試析變電站網(wǎng)絡(luò)安全與管理策略

國網(wǎng)河北省電力有限公司檢修分公司 張 賢 張煒琦 宋博言

近年全球范圍類的大規(guī)模、大面積停電屢見不鮮，而不少極具影響的停電事件是由于某些國家的電力系統(tǒng)受到網(wǎng)絡(luò)攻擊引起的。2015年12月23日烏克蘭至少三個區(qū)域的電力系統(tǒng)遭到網(wǎng)絡(luò)攻擊造成大面積停電，電力中斷3～6小時，約140萬人受到影響；2018年6月網(wǎng)絡(luò)黑客竊取了法國電力公司Ingerop逾65G文件，這些文件包括核電站計劃和千余名工作人員的個人私密信息等內(nèi)容；2019年3月7日至9日連續(xù)三天，委內(nèi)瑞拉電力系統(tǒng)遭到網(wǎng)絡(luò)攻擊導(dǎo)致了3次大范圍停電事件，全國大部分州都受到了影響；2020年4月葡萄牙跨國能源公司（天然氣和電力）EDP（Energias de Portugal）遭Ragnar Locker勒索軟件攻擊，贖金高達1090萬美金……

這些電力系統(tǒng)網(wǎng)絡(luò)攻擊事件說明：通信網(wǎng)絡(luò)技術(shù)的發(fā)展促進了電力系統(tǒng)的高度智能化，但是電力系統(tǒng)網(wǎng)絡(luò)安全防護出現(xiàn)了新的、更高難度的挑戰(zhàn)。分析、預(yù)測智能變電站的網(wǎng)絡(luò)安全風(fēng)險，并對風(fēng)險進行可控管理，保障變電站網(wǎng)絡(luò)系統(tǒng)的安全可靠運行，刻不容緩。

1 智能變電站的二次系統(tǒng)結(jié)構(gòu)及網(wǎng)絡(luò)安全分析

智能變電站的主要特點：一次設(shè)備智能化、二次設(shè)備網(wǎng)絡(luò)化。智能變電站信息數(shù)據(jù)在采集、編碼、傳輸、存儲等過程全部用數(shù)字編碼。在典型的智能變電站中主要劃分成三個網(wǎng)絡(luò)：站控層、間隔層和過程層。站控層網(wǎng)絡(luò)使用的主要協(xié)議是IEC61850，實現(xiàn)各類設(shè)備間的統(tǒng)一通信；間隔層應(yīng)用GOOSE通信機制常規(guī)變電站裝置之間硬接線的通信方式，大大簡化了變電站二次電纜接線；過程層是一個SAV采樣值網(wǎng)絡(luò)，它的主要作用是將變電站內(nèi)一次設(shè)備的模擬數(shù)據(jù)準確實時傳輸至智能終端，轉(zhuǎn)化成數(shù)字信號。對于智能變電站網(wǎng)絡(luò)而言，其中的不安全因素主要可分為人員因素、系統(tǒng)因素、環(huán)境因素、安全設(shè)備因素。

人員因素。可分兩個方面：一是管理人員網(wǎng)絡(luò)安全意識差，沒有良好的工作態(tài)度和職業(yè)素養(yǎng)。在系統(tǒng)運行管理過程中重操作而輕管理，現(xiàn)場的數(shù)據(jù)配置等工作雖然準確無誤，在后期管理工作中卻敷衍了事，為智能變電站網(wǎng)絡(luò)安全運行埋下隱患[1]；二是技術(shù)人員的技術(shù)能力。智能變電站網(wǎng)絡(luò)通信是當(dāng)前科技領(lǐng)域的前沿科技，自動化、通信、網(wǎng)絡(luò)等設(shè)備相隔不了幾年就會更新?lián)Q代，這就要求管理人員緊跟時代步伐，不斷學(xué)習(xí)新技術(shù)掌握新技能，這樣才能保證自己的技術(shù)能力滿足工作需求。在實際的工作中不少技術(shù)人員不能滿足智能變電站維護管理工作的技術(shù)要求，對于網(wǎng)絡(luò)安全問題按照自己的方式隨意處理，增大了網(wǎng)絡(luò)安全事故的發(fā)生概率。

