國(guó)網(wǎng)河北省電力有限公司檢修分公司 張 賢 張煒琦 宋博言

近年全球范圍類(lèi)的大規(guī)模、大面積停電屢見(jiàn)不鮮，而不少極具影響的停電事件是由于某些國(guó)家的電力系統(tǒng)受到網(wǎng)絡(luò)攻擊引起的。2015年12月23日烏克蘭至少三個(gè)區(qū)域的電力系統(tǒng)遭到網(wǎng)絡(luò)攻擊造成大面積停電，電力中斷3～6小時(shí)，約140萬(wàn)人受到影響；2018年6月網(wǎng)絡(luò)黑客竊取了法國(guó)電力公司Ingerop逾65G文件，這些文件包括核電站計(jì)劃和千余名工作人員的個(gè)人私密信息等內(nèi)容；2019年3月7日至9日連續(xù)三天，委內(nèi)瑞拉電力系統(tǒng)遭到網(wǎng)絡(luò)攻擊導(dǎo)致了3次大范圍停電事件，全國(guó)大部分州都受到了影響；2020年4月葡萄牙跨國(guó)能源公司（天然氣和電力）EDP（Energias de Portugal）遭Ragnar Locker勒索軟件攻擊，贖金高達(dá)1090萬(wàn)美金……

這些電力系統(tǒng)網(wǎng)絡(luò)攻擊事件說(shuō)明：通信網(wǎng)絡(luò)技術(shù)的發(fā)展促進(jìn)了電力系統(tǒng)的高度智能化，但是電力系統(tǒng)網(wǎng)絡(luò)安全防護(hù)出現(xiàn)了新的、更高難度的挑戰(zhàn)。分析、預(yù)測(cè)智能變電站的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，并對(duì)風(fēng)險(xiǎn)進(jìn)行可控管理，保障變電站網(wǎng)絡(luò)系統(tǒng)的安全可靠運(yùn)行，刻不容緩。

1 智能變電站的二次系統(tǒng)結(jié)構(gòu)及網(wǎng)絡(luò)安全分析

智能變電站的主要特點(diǎn)：一次設(shè)備智能化、二次設(shè)備網(wǎng)絡(luò)化。智能變電站信息數(shù)據(jù)在采集、編碼、傳輸、存儲(chǔ)等過(guò)程全部用數(shù)字編碼。在典型的智能變電站中主要?jiǎng)澐殖扇齻€(gè)網(wǎng)絡(luò)：站控層、間隔層和過(guò)程層。站控層網(wǎng)絡(luò)使用的主要協(xié)議是IEC61850，實(shí)現(xiàn)各類(lèi)設(shè)備間的統(tǒng)一通信；間隔層應(yīng)用GOOSE通信機(jī)制常規(guī)變電站裝置之間硬接線(xiàn)的通信方式，大大簡(jiǎn)化了變電站二次電纜接線(xiàn)；過(guò)程層是一個(gè)SAV采樣值網(wǎng)絡(luò)，它的主要作用是將變電站內(nèi)一次設(shè)備的模擬數(shù)據(jù)準(zhǔn)確實(shí)時(shí)傳輸至智能終端，轉(zhuǎn)化成數(shù)字信號(hào)。對(duì)于智能變電站網(wǎng)絡(luò)而言，其中的不安全因素主要可分為人員因素、系統(tǒng)因素、環(huán)境因素、安全設(shè)備因素。

人員因素?？煞謨蓚€(gè)方面：一是管理人員網(wǎng)絡(luò)安全意識(shí)差，沒(méi)有良好的工作態(tài)度和職業(yè)素養(yǎng)。在系統(tǒng)運(yùn)行管理過(guò)程中重操作而輕管理，現(xiàn)場(chǎng)的數(shù)據(jù)配置等工作雖然準(zhǔn)確無(wú)誤，在后期管理工作中卻敷衍了事，為智能變電站網(wǎng)絡(luò)安全運(yùn)行埋下隱患[1]；二是技術(shù)人員的技術(shù)能力。智能變電站網(wǎng)絡(luò)通信是當(dāng)前科技領(lǐng)域的前沿科技，自動(dòng)化、通信、網(wǎng)絡(luò)等設(shè)備相隔不了幾年就會(huì)更新?lián)Q代，這就要求管理人員緊跟時(shí)代步伐，不斷學(xué)習(xí)新技術(shù)掌握新技能，這樣才能保證自己的技術(shù)能力滿(mǎn)足工作需求。在實(shí)際的工作中不少技術(shù)人員不能滿(mǎn)足智能變電站維護(hù)管理工作的技術(shù)要求，對(duì)于網(wǎng)絡(luò)安全問(wèn)題按照自己的方式隨意處理，增大了網(wǎng)絡(luò)安全事故的發(fā)生概率。

