高速鐵路牽引變電站電力監控系統安全防護策略

栗會峰劉 哲李宣義李均強杜曉東孟 杰栗維勛袁 龍

(1.國網河北省電力有限公司電力科學研究院,河北 石家莊 050021;2.國網河北省電力有限公司,河北 石家莊 050021)

高速鐵路一般采用電力作為機車動力來源,具有速度快、牽引功率大、行車密度高等特點[1-2]。高速鐵路牽引變電站實現鐵路供電系統與電力系統的連接和電壓變換,是高速列車的主要動力來源,其穩定連續的服役狀態是高速鐵路安全、可靠、經濟運行的關鍵保障。電力監控系統被稱作是變電站的神經中樞和控制中樞。近年來,國內外已發生多起通過網絡攻擊而導致電力系統故障甚至癱瘓的事件,變電站網絡安全面臨巨大威脅[3-4]。作為封閉的工業控制系統,鐵路牽引變電站對供電高可靠性、穩定性的要求也限制了監控系統安全防護技術的應用,存在巨大的安全隱患。鐵路牽引變電站一旦遭受網絡攻擊,導致電力供應被切斷,鐵路交通運輸將無法正常運行,從而給國家經濟發展和人民生活帶來巨大影響,嚴重情況甚至造成安全事故。

1 安全防護現狀

近年來,隨著高速鐵路的快速發展,鐵路牽引變電站數量迅速增加。截至2018年底,全國鐵路牽引變電站數量已經超過1 300座,主要分布在華中、華北、西北地區,約為全國鐵路牽引變電站總數量的70%。高速鐵路牽引變電站的電壓等級涵蓋35～500 k V 各個電壓等級,并形成了以110 k V、220 k V 電壓等級為骨干的鐵路供電網。

1.1 監控系統構成

高速鐵路牽引變電站主要完成將高電壓轉換為27.5 k V/55 k V 的變壓任務,同時完成高速鐵路上下行饋線供電任務。

監控系統一般采用計算機、通信、控制、繼電保護等技術,通過數字采集和網絡通信的方式,實現對主要電氣設備的保護、控制、計量、監測等功能。牽引變電站監控系統一般采用分層分布式結構,由站控層、通信層、間隔層組成[5]。其中,站控層設備根據工程需求進行配置,主要為運行值班人員提供變電站監視、控制和管理功能,包括后臺監控計算機、五防系統、時鐘同步裝置等;通信層實現站內網絡和外部網絡的互連互通,實現站內所有保護、測控及其他智能裝置的通信信息管理功能,主要包括遠動通信單元、維管通信單元、通用通信單元;間隔層主要完成變壓器、饋線等現場高壓設備的保護、測量、監視、控制和通信功能,以及實現重合閘、故障測距、故障錄波等功能。包括保護裝置、測控裝置、安全自動裝置、故障錄波裝置、電能量采集裝置、規約轉換等系統。站內監控系統構成如圖1所示。

圖1 鐵路牽引變電站監控系統構成

1.2 通信連接

按照《鐵路電力牽引供電設計規范》等相關規定要求,鐵路牽引變電站一般與鐵路供電調度系統和當地電力調度系統存在通信連接[6]。

鐵路牽引變電站與鐵路供電調度系統的數據通信通常采用鐵路專用通信網。按照調度關系,鐵路供電調度系統可以劃分為:鐵路總公司供電調度系統、鐵路局供電調度系統、鐵路供電段調度系統[7]。鐵路牽引變電站通過鐵路專用通信網將遠動信息傳送至鐵路總公司和上級鐵路局。鐵路總公司對全國范圍內所有牽引變電站的運行狀態進行監視,并協調指揮下轄各鐵路局供電調度作業。鐵路局實現對管轄范圍內各牽引變電站的遠程監視、測量、控制管理。鐵路局在下轄各鐵路供電段調控中心建立監視工作站,負責對牽引變電站運行狀態進行監視,如圖2所示。