圖1 智能變電站二次系統(tǒng)結(jié)構(gòu)圖

系統(tǒng)缺陷。是導(dǎo)致網(wǎng)絡(luò)安全問題的重要原因之一。目前智能變電站的通信系統(tǒng)主要應(yīng)用Unix、Vxworks、Linux等，這些操作系統(tǒng)在設(shè)計時重視功能，對安全防護有著明顯的安全漏洞：操作系統(tǒng)版本更新不及時，開放端口、安全等級設(shè)置不嚴謹，易出現(xiàn)后門；傳統(tǒng)的TCP/IP協(xié)議容易遭到黑客修改。雖然系統(tǒng)的安全防護采用防火墻、禁用風(fēng)險端口、優(yōu)化系統(tǒng)服務(wù)等方式進行預(yù)防，但都屬于被動防御。

環(huán)境因素。智能變電站網(wǎng)絡(luò)系統(tǒng)所處的環(huán)境不是孤立不變的，不可避免的與外部進行對接，這可能會引發(fā)網(wǎng)絡(luò)安全事故。一種可能的情況，第三方人員對智能變電站系統(tǒng)進行維護，可能會用到移動介質(zhì)拷貝數(shù)據(jù)，這就是一種風(fēng)險，很有可能引起病毒入侵或感染。還有可能外部計算機接入變電站網(wǎng)絡(luò)系統(tǒng)，虛線網(wǎng)絡(luò)等新技術(shù)對系統(tǒng)的威脅等，都有可能造成網(wǎng)絡(luò)病毒的侵害。一旦病毒侵入了智能變電站網(wǎng)絡(luò)，病毒就會擴散到整個局域網(wǎng)，這樣導(dǎo)致系統(tǒng)數(shù)據(jù)變異或擁堵，造成嚴重的后果[2]。

安全設(shè)備因素。防火墻是目前智能變電站的主要網(wǎng)絡(luò)安全防御設(shè)備，由軟件和硬件設(shè)備組合而成，用來隔離智能變電站實時控制區(qū)與非控制生產(chǎn)區(qū)、外部網(wǎng)絡(luò)，保護實時控制區(qū)免受非法用戶操縱和控制。但防火墻不能防御局域網(wǎng)內(nèi)部的攻擊，包括全部它能檢測到的攻擊。隨著網(wǎng)絡(luò)技術(shù)迅猛發(fā)展，一些新的破解方法也給防火墻造成一定隱患。

2 智能變電站面對的主要攻擊形式及造成的后果

智能變電站面臨的攻擊方式多種多樣，如病毒、木馬擺渡、廣域網(wǎng)的滲透，還有針對IEC61850協(xié)議、來自GOOSE的攻擊等，以下是概率最大的幾種攻擊形式：

智能變電站設(shè)計之初，設(shè)計、配置錯誤存在的后門。這是一種及其隱秘、潛伏性極強的攻擊方式，可能由邏輯自身觸發(fā)，也會受到外部指揮。這種攻擊日常管理中不易發(fā)現(xiàn)，流量分析也沒有效果；黑客們利用披露的安全漏洞進行攻擊破壞。雖然智能變電站設(shè)備開始運行時經(jīng)測評是安全的，但運行期間依然存在新的安全漏洞。2019年12月相關(guān)組織就披露了IEC61850有安全漏洞5個，包括驗證錯誤、拒絕服務(wù)、緩沖區(qū)溢。由于信息披露和傳播速度極快、實時性強，個別安全漏洞可能通過EXP腳本傳播，如果系統(tǒng)被入侵會導(dǎo)致網(wǎng)絡(luò)系統(tǒng)癱瘓、數(shù)據(jù)泄露等災(zāi)難性后果。

