智能變電站控制系統網絡行為合規性檢測技術研究

林 楠，楊 浩，章玲玲，肖勇才，歐陽文華

0 引言

目前我國變電站自動化水平正在穩步上升，變電站智能化程度也日益提高，變電站操作動作對變電站的安全運行至關重要，2017年起，國家電網公司加大了對電力關鍵信息基礎設施網絡安全工作力度，對調度自動化系統網絡安全防護提出了更高的要求。基于變電站控制系統網絡的設備動作特點，可以將變電站的動作合規性劃分為操作流程合規性以及網絡行為合規性兩方面，研究網絡行為合規性對防范智能變電站網絡攻擊有較大的現實價值。

1 網絡行為合規性審計技術的研究

網絡行為審計技術的核心思想是對用戶所有的網絡操作進行實時監控和記錄，并對記錄結果進行分析，并依據規則庫中存儲的規則，判定行為是否合規，對于不合規的行為進行阻截。網絡行為從計算機角度來看，就是一些傳輸的計算機指令，這些指令再按照規定的網絡協議格式封裝后被傳輸到指定的設備上。因此，該技術在實現上采用行為監控代理方式對用戶的網絡行為進行監控和轉發，并在轉發的過程中分別模擬了網絡行為的用戶端與服務端。

網絡行為審計技術除了對網絡傳輸過程中的協議進行審計和監控外，還可以對行為合規性進行檢查，即在審計過程中依據操作規程對行為操作的業務特性進行審計，以確保行為操作的合規性，防止內部人員的誤操作。

基于上述的網絡行為審計技術的核心思想，設計了網絡行為審計系統的總體框架，用于實現工業控制網絡協議的會話數據的記錄、轉發、禁止命令的控制。總體框架如圖1所示。

圖1 網絡行為審計系統總體框架

網絡審計系統代理模塊總體包括連接控制與登錄認證模塊、會話轉發模塊、命令記錄模塊、命令過濾模塊、會話中斷模塊、架構配置模塊和業務規范性模塊7部分，當用戶開始進行網絡行為操作時，網絡審計代理模塊首先調用連接控制與登錄認證模塊，對用戶進行身份認證及權限檢查；當用戶通過認證后，網絡審計代理會與用戶客戶端之間進行標準的協議協商，并建立會話，同時網絡審計代理模塊也與后臺相應的服務器進行標準的協議協商并建立相應的會話。這時系統就可以接收用戶的命令操作，并通過調用會話轉發模塊將合法的命令操作轉發給后臺的服務器。同時，網絡行為審計會話代理模塊通過調用命令記錄模塊、命令過濾模塊、會話中斷模塊來完成記錄、控制、禁止用戶通過協議進行的字符命令操作。并采用正則表達式匹配過濾技術對各類命令進行控制。

命令過濾模塊在整個網絡行為審計系統的代理模塊中是最為重要的功能模塊之一，它負責維護用戶命令行為的合規性，是整個網絡行為審計系統的關鍵模塊，其內部執行流程如圖2所示。

圖2 命令過濾執行流程

為了提高系統的審計效率，從圖2中可以看出，整個審計過程采用了合規行為列表與非合規行為列表相結合進行審計的策略，對于存在于合規進程列表的行為，則直接進行放行，不再進行合規性判定；對于存在于非合規進程列表的行為，則直接進行阻斷，也不需要再進行合規性判定。合規行為列表與非合規行為列表的結合，使得命令過濾模塊形成了3種審計模式，對用戶發送的命令信息進行3步判斷：第1步，通過正則表達式判斷該命令及其參數是否在合規行為列表中，如果存在，則直接允許改命令執行；否則進行第2步，通過正則表達式判斷該命令及參數是否在非合規行為列表中，如果存在，則直接阻斷該命令執行，否則需要進行第3步，即判斷命令及其參數的合規性，最后對用戶命令及其參數合規性的判定取決于管理員的本地硬件確認技術，即根據審計管理員對用戶命令合規性的判定結果決定放行或阻止命令運行。