圖1 智能變電站二次系統(tǒng)結(jié)構(gòu)圖

系統(tǒng)缺陷。是導(dǎo)致網(wǎng)絡(luò)安全問(wèn)題的重要原因之一。目前智能變電站的通信系統(tǒng)主要應(yīng)用Unix、Vxworks、Linux等，這些操作系統(tǒng)在設(shè)計(jì)時(shí)重視功能，對(duì)安全防護(hù)有著明顯的安全漏洞：操作系統(tǒng)版本更新不及時(shí)，開(kāi)放端口、安全等級(jí)設(shè)置不嚴(yán)謹(jǐn)，易出現(xiàn)后門(mén)；傳統(tǒng)的TCP/IP協(xié)議容易遭到黑客修改。雖然系統(tǒng)的安全防護(hù)采用防火墻、禁用風(fēng)險(xiǎn)端口、優(yōu)化系統(tǒng)服務(wù)等方式進(jìn)行預(yù)防，但都屬于被動(dòng)防御。

環(huán)境因素。智能變電站網(wǎng)絡(luò)系統(tǒng)所處的環(huán)境不是孤立不變的，不可避免的與外部進(jìn)行對(duì)接，這可能會(huì)引發(fā)網(wǎng)絡(luò)安全事故。一種可能的情況，第三方人員對(duì)智能變電站系統(tǒng)進(jìn)行維護(hù)，可能會(huì)用到移動(dòng)介質(zhì)拷貝數(shù)據(jù)，這就是一種風(fēng)險(xiǎn)，很有可能引起病毒入侵或感染。還有可能外部計(jì)算機(jī)接入變電站網(wǎng)絡(luò)系統(tǒng)，虛線(xiàn)網(wǎng)絡(luò)等新技術(shù)對(duì)系統(tǒng)的威脅等，都有可能造成網(wǎng)絡(luò)病毒的侵害。一旦病毒侵入了智能變電站網(wǎng)絡(luò)，病毒就會(huì)擴(kuò)散到整個(gè)局域網(wǎng)，這樣導(dǎo)致系統(tǒng)數(shù)據(jù)變異或擁堵，造成嚴(yán)重的后果[2]。

安全設(shè)備因素。防火墻是目前智能變電站的主要網(wǎng)絡(luò)安全防御設(shè)備，由軟件和硬件設(shè)備組合而成，用來(lái)隔離智能變電站實(shí)時(shí)控制區(qū)與非控制生產(chǎn)區(qū)、外部網(wǎng)絡(luò)，保護(hù)實(shí)時(shí)控制區(qū)免受非法用戶(hù)操縱和控制。但防火墻不能防御局域網(wǎng)內(nèi)部的攻擊，包括全部它能檢測(cè)到的攻擊。隨著網(wǎng)絡(luò)技術(shù)迅猛發(fā)展，一些新的破解方法也給防火墻造成一定隱患。

2 智能變電站面對(duì)的主要攻擊形式及造成的后果

智能變電站面臨的攻擊方式多種多樣，如病毒、木馬擺渡、廣域網(wǎng)的滲透，還有針對(duì)IEC61850協(xié)議、來(lái)自GOOSE的攻擊等，以下是概率最大的幾種攻擊形式：

智能變電站設(shè)計(jì)之初，設(shè)計(jì)、配置錯(cuò)誤存在的后門(mén)。這是一種及其隱秘、潛伏性極強(qiáng)的攻擊方式，可能由邏輯自身觸發(fā)，也會(huì)受到外部指揮。這種攻擊日常管理中不易發(fā)現(xiàn)，流量分析也沒(méi)有效果；黑客們利用披露的安全漏洞進(jìn)行攻擊破壞。雖然智能變電站設(shè)備開(kāi)始運(yùn)行時(shí)經(jīng)測(cè)評(píng)是安全的，但運(yùn)行期間依然存在新的安全漏洞。2019年12月相關(guān)組織就披露了IEC61850有安全漏洞5個(gè)，包括驗(yàn)證錯(cuò)誤、拒絕服務(wù)、緩沖區(qū)溢。由于信息披露和傳播速度極快、實(shí)時(shí)性強(qiáng)，個(gè)別安全漏洞可能通過(guò)EXP腳本傳播，如果系統(tǒng)被入侵會(huì)導(dǎo)致網(wǎng)絡(luò)系統(tǒng)癱瘓、數(shù)據(jù)泄露等災(zāi)難性后果。