管理人員的錯誤邏輯與誤操作。如果要嚴格區(qū)分的話這不是惡性攻擊，但也會引起攻擊的后果。智能變電站已不存在傳統(tǒng)的物理端子，只有邏輯端子和實端子，這些端子都是是通過智能化的方式控制的。雖然可以實時監(jiān)測，但因端子眾多梳理清楚是非常難的。還有程序的錯誤邏輯也會引起一次設(shè)備的拒動作和誤動作；智能變電站設(shè)備升級、改造過程中，來自技術(shù)人員或廣域網(wǎng)中的惡意攻擊。系統(tǒng)運行過程中設(shè)備的軟件升級和硬件改造在所難免，如安全漏洞修復(fù)、版本升級、硬件更換、業(yè)務(wù)擴展、新增設(shè)備等。這樣的升級、改造可能導(dǎo)致系統(tǒng)設(shè)備從一個安全區(qū)域接觸到不可信區(qū)域，智能變電站系統(tǒng)就會面臨網(wǎng)絡(luò)攻擊、惡意代碼攻擊的外部環(huán)境。

社會工程學(xué)攻擊。其非常復(fù)雜，利用人性的弱點和本能的好奇進行入侵，常見的攻擊形式有假冒身份、誘餌計劃、網(wǎng)絡(luò)釣魚等。近年社會工程學(xué)攻擊網(wǎng)絡(luò)的事件逐年上升，呈泛濫之勢，方式也越來越多樣化，造成的很大的社會影響。如果黑客攻擊與社會工程學(xué)攻擊融為一體，智能變電站網(wǎng)絡(luò)系統(tǒng)的安全性將變得更加脆弱，引起的后果也是不堪設(shè)想。

智能變電站網(wǎng)絡(luò)受到攻擊，會產(chǎn)生嚴重的后果，主要有以下情況：

智能變電站各類數(shù)據(jù)被截獲。黑客非法獲取了智能變電站與其他站點傳輸?shù)臄?shù)據(jù)及變電站內(nèi)部存儲的數(shù)據(jù)。數(shù)據(jù)截獲雖不會影響網(wǎng)絡(luò)的正常運行，但卻是黑客對變電站網(wǎng)絡(luò)再次進行攻擊的基礎(chǔ)；智能變電站網(wǎng)絡(luò)中斷。遭受黑客攻擊后，智能變電站網(wǎng)絡(luò)與調(diào)度數(shù)據(jù)網(wǎng)系統(tǒng)聯(lián)絡(luò)中斷，整個網(wǎng)絡(luò)系統(tǒng)癱瘓，調(diào)度主站無法監(jiān)視變電站的實時運行情況，調(diào)控主站的命令也不能有效執(zhí)行。變電站普遍實行無人值守的今天，如變電站發(fā)生嚴重故障得不到及時有效處理，從而使電網(wǎng)事故進一步擴大，造成的經(jīng)濟損失和社會影響是異常嚴重的。

智能變電站數(shù)據(jù)篡改。黑客侵入智能變電站網(wǎng)絡(luò)后對站內(nèi)關(guān)鍵數(shù)據(jù)進行惡意篡改，如修改開關(guān)遙信信息，導(dǎo)致站內(nèi)開關(guān)遙信點號和主站遙信點號不一致，主站的遙控命令執(zhí)行錯亂；智能變電站受控于人。黑客入侵智能變電站網(wǎng)絡(luò)并完全控制了整個變電站的運行，調(diào)控主站完全失去監(jiān)視、控制能力。這種情況發(fā)生，智能變電站只能任由黑客控制和操縱，引起的嚴重后果不堪設(shè)想。

