智能變電站通信網絡安全技術研究

許勇剛 馮揚 張崇超

摘 要：文章通過分析智能變電站現有IEC61850體系的結構，針對安全問題和需求，提出了總體設計方案來加強變電站網絡安全性。主要包括網絡準入系統和運維審計系統，對兩者的理論和實現進行了研究討論，為智能變電站信息化安全建設提供了一種解決辦法。

關鍵詞：IEC61850 協議；網絡準入；運維審計；部署實現

引言

目前，智能變電站系統基本都采用了IEC61850規約統一建模，為保證變電站系統的數據安全和正常運行，國家電網公司逐步部署了一些網絡安全設備和相關管理辦法，加強智能變電站信息系統自動監測和安全防護工作。

1 研究現狀

1.1 現狀分析

在IEC61850規約中，將智能變電站系統劃分為站控層、間隔層、過程層三個層面。其中，站控層、間隔層設備構成與常規綜合自動化變電站差異不大，但功能及網絡結構發生了較大的變化，主要是實現了信息統一建模，統一了數據模型，實現設備之間的互連互通。過程層（設備層）主要是電子互感器及合并單元，配置智能化一次設備。[1]典型的智能變電站系統網絡部署邏輯結構示意圖如圖1。

圖1 智能變電站系統網絡部署邏輯結構

1.2 網絡安全問題分析

由于智能變電站內部工作人員，運維人員較少，站內系統的網絡與計算機系統故障無法及時處理，需要各系統廠家人員至現場進行調試，導致站內網絡接入員管控難。

智能變電站內系統網絡與計算機系統缺少準入管控手段，對于接入各層網絡進行運維調試操作的設備尚沒有規范的管控手段；

智能變電站內系統運維操作沒有審計管控手段，內外部人員、第三方人員接入網絡進行測試、調試和運維操作缺乏技術管控、審批和核實手段。

1.3 需求分析

目前，變電站安全防護措施很少，主要是嚴格按照電力二次系統安全防護相關規定[2]。變電站的運行管理部門，運維檢修部對網絡安全認識不足，特別是對工業控制網絡存在的安全隱患了解很少。變電站層主機、交換機網絡訪問接入控制缺乏技術手段與管理措施。[3]若運維人員接入內網的設備感染病毒，可成為攻擊變電站的跳板，能導致監控后臺、保護測控的全面癱瘓。

2 總體設計

針對智能變電站站內運行安全管理所面臨的問題，構建站內運維管理機制。基于準入系統和運維操作審計，構建站內工作審批、審核和校核的工作機制，減小誤操作、違規操作對變電站內的影響。

2.1 加強對站內網絡的接入控制，實現對所有設備網絡接入的準入控制。通過準入控制系統，確保向在運行的站內網絡接入任何設備時，都需要進行準入審批。只有經過身份驗證、健康檢查的設備才能接入站內系統。

2.2 加強對站內運行操作的審計與管控，實現對所有站內設備運維操作的記錄和審核。通過運維操作審計系統，確保在站內進行運維操作的人員獲得授權，確保運維操作有記錄可審核。

3 準入系統

準入控制系統是確保，在運行的站內網絡接入任何設備時，都需要進行準入審批。只有經過工作核準、健康檢查的設備才能接入站內系統開展工作。

準入控制系統以分布式部署、集中管理為基礎設計思想，范圍界定于終端用戶信息管理、終端設備信息管理、終端健康管理、監測設備管理、網絡設備信息管理、IP管理六大業務內容，實現一體化平臺基礎上統一的準入控制系統監測平臺。主要功能如下：

3.1 主機健康檢查

終端首次接入網絡時，強制下載主機健康檢查插件，掃描終端健康狀況，檢查規定軟件是否安裝到位，特征庫是否及時更新。對不合規終端放入隔離區，禁止與內網通訊。這樣既確保終端設備的安全性，又保證了信息內網的安全。

3.2 實名準入控制

Web界面強制認證，對網絡內的用戶進行統一帳號管理，對用戶訪問網絡資源時進行統一認證、統一授權和對用戶訪問網絡的行為進行事后統一審計。事后統一審計包括記錄用戶何時、通過哪臺終端、以何種方式接入網絡，訪問了或試圖訪問了哪些資源，并于何時退出網絡，管理員可以方便的查詢任意一個或者一批用戶的活動記錄并生成相應的報表。