管理人員的錯(cuò)誤邏輯與誤操作。如果要嚴(yán)格區(qū)分的話(huà)這不是惡性攻擊，但也會(huì)引起攻擊的后果。智能變電站已不存在傳統(tǒng)的物理端子，只有邏輯端子和實(shí)端子，這些端子都是是通過(guò)智能化的方式控制的。雖然可以實(shí)時(shí)監(jiān)測(cè)，但因端子眾多梳理清楚是非常難的。還有程序的錯(cuò)誤邏輯也會(huì)引起一次設(shè)備的拒動(dòng)作和誤動(dòng)作；智能變電站設(shè)備升級(jí)、改造過(guò)程中，來(lái)自技術(shù)人員或廣域網(wǎng)中的惡意攻擊。系統(tǒng)運(yùn)行過(guò)程中設(shè)備的軟件升級(jí)和硬件改造在所難免，如安全漏洞修復(fù)、版本升級(jí)、硬件更換、業(yè)務(wù)擴(kuò)展、新增設(shè)備等。這樣的升級(jí)、改造可能導(dǎo)致系統(tǒng)設(shè)備從一個(gè)安全區(qū)域接觸到不可信區(qū)域，智能變電站系統(tǒng)就會(huì)面臨網(wǎng)絡(luò)攻擊、惡意代碼攻擊的外部環(huán)境。

社會(huì)工程學(xué)攻擊。其非常復(fù)雜，利用人性的弱點(diǎn)和本能的好奇進(jìn)行入侵，常見(jiàn)的攻擊形式有假冒身份、誘餌計(jì)劃、網(wǎng)絡(luò)釣魚(yú)等。近年社會(huì)工程學(xué)攻擊網(wǎng)絡(luò)的事件逐年上升，呈泛濫之勢(shì)，方式也越來(lái)越多樣化，造成的很大的社會(huì)影響。如果黑客攻擊與社會(huì)工程學(xué)攻擊融為一體，智能變電站網(wǎng)絡(luò)系統(tǒng)的安全性將變得更加脆弱，引起的后果也是不堪設(shè)想。

智能變電站網(wǎng)絡(luò)受到攻擊，會(huì)產(chǎn)生嚴(yán)重的后果，主要有以下情況：

智能變電站各類(lèi)數(shù)據(jù)被截獲。黑客非法獲取了智能變電站與其他站點(diǎn)傳輸?shù)臄?shù)據(jù)及變電站內(nèi)部存儲(chǔ)的數(shù)據(jù)。數(shù)據(jù)截獲雖不會(huì)影響網(wǎng)絡(luò)的正常運(yùn)行，但卻是黑客對(duì)變電站網(wǎng)絡(luò)再次進(jìn)行攻擊的基礎(chǔ)；智能變電站網(wǎng)絡(luò)中斷。遭受黑客攻擊后，智能變電站網(wǎng)絡(luò)與調(diào)度數(shù)據(jù)網(wǎng)系統(tǒng)聯(lián)絡(luò)中斷，整個(gè)網(wǎng)絡(luò)系統(tǒng)癱瘓，調(diào)度主站無(wú)法監(jiān)視變電站的實(shí)時(shí)運(yùn)行情況，調(diào)控主站的命令也不能有效執(zhí)行。變電站普遍實(shí)行無(wú)人值守的今天，如變電站發(fā)生嚴(yán)重故障得不到及時(shí)有效處理，從而使電網(wǎng)事故進(jìn)一步擴(kuò)大，造成的經(jīng)濟(jì)損失和社會(huì)影響是異常嚴(yán)重的。

智能變電站數(shù)據(jù)篡改。黑客侵入智能變電站網(wǎng)絡(luò)后對(duì)站內(nèi)關(guān)鍵數(shù)據(jù)進(jìn)行惡意篡改，如修改開(kāi)關(guān)遙信信息，導(dǎo)致站內(nèi)開(kāi)關(guān)遙信點(diǎn)號(hào)和主站遙信點(diǎn)號(hào)不一致，主站的遙控命令執(zhí)行錯(cuò)亂；智能變電站受控于人。黑客入侵智能變電站網(wǎng)絡(luò)并完全控制了整個(gè)變電站的運(yùn)行，調(diào)控主站完全失去監(jiān)視、控制能力。這種情況發(fā)生，智能變電站只能任由黑客控制和操縱，引起的嚴(yán)重后果不堪設(shè)想。

