封亞輝 ，王彩學，戴東情

(1.江蘇出入境檢驗檢疫局工業(yè)產(chǎn)品檢測中心，江蘇 南京 210019；2.中國網(wǎng)絡安全審查技術與認證中心，四川 成都 610000)

隨著信息技術的不斷發(fā)展，全球電力行業(yè)發(fā)生了巨大的變革，由傳統(tǒng)的電力系統(tǒng)朝智能電網(wǎng)發(fā)展。智能電網(wǎng)的生產(chǎn)、輸送、分配和使用各個環(huán)節(jié)通過數(shù)字化和信息化將電能緊密結合在一起，新一代電力系統(tǒng)通過智能化的控制實現(xiàn)“經(jīng)濟高效、靈活互動、友好開放、清潔環(huán)?！?。

當前，我國將智能電網(wǎng)作為國家戰(zhàn)略發(fā)展重要組成部分。信息化、自動化的推進，在為社會帶來巨大進步的同時，也使得智能電網(wǎng)所面臨的安全威脅與日俱增，現(xiàn)有智能電網(wǎng)的信息安全不容樂觀。2000年8月14日，“蠕蟲”病毒入侵加拿大安略省的供電系統(tǒng)，病毒通過阻礙恢復正常供電的進程運行，導致了停電事故的發(fā)生；2010年7月，伊朗布什爾核電站“震網(wǎng)病毒（Stuxnet）”事件曝光。2011年7月23日，甬溫線發(fā)生特別重大交通事故。這一切安全事故的發(fā)生主要源于對智能電網(wǎng)的信息安全不夠重視，沒有從本質(zhì)上認識到智能電網(wǎng)存在的安全威脅。智能電網(wǎng)的開放性和包容性決定了不可避免地存在信息安全隱患，智能電網(wǎng)的安全甚至會關系到一個國家的戰(zhàn)略安全。如何應對新形勢下智能電網(wǎng)的安全威脅；如何尋求更加先進的安全技術來保護智能電網(wǎng)的安全，已經(jīng)逐漸成為現(xiàn)今需要考慮的重要問題。面對這些接踵而至的問題，我們需要切實加強智能電網(wǎng)信息安全預防與管理，以最終保障國家經(jīng)濟、人民生命財產(chǎn)和工業(yè)生產(chǎn)運行安全。

1 智能電網(wǎng)安全性分析

1.1 智能電網(wǎng)的網(wǎng)絡布局

智能電網(wǎng)控制系統(tǒng)主要由發(fā)電站自動化系統(tǒng)、變電站自動化系統(tǒng)、配電站自動化系統(tǒng)和數(shù)據(jù)調(diào)度網(wǎng)絡構成。如圖1所示。

圖1 智能電網(wǎng)網(wǎng)絡構成

智能電網(wǎng)網(wǎng)絡模塊劃分為生產(chǎn)控制大區(qū)塊和信息管理大區(qū)塊。其中生產(chǎn)控制大區(qū)包含發(fā)電站自動化系統(tǒng)、變電站自動化系統(tǒng)、配電自動化系統(tǒng)和數(shù)據(jù)調(diào)度網(wǎng)。信息管理大區(qū)包含電力企業(yè)內(nèi)部各部門多業(yè)務系統(tǒng)。具體的網(wǎng)絡結構如圖2所示。

1.1.1 生產(chǎn)控制大區(qū)

發(fā)電自動化系統(tǒng)：包含RTU，智能儀表，開關以及用于監(jiān)控和數(shù)據(jù)采集的SCADA系統(tǒng)。其主要工作包含運行監(jiān)視、設備狀態(tài)監(jiān)視、遠動通信以及廠內(nèi)AGC等。

變電站自動化系統(tǒng)：其核心是變電站監(jiān)控系統(tǒng)是由智能化一次設備（電子式互感器、智能化開關等）和網(wǎng)絡化二次設備分層（包括過程層、間隔層和站控層）構成。其主要作用是利用智能電氣化電氣測量系統(tǒng)從電流、電壓采集源頭實現(xiàn)數(shù)字化，從而實現(xiàn)信息集成、網(wǎng)絡通信和數(shù)據(jù)共享。

配電自動化系統(tǒng)：包括饋線自動化和配電管理系統(tǒng)。通過利用配電網(wǎng)數(shù)據(jù)采集與監(jiān)視（SCADA ）系統(tǒng)、配電地理信息系統(tǒng)（GIS）和需求側管理(DSM）等技術手段實現(xiàn)配電企業(yè)遠程以實時方式監(jiān)視、協(xié)調(diào)和操作配電設備。

