內(nèi)蒙古電力公司 烏海電業(yè)局 余春收 余 洋

隨著通信網(wǎng)絡(luò)技術(shù)的發(fā)展，基于IEC61850的智能化變電站的應(yīng)用也越來越廣泛。智能化變電站依靠其龐大的通信網(wǎng)絡(luò)體系，不僅提升了站內(nèi)設(shè)備間的互換性和互操作性，也大大提高了信息系統(tǒng)的可靠性。但智能化變電站信息系統(tǒng)良好的開放性和統(tǒng)一報文也對信息的安全性提出了新的挑戰(zhàn)，一旦通信系統(tǒng)的某個點(diǎn)出現(xiàn)了漏洞，整個系統(tǒng)都會存在被破壞的危險。因此，保障電力信息系統(tǒng)的網(wǎng)絡(luò)安全非常重要。本文，筆者根據(jù)IEC6185的智能設(shè)備的特點(diǎn)，提出適用于智能化變電站的信息安全防護(hù)措施，期望為智能化變電站的運(yùn)行提供可靠的信息安全保障。

一、智能化變電站的信息安全影響因素

網(wǎng)絡(luò)信息的交互一般分為產(chǎn)生、傳輸、使用、存儲這4 個過程。信息安全的根本目的就是保證信息在這4個過程中不被泄露或破壞。傳統(tǒng)安全理念認(rèn)為，信息安全防護(hù)是個靜態(tài)行為。而實(shí)際上信息系統(tǒng)安全防護(hù)包括了進(jìn)行安全評估、安全策略、實(shí)施安全措施、進(jìn)行安全監(jiān)視等過程，是一個閉環(huán)過程。

智能化變電站通訊環(huán)境比較復(fù)雜，需要考慮的安全環(huán)境因素繁多，智能化變電站信息流主要涉及一體化調(diào)控中心和智能化變電站，智能化變電站信息后臺到各個智能設(shè)備等環(huán)境。但是智能化變電站本身所采用IEC61850具有良好的開放性，使得其信息系統(tǒng)存在諸多隱患，如密碼的定義級別低或者沒有采取認(rèn)證，人員的疏忽造成密碼泄露，網(wǎng)關(guān)服務(wù)器頻繁的訪問被竊取或修改等。因此，需要針對智能化變電站的運(yùn)行特征和IEC61850 的技術(shù)特點(diǎn)，從系統(tǒng)的物理安全和軟件安全兩個方面制定信息的安全防護(hù)措施。

二、物理安全技術(shù)

虛擬網(wǎng)（VLAN）技術(shù)是常用的一種物理安全技術(shù)。它通過將物理的一個邏輯地址劃分成不同的廣播域（即VLAN），使同類設(shè)備都擁有獨(dú)自的VLAN，從而將智能化變電站的各類運(yùn)行數(shù)據(jù)以及各種調(diào)度信息存儲于不同的節(jié)點(diǎn)，如將繼電保護(hù)跳閘命令設(shè)置為VLAN1，將SCADA系統(tǒng)信息功能設(shè)置為VLAN2等，以此類推，就實(shí)現(xiàn)了不同信息的安全隔離，從而降低了人為破壞或者自然災(zāi)害的風(fēng)險。

三、軟件安全技術(shù)

軟件安全方面技術(shù)種類比較多，技術(shù)的更新?lián)Q代速度也比較快。目前電力系統(tǒng)內(nèi)常用的有數(shù)字簽名技術(shù)和防火墻技術(shù)兩種。

1.數(shù)字簽名技術(shù)。數(shù)字簽名本身是個加密和解密的過程，它類似寫在紙上的普通的物理簽名，但是使用了數(shù)字信息的算法，通過公鑰加密領(lǐng)域的技術(shù)實(shí)現(xiàn)。在智能化變電站信息系統(tǒng)中，使用數(shù)字簽名的信息流主要考慮對變電站的各類運(yùn)行信息，如四遙信息（遙信、遙測、遙控、遙調(diào)）、自動裝置的整定信息等的保護(hù)，這些信息一旦泄露或被篡改，就會導(dǎo)致電力設(shè)備的誤操作，引發(fā)電力系統(tǒng)事故，因此要應(yīng)用數(shù)字簽名進(jìn)行加密發(fā)送。

