許勇剛 馮揚(yáng) 張崇超

摘 要：文章通過分析智能變電站現(xiàn)有IEC61850體系的結(jié)構(gòu)，針對(duì)安全問題和需求，提出了總體設(shè)計(jì)方案來加強(qiáng)變電站網(wǎng)絡(luò)安全性。主要包括網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)和運(yùn)維審計(jì)系統(tǒng)，對(duì)兩者的理論和實(shí)現(xiàn)進(jìn)行了研究討論，為智能變電站信息化安全建設(shè)提供了一種解決辦法。

關(guān)鍵詞：IEC61850 協(xié)議；網(wǎng)絡(luò)準(zhǔn)入；運(yùn)維審計(jì)；部署實(shí)現(xiàn)

引言

目前，智能變電站系統(tǒng)基本都采用了IEC61850規(guī)約統(tǒng)一建模，為保證變電站系統(tǒng)的數(shù)據(jù)安全和正常運(yùn)行，國家電網(wǎng)公司逐步部署了一些網(wǎng)絡(luò)安全設(shè)備和相關(guān)管理辦法，加強(qiáng)智能變電站信息系統(tǒng)自動(dòng)監(jiān)測(cè)和安全防護(hù)工作。

1 研究現(xiàn)狀

1.1 現(xiàn)狀分析

在IEC61850規(guī)約中，將智能變電站系統(tǒng)劃分為站控層、間隔層、過程層三個(gè)層面。其中，站控層、間隔層設(shè)備構(gòu)成與常規(guī)綜合自動(dòng)化變電站差異不大，但功能及網(wǎng)絡(luò)結(jié)構(gòu)發(fā)生了較大的變化，主要是實(shí)現(xiàn)了信息統(tǒng)一建模，統(tǒng)一了數(shù)據(jù)模型，實(shí)現(xiàn)設(shè)備之間的互連互通。過程層（設(shè)備層）主要是電子互感器及合并單元，配置智能化一次設(shè)備。[1]典型的智能變電站系統(tǒng)網(wǎng)絡(luò)部署邏輯結(jié)構(gòu)示意圖如圖1。

圖1 智能變電站系統(tǒng)網(wǎng)絡(luò)部署邏輯結(jié)構(gòu)

1.2 網(wǎng)絡(luò)安全問題分析

由于智能變電站內(nèi)部工作人員，運(yùn)維人員較少，站內(nèi)系統(tǒng)的網(wǎng)絡(luò)與計(jì)算機(jī)系統(tǒng)故障無法及時(shí)處理，需要各系統(tǒng)廠家人員至現(xiàn)場(chǎng)進(jìn)行調(diào)試，導(dǎo)致站內(nèi)網(wǎng)絡(luò)接入員管控難。

智能變電站內(nèi)系統(tǒng)網(wǎng)絡(luò)與計(jì)算機(jī)系統(tǒng)缺少準(zhǔn)入管控手段，對(duì)于接入各層網(wǎng)絡(luò)進(jìn)行運(yùn)維調(diào)試操作的設(shè)備尚沒有規(guī)范的管控手段；

智能變電站內(nèi)系統(tǒng)運(yùn)維操作沒有審計(jì)管控手段，內(nèi)外部人員、第三方人員接入網(wǎng)絡(luò)進(jìn)行測(cè)試、調(diào)試和運(yùn)維操作缺乏技術(shù)管控、審批和核實(shí)手段。

1.3 需求分析

目前，變電站安全防護(hù)措施很少，主要是嚴(yán)格按照電力二次系統(tǒng)安全防護(hù)相關(guān)規(guī)定[2]。變電站的運(yùn)行管理部門，運(yùn)維檢修部對(duì)網(wǎng)絡(luò)安全認(rèn)識(shí)不足，特別是對(duì)工業(yè)控制網(wǎng)絡(luò)存在的安全隱患了解很少。變電站層主機(jī)、交換機(jī)網(wǎng)絡(luò)訪問接入控制缺乏技術(shù)手段與管理措施。[3]若運(yùn)維人員接入內(nèi)網(wǎng)的設(shè)備感染病毒，可成為攻擊變電站的跳板，能導(dǎo)致監(jiān)控后臺(tái)、保護(hù)測(cè)控的全面癱瘓。