3 智能變電站網(wǎng)絡(luò)安全管理策略

國(guó)家層面的網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0標(biāo)準(zhǔn)于2019年12月1日已正式實(shí)施，該標(biāo)準(zhǔn)強(qiáng)調(diào)主動(dòng)防御，并對(duì)工業(yè)控制系統(tǒng)提出了針對(duì)性的防護(hù)要求。在執(zhí)行國(guó)家標(biāo)準(zhǔn)基礎(chǔ)上，按照電力系統(tǒng)網(wǎng)絡(luò)安全防護(hù)“安全分區(qū)、網(wǎng)絡(luò)專(zhuān)用、橫向隔離、縱向認(rèn)證”的總原則，可將智能變電站劃分為生產(chǎn)管理區(qū)、實(shí)施監(jiān)控區(qū)、非控制生產(chǎn)區(qū)、外部網(wǎng)絡(luò)等。下面從五方面介紹智能變電站網(wǎng)絡(luò)安全管理策略。

強(qiáng)化智能變電站網(wǎng)絡(luò)安全管理。確保智能變電站的網(wǎng)絡(luò)安全，首先要強(qiáng)化計(jì)算機(jī)網(wǎng)絡(luò)的安全管理。計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)有很多方面不完善，因此技術(shù)管理人員需加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全管理，加大監(jiān)管力度，發(fā)現(xiàn)問(wèn)題馬上處理。管理人員可利用入侵檢測(cè)技術(shù)，綜合人工智能、統(tǒng)計(jì)、密碼等相關(guān)學(xué)科技術(shù)，防止變電站網(wǎng)絡(luò)被黑客入侵；其次加強(qiáng)移動(dòng)介質(zhì)的管理，不使用無(wú)線(xiàn)聯(lián)網(wǎng)及外部網(wǎng)絡(luò)，避免病毒入侵變電站內(nèi)部網(wǎng)絡(luò)；其三，利用符合電力系統(tǒng)的高規(guī)格防病毒軟件并保持最新版本，防止內(nèi)部網(wǎng)絡(luò)的病毒擴(kuò)散或惡意代碼攻擊，進(jìn)而影響網(wǎng)絡(luò)安全運(yùn)行。

綜合部署安全防護(hù)設(shè)備。安全防護(hù)設(shè)備主要包括防火墻、物理隔離、縱向認(rèn)證裝置等設(shè)備。防火墻部署在實(shí)時(shí)控制區(qū)與非控制生產(chǎn)區(qū)之間及生產(chǎn)管理區(qū)與外部網(wǎng)絡(luò)之間，實(shí)現(xiàn)區(qū)域的邏輯隔離、報(bào)文過(guò)濾、訪(fǎng)問(wèn)控制等功能。電力專(zhuān)用物理隔離裝置是非控制生產(chǎn)區(qū)與生產(chǎn)管理區(qū)的必備邊界，具有最高的安全防護(hù)強(qiáng)度，是橫向防護(hù)的要點(diǎn)。非控制生產(chǎn)區(qū)與生產(chǎn)管理區(qū)之間部署正向物理隔離裝置，負(fù)責(zé)單向數(shù)據(jù)傳遞。縱向認(rèn)證加密裝置用于實(shí)時(shí)控制區(qū)與非控制生產(chǎn)區(qū)的廣域網(wǎng)邊界防護(hù)，實(shí)現(xiàn)本地包過(guò)濾功能以及廣域網(wǎng)通信提供認(rèn)證與加密功能，保證數(shù)據(jù)傳輸?shù)臋C(jī)密性、完整性。

廣泛應(yīng)用身份認(rèn)證技術(shù)。在智能變電站網(wǎng)絡(luò)系統(tǒng)中，通過(guò)對(duì)用戶(hù)身份的認(rèn)證可避免非法用戶(hù)對(duì)高于其權(quán)限的資源進(jìn)行訪(fǎng)問(wèn)，由此達(dá)到數(shù)據(jù)安全目的。基于CA的身份認(rèn)證機(jī)制比較常見(jiàn)，每個(gè)網(wǎng)絡(luò)的證書(shū)都是由CA中心分發(fā)并簽名確認(rèn)，證書(shū)包含公開(kāi)密鑰，CA除了對(duì)證書(shū)進(jìn)行簽發(fā)，還可管理證書(shū)和密鑰。

廣泛應(yīng)用防病毒技術(shù)。病毒防范是保證智能變電站網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行的一種非常重要的技術(shù)措施。網(wǎng)絡(luò)病毒危害性大、破壞力強(qiáng)，必須采取安全、可靠、有效的防病毒方法，如基于服務(wù)器的防病毒技術(shù)、基于網(wǎng)絡(luò)目錄和文件的安全性方法、實(shí)施反病毒技術(shù)、工作站防病毒芯片等。

信息安全評(píng)估。是智能化變電站的一個(gè)重要特征。信息安全評(píng)估應(yīng)用云計(jì)算、層次分析模型、模糊評(píng)價(jià)等統(tǒng)計(jì)學(xué)方法實(shí)現(xiàn)，對(duì)變電站網(wǎng)絡(luò)安全的事前控制異常關(guān)鍵。