面向智能變電站的安全防護技術研究

趙清林，丁 偉

（1.內蒙古電力（集團）有限責任公司 鄂爾多斯電業局，內蒙古 鄂爾多斯 017200；2.華北電力大學 電氣與電子工程學院，北京102206）

面向智能變電站的安全防護技術研究

趙清林1，丁 偉2

（1.內蒙古電力（集團）有限責任公司 鄂爾多斯電業局，內蒙古 鄂爾多斯 017200；2.華北電力大學 電氣與電子工程學院，北京102206）

針對智能變電站系統的特點及其存在的安全風險，從系統的訪問控制、通信數據加密以及數據容災3個方面對智能變電站系統安全防護技術進行研究，分別采用結合信任管理的動態訪問控制模型，一時一密數據加密傳輸方案和基于持續數據保護（Continuous Data Protection，CDP）技術的數據容災系統，有效地防止權限提升威脅和避免網絡欺詐，增強了數據傳輸的安全性，提高了智能變電站系統抵御災難和防范系統故障的能力。

智能變電站系統；安全防護；訪問控制；數據加密；數據容災

智能變電站系統是智能電網的重要組成部分，承載了變電設備狀態監測、電網運行數據及相關信息的實時采集以及變電設備的自動控制等任務。其作為各種控制行為的最終執行者，為電力自動化系統提供了可靠的數據來源。因此，智能變電站系統的安全必須得到切實保障。一旦有任何第三方侵入變電站系統，對變電站實時數據進行攔截、篡改或偽造，都有可能造成繼電保護系統和各種開關裝置的誤動、拒動，進而嚴重威脅智能變電站系統的安全穩定運行，甚至導致發生多重故障或連鎖性故障所引起的大面積停電事故[1-2]。

目前國內尚未針對智能變電站系統制定明確的信息安全標準。大多數智能變電站系統只是依據電力二次系統安全防護方案所提出的“安全分區、網絡專用、橫向隔離、縱向認證”原則進行相應部署[3-5]。

為保證智能變電站系統的穩定運行，確保信息安全，從系統的訪問控制、數據加密以及數據容災3個方面設計了智能變電站網絡系統安全防護方案。該技術方案針對智能變電站系統面臨的安全風險，采用了結合信任管理的動態訪問控制、一時一密的數據加密傳輸和基于CDP技術的數據容災方案，確保智能變電站的安全運行和業務數據的安全可靠，進而實現安全防護水平的整體提升，為智能變電站的管理提供了強有力的安全防護支撐。

1 智能變電站系統架構及安全風險分析

1.1 系統架構

智能變電站系統從邏輯上可以分為站控層、間隔層和過程層[6-7]。其中站控層主要由站內監控系統、保護信息子站系統、五防系統，遠動系統和報文檢測系統構成，其主要功能是通過間隔層對智能變電站的整體實時運行情況進行全方位的掌控和控制，進行信息收集存儲、計算分析以及與其他調度中心聯系；間隔層設備一般指繼電保護裝置、測控裝置等二次設備，主要包括測控裝置、故障錄波、計量裝置、錄波裝置、備用電源等，作為智能變電站系統承上啟下的重要組成部分，其功能為一次設備的保護控制、實時信息匯總、操作閉鎖和優先級控制；過程層包含由一次設備和智能組件構成的智能設備、合并單元和智能采集終端等，主要完成變電站實時電氣量的測量及運行設備的狀態參數檢測，操作控制的執行與驅動等相關功能[8]。

智能變電站系統通信網絡以快速的以太網多播報文為基礎，主要包括站控層網絡和過程層網絡。網絡中主要包括采樣值（Sample Value，SV）服務和通用的面向對象的變電站事件 （Generic Object Oriented Substation Event，GOOSE）服務。SV服務主要用于將一次設備采集到的大量模擬量信息上傳。GOOSE服務主要用于傳輸開關量信息，包括跳閘保護命令和設備聯閉鎖信息等，實現保護之間信息交換和監控間隔聯閉鎖功能。

1.2 安全風險分析

智能變電站通信系統及傳輸數據的安全防護，是保證智能變電站乃至智能電網安全可靠穩定運行的關鍵。隨著工業以太網在智能變電站中的廣泛應用，使得智能變電站正面臨著TCP/IP協議帶來的更大的安全威脅[9]。該協議的缺點包括：1）明文傳輸，導致遠動的遙測、遙信、遙控信息以及電量信息很容易被截獲或篡改；2）缺乏認證機制，使得非法訪問變電站系統、中斷系統、冒充重放虛假命令均成為可能。

智能變電站系統的安全威脅不僅來自變電站所連接的外部網絡，而且與其內部的組網方式密切相關。其所面臨的安全威脅主要包括:

1）截獲。非法獲取智能變電站系統內部下發的指令信息或與其他系統之間的交互信息。

2）中斷。切斷變電站與其他電力系統之間的通信或干擾變電站內部的指令執行，導致調度主站無法了解變電站的運行工況，各種控制命令也無法正確下達執行。

3）篡改。非法更改變電站內遙控、遙調和保護裝置及其他自動裝置的整定值信息或變電站與其他系統之間傳輸的信息，導致變電站系統內部崩潰或使調度主站獲得錯誤的運行狀況。

4）權限提升威脅。非法用戶利用智能變電站普遍缺乏有效身份認證和授權機制的缺陷，在變電站系統上跨權限執行非法指令，以及繞過五防系統非法執行指令，導致站內系統癱瘓，甚至引起連鎖事故。

2 智能變電站系統安全防護方案

智能變電站系統是涉及多種通信信道、多個網絡區域、多個應用層面的業務管理與控制系統，對安全性具有極高的要求。尤其是數據采集、數據處理、數據分析、數據展示、設備管理、系統管理等功能，涉及到整個智能變電站系統乃至智能電網的運行安全。為了提升智能變電站網絡系統的整體安全防護水平，針對智能變電站的信息安全風險，需要從系統的各個層面和角度進行綜合的考慮。

傳統的安全防護方案主要包括安全分區、部署防火墻、部署入侵檢測系統等措施，然而隨著智能變電站建設的推進，僅僅依靠這些防護措施已不能保證智能變電站系統的安全運行。為防止非法終端侵入站內網絡，從而影響變電站系統的安全，甚至電力調度網絡的正常工作，在傳統安全防護措施的基礎上，文中提出從系統的訪問控制、通信數據加密以及數據容災3個方面對智能變電站系統安全防護進行研究。

2.1 訪問控制

訪問控制用來避免變電站系統內部各種資源被不可識別的系統和未授權的用戶使用[10]。幾乎所有的變電站運行都需要某種策略來實現節點間的安全交互，從而保證智能變電站系統安全、有效、正確地運行。為此，文中采用一種結合信任管理的動態訪問控制模型，將終端的安全狀況考慮在內，同時結合信任管理技術，動態調整訪問控制策略，有效地防止權限提升威脅和避免網絡欺詐。

圖1為動態訪問控制的具體流程：

1）用戶在登錄端提交用戶名、密碼等帳戶信息；

2）智能變電站通信系統將賬戶信息轉發給賬戶審核模塊，然后調用用戶資料庫進行審核，若賬戶信息合法，則返回資源列表，否則，返回錯誤信息；

3）審核通過后，智能變電站系統的訪問控制模塊采用基于挑戰應答的數字證書驗證機制對用戶的USB KEY和系統密碼機進行身份合法性驗證；

4）身份驗證通過后，向角色映射模塊提交請求，角色映射模塊調用角色庫返回角色信息；

5）訪問控制模塊將角色信息以及用戶提交的安全狀況信息轉發給角色激活模塊，進而由信任評估模塊計算出用戶終端的信任度[11]，角色激活模塊根據返回結果首先判斷用戶登陸系統的信任度是否滿足智能變電站系統規定的閾值要求，若滿足，則激活用戶角色，并將結果返回給訪問控制模塊，否則返回權限不足；

6）訪問控制模塊根據激活信息向用戶返回相應的應用資源，用戶對智能變電站系統進行信息配置等操作。

圖1 結合信任管理的動態訪問控制模型

2.2 數據加密

智能變電站系統中很多通信數據有很高的敏感度，大部分數據都是采用明文的形式進行傳輸。這樣的通信方式給智能變電站的安全帶來了極大的威脅，為此文中采用一時一密的加密傳輸機制，能夠極大的保護原始數據的機密性和完整性[12]。

在一時一密的加密傳輸機制中，所有終端和主站既不保存密鑰，也沒有固定的密鑰。為了便于管理，采用集中式的密鑰管理方式，即由密鑰分配中心（Key Distribution Center，KDC）負責密鑰的生成、分配和銷毀。主站根據變電站系統的安全狀況，每隔一段時間向KDC請求分發密鑰。由密鑰生成器生成一個隨機密鑰，然后通過安全信道送到終端，從而使雙方能夠進行加密通信。

智能變電站系統多采用UDP協議進行通信，為此只需要在主站端和終端分別加入加、解密模塊，即可實現一時一密的加密傳輸機制。文中數據加密是在主站端和終端已經相互認證成功的基礎上進行的，圖2為數據加密傳輸的具體過程。

1）隨機密鑰的生成。密鑰生成器接收到主站的請求后，將密鑰隊列的第一個隨機密鑰發到主站，然后根據主站端的定時參數再生成一個隨機密鑰加到隊尾，以此降低密鑰分發的時延。