2 總體設(shè)計(jì)

針對(duì)智能變電站站內(nèi)運(yùn)行安全管理所面臨的問題，構(gòu)建站內(nèi)運(yùn)維管理機(jī)制。基于準(zhǔn)入系統(tǒng)和運(yùn)維操作審計(jì)，構(gòu)建站內(nèi)工作審批、審核和校核的工作機(jī)制，減小誤操作、違規(guī)操作對(duì)變電站內(nèi)的影響。

2.1 加強(qiáng)對(duì)站內(nèi)網(wǎng)絡(luò)的接入控制，實(shí)現(xiàn)對(duì)所有設(shè)備網(wǎng)絡(luò)接入的準(zhǔn)入控制。通過準(zhǔn)入控制系統(tǒng)，確保向在運(yùn)行的站內(nèi)網(wǎng)絡(luò)接入任何設(shè)備時(shí)，都需要進(jìn)行準(zhǔn)入審批。只有經(jīng)過身份驗(yàn)證、健康檢查的設(shè)備才能接入站內(nèi)系統(tǒng)。

2.2 加強(qiáng)對(duì)站內(nèi)運(yùn)行操作的審計(jì)與管控，實(shí)現(xiàn)對(duì)所有站內(nèi)設(shè)備運(yùn)維操作的記錄和審核。通過運(yùn)維操作審計(jì)系統(tǒng)，確保在站內(nèi)進(jìn)行運(yùn)維操作的人員獲得授權(quán)，確保運(yùn)維操作有記錄可審核。

3 準(zhǔn)入系統(tǒng)

準(zhǔn)入控制系統(tǒng)是確保，在運(yùn)行的站內(nèi)網(wǎng)絡(luò)接入任何設(shè)備時(shí)，都需要進(jìn)行準(zhǔn)入審批。只有經(jīng)過工作核準(zhǔn)、健康檢查的設(shè)備才能接入站內(nèi)系統(tǒng)開展工作。

準(zhǔn)入控制系統(tǒng)以分布式部署、集中管理為基礎(chǔ)設(shè)計(jì)思想，范圍界定于終端用戶信息管理、終端設(shè)備信息管理、終端健康管理、監(jiān)測(cè)設(shè)備管理、網(wǎng)絡(luò)設(shè)備信息管理、IP管理六大業(yè)務(wù)內(nèi)容，實(shí)現(xiàn)一體化平臺(tái)基礎(chǔ)上統(tǒng)一的準(zhǔn)入控制系統(tǒng)監(jiān)測(cè)平臺(tái)。主要功能如下：

3.1 主機(jī)健康檢查

終端首次接入網(wǎng)絡(luò)時(shí)，強(qiáng)制下載主機(jī)健康檢查插件，掃描終端健康狀況，檢查規(guī)定軟件是否安裝到位，特征庫是否及時(shí)更新。對(duì)不合規(guī)終端放入隔離區(qū)，禁止與內(nèi)網(wǎng)通訊。這樣既確保終端設(shè)備的安全性，又保證了信息內(nèi)網(wǎng)的安全。

3.2 實(shí)名準(zhǔn)入控制

Web界面強(qiáng)制認(rèn)證，對(duì)網(wǎng)絡(luò)內(nèi)的用戶進(jìn)行統(tǒng)一帳號(hào)管理，對(duì)用戶訪問網(wǎng)絡(luò)資源時(shí)進(jìn)行統(tǒng)一認(rèn)證、統(tǒng)一授權(quán)和對(duì)用戶訪問網(wǎng)絡(luò)的行為進(jìn)行事后統(tǒng)一審計(jì)。事后統(tǒng)一審計(jì)包括記錄用戶何時(shí)、通過哪臺(tái)終端、以何種方式接入網(wǎng)絡(luò)，訪問了或試圖訪問了哪些資源，并于何時(shí)退出網(wǎng)絡(luò)，管理員可以方便的查詢?nèi)我庖粋€(gè)或者一批用戶的活動(dòng)記錄并生成相應(yīng)的報(bào)表。