數(shù)據(jù)調(diào)度網(wǎng)：用于傳輸電網(wǎng)自動化信息、調(diào)度指揮指令、繼電保護與安全自動裝置控制信息的網(wǎng)絡，一般采用專網(wǎng)。

1.1.2 信息管理大區(qū)

信息管理系統(tǒng)用于對電力企業(yè)內(nèi)部各業(yè)務系統(tǒng)，以及電廠、變電站和調(diào)度站等處信息系統(tǒng)進行綜合管理。

1.2 智能電網(wǎng)的特點

與傳統(tǒng)電力系統(tǒng)相比，智能電網(wǎng)具有如下特點：

1.2.1 高實時性和連續(xù)性

電能的生產(chǎn)，傳輸，消耗必須同步進行，轉化過程非常迅速，作為智能電網(wǎng)的指揮控制系統(tǒng)，必須保證高實時性，保證控制命令實時到達目標設備。同時電能的生產(chǎn)必須具備連續(xù)性，否則會造成供電中斷。

1.2.2 生產(chǎn)控制區(qū)主機應用軟件相對單一

為保障數(shù)據(jù)傳輸實時性，在生產(chǎn)網(wǎng)絡中的主機上禁止安裝不必要的應用軟件，以減少其他軟件對網(wǎng)絡帶寬的占有，同時還能減少應用軟件給網(wǎng)絡系統(tǒng)帶來的安全威脅。

1.2.3 高度集中性管理、規(guī)模龐大、構成復雜

電力生產(chǎn)是高度集中、統(tǒng)一管理，無論多少個發(fā)電廠，變電站，供電公司，都要遵從統(tǒng)一的調(diào)度。

1.2.4 設備多樣性

智能電網(wǎng)是一個復雜而龐大的網(wǎng)絡，包含各種各樣的光、電磁、溫濕度傳感器、機械裝置、電子電氣裝置、控制設備、監(jiān)控設備和應急設備，而這些設備之間關聯(lián)極大。

1.2.5 無線網(wǎng)絡接入缺乏認證和控制

智能電網(wǎng)中缺少有效的認證和控制機制，控制設備接入無線網(wǎng)絡中，會將整個系統(tǒng)暴露在網(wǎng)絡中，帶來極大的安全隱患。

1.3 智能電網(wǎng)威脅分析

1.3.1 安全補丁和殺毒軟件缺乏

鑒于業(yè)務的特殊性，很難為工業(yè)控制信息系統(tǒng)打安全補丁，補丁可能導致正常業(yè)務不能進行。同時這些正常業(yè)務很容易被殺毒軟件識別為病毒程序，工業(yè)控制信息系統(tǒng)往往呈現(xiàn)既沒有補丁，又沒有殺毒軟件的裸機狀態(tài)。

1.3.2 設備生產(chǎn)商可能留有的訪問后門

NSS實驗室發(fā)現(xiàn)德國西門子公司的某些工業(yè)控制系統(tǒng)中存在“后門”，據(jù)西門子公司解釋這些后門是為了便于系統(tǒng)維護和調(diào)試，后門通常擁有很大的訪問權限，這些后門一旦被利用將對工控系統(tǒng)造成極大地威脅。

1.3.3 電磁屏蔽和間諜程序識別技術缺乏

通過調(diào)查，目前我國正在使用的工業(yè)控制信息系統(tǒng)大部分核心設備均采用外國品牌，如霍思曼、西門子、施耐德等品牌，這些外國品牌設備當中很可能存在間諜程序，這些程序竊取核心數(shù)據(jù)通過無線網(wǎng)絡發(fā)送。而工業(yè)控制信息系統(tǒng)缺乏電磁屏蔽，不能阻斷間諜程序發(fā)送數(shù)據(jù)，同時也未采用相關設備對間諜程序進行掃描和識別。

1.3.4 工控信息系統(tǒng)硬件和軟件的安全缺陷

設備提供商提供的應用授權版本無法做到十全十美，各種后門、漏洞等問題都有可能出現(xiàn)。出于成本的考慮，工業(yè)控制系統(tǒng)的組態(tài)軟件一般與其工控系統(tǒng)是同一家公司的產(chǎn)品，在測試節(jié)點問題容易隱藏，且組態(tài)軟件的不成熟也會為系統(tǒng)帶來威脅。