2）隨機密鑰的分發。隨機密鑰使用私鑰進行加密，同時加上摘要，降低隨機密鑰被截獲或篡改的風險，保證密鑰傳輸的安全性和完整性；

3）密鑰的檢查。終端收到主站通過安全通道發來的隨機密鑰和摘要后，要進行密鑰完整性檢查。如果出現差錯，則丟棄密鑰；若完整無誤，則說明密鑰有效，發送密鑰啟動標志字；

4）加密傳輸。通信雙方確認該密鑰的使用后，使用該密鑰進行數據的加密傳輸。

圖2 數據加密

在上述加密傳輸過程中，將對稱加密算法應用于大量用戶數據的加密，避免影響生產控制信息的實時性要求。將非對稱加密算法用于通信雙方的認證和加密傳輸對稱密碼密鑰等數據量小且安全性要求高的數據加密，其公用體制可以有效地避免密鑰在傳輸過程中的問題，提高其安全性。

2.3 數據容災

數據的備份存儲和容災恢復是智能變電站系統不可缺少的一部分。傳統的數據容災系統中，為了避免系統故障和數據丟失，主要有兩種方案：1）采用數據復制、備份、恢復等數據保護技術，定時地進行數據備份和復制，然而周期性備份數據仍然存在著恢復時間點少、恢復周期長、數據丟失量大和對智能變電站運行系統影響大等問題；2）利用高速的存儲區域網絡（Storage Area Network，SAN）建立異地容災系統，由于SAN的結構允許任何服務器連接到任何存儲陣列，不管數據存放在何處，服務器都可直接存取所需的數據。然而其高成本、復雜性的問題，限制了其發展和應用[13]。

CDP通過無縫恢復技術實現在故障瞬間完成對任何時間點數據的快速恢復，從而保證業務的連續性，從根本上解決傳統備份方法恢復能力低和恢復時間點不準確的不足[14-15]。CDP可以為智能變電站系統提供足夠密的恢復時間戳，能夠有效地降低數據丟失量和數據恢復時間。系統管理者無須關注數據的備份過程（因為CDP系統會不斷監測關鍵數據的變化，從而不斷地自動實現數據的保護），而是僅僅當災難發生后，簡單地選擇需要恢復到的時間點即可實現數據的快速恢復。

為了保證智能變電站系統的安全性，防止系統故障或災難發生，利用CDP技術將數據保護放置在遠程，建立起更為強大的異地容災系統。只需在變電站系統主站和異地容災站點分別部署一臺CDP服務器，利用其塊級精簡復制功能，即可在異地容災站點獲得主站端所有時間點的數據。其基本架構如圖3所示。

1）主站端把CDP服務器接入到以太網中，將生產數據鏡像到CDP服務器中，并通過以太網進行管理。在系統主站端，CDP服務器通過旁路接入到變電站網絡中，不會影響現有的網絡拓撲結構，而且通過鏡像備份方式將數據映射到CDP服務器，也不會干擾變電站系統的正常運行；

2）主站端CDP服務器利用精簡帶寬復制技術，將生產運行等數據傳輸到異地容災站點端的CDP服務器。獨特的基于扇區的檢測和傳輸機制將傳輸的最小數據單元縮小到512字節，使得極低的帶寬能承載大量的數據，大大節省了帶寬，降低了異地容災的成本；

3）異地容災站點的CDP服務器接收來自主站端CDP鏡像過來的數據后，可直接進行磁帶出庫，置放到符合保存條件的防磁，防潮，恒溫環境中進行長時間保存。由于主站端和容災站點的兩個CDP服務器都配置255份歷史快照，可輕松實現容災站點多歷史點的保護。

上述容災機制采取了多時間點連續自動快照技術，即利用快照緩存，對于時間點變化之后的數據塊，將其處在原始時間戳的數據進行保存，如果需要該數據則系統直接退回到該時間點即可，可快速輕松地實現歷史數據的瞬間恢復，從而保證數據恢復、查詢等工作的快速運行。

CDP技術的使用可以實現系統數據的實時快速恢復，使用戶利用非常有限的投入，就能保證智能變電站系統獲得完善可靠的災備性能，全方位地將智能變電站系統置于嚴密的保護之下，降低系統故障或其他自然災難帶來的風險。

圖3 基于CDP的異地容災系統

3 結束語

通過對智能變電站系統所面臨的安全問題進行詳盡分析，得出其正面臨著截獲、中斷、篡改和權限提升等威脅。為此，從智能變電站系統的訪問控制、數據加密和數據容災3個方面對智能變電站的安全防護進行研究，從而降低其安全風險，保證智能變電站的正常運行。該保護方案已在智能變電站系統中試用，具有一定的使用推廣價值。本文的創新點主要包括:

1）采用一種結合信任管理的動態訪問控制模型，將終端的安全狀況考慮在內，同時結合信任管理技術，進行動態的角色分配，有效地防止權限提升威脅和避免網絡欺詐。

2）采用一時一密的加密傳輸方案，使得密鑰更新和維護更加方便，不用保存、備份密鑰，解決了泄漏密鑰吊銷銷毀難的問題。

3）提出基于CDP技術的異地容災系統，實現了系統數據的實時快速恢復，增強了智能變電站抵御災難和防范系統故障的能力。

[1]劉婷.智能變電站信息安全管理方法研究 [D].河北：華北電力大學，2013.