3 智能變電站網(wǎng)絡(luò)安全管理策略

國家層面的網(wǎng)絡(luò)安全等級保護制度2.0標準于2019年12月1日已正式實施，該標準強調(diào)主動防御，并對工業(yè)控制系統(tǒng)提出了針對性的防護要求。在執(zhí)行國家標準基礎(chǔ)上，按照電力系統(tǒng)網(wǎng)絡(luò)安全防護“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認證”的總原則，可將智能變電站劃分為生產(chǎn)管理區(qū)、實施監(jiān)控區(qū)、非控制生產(chǎn)區(qū)、外部網(wǎng)絡(luò)等。下面從五方面介紹智能變電站網(wǎng)絡(luò)安全管理策略。

強化智能變電站網(wǎng)絡(luò)安全管理。確保智能變電站的網(wǎng)絡(luò)安全，首先要強化計算機網(wǎng)絡(luò)的安全管理。計算機系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)有很多方面不完善，因此技術(shù)管理人員需加強計算機網(wǎng)絡(luò)系統(tǒng)的安全管理，加大監(jiān)管力度，發(fā)現(xiàn)問題馬上處理。管理人員可利用入侵檢測技術(shù)，綜合人工智能、統(tǒng)計、密碼等相關(guān)學(xué)科技術(shù)，防止變電站網(wǎng)絡(luò)被黑客入侵；其次加強移動介質(zhì)的管理，不使用無線聯(lián)網(wǎng)及外部網(wǎng)絡(luò)，避免病毒入侵變電站內(nèi)部網(wǎng)絡(luò)；其三，利用符合電力系統(tǒng)的高規(guī)格防病毒軟件并保持最新版本，防止內(nèi)部網(wǎng)絡(luò)的病毒擴散或惡意代碼攻擊，進而影響網(wǎng)絡(luò)安全運行。

綜合部署安全防護設(shè)備。安全防護設(shè)備主要包括防火墻、物理隔離、縱向認證裝置等設(shè)備。防火墻部署在實時控制區(qū)與非控制生產(chǎn)區(qū)之間及生產(chǎn)管理區(qū)與外部網(wǎng)絡(luò)之間，實現(xiàn)區(qū)域的邏輯隔離、報文過濾、訪問控制等功能。電力專用物理隔離裝置是非控制生產(chǎn)區(qū)與生產(chǎn)管理區(qū)的必備邊界，具有最高的安全防護強度，是橫向防護的要點。非控制生產(chǎn)區(qū)與生產(chǎn)管理區(qū)之間部署正向物理隔離裝置，負責(zé)單向數(shù)據(jù)傳遞。縱向認證加密裝置用于實時控制區(qū)與非控制生產(chǎn)區(qū)的廣域網(wǎng)邊界防護，實現(xiàn)本地包過濾功能以及廣域網(wǎng)通信提供認證與加密功能，保證數(shù)據(jù)傳輸?shù)臋C密性、完整性。

廣泛應(yīng)用身份認證技術(shù)。在智能變電站網(wǎng)絡(luò)系統(tǒng)中，通過對用戶身份的認證可避免非法用戶對高于其權(quán)限的資源進行訪問，由此達到數(shù)據(jù)安全目的。基于CA的身份認證機制比較常見，每個網(wǎng)絡(luò)的證書都是由CA中心分發(fā)并簽名確認，證書包含公開密鑰，CA除了對證書進行簽發(fā)，還可管理證書和密鑰。

廣泛應(yīng)用防病毒技術(shù)。病毒防范是保證智能變電站網(wǎng)絡(luò)系統(tǒng)安全運行的一種非常重要的技術(shù)措施。網(wǎng)絡(luò)病毒危害性大、破壞力強，必須采取安全、可靠、有效的防病毒方法，如基于服務(wù)器的防病毒技術(shù)、基于網(wǎng)絡(luò)目錄和文件的安全性方法、實施反病毒技術(shù)、工作站防病毒芯片等。

信息安全評估。是智能化變電站的一個重要特征。信息安全評估應(yīng)用云計算、層次分析模型、模糊評價等統(tǒng)計學(xué)方法實現(xiàn)，對變電站網(wǎng)絡(luò)安全的事前控制異常關(guān)鍵。