程序无法访问的固定位置。

3.2 日常维护

日常维护涉及厂级服务器重启或密钥更新，现地级 LCU 的 CPU 重启、更换等操作。厂级服务器重启后，接入专用移动存储设备，重新读取自身公钥及私钥，读取全部 LCU 的公钥。现地级 LCU 重启后，其私钥通过 LCU 专用移动设备读取自身公钥及私钥，厂级服务器公钥可通过通信直接获取。

4 结论

本文探索了水电厂计算机监控系统厂级与现地级LCU 通信加密的方式方法，需要计算机监控系统厂家与现地级 PLC 厂家深度联合开发，在确保通信效率的情况，增加数据加解密的功能，实现安全通信。

参考文献：

[1] 谢希仁 . 计算机网络 . 北京 [M]. 电子工业出版社 ，2008

作者简介：

陈祖锟（1993-），2017 年 7 月本科毕业于三峡大学自动化专业，从事计算机监控系统及自动化控制维护的相关工作，工程师