智能化變電站的信息安全防護

內蒙古電力公司 烏海電業局 余春收 余 洋

隨著通信網絡技術的發展，基于IEC61850的智能化變電站的應用也越來越廣泛。智能化變電站依靠其龐大的通信網絡體系，不僅提升了站內設備間的互換性和互操作性，也大大提高了信息系統的可靠性。但智能化變電站信息系統良好的開放性和統一報文也對信息的安全性提出了新的挑戰，一旦通信系統的某個點出現了漏洞，整個系統都會存在被破壞的危險。因此，保障電力信息系統的網絡安全非常重要。本文，筆者根據IEC6185的智能設備的特點，提出適用于智能化變電站的信息安全防護措施，期望為智能化變電站的運行提供可靠的信息安全保障。

一、智能化變電站的信息安全影響因素

網絡信息的交互一般分為產生、傳輸、使用、存儲這4 個過程。信息安全的根本目的就是保證信息在這4個過程中不被泄露或破壞。傳統安全理念認為，信息安全防護是個靜態行為。而實際上信息系統安全防護包括了進行安全評估、安全策略、實施安全措施、進行安全監視等過程，是一個閉環過程。

智能化變電站通訊環境比較復雜，需要考慮的安全環境因素繁多，智能化變電站信息流主要涉及一體化調控中心和智能化變電站，智能化變電站信息后臺到各個智能設備等環境。但是智能化變電站本身所采用IEC61850具有良好的開放性，使得其信息系統存在諸多隱患，如密碼的定義級別低或者沒有采取認證，人員的疏忽造成密碼泄露，網關服務器頻繁的訪問被竊取或修改等。因此，需要針對智能化變電站的運行特征和IEC61850 的技術特點，從系統的物理安全和軟件安全兩個方面制定信息的安全防護措施。

二、物理安全技術

虛擬網（VLAN）技術是常用的一種物理安全技術。它通過將物理的一個邏輯地址劃分成不同的廣播域（即VLAN），使同類設備都擁有獨自的VLAN，從而將智能化變電站的各類運行數據以及各種調度信息存儲于不同的節點，如將繼電保護跳閘命令設置為VLAN1，將SCADA系統信息功能設置為VLAN2等，以此類推，就實現了不同信息的安全隔離，從而降低了人為破壞或者自然災害的風險。

三、軟件安全技術

軟件安全方面技術種類比較多，技術的更新換代速度也比較快。目前電力系統內常用的有數字簽名技術和防火墻技術兩種。

1.數字簽名技術。數字簽名本身是個加密和解密的過程，它類似寫在紙上的普通的物理簽名，但是使用了數字信息的算法，通過公鑰加密領域的技術實現。在智能化變電站信息系統中，使用數字簽名的信息流主要考慮對變電站的各類運行信息，如四遙信息（遙信、遙測、遙控、遙調）、自動裝置的整定信息等的保護，這些信息一旦泄露或被篡改，就會導致電力設備的誤操作，引發電力系統事故，因此要應用數字簽名進行加密發送。

2.防火墻技術。任何嚴密的算法也可能被破解，如果能拒敵于城墻之外，不給其進入系統獲取數據，系統安全性便可大幅度提升。基于此想法，信息安全人員發明了防火墻技術。顧名思義，防火墻就是一面位于有數據溝通的終端之間的“墻”，通過TCP/IP 協議，對各種進入信息系統的數據進行甄別，合法的放行，非法的便拒之門外，從而完成對智能化變電站信息流的安全防護。一個防火墻無論實現過程多么復雜，歸根結底都是基于以下這3 種技術：包過濾技術、應用代理技術和狀態監視技術。包過濾技術是一種早期的防火墻技術，由于目前漏洞較多，容易被破解，電力系統很少使用。目前電力系統經常使用的是后兩種技術。

（1）應用代理技術。應用代理技術作為比包過濾技術更完善的防火墻技術，其代理原理是：外部網絡向內部網絡傳遞的信息需要先經過代理服務器審核，審核通過的話，再由代理服務器連接，不給內外兩邊網絡直接會話的機會，以此來避免入侵者使用數據驅動攻擊方式。但代理型防火墻最大的弊端是容易發生數據傳輸遲滯現象。這是由于代理型防火墻的所有數據連接都必須建立在為之創建的代理程序進程上，而代理進程自身是要消耗一定時間的，所以數據不能及時發送。這種延遲對于電力系統來說有時是致命的，因此此種防火墻不適宜在智能化變電站中使用。

（2）狀態監視技術。基于狀態監視技術的防火墻實際上是結合了包過濾技術和應用代理技術，它在不影響網絡正常工作的前提下，通過狀態監視模塊，根據各種過濾規則，抽取網絡信息的不同數據層進行監測，做出相應的安全決策。這種防火墻沒有使用代理進程，因此不會發生信息傳輸延誤，同時防護等級比較高，可自行制定過濾規則，漏洞少，防護機制靈活多變，因此是最先進的。但是由于實現技術復雜，一般的計算機硬件系統上實現此技術的完善防御功能，硬件要求較高。

防火墻的防護功能雖然很明顯，但是它沒有查殺病毒的功能，對與U 盤、移動硬盤等傳輸介質傳播過來的病毒束手無策。所以防火墻必須配合殺毒軟件使用，才能確保信息系統的安全。

四、結論

智能化變電站的信息安全防護工作是一項很重要問題，需要電力信息安全人員引起高度重視。要結合智能化變電站的運行特點，建立適用于智能化變電站信息的安全防護措施，確保電網的安全穩定運行。