網絡行為審計技術基于審計代理，在代理程序中旁路數據到內存或數據庫中進行監控和審計，同時提供給審計人員控制、審計接口，供審計人員控制操作員的操作。配合登錄認證機制和業務操作合規性管理機制，確保網絡行為發起者身份的合規性和操作的合規性，實現對網絡用戶身份的合規性、行為的合規性和操作的合規性保證，提供電力合規網絡體系行為層可行性保證機制。

2 典型變電站拓撲模型及簡化

變電站采取的總體安全防護策略為安全分區、網絡專用、橫向隔離、縱向認證，其中根據變電站的特點、各相關業務系統的重要程度、數據流程、安全要求，將系統分為3個安全區：安全區I為實時控制區，安全區II為非控制生產區，安全區III為生產管理區，其中安全區I的特征為直接實現監控功能；安全區II的特征為使用調度數據網絡，在線運行，但不具備控制功能；安全區III的特征是實現電力生產的管理功能，不具備控制功能，不在線運行，與操控中心的終端直接相關。此外變電站的拓撲結構按功能邏輯一共可分為三個不同的層面——站控層、間隔層和過程層，各層之間的信息傳輸要求身份認證，同一層內的設備位置實現物理隔離。

在對典型變電站模型進行仿真搭建的過程中，由于不需要涉及生產等問題，可以簡化典型變電站模型。站控層保留工程師站功能，簡化其余模塊，簡化后的工程師站模擬處理MMS報文。間隔層保留測控裝置，報文記錄儀，線路保護，網絡主時鐘，簡化其余模塊。其中，測控裝置對過程層接受處理SV報文，對站控層發送MMS報文；報文記錄儀對過程層接收處理SV和GOOSE報文，并鏡像記錄間隔層其余設備對站控層發送的MMS報文；線路保護裝置接受處理過程層的SV和GOOSE報文，并在保護動作中，對下發送SV和GOOSE報文，對站控層發送MMS報文。過程層中變壓器等等效為合并單元，統一模擬發送SV報文，斷路器、隔離開關和繼電保護裝置等等效為保護單元，統一模擬發送GOOSE報文。

簡化后變電站拓撲模型如圖3所示。

圖3 簡化后變電站拓撲模型及其報文結構

3 配置監測仿真

3.1 實現流程

結合快速文本比對和語義分析技術，實現待監測設備配置變化的檢測和解讀功能，其流程如圖4所示。

圖4 設備配置變化監測與解讀流程

1）通過語法分析，剔除配置文件中的注釋、說明性信息，保留其關鍵配置信息。2）將獲取的設備實時配置文件與配置文件庫中關鍵配置信息進行快速文本比對。如果相同，說明未發生配置變化，否則進行第3步。3）對發生變化的配置信息描述部分進行語義分析、將其轉換為用戶容易理解的表述形式。

3.2 仿真環境設置與配置監測

設備配置監測的仿真主要是對“三層兩網”中的設備進行監測。在對設備配置監測進行仿真搭建平臺的過程中，站控層保留工程師站模擬處理MMS報文。

間隔層與工程師站通過交換機進行MMS通信。間隔層主要有電能測量裝置、濾波裝置、測控裝置和測控保護裝置。間隔層與過程層的信息交互也通過交換機來實現，其中與合并裝置進行通信時使用SV報文，與保護裝置通信時使用GOOSE報文。過程層保留上3個合并裝置，3個保護裝置。其仿真環境拓撲圖如圖5所示。

圖5 仿真搭建環境拓撲圖

當過程層中的設備配置發生改變時，發送至間隔層的SV、GOOSE報文信息中關于配置方面的文件信息也將發生改變，間隔層通過判斷解析其中配置信息問題，進行信息交互，使過程層中配置改變的設備發出報警信號并對用戶做出提示。