2 智能電網(wǎng)關鍵信息安全技術

針對智能電網(wǎng)所面臨的威脅，對于不同區(qū)域應采用不同的防護手段和防護技術對智能電網(wǎng)進行保護。防護框架如圖3所示。

圖3 智能電網(wǎng)安全防護模型

本文介紹了常用的七種技術手段，確保智能電網(wǎng)的信息安全體系的可控、能控、在控。針對不同的區(qū)域、不同的環(huán)境應采取不同的安全技術。

2.1 訪問控制技術

訪問控制是指對主體訪問客體的權限或能力的限制，以及限制進入物理區(qū)域（出入控制）和限制使用計算機系統(tǒng)和計算機存儲數(shù)據(jù)的過程（存取控制）。其基本目標是防止非法用戶進入系統(tǒng)和對系統(tǒng)資源的非法使用。根據(jù)訪問控制策略的不同，訪問控制機制可分為三種訪問控制模型：

2.1.1 自主訪問控制（DAC）

自主訪問控制用戶可以按照自己的意愿對系統(tǒng)進行修改和操作，來決定哪些用戶可以訪問他們的資源，也被稱為隨意訪問控制。

自主訪問控制的優(yōu)點是表述直觀，易于理解，但存在著明顯的不足之處，首先，在訪問控制需要消耗大量的時間，效率底下。其次，自主訪問控制對資源管理比較分散，易產(chǎn)生安全漏洞，不適用于安全級別較高的系統(tǒng)中。另外，自主訪問控制不能對系統(tǒng)中的信息流進行保護，信息容易泄露。

2.1.2 強制訪問控制（MAC）

強制訪問控制是指系統(tǒng)強制主體服從訪問控制政策，通過無法逃避的訪問限制來防止各種直接或間接的攻擊。

強制訪問控制對于信息系統(tǒng)的保密性極強，但是因其極強的安全性要求，主要應用于軍事系統(tǒng)中，對其他系統(tǒng)來說，強制訪問過于嚴格，使得用戶難以管理系統(tǒng)數(shù)據(jù)。

2.1.3 基于屬性的訪問控制（ABAC）

基于屬性的訪問控制主要是基于任何與訪問安全相關的實體屬性進行授權決策。

基于屬性的訪問控制優(yōu)點是能夠增強訪問控制系統(tǒng)的靈活性和可擴展性，具有強大的表達能力。基于屬性的訪問控制在多個領域、多個部門不同安全之間的數(shù)據(jù)訪問管理中應用十分廣泛。與傳統(tǒng)的訪問控制技術（包括MAC、DAC）相比具有一定的優(yōu)勢，如表1所示。

表1 DAC、MAC 與ABAC三者的比較

智能電網(wǎng)是一個結構龐大且構成復雜的信息系統(tǒng)，根據(jù)不同工作內(nèi)容劃分多個安全區(qū)域，針對不同安全級別敏感區(qū)域應采取合理、有效的訪問控制。基于屬性的訪問控制技術，應用場景通常為按照管理者安全策略能夠根據(jù)不同訪問主體（用戶、應用程序或進程）分配允許訪問的資源，并為其設置訪問權限和權限的有效期?；趯傩缘脑L問控制技術能夠有效地控制外部對智能電網(wǎng)內(nèi)部敏感信息的竊取；能夠減少非法用戶和程序?qū)χ悄茈娋W(wǎng)信息系統(tǒng)的破環(huán)。

2.2 身份認證技術

身份認證是一種利用物理技術、密碼技術等手段判別消息發(fā)送方或資源使用方身份的真實性的驗證技術。在信息傳遞過程中利用身份認證可以確保訪問系統(tǒng)資源或利用系統(tǒng)處理設備的用戶是合法的、通過對已授權的用戶進行身份認證可以實現(xiàn)訪問控制的有效實施，避免非授權用戶或者黑客偽造身份非法獲取資源或者惡意篡改數(shù)據(jù)。

目前，認證的實現(xiàn)主要有物理特征、密碼技術和物理特征與密碼技術結合使用三種形式。

其中物理特征的認證典型方式有實物認證（例如個人身份證、駕照、工作證等）和特征認證（例如個人指紋信息、面部信息和瞳孔信息等）；密碼技術包括利用傳統(tǒng)的用戶名密碼，數(shù)字證書等；物理特征與密碼技術結合使用認證較為典型是移動終端認證。

在智能電網(wǎng)中身份認證技術被廣泛用于各安全區(qū)，例如在配電系統(tǒng)中，在配電網(wǎng)主站、子站、終端之間的通信會利用身份認證以確信主站、子站發(fā)送的配電指令是有效的；在電廠發(fā)電自動化系統(tǒng)中上位機與下位機之間的通信也需要進行身份鑒別。