圖2 鐵路牽引變電站與供電調度系統通信連接方式

鐵路牽引變電站與當地電力調度系統之間一般為單向通信,鐵路牽引變電站按照當地電力調度機構要求上送遙測、遙信信號,電力調度機構一般不向鐵路牽引變電站下發遙控指令。其通信方式通常采用3種方式進行數據通信(見圖2):通過電力調度數據網,站內通信管理機利用交換機、路由器接入調度數據網;通過電力專線,由通信管理機采用串口方式接入PCM 系統,轉化為光纖信號后傳輸至調度主站;通過無線網絡,經安全接入區接入電力調度系統。

牽引變電站采用無線網絡連接至電力調度系統的無線通信網關機,并經反向隔離裝置后接入調度主站。在實際應用中,調度數據網為主要通信方式,無線連接方式目前尚處于規劃階段,實際應用較少。

2 存在的問題

鐵路供電調度機構在電力生產過程中,往往重視電力生產安全,對網絡安全的重要性缺乏必要認識,導致牽引變電站監控系統網絡安全防護缺乏統一的技術和管理要求。同時,鐵路牽引變電站運行維護人員的網絡安全技術力量薄弱,導致網絡安全要求未落實或落實不到位,實際運行中鐵路牽引變電站存在較多網絡安全問題。

2.1 監聽與篡改報文風險

鐵路牽引變電站生產控制大區與鐵路供電調度系統之間縱向連接的邊界處未部署必要的加密、認證、訪問控制(防火墻)等防護措施。鐵路牽引變電站生產控制大區與電力調控機構調度數據網連接的縱向邊界處,存在縱向加密認證裝置缺失、裝置異常、安全策略未配置等問題。

鐵路牽引變電站與上級鐵路供電調度系統和電力調度系統存在通信連接和數據交互,數據遠距離傳輸過程為明文傳輸,存在被偵聽、篡改等安全風險,黑客通過監聽并篡改控制報文,實現對鐵路牽引變電站一次設備遙控權限的獲取,進而影響鐵路列車正常運行。

2.2 缺乏監視預警功能

網絡攻擊一般具有隱蔽性強、潛伏期長,難以追蹤等特點,鐵路牽引變電站監控系統缺乏對網絡異常行為、異常流量的集中監視和分析,無法及時發現潛在威脅和網絡攻擊,并及時產生告警。缺乏對監控主機操作系統、網絡設備以及數據庫的運行日志、操作行為進行監視,無法對違規操作、惡意攻擊行為及時開展調查與溯源。

2.3 缺乏安全加固與權限控制

后臺監控機等主機設備缺乏安全加固,未定期更新系統補丁,不常用的服務和高危端口未進行及時關閉,且操作系統存在中高危漏洞。牽引變電站網絡設備、安防設備、主機設備未對賬戶口令實施限權管理,未對賬戶的操作權限進行分級控制,且存在弱口令、缺省賬戶、多余賬戶等情況。

2.4 感染病毒風險突出

對外來人員操作行為缺乏管控,系統升級維護過程中,移動計算機、USB移動存儲介質隨意插拔,未對USB移動存儲及其他外來設備進行限制或審計。大部分牽引變電站未安裝防惡意代碼軟件或采取相應安全措施,存在感染惡意代碼或病毒而引起電力監控系統癱瘓的風險。

2.5 網絡安全防范意識不足

鐵路牽引變電站運維人員的網絡安全技術能力不足,網絡安全風險意識薄弱。牽引變電站監控系統在故障處理、程序升級等過程中,過度依賴設備廠商人員,可能存在通過設備廠商開展遠程運維操作的風險,誤將牽引變電站監控系統暴露在互聯網上,使站內設備面臨病毒感染、遠程攻擊的威脅。

3 網絡安全防護策略

針對鐵路牽引變電站存在的網絡安全問題,結合電力監控系統網絡安全防護要求[8],提出應建立完善邊界防護與本體安全并重,靜態管控與動態監控相結合的綜合安全防護體系。通過部署安全防護設備強化邊界訪問控制,針對主機設備、網絡設備、安全防護設備開展安全加固,規范安全配置要求,部署就地監視與告警功能,實現對變電站監控系統設備實時監視,及時發現網絡告警與設備異常,防范外部網絡攻擊。