2.防火墻技術(shù)。任何嚴(yán)密的算法也可能被破解，如果能拒敵于城墻之外，不給其進(jìn)入系統(tǒng)獲取數(shù)據(jù)，系統(tǒng)安全性便可大幅度提升。基于此想法，信息安全人員發(fā)明了防火墻技術(shù)。顧名思義，防火墻就是一面位于有數(shù)據(jù)溝通的終端之間的“墻”，通過TCP/IP 協(xié)議，對各種進(jìn)入信息系統(tǒng)的數(shù)據(jù)進(jìn)行甄別，合法的放行，非法的便拒之門外，從而完成對智能化變電站信息流的安全防護(hù)。一個防火墻無論實(shí)現(xiàn)過程多么復(fù)雜，歸根結(jié)底都是基于以下這3 種技術(shù)：包過濾技術(shù)、應(yīng)用代理技術(shù)和狀態(tài)監(jiān)視技術(shù)。包過濾技術(shù)是一種早期的防火墻技術(shù)，由于目前漏洞較多，容易被破解，電力系統(tǒng)很少使用。目前電力系統(tǒng)經(jīng)常使用的是后兩種技術(shù)。

（1）應(yīng)用代理技術(shù)。應(yīng)用代理技術(shù)作為比包過濾技術(shù)更完善的防火墻技術(shù)，其代理原理是：外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)傳遞的信息需要先經(jīng)過代理服務(wù)器審核，審核通過的話，再由代理服務(wù)器連接，不給內(nèi)外兩邊網(wǎng)絡(luò)直接會話的機(jī)會，以此來避免入侵者使用數(shù)據(jù)驅(qū)動攻擊方式。但代理型防火墻最大的弊端是容易發(fā)生數(shù)據(jù)傳輸遲滯現(xiàn)象。這是由于代理型防火墻的所有數(shù)據(jù)連接都必須建立在為之創(chuàng)建的代理程序進(jìn)程上，而代理進(jìn)程自身是要消耗一定時間的，所以數(shù)據(jù)不能及時發(fā)送。這種延遲對于電力系統(tǒng)來說有時是致命的，因此此種防火墻不適宜在智能化變電站中使用。

（2）狀態(tài)監(jiān)視技術(shù)。基于狀態(tài)監(jiān)視技術(shù)的防火墻實(shí)際上是結(jié)合了包過濾技術(shù)和應(yīng)用代理技術(shù)，它在不影響網(wǎng)絡(luò)正常工作的前提下，通過狀態(tài)監(jiān)視模塊，根據(jù)各種過濾規(guī)則，抽取網(wǎng)絡(luò)信息的不同數(shù)據(jù)層進(jìn)行監(jiān)測，做出相應(yīng)的安全決策。這種防火墻沒有使用代理進(jìn)程，因此不會發(fā)生信息傳輸延誤，同時防護(hù)等級比較高，可自行制定過濾規(guī)則，漏洞少，防護(hù)機(jī)制靈活多變，因此是最先進(jìn)的。但是由于實(shí)現(xiàn)技術(shù)復(fù)雜，一般的計算機(jī)硬件系統(tǒng)上實(shí)現(xiàn)此技術(shù)的完善防御功能，硬件要求較高。

防火墻的防護(hù)功能雖然很明顯，但是它沒有查殺病毒的功能，對與U 盤、移動硬盤等傳輸介質(zhì)傳播過來的病毒束手無策。所以防火墻必須配合殺毒軟件使用，才能確保信息系統(tǒng)的安全。

四、結(jié)論

智能化變電站的信息安全防護(hù)工作是一項很重要問題，需要電力信息安全人員引起高度重視。要結(jié)合智能化變電站的運(yùn)行特點(diǎn)，建立適用于智能化變電站信息的安全防護(hù)措施，確保電網(wǎng)的安全穩(wěn)定運(yùn)行。