3.3 原有認(rèn)證

對(duì)于已有用戶認(rèn)證機(jī)制的網(wǎng)省公司，如AD域、ED、802.1x或Radius認(rèn)證等，監(jiān)測(cè)子系統(tǒng)在不改變?cè)姓J(rèn)證服務(wù)的情況下，實(shí)現(xiàn)與已有認(rèn)證服務(wù)器用戶信息的聯(lián)動(dòng)。監(jiān)測(cè)子系統(tǒng)在用戶認(rèn)證過程中只承擔(dān)認(rèn)證轉(zhuǎn)發(fā)和讀取功能，這樣既保持原有認(rèn)證機(jī)制，又能實(shí)現(xiàn)新的監(jiān)測(cè)系統(tǒng)的用戶認(rèn)證。

3.4 IP統(tǒng)一管理

對(duì)固定IP實(shí)行中心下發(fā)的管理方式，可以防止用戶私改IP、私設(shè)IP。在動(dòng)態(tài)IP環(huán)境下，還隨時(shí)定位到人。對(duì)每個(gè)人不同時(shí)候得到的IP進(jìn)行審計(jì)。并可以圖形化顯示交換機(jī)所有端口使用狀況，如：有無終端通信、端口下接幾個(gè)終端、各自的IP地址/MAC/用戶ID等。定位IP接入網(wǎng)絡(luò)的交換機(jī)及端口。

4 審計(jì)系統(tǒng)

運(yùn)維操作審計(jì)系統(tǒng)是用于確保在站內(nèi)進(jìn)行運(yùn)維操作的人員獲得授權(quán)，確保運(yùn)維操作合法合規(guī)，并有記錄可追溯審核。

4.1 自然人審計(jì)

由于網(wǎng)絡(luò)及應(yīng)用的復(fù)雜化，孤立的設(shè)備日志無法直接與用戶身份關(guān)聯(lián)在一起，不利于問題分析、處理。通過有效的關(guān)聯(lián)，準(zhǔn)確地判斷出用戶的身份和屬性，從而將操作行為和自然人進(jìn)行對(duì)應(yīng)。

平臺(tái)需要將系統(tǒng)層的日志、數(shù)據(jù)庫日志、應(yīng)用層的日志及網(wǎng)絡(luò)數(shù)據(jù)和實(shí)際用戶關(guān)聯(lián)起來，對(duì)不同用戶之間的操作的日志進(jìn)行關(guān)聯(lián)審計(jì)，區(qū)分不同用戶行為。

4.2 資源審計(jì)

資源審計(jì)主要實(shí)現(xiàn)對(duì)審計(jì)主體（人）、審計(jì)客體（資源）和審計(jì)動(dòng)作（行為）的管理，平臺(tái)以自動(dòng)的方式提取審計(jì)基礎(chǔ)信息，并且根據(jù)需要進(jìn)行定期更新。

審計(jì)結(jié)果需要和資產(chǎn)進(jìn)行關(guān)聯(lián)，以實(shí)現(xiàn)事件和資產(chǎn)的對(duì)應(yīng)，直觀地為相關(guān)系統(tǒng)管理人員、安全人員提供系統(tǒng)的安全狀況。

資源審計(jì)具備審計(jì)主體、審計(jì)客體和審計(jì)動(dòng)作的增加、修改、刪除和查詢功能，并能夠在創(chuàng)建審計(jì)策略、審計(jì)信息查詢時(shí)被引用。

4.3 行為審計(jì)

通過審計(jì)平臺(tái)，在網(wǎng)絡(luò)事件中審計(jì)出用戶操作行為，將系統(tǒng)層日志、數(shù)據(jù)庫日志、應(yīng)用層日志及網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行相互關(guān)聯(lián)，尤其是所有對(duì)財(cái)務(wù)數(shù)據(jù)相關(guān)的關(guān)鍵系統(tǒng)數(shù)據(jù)的訪問、修改和刪除等，進(jìn)行全程記錄再現(xiàn)用戶的完整操作過程。