3.1 網絡專用與安全加密

牽引變電站同時與鐵路供電調度系統、當地電力調度系統存在通信連接,按照網絡專用的原則,牽引變電站內應分別部署遠動通信管理裝置,分別向鐵路部門和電力部門傳輸遙測、遙信數據,避免因共用遠動通信管理裝置,帶來串網感染病毒、蠕蟲攻擊的風險。

在鐵路牽引變電站與外部系統的縱向通信線路上增加加密、認證、訪問控制等措施,防范因通信報文明文傳輸,被外部監聽、篡改,越權獲取牽引變電站一次設備控制權限的風險。與鐵路供電調度系統的通信鏈路上可部署防火墻,并設置端口、IP地址的安全配置。通過調度數據網接入電力調度系統的,應部署電力專用縱向加密認證裝置,對傳輸數據進行加密。

3.2 基于白名單的訪問控制策略

白名單訪問控制策略的主要思路是默認拒絕所有數據包通過,只有全部滿足白名單中規則的數據包才可通過。白名單策略可以幫助抵御未經授權的非法訪問,有效抵御ARP 欺騙、Ping of Death 攻擊和SYN Flood 攻擊等拒絕服務攻擊。白名單策略在站控層網絡通信中的典型應用為綁定設備的IP地址與Mac地址的映射關系,并設置源Mac地址、源IP地址、目的IP 地址、目的端口號作為白名單規則。只有滿足上述所有條件的數據包才可通過過濾,并進行下一步操作。基于源MAC 地址、源IP 地址、目的IP 地址和目的端口號的白名單訪問控制策略,能夠有效抵御IP 欺騙攻擊和基于IP 欺騙的拒絕服務攻擊。

3.3 網絡安全加固

安全加固是提高主機設備、網絡設備、安全防護設備及業務系統安全性和抗攻擊能力的重要技術手段。通過安全加固可以在網絡層、主機層以及應用層等層面建立符合業務需求的安全防線。電力監控系統安全加固包括安全配置加固和安全漏洞修復。安全配置加固應遵循“最小化原則”,即開放最少的服務、設置最小的權限、增加更多的審計,主要內容包括設備管理、用戶與口令管理、登陸管理、權限控制、安全策略、日志與審計。

安全漏洞加固一般通過使用專用工控系統漏洞掃描工具,對業務系統進行漏洞掃描,并對存在的中高危漏洞通過更新漏洞補丁、關閉相應端口等方式進行修復。

3.4 運行監視與告警

通過在鐵路牽引變電站站控層部署網絡安全事件監測與預警裝置,將變電站內主機設備的操作系統安全事件、網絡設備安全事件、安全防護設備安全事件納入監視范圍。安全事件至少包括設備運行狀態信息、設備正常操作日志、違規告警事件三類。設備運行狀態包括CPU 利用率、內存利用率、主機溫度、在線時長等信息,并設置安全閾值,一旦設備運行狀態超過安全閾值,發送安全告警,確保設備安全平穩運行。安全操作信息包括設備接入、用戶登錄、用戶退出等事件信息,提供操作審計和事件調查。違規告警事件包括不符合安全策略的主機訪問、禁用服務/端口開啟、外網設備違規接入等信息,實現對違規操作的及時發現、及時處置。

4 結論

高速鐵路是我國的重要交通運輸工具,事關國計民生。以上圍繞鐵路牽引變電站監控系統網絡安全開展分析研究。首先分析了鐵路牽引變電站監控系統的基本構成,包括監控系統的內部組成和站外通信連接方式。其次,結合牽引變電站監控系統構成,詳細分析了當前高速鐵路牽引變電站普遍存在的網絡安全問題,指出鐵路牽引變電站監控系統網絡安全防護水平薄弱。最后,針對存在的網絡安全問題,提出建立完善綜合安全防護體系,并圍繞報文加密傳輸、系統加固、訪問控制、實時監視等方面提出對應的安全防護策略,提升鐵路牽引變電站安全防護水平與抵御外部網絡攻擊的能力。