2.3 防火墻技術

防火墻是一種對網(wǎng)絡間信息傳遞和數(shù)據(jù)訪問進行訪問控制的安全設備，可以對網(wǎng)絡之間傳送的數(shù)據(jù)包和連接方式根據(jù)一定的安全策略進行檢查，審查網(wǎng)絡之間的通信是否被允許。防火墻能夠有效地實現(xiàn)數(shù)據(jù)訪問和數(shù)據(jù)傳輸，從而達到保護私有網(wǎng)絡的信息不受外部非法用戶的訪問以及過濾不良信息的目的。

防護墻按照系統(tǒng)管理員事先配置好的安全策略，過濾內(nèi)部與外部間的所有數(shù)據(jù)，僅允許符合安全策略的數(shù)據(jù)流通過。其主要功能有包過濾、充當代理服務器、狀態(tài)包檢測以及網(wǎng)絡地址轉換。隨著技術的發(fā)展，目前一部分防火墻還具有反病毒功能。

防火墻在智能電網(wǎng)中的應用有：

（1）區(qū)域劃分：電力企業(yè)網(wǎng)絡系統(tǒng)一般被分為不同的區(qū)域，至少應包含內(nèi)部、外部和DMZ三個分區(qū)。內(nèi)部區(qū)域是指企業(yè)內(nèi)部區(qū)域（包括管理區(qū)和生產(chǎn)區(qū)）視為信任區(qū)。外部區(qū)域通常是指公網(wǎng)（Inter網(wǎng)）由于存在各種未知的威脅是不被信任的區(qū)域，需要防火墻加以監(jiān)控。DMZ區(qū)即非軍事化區(qū)是電力企業(yè)對外提供服務的區(qū)域，防火墻將DMZ區(qū)和內(nèi)網(wǎng)相隔離，保障內(nèi)部網(wǎng)絡安全，同時對外能正常服務。

（2）訪問控制策略制定：依據(jù)區(qū)域的重要性設置不同的安全策略實現(xiàn)區(qū)域的訪問控制。

2.4 入侵檢測技術

入侵檢測是通過對某網(wǎng)絡的狀態(tài)和系統(tǒng)使用情況進行監(jiān)控，檢測用戶對系統(tǒng)的訪問是否越權以及記錄非法用戶對系統(tǒng)的入侵行為等方法為系統(tǒng)內(nèi)部提供安全保障。在智能電網(wǎng)的生產(chǎn)網(wǎng)絡中利用入侵檢測系統(tǒng)用于分析生產(chǎn)網(wǎng)絡中數(shù)據(jù)，對系統(tǒng)網(wǎng)絡進行監(jiān)控、實時跟蹤探測、及時響應，防范各種入侵行為。

智能電網(wǎng)中智能電表成為攻擊者攻擊的重要方向，通過破解智能電表密碼，可以篡改存儲數(shù)據(jù)，中斷網(wǎng)絡中的數(shù)據(jù)通信，修改計量報文。通過篡改電表數(shù)據(jù)（用電需求和鏈路d的狀態(tài))引起系統(tǒng)震蕩，并最終造成斷電。如果引入入侵檢測技術，檢測電表或集中器中傳感器的狀態(tài)、內(nèi)存的通信數(shù)據(jù)，針對入侵行為能夠有效的檢測智能電表中的入侵行為并發(fā)出告警。同時，入侵檢測技術提升系統(tǒng)管理員的安全防護能力，完善智能電網(wǎng)信息安全結構的完整性。

2.5 漏洞挖掘技術

漏洞挖掘是一種針對系統(tǒng)或網(wǎng)絡的安全測試技術，通過對系統(tǒng)的軟硬件進行模擬滲透以及對數(shù)據(jù)的分析發(fā)現(xiàn)系統(tǒng)漏洞。針對智能電網(wǎng)系統(tǒng)（包括軟件、硬件以及操作系統(tǒng)）和網(wǎng)絡的脆弱性，分析其面臨的安全威脅，率先檢測出系統(tǒng)漏洞，完成對智能電網(wǎng)控制系統(tǒng)的優(yōu)化升級。在智能電網(wǎng)中利用漏洞挖掘技術及時發(fā)掘系統(tǒng)存在的安全隱患，設置有效的安全策略，并及時改進安全控制手段對保障智能電網(wǎng)系統(tǒng)安全運行具有十分重要的意義。