能夠依據(jù)日志或網(wǎng)絡(luò)數(shù)據(jù)生成用戶操作行為，依據(jù)模型能進(jìn)行準(zhǔn)確的異常行為檢測(cè)。對(duì)不規(guī)則或頻繁出現(xiàn)的異常事件進(jìn)行統(tǒng)計(jì)分析、過濾等，提供自定義查詢功能。

操作行為分析還要具備安全事件的關(guān)聯(lián)能力，要能夠?qū)碜圆煌O(shè)備的海量日志關(guān)聯(lián)為準(zhǔn)確的操作行為，并能對(duì)特定安全事件進(jìn)行還原。

圖2 智能變電站運(yùn)行安全管控系統(tǒng)總體技術(shù)架構(gòu)

5 總體部署

智能變電站系統(tǒng)運(yùn)行安全管控系統(tǒng)由準(zhǔn)入控制、運(yùn)維審計(jì)和運(yùn)行安全管控系統(tǒng)三部分構(gòu)成。總體技術(shù)架構(gòu)圖如圖2。

網(wǎng)絡(luò)準(zhǔn)入控制實(shí)現(xiàn)了對(duì)站控層在線資產(chǎn)的清晰管理，一旦有新的設(shè)備需要部署上線，首先需按照管理要求進(jìn)行安全檢查，只有完成安全檢查的設(shè)備才能獲得網(wǎng)絡(luò)準(zhǔn)入；其次對(duì)于臨時(shí)接入設(shè)備需要控制其工作時(shí)間，確保在完成任務(wù)后設(shè)備退出網(wǎng)絡(luò)；第三對(duì)于新入網(wǎng)設(shè)備，需要經(jīng)過工作流程才能獲得網(wǎng)絡(luò)準(zhǔn)入，防止網(wǎng)絡(luò)私自接入。

運(yùn)維操作審計(jì)裝置部署在站控層，實(shí)現(xiàn)對(duì)站控層運(yùn)維操作的集中統(tǒng)一管理。即所有的運(yùn)行維護(hù)操作，均由運(yùn)維操作審計(jì)堡壘機(jī)代理執(zhí)行。運(yùn)維操作審計(jì)裝置可以控制運(yùn)維操作用戶權(quán)限，確保運(yùn)維人員只能對(duì)規(guī)定任務(wù)對(duì)象進(jìn)行運(yùn)維操作，并可全面記錄字符終端、圖形終端以及文件傳輸?shù)冗\(yùn)維操作的情況；此外，通過策略設(shè)置，還可以杜絕高危操作。

6 結(jié)束語

智能變電站二次系統(tǒng)的防護(hù)目標(biāo)是抵御黑客、病毒、惡意代碼等通過各種形式對(duì)變電站二次系統(tǒng)發(fā)起的惡意破壞和攻擊，以及其它非法操作，防止變電站二次系統(tǒng)癱瘓和失控，并由此導(dǎo)致的變電站一次系統(tǒng)事故。安全防護(hù)體系將在原有系統(tǒng)基礎(chǔ)上增加準(zhǔn)入和審計(jì)系統(tǒng)，從安全預(yù)防的角度提高網(wǎng)絡(luò)安全，實(shí)現(xiàn)智能變電站的整體安全要求。

參考文獻(xiàn)

[1]莫峻，譚建成.基于IEC61850的變電站網(wǎng)絡(luò)安全分析[J].電力系統(tǒng)通信，2009.

[2]張清枝，魏勇，趙成功. 變電站網(wǎng)絡(luò)化二次系統(tǒng)關(guān)鍵技術(shù)研究及應(yīng)用[J].電力系統(tǒng)保護(hù)與控制，2009.

[3]黃覺慧.變電站五防系統(tǒng)安全管理及模式探討[J].中國新技術(shù)產(chǎn)品，2011.

作者簡(jiǎn)介：許勇剛（1974-），男（漢），陜西寶雞人，本科，高級(jí)、計(jì)算機(jī)軟件。

馮揚(yáng)（1980-），女（漢），湖北武漢人，碩士， 中級(jí)，電力網(wǎng)絡(luò)信息安全。

張崇超（1987年-），男（漢），碩士， 山東聊城人，信息安全、電網(wǎng)安全。