智能變電站信息安全策略探討

姚亮，鄒磊，韓志勇

（1.國(guó)電南京自動(dòng)化股份有限公司，南京 210032；2.南京國(guó)電南自電網(wǎng)自動(dòng)化有限公司，南京 211153）

智能變電站信息安全策略探討

姚亮1，2，鄒磊1，2，韓志勇1，2

（1.國(guó)電南京自動(dòng)化股份有限公司，南京 210032；2.南京國(guó)電南自電網(wǎng)自動(dòng)化有限公司，南京 211153）

智能變電站中報(bào)文信息根據(jù)網(wǎng)絡(luò)可分為過程層信息和站控層信息兩類。信息安全遵循“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的原則，通過加密、數(shù)字簽名、虛擬網(wǎng)絡(luò)、防火墻和入侵檢測(cè)等技術(shù)手段，依靠主動(dòng)防御和被動(dòng)防御相結(jié)合，建立起信息安全防護(hù)的兩道防線，增強(qiáng)了信息的可用性、保密性、完整性和不可抵賴性。

智能變電站；信息安全；主動(dòng)防御；被動(dòng)防御

0 引言

智能變電站作為智能電網(wǎng)“電力流”“信息流”和“業(yè)務(wù)流”的匯集點(diǎn)，能夠?qū)崿F(xiàn)龐大的電網(wǎng)數(shù)據(jù)信息采集、傳輸、分析及處理功能。隨著通信技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展，電力系統(tǒng)通信協(xié)議日趨標(biāo)準(zhǔn)化，一方面提高了變電站內(nèi)設(shè)備的互操作性和互換性，另一方面又對(duì)變電站的信息可靠性和安全性提出了新的挑戰(zhàn)。2015年圣誕節(jié)期間，烏克蘭國(guó)內(nèi)多個(gè)區(qū)域的電網(wǎng)遭遇網(wǎng)絡(luò)攻擊，引發(fā)大面積停電，敲響了電網(wǎng)信息可靠性與安全性的警鐘。

信息可靠性與安全性是智能電網(wǎng)安全穩(wěn)定運(yùn)行的關(guān)鍵要素之一。智能變電站作為智能電網(wǎng)的重要組成部分，其站內(nèi)二次設(shè)備信息可靠性與安全性面臨著來自多方面的嚴(yán)峻考驗(yàn)。因此，對(duì)智能變電站內(nèi)部設(shè)備以及其與電網(wǎng)內(nèi)交互信息進(jìn)行全面、系統(tǒng)的安全防護(hù)，利用有效的信息安全防護(hù)方法和策略保障信息交互的可靠，消除安全隱患，合理規(guī)避潛在風(fēng)險(xiǎn)，是保證智能變電站乃至智能電網(wǎng)安全穩(wěn)定運(yùn)行的關(guān)鍵問題之一［1］。

1 變電站信息安全現(xiàn)狀

網(wǎng)絡(luò)通信系統(tǒng)是智能變電站信息傳輸?shù)幕A(chǔ)，站內(nèi)信息網(wǎng)絡(luò)具有承載保護(hù)、測(cè)控、計(jì)量、同步相量測(cè)量、故障錄波等功能。根據(jù)應(yīng)用的不同，站內(nèi)網(wǎng)絡(luò)信息包括面向通用對(duì)象的變電站事件GOOSE（Generic Object Oriented Substation Events）、樣本值SV（Sampled Value）、制造報(bào)文規(guī)范MMS（Manufacturing Message Specification）和對(duì)時(shí)信息四類。在線監(jiān)測(cè)和智能輔助控制業(yè)務(wù)通過站內(nèi)單獨(dú)組網(wǎng)或點(diǎn)對(duì)點(diǎn)通信方式實(shí)現(xiàn)；數(shù)據(jù)采集與監(jiān)視控制SCADA（Supervisory Control And DataAcquisition）等遠(yuǎn)傳類業(yè)務(wù)由調(diào)度數(shù)據(jù)網(wǎng)、綜合數(shù)據(jù)網(wǎng)向相應(yīng)功能主站系統(tǒng)傳送。過程層設(shè)備、間隔層設(shè)備和站控層設(shè)備采用IEC 61850標(biāo)準(zhǔn)實(shí)現(xiàn)站內(nèi)通信。智能變電站通常采用“三層兩網(wǎng)”架構(gòu)，過程層網(wǎng)絡(luò)中上行信息主要是電流和電壓采樣值數(shù)據(jù)的SV報(bào)文、開關(guān)狀態(tài)量數(shù)據(jù)的GOOSE報(bào)文，下行信息為操作控制命令的GOOSE報(bào)文。站控層網(wǎng)絡(luò)中上行信息主要是二次設(shè)備狀態(tài)、動(dòng)作、告警信息的MMS報(bào)文，下行信息為操作控制命令GOOSE報(bào)文［2-4］。