[2]鄒春明，鄭志千，劉智勇，等.電力二次安全防護技術在工業控制系統中的應用 [J].電網技術，2013，37（11）:236-241.

[3]侯偉宏.數字化變電站系統的可靠性與安全性研究[D].上海：上海交通大學，2010.

[4]莫 峻，譚建成.基于IEC61850的變電站網絡安全分析[J].電力系統通信，2009，30（198）:12-16.

[5]王向群，黃治.智能變電站中的通信安全技術[J].電力系統通信，2012，33（238）:70-74.

[6]李濤，楊桂丹.智能變電站二次安全防護系統設計與應用研究[J].電氣應用，2013，32（1）:26-29，68.

[7]許勇剛，馮揚，汪爽.智能變電站信息安全防護體系研究[J].電子測量技術，2014，37（6）:135-142.

[8]翟峰，岑煒，趙兵，等.智能變電站系統安全防護技術研究[J].自動化與儀表，2015，3:6-9.

[9]丁國忠.變電站安全風險評估與控制策略研究[D].北京：華北電力大學，2010.

[10]高鵬祥.基于信任和角色的動態訪問控制模型的研究和設計[D].天津：天津大學，2014.與應用[J].交通與計算機，2006，24（4）：5-8.

[9]Zhang Y J，Okamura S.New density-independent moisture measurementusing microwave phase shifts at tw o frequencies[J].IEEE Transactions on Instrumenta tio n and Measurement，1999，48（6）: 1208-1211.

[10]李玉忠.微波水分測量技術發展歷史及微波水分計制造業現狀[J].分析儀器，2006（3）:49-53.

[11]Kim K B ，Kim J H.Measurement of g rain moisture content using microwave attenuation at 10.5 GHz and moisture density[J].IEEE Transactions on Instrumenta tion and Measurement，2002，52（1）:72-77.

[12]Jo hnm O.A history of microw ave heating applications[J].IEEE Transactio ns on Microwave and Techniques，1984，32（9）:1200-1224.

[13]陸靜霞.基于電容式傳感器的糧食水分測量儀的研究[J].農機化研究，2005（6）:122-123.

[14]翟寶峰，梁清華.檢測糧食水分用的電容式傳感器[J].傳感器技術，2003，22（2）:29-31.

[15]蔡利民，孔力.圓筒形電容式糧食水分傳感器的數學模型與影響因素分析 [J].分析儀器，2009（1）:49-52.

[11]吳慧，于炯，于斐然.云計算環境下基于信任模型的動態級訪問控制[J].計算機工程與應用，2012，48（23）:102-106.

[12]宋磊，羅其亮，羅毅，等.電力系統實時數據通信加密方案[J].電力系統自動化，2004，28（14）:76-81.

[13]紀芳.CDP在電力容災系統中的應用[J].東北電力大學學報，2010，30（6）:95-98.

[14]謝舟，金政哲.基于CDP的數據容災系統設計與實現[J].廣州大學學報：自然科學版，2012，11（5）: 78-81.

[15]厲劍，廉國斌，黃棟.數據容災系統與CDP技術[J].計算機技術與發展，2009，19（1）:168-171.

Research on security protection technologies for intelligent substation

ZHAO Qing-lin1，DING Wei2
（1.Erduosi Power Supply Company of Inner Magnolia Power Group，Erduosi 017200，China；2.School of Electrical and Electronic Engineering，North China Electric Power University，Beijing 102206，China）

According to the characteristics and existing security risk of the smart substation system，researches of safety protection are addressed from the system access control，communication data encryption and data recovery.An access control model combined with dynamic trust management，a one-key-at-a-time data scheme of encryption transmission and a data disaster tolerance system based on CDP technology are adopted.These technologies effectively prevent the privilege escalation and network fraud，enhance the security of data transmission，and improve the ability to resist disaster and prevent system failure of the intelligent substation system.

intelligent substation system；security protection；access control；data encryption；data disaster tolerance

TN0

：A

：1674－6236（2017）01-0128-04

2015-12-28稿件編號：201512285

趙清林（1991—），男，遼寧錦州人，助理工程師。研究方向：電力系統自動化及繼電保護。