2.6 隔離交換技術

防火墻技術可以實現(xiàn)部分隔離效果。但是，網(wǎng)絡安全隔離交換設備的安全性能要比防火墻強很多。網(wǎng)絡安全隔離交換技術主要是切斷內(nèi)部網(wǎng)絡和外部網(wǎng)絡的直接聯(lián)系，從而實現(xiàn)阻斷不同網(wǎng)絡間的數(shù)據(jù)交換。網(wǎng)絡安全隔離與信息交換技術主要作用，一是用于保護內(nèi)部網(wǎng)絡的服務器，避免內(nèi)部數(shù)據(jù)庫和操作系統(tǒng)免受外網(wǎng)病毒的侵襲；其二可以有效避免內(nèi)部網(wǎng)絡訪問外部網(wǎng)絡時出現(xiàn)的有意的或無意的信息泄露。通過建立數(shù)據(jù)交換平臺滿足數(shù)據(jù)交換業(yè)務需求，系統(tǒng)框架如圖4所示。

圖4 網(wǎng)絡安全隔離與信息交換技術的系統(tǒng)模型

智能電網(wǎng)的信息安全隔離體系架構也不例外，它應當滿足智能電網(wǎng)各類業(yè)務數(shù)據(jù)在信息內(nèi)外網(wǎng)之間進行安全交互的一些基本要求。

2.7 安全態(tài)勢感知和預測技術

目前，應用最廣泛的態(tài)勢感知理論模型框架是由Endsley在1995年提出來的，Endsley模型將態(tài)勢感知分為3個階段：態(tài)勢要素獲取，態(tài)勢理解，態(tài)勢預測。簡單定義為“在一定的時空間條件下，對環(huán)境因素的獲取、理解以及對未來狀態(tài)的預測”。態(tài)勢感知過程可由圖5所示的三階段模型直觀的表述出來。

在智能電網(wǎng)中應用態(tài)勢感知技術，能夠?qū)崿F(xiàn)智能電網(wǎng)信息系統(tǒng)運行的智能防控，通過在配電網(wǎng)實施實時的態(tài)勢感知，快速準確地判斷出系統(tǒng)安全狀態(tài)，為運行控制人員提供一個較為準確的配電網(wǎng)運行趨勢；利用態(tài)勢感知系統(tǒng)具有自適應能力和自學習能力，實時跟蹤配電網(wǎng)運行狀態(tài)，實現(xiàn)電網(wǎng)運行態(tài)勢的智能化告警在事件發(fā)生之前進行預測，并準確地發(fā)現(xiàn)潛在的運行風險，幫助管理員提高對智能電網(wǎng)運行的控制力。

圖5 ENDSLEY 模型三階段

3 智能電網(wǎng)關鍵信息安全技術應用

信息安全技術在智能電網(wǎng)中的實際應用如圖6所示。圖6展示了火力發(fā)電網(wǎng)生產(chǎn)控制大區(qū)中，信息安全技術的相關應用。調(diào)度中心的調(diào)度命令通過工業(yè)防火墻或者隔離交換機到達生產(chǎn)控制區(qū)的服務器。服務器、操作員站、工程師站以及歷史站上部署身份認證、訪問控制和入侵檢測技術，對人員操作、通信訪問以及外部入侵進行監(jiān)控防護。從操作員站、工程師站等上位機發(fā)出的指令通過工業(yè)防火墻到達具體的DCS系統(tǒng)等下位機，執(zhí)行操作。而這些指令需要使用加密技術（如加密機）進行加密處理。信息調(diào)度區(qū)與生產(chǎn)控制區(qū)之間的工業(yè)防火墻連接管理交換機，操作員站、工程師站等上位機連接監(jiān)測審計平臺，然后接入管理交換機，最后接入安全監(jiān)管平臺由安全監(jiān)管平臺進行統(tǒng)一的安全監(jiān)管。生產(chǎn)控制大區(qū)的邊界為服務器與DCS系統(tǒng)，將其接入態(tài)勢感知系統(tǒng)，對物理環(huán)境安全和信息環(huán)境安全進行態(tài)勢感知，預防安全事故的發(fā)生。使用漏洞掃描工具對相關操作系統(tǒng)以及應用軟件進行漏洞挖掘，發(fā)現(xiàn)潛在漏洞，及時修補。

圖6 火力發(fā)電網(wǎng)生產(chǎn)控制大區(qū)中信息安全技術的相關應用

4 展望

為了確保智能電網(wǎng)可靠安全，只有設置多道安全防線，提高系統(tǒng)的入侵檢測能力、事件反應能力和快速恢復能力，從技術上實施系統(tǒng)的安全防護，形成全方位的網(wǎng)絡安全技術防護體系，使得智能電網(wǎng)信息安全走向縱深防御階段，有效應對在動態(tài)、復雜和多變的電力信息網(wǎng)絡環(huán)境下實現(xiàn)智能電網(wǎng)業(yè)務應用安全防護。