過程層網(wǎng)絡(luò)中SV報(bào)文和GOOSE報(bào)文實(shí)時(shí)性要求很高，數(shù)據(jù)傳輸路徑跳過了高層協(xié)議，從應(yīng)用層直接映射到數(shù)據(jù)鏈路層。站控層網(wǎng)絡(luò)中MMS報(bào)文作為變電站內(nèi)外信息交互的報(bào)文，數(shù)據(jù)傳輸遵循TCP／IP協(xié)議，存在不安全因素，如IP包明文傳輸、IP包沒有數(shù)據(jù)認(rèn)證等。

2 變電站信息安全相關(guān)標(biāo)準(zhǔn)和規(guī)范

2.1 國(guó)內(nèi)變電站信息安全規(guī)定

2014年8月國(guó)家發(fā)展和改革委員會(huì)審議通過了第14號(hào)令《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》，明確了“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的原則。根據(jù)第14號(hào)令，生產(chǎn)控制區(qū)分為控制區(qū)（安全Ⅰ區(qū)）和非控制區(qū)（安全Ⅱ區(qū)），管理信息區(qū)內(nèi)部在不影響生產(chǎn)控制區(qū)的前提下，根據(jù)不同安全要求劃分安全區(qū)。生產(chǎn)控制區(qū)與管理信息區(qū)之間設(shè)置專用單向安全隔離裝置，生產(chǎn)控制區(qū)內(nèi)的控制區(qū)和非控制區(qū)之間采用防火墻實(shí)現(xiàn)邏輯隔離。在生產(chǎn)控制區(qū)與廣域網(wǎng)的縱向鏈接處需設(shè)置專用縱向加密認(rèn)證裝置或者加密認(rèn)證網(wǎng)關(guān)。電力調(diào)度數(shù)據(jù)網(wǎng)在專用通道上使用獨(dú)立的網(wǎng)絡(luò)設(shè)備組網(wǎng)，在物理層面上實(shí)現(xiàn)與其他數(shù)據(jù)網(wǎng)及外部公用數(shù)據(jù)網(wǎng)的安全隔離。

2.2 國(guó)際變電站信息安全標(biāo)準(zhǔn)

IEC 62351電力系統(tǒng)管理及關(guān)聯(lián)的信息交換-數(shù)據(jù)和通信安全主要采取數(shù)據(jù)加密、數(shù)字簽名和信息摘錄技術(shù)，提出了包含TCP／IP的通信模型的安全傳輸層握手協(xié)議的改進(jìn)方法，抵御非法操作攻擊系統(tǒng)，保障變電站系統(tǒng)數(shù)據(jù)通信的保密性、完整性、可用性和不可抵賴性，圖1為IEC 62351與變電站通信協(xié)議間的對(duì)應(yīng)關(guān)系。