3.3 原有認證

對于已有用戶認證機制的網省公司，如AD域、ED、802.1x或Radius認證等，監測子系統在不改變原有認證服務的情況下，實現與已有認證服務器用戶信息的聯動。監測子系統在用戶認證過程中只承擔認證轉發和讀取功能，這樣既保持原有認證機制，又能實現新的監測系統的用戶認證。

3.4 IP統一管理

對固定IP實行中心下發的管理方式，可以防止用戶私改IP、私設IP。在動態IP環境下，還隨時定位到人。對每個人不同時候得到的IP進行審計。并可以圖形化顯示交換機所有端口使用狀況，如：有無終端通信、端口下接幾個終端、各自的IP地址/MAC/用戶ID等。定位IP接入網絡的交換機及端口。

4 審計系統

運維操作審計系統是用于確保在站內進行運維操作的人員獲得授權，確保運維操作合法合規，并有記錄可追溯審核。

4.1 自然人審計

由于網絡及應用的復雜化，孤立的設備日志無法直接與用戶身份關聯在一起，不利于問題分析、處理。通過有效的關聯，準確地判斷出用戶的身份和屬性，從而將操作行為和自然人進行對應。

平臺需要將系統層的日志、數據庫日志、應用層的日志及網絡數據和實際用戶關聯起來，對不同用戶之間的操作的日志進行關聯審計，區分不同用戶行為。

4.2 資源審計

資源審計主要實現對審計主體（人）、審計客體（資源）和審計動作（行為）的管理，平臺以自動的方式提取審計基礎信息，并且根據需要進行定期更新。

審計結果需要和資產進行關聯，以實現事件和資產的對應，直觀地為相關系統管理人員、安全人員提供系統的安全狀況。

資源審計具備審計主體、審計客體和審計動作的增加、修改、刪除和查詢功能，并能夠在創建審計策略、審計信息查詢時被引用。

4.3 行為審計

通過審計平臺，在網絡事件中審計出用戶操作行為，將系統層日志、數據庫日志、應用層日志及網絡數據進行相互關聯，尤其是所有對財務數據相關的關鍵系統數據的訪問、修改和刪除等，進行全程記錄再現用戶的完整操作過程。

能夠依據日志或網絡數據生成用戶操作行為，依據模型能進行準確的異常行為檢測。對不規則或頻繁出現的異常事件進行統計分析、過濾等，提供自定義查詢功能。

操作行為分析還要具備安全事件的關聯能力，要能夠將來自不同設備的海量日志關聯為準確的操作行為，并能對特定安全事件進行還原。

圖2 智能變電站運行安全管控系統總體技術架構

5 總體部署

智能變電站系統運行安全管控系統由準入控制、運維審計和運行安全管控系統三部分構成。總體技術架構圖如圖2。

網絡準入控制實現了對站控層在線資產的清晰管理，一旦有新的設備需要部署上線，首先需按照管理要求進行安全檢查，只有完成安全檢查的設備才能獲得網絡準入；其次對于臨時接入設備需要控制其工作時間，確保在完成任務后設備退出網絡；第三對于新入網設備，需要經過工作流程才能獲得網絡準入，防止網絡私自接入。

運維操作審計裝置部署在站控層，實現對站控層運維操作的集中統一管理。即所有的運行維護操作，均由運維操作審計堡壘機代理執行。運維操作審計裝置可以控制運維操作用戶權限，確保運維人員只能對規定任務對象進行運維操作，并可全面記錄字符終端、圖形終端以及文件傳輸等運維操作的情況；此外，通過策略設置，還可以杜絕高危操作。

6 結束語

智能變電站二次系統的防護目標是抵御黑客、病毒、惡意代碼等通過各種形式對變電站二次系統發起的惡意破壞和攻擊，以及其它非法操作，防止變電站二次系統癱瘓和失控，并由此導致的變電站一次系統事故。安全防護體系將在原有系統基礎上增加準入和審計系統，從安全預防的角度提高網絡安全，實現智能變電站的整體安全要求。

參考文獻

[1]莫峻，譚建成.基于IEC61850的變電站網絡安全分析[J].電力系統通信，2009.

[2]張清枝，魏勇，趙成功. 變電站網絡化二次系統關鍵技術研究及應用[J].電力系統保護與控制，2009.

[3]黃覺慧.變電站五防系統安全管理及模式探討[J].中國新技術產品，2011.

作者簡介：許勇剛（1974-），男（漢），陜西寶雞人，本科，高級、計算機軟件。

馮揚（1980-），女（漢），湖北武漢人，碩士， 中級，電力網絡信息安全。

張崇超（1987年-），男（漢），碩士， 山東聊城人，信息安全、電網安全。