將局域網中的計算機接入網絡中模擬設備操作，各模擬設備的配置的關鍵信息如表1所示。

表1 仿真環境設備配置

根據上述要求搭建仿真平臺，搭建后設備正常時界面如圖7所示。仿真平臺界面中每個設備的右上角都有一個指示燈，初始狀態時亮藍燈，表示設備正常運行，當設備的配置發生更改時藍燈顏色將會更改為紅色。同時，在設備的右側或者下方有一個提示框，框內注明了設備的IP地址以及設備的配置狀態。在初始時刻，裝置的配置信息與配置文件庫一致，提示框中內容顯示“裝置正常”。當裝置的配置信息改變時，提示框中就會顯示“裝置告警”，以此提醒操作人員此設備的配置信息已發生了改變。

在設備配置無變化時設備配置表如圖6所示。所有的裝置IP地址與MAC地址與表1一致。配置狀態一列均顯示正常。由于設備配置中的配置節點較多，本文只模擬查找顯示配置中的三個節點，分別是RED99節點，RDRE1節點和ZBSH節點。在設備配置無改變的情況下，所有節點均顯示“正常”。

圖6 設備配置仿真結果

3.3 配置突變模擬設置

當設備故障或者有入侵對象時，設備的配置將會發生改變。本文通過后臺更改配置內容來模擬設備配置突變的情況。

本文中將合并裝置1中的RDRE1節點中的SP中的六項功能約束，刪除其中三項，此時合并裝置1的配置內容已發生改變，以此模擬合并裝置1配置突變。

對比圖7、8可發現，在將合并裝置1中的RDRE1節點中的SP中的六項功能約束刪減為3項之后，讀取同一段節點的配置文件，可看出配置更改后的配置文件由6項減少為3項，與初始狀態下的配置文件（配置文件庫）對比發生了改變。

圖7 配置更改前讀取的配置文件

圖8 配置更改后讀取的配置文件

3.4 配置監測仿真結果

當合并裝置1的配置被更改時，仿真平臺界面中相應的顯示合并裝置1的仿真機會亮紅燈，同時提示信息由“裝置正常”變為“裝置告警”，在主界面中顯示合并裝置1被改變。如圖9所示。

圖9 合并單元1配置改變時仿真平臺界面

同時在設備配置一覽表中相應的部分也會有異常告警。如圖10所示，本文中模擬配置突變，改變了合并裝置1中的RDRE1節點的三項約束功能，合并裝置1的配置狀態發生了改變，“配置狀態”一欄顯示“異常”，同時“RDRE1節點”一欄顯示的也是異常。最后，在有設備配置發生異常的情況下，告警處還會有紅色的字跡提醒，提醒內容包含配置改變發生的時間、發生改變的設備以及設備配置改變的具體內容。如圖11所示。顯示在2016-10-27 12:35:18.0時刻，IP地址為192.168.2.11的裝置（合并裝置1）配置發生改變，而具體的內容就是“RDRE1節點與原始模型不符”。

圖10 合并裝置1配置改變時的設備配置表

圖11 合并裝置1配置改變時的告警內容

4 結束語

經以上仿真案例可知，在仿真平臺中使用文本對比的語義分析法可以快速查找出發生配置改變的裝置，并且可以進一步知道改變的節點。如此，在設備配置發生改變時，準確找出問題所在，有利于快速定位故障來源進而采取措施解決問題。

[1]王德文，邸劍，張長明.變電站狀態監測IED的IEC 61850息建模與實現[J].電力系統自動化，2012（03）∶81-86.

[2]李永亮，李剛.IEC61850第2版簡介及其在智能電網中的用展望[J].電網技術，2010（04）∶11-16.

[3]黃智宇.基于IEC61850的變電站網絡通信及裝置的研究[D].大連理工大學，2008.

[4]伍星，陳進，李如強，陳一鳴.基于數據挖掘的設備狀態監測和故障診斷[J].振動與沖擊，2004（04）∶72-76.