圖1 IEC 62351與變電站通信協(xié)議的對(duì)應(yīng)關(guān)系

根據(jù)ISO 7498-2的三維安全體系結(jié)構(gòu)，結(jié)合智能變電站安全需要，對(duì)四類安全性能和五類主要安全技術(shù)進(jìn)行關(guān)聯(lián)，見表1。

表1 變電站安全需求與機(jī)制對(duì)應(yīng)關(guān)聯(lián)

3 變電站主要信息安全措施

智能變電站系統(tǒng)安全防護(hù)重點(diǎn)是強(qiáng)化變電站邊界防護(hù)，加強(qiáng)內(nèi)部安全措施，保障變電站安全穩(wěn)定運(yùn)行。調(diào)控主站端依托智能電網(wǎng)調(diào)度控制系統(tǒng)集中監(jiān)控功能模塊實(shí)現(xiàn)基于該平臺(tái)的模型管理、數(shù)據(jù)傳輸、網(wǎng)絡(luò)通信、人機(jī)界面、系統(tǒng)管理等服務(wù)。通過安全Ⅰ區(qū)數(shù)據(jù)通信網(wǎng)關(guān)機(jī)將調(diào)控主站下發(fā)的遙控指令轉(zhuǎn)發(fā)給繼電保護(hù)和安全自動(dòng)裝置，并將繼電保護(hù)和安全自動(dòng)裝置的狀態(tài)信息、定值轉(zhuǎn)發(fā)回調(diào)控主站，同時(shí)完成變電站站控層和調(diào)度數(shù)據(jù)網(wǎng)之間通信規(guī)約的轉(zhuǎn)換功能，其總體架構(gòu)如圖2所示。繼電保護(hù)和安全自動(dòng)裝置遠(yuǎn)方操作相關(guān)功能部署在安全Ⅰ區(qū)，覆蓋調(diào)控主站、變電站和數(shù)據(jù)傳輸通道三部分內(nèi)容。在主站和變電站配置縱向加密設(shè)備，采用調(diào)度證書系統(tǒng)簽發(fā)的設(shè)備證書進(jìn)行調(diào)試并按照數(shù)據(jù)交互需求設(shè)定加密隧道及策略，各縱向加密認(rèn)證設(shè)備均應(yīng)在加密通道運(yùn)行。變電站內(nèi)Ⅰ區(qū)數(shù)據(jù)通信網(wǎng)關(guān)機(jī)采用IP地址驗(yàn)證方式進(jìn)行認(rèn)證，建立一個(gè)IP地址白名單列表，只響應(yīng)IP地址白名單列表中裝置的TCP連接請(qǐng)求；對(duì)網(wǎng)關(guān)機(jī)到繼電保護(hù)裝置之間的控制指令進(jìn)行安全認(rèn)證，通過訪問控制表ACL（Access Control List）設(shè)置對(duì)交換機(jī)端口進(jìn)行IP地址和MAC地址綁定，每個(gè)端口只允許固定IP地址和MAC地址的鏈接通過。

變電站信息安全防護(hù)旨在保護(hù)變電站站內(nèi)信息和站與調(diào)度傳輸信息的保密性、完整性、可用性和不可抵賴性，目前主要采用加密技術(shù)、數(shù)字簽名技術(shù)、防火墻技術(shù)、虛擬網(wǎng)絡(luò)技術(shù)和入侵檢測(cè)技術(shù)等［5-7］。

3.1 加密技術(shù)

加密技術(shù)是按照特定的規(guī)則將傳輸?shù)臄?shù)據(jù)轉(zhuǎn)換為亂序，一般有鏈路加密、節(jié)點(diǎn)加密和端到端加密三種形式。變電站加密的信息主要有遙控信息、遙調(diào)信息、保護(hù)裝置和其他安全自動(dòng)裝置的整定信息等直接關(guān)系電網(wǎng)安全運(yùn)行的信息。

3.2 數(shù)字簽名技術(shù)

數(shù)字簽名類似傳統(tǒng)紙上的筆跡或印章，采用了兩種互補(bǔ)的算法，一種用于簽名，另一種用于驗(yàn)證，包括密碼生成算法、標(biāo)記算法和驗(yàn)證算法。智能變電站過程層包含GOOSE和SV兩類信息，過程網(wǎng)絡(luò)數(shù)據(jù)的傳輸需要嚴(yán)格保證實(shí)時(shí)性和安全性。GOOSE和SV若采用加密或其他安全方法會(huì)使原始數(shù)據(jù)增加很多字節(jié)數(shù)，既增加了報(bào)文處理時(shí)間，也延遲了傳輸速度，采用數(shù)字簽名技術(shù)則可兼顧過程層信息的安全性和實(shí)時(shí)性。

3.3 防火墻技術(shù)

防火墻是介于兩個(gè)網(wǎng)絡(luò)之間的安全系統(tǒng)，根據(jù)設(shè)定的規(guī)則，控制信息流向和進(jìn)出網(wǎng)絡(luò)的報(bào)文。對(duì)變電站系統(tǒng)進(jìn)行分區(qū)，各區(qū)之間使用防火墻進(jìn)行網(wǎng)絡(luò)隔離，對(duì)變電站業(yè)務(wù)實(shí)施重點(diǎn)防護(hù)，這將大大增強(qiáng)整個(gè)系統(tǒng)的安全性。

3.4 虛擬網(wǎng)絡(luò)技術(shù)

為滿足不同應(yīng)用之間的信息隔離，變電站站內(nèi)采用虛擬局域網(wǎng)VLAN（Virtual Local Area Network）技術(shù)。

VLAN將設(shè)備劃分成不同的廣播域，實(shí)現(xiàn)虛擬工作組的數(shù)據(jù)交換。GOOSE信息傳輸實(shí)現(xiàn)設(shè)備間信息交互，通過在交換機(jī)上設(shè)置基于端口的VLAN，不同業(yè)務(wù)的數(shù)據(jù)流限定在不同的VLAN中，不僅防止黑客攻擊，更可控制流量，減少設(shè)備投資，簡(jiǎn)化網(wǎng)絡(luò)管理并提高網(wǎng)絡(luò)的安全性。

3.5 入侵檢測(cè)技術(shù)

入侵檢測(cè)是檢測(cè)網(wǎng)絡(luò)中違反安全策略行為，包括系統(tǒng)外部的入侵和內(nèi)部用戶的非授權(quán)操作。變電站網(wǎng)絡(luò)入侵檢測(cè)先收集系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為，再通過模式匹配、統(tǒng)計(jì)分析和完整性分析來實(shí)現(xiàn)數(shù)據(jù)分析，根據(jù)記錄分析結(jié)果檢測(cè)是否入侵，入侵則發(fā)出告警通知，對(duì)攻擊源實(shí)施控制，保護(hù)被攻擊對(duì)象。

圖2 變電站安全分區(qū)系統(tǒng)架構(gòu)

4 變電站信息安全體系建設(shè)

4.1 安全體系模型

如圖3所示，“WPDRRC”信息安全模型在傳統(tǒng)PDRR（防護(hù)Protection，檢測(cè)Detection，響應(yīng)Reaction，恢復(fù)Recovery）信息安全體系模型增加了預(yù)警（Waring）、反擊（Counterattack）兩個(gè)環(huán)節(jié)，以人員為核心、策略為紐帶、技術(shù)為保證，體現(xiàn)信息系統(tǒng)安全系統(tǒng)的預(yù)警能力、保護(hù)能力、檢測(cè)能力、響應(yīng)能力、恢復(fù)能力和反擊能力，針對(duì)不同的安全威脅，采用不同的安全措施，對(duì)受保護(hù)對(duì)象進(jìn)行多層次保護(hù)。

圖3 WPDRRC信息安全模型

4.2 被動(dòng)防御和主動(dòng)防御

防護(hù)是一種被動(dòng)防御，系統(tǒng)受到入侵后，根據(jù)入侵特征，將特征添加至防御策略庫，防御受到再次入侵，但防御永遠(yuǎn)落在入侵之后。檢測(cè)則是一種主動(dòng)防御，系統(tǒng)根據(jù)狀態(tài)判斷，發(fā)現(xiàn)入侵行為則報(bào)警，并自動(dòng)采取防護(hù)措施。

系統(tǒng)受到攻擊時(shí)，可以通過漏洞掃描和入侵檢測(cè)發(fā)現(xiàn)和阻斷入侵行為，斷開網(wǎng)絡(luò)或關(guān)閉特定的服務(wù)、追蹤入侵源、記錄入侵痕跡，并與安全網(wǎng)關(guān)互動(dòng)，自動(dòng)完善防御策略，阻擋再次入侵，形成主動(dòng)、被動(dòng)防御體系的聯(lián)動(dòng)［8-9］。

5 結(jié)束語

變電站大量應(yīng)用網(wǎng)絡(luò)技術(shù)傳輸信息，其安全性和可靠性愈顯突出。制定信息安全防御的策略是一個(gè)系統(tǒng)性的問題，僅憑借單一的防御手段不能有效解決問題。采用主動(dòng)防御和被動(dòng)防御相結(jié)合的網(wǎng)絡(luò)安全方案，可以為信息安全構(gòu)筑雙重防線，建立起一個(gè)立體的防護(hù)體系。

［1］莫峻，譚建成.基于IEC 61850的變電站網(wǎng)絡(luò)安全分析［J］.電力系統(tǒng)通信，2009，30（4）：12-16.

［2］高吉普，徐長(zhǎng)寶，胡炎.智能變電站二次系統(tǒng)安全性定量評(píng)價(jià)方法的研究［J］.電器與能效管理技術(shù)，2014（7）：47-51，67.

［3］徐東偉，陳惠，陳志源，等.智能變電站網(wǎng)絡(luò)安全策略分析與研究［J］.電力安全技術(shù)，2016，18（4）：1-4.

［4］侯偉宏.數(shù)字化變電站系統(tǒng)的可靠性與安全性研究［D］.上海：上海交通大學(xué)，2010.

［5］高春雷，耿群鋒，陳亮.變電站通信網(wǎng)絡(luò)安全分析與實(shí)現(xiàn)［J］.江蘇電機(jī)工程，2008，27（6）：27-29.

［6］嚴(yán)童，謝吉華，溫立超，等.智能變電站TCP／IP通信網(wǎng)絡(luò)的安全解決方案［J］.電氣自動(dòng)化，2013，35（5）：44-45，60.

［7］鐘偉杰.試論網(wǎng)絡(luò)安全訪問的規(guī)劃與建設(shè)［J］.信息安全與技術(shù)，2011，2（6）：6-8.

［8］盛兆勇.IEC 61850安全性分析及解決方案研究［D］.青島：中國(guó)海洋大學(xué)，2013.

［9］李彬，溫蜜，齊鈺.智能電網(wǎng)AMI系統(tǒng)中一種新型密鑰管理方案［J］.計(jì)算機(jī)應(yīng)用與軟件，2016，33（1）：321-325.

（本文責(zé)編：劉炳鋒）

TM 76

B

1674-1951（2016）12-0015-03

姚亮（1979—），男，江蘇南京人，高級(jí)工程師，從事智能變電站二次設(shè)備技術(shù)研究和應(yīng)用開發(fā)工作（E-mail：liangyao＠sac-china.com）。

2016-10-12；

2016-11-02

鄒磊（1982—），男，吉林長(zhǎng)春人，工程師，從事智能變電站二次設(shè)備技術(shù)研究和應(yīng)用開發(fā)工作。

韓志勇（1988—），男，吉林敦化人，工程師，從事智能變電站二次設(shè)備技術(shù)研究和應(yīng)用開發(fā)工作。