一種配電SCADA通信安全防護(hù)系統(tǒng)的設(shè)計*

康榮保，張 曉，張旭博

（中國電子科技集團(tuán)公司第三十研究所，四川 成都 610041）

0 引 言

電力網(wǎng)是由電力系統(tǒng)中各種電壓的變電所及輸配電線路組成的統(tǒng)一體，可以分為輸電網(wǎng)和配電網(wǎng)。電力SCADA（Supervisory Control and Data Acquisition）系統(tǒng)即電力數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)，應(yīng)用于電力生產(chǎn)與控制，是電力監(jiān)視、調(diào)度自動化的基礎(chǔ)。電力SCADA系統(tǒng)主要由一系列的遠(yuǎn)方終端單元和中心控制主站系統(tǒng)組成。遠(yuǎn)方終端收集數(shù)據(jù)，并通過通信系統(tǒng)回送反饋數(shù)據(jù)給主站；主站分析處理收到的數(shù)據(jù)，并允許操作員執(zhí)行遠(yuǎn)程控制任務(wù)[1]。電力SCADA系統(tǒng)分為輸電網(wǎng)SCADA（TSCADA）系統(tǒng)和配電網(wǎng)SCADA系統(tǒng)（DSCADA）。配電SCADA系統(tǒng)是配電自動化系統(tǒng)（DAS）的底層核心。由于它的通信規(guī)約、通信信道存在安全缺陷，導(dǎo)致配電自動化系統(tǒng)存在惡意攻擊安全風(fēng)險。

1 配電SCADA通信安全威脅分析

1.1 配電SCADA系統(tǒng)

配電網(wǎng)自動化系統(tǒng)是實現(xiàn)配電網(wǎng)的運行監(jiān)視和控制的自動化系統(tǒng)，具備配電SCADA、饋線自動化、電網(wǎng)分析應(yīng)用及與相關(guān)應(yīng)用系統(tǒng)互連等功能，主要由配電主站、配電終端、配電子站（可選）和通信網(wǎng)絡(luò)等部分組成，如圖1所示。

圖1 配電自動化系統(tǒng)組成

配電自動化系統(tǒng)主站設(shè)備位于供電局控制中心。配電子站設(shè)備屬于電力監(jiān)控系統(tǒng)站級設(shè)備，一般位于變電站、開關(guān)站以及換流站內(nèi)。配電終端設(shè)備多位于箱式變電站、配電室、電線桿以及電線柱等環(huán)境，與強電設(shè)備直接連接，包括FTU（饋線終端設(shè)備）、TTU（配變終端設(shè)備）和DTU（開閉所終端設(shè)備）等。

配電通信網(wǎng)絡(luò)作為配電管理系統(tǒng)，是對處于配電網(wǎng)上的設(shè)備進(jìn)行遠(yuǎn)方實時監(jiān)視、協(xié)調(diào)及控制的主要通道，包括專用通信網(wǎng)絡(luò)和公用通信網(wǎng)絡(luò)。專用通信網(wǎng)絡(luò)可以采用多種通信方式，如光纖通信、一點多址微波、無線電通信、電力線載波和屏蔽層載波等；不具備專網(wǎng)條件的可采用公用通信網(wǎng)絡(luò)，如 GPRS、CDMA、TD-SCDMA、ADSL和 無 線 局域網(wǎng)等[2]。配電通信網(wǎng)絡(luò)主要傳輸配電網(wǎng)SCADA系統(tǒng)發(fā)送的數(shù)據(jù)，包括數(shù)據(jù)采集（遙測YC、遙信YX）、報警、狀態(tài)監(jiān)視、遙控（YK）和遙調(diào)（YT）等數(shù)據(jù)。

通信規(guī)約是通信功能實現(xiàn)的基礎(chǔ)，是配電子站、終端和配電主站信息交換的接口。目前，我國配電SCADA系統(tǒng)主要采用電力行業(yè)標(biāo)準(zhǔn)DL/T634.5101-2002（等同采用IEC頒布的IEC60870-5-101）、DL/T634.5104-2002（等同采用IEC頒布的IEC60870-5-104）。

1.2 配電SCADA系統(tǒng)通信安全分析

配電SCADA系統(tǒng)通信在通信規(guī)約、通信信道等方面存在安全風(fēng)險，如圖2所示。

圖2 配電SCADA通信安全威脅

配電網(wǎng)SCADA系統(tǒng)通信規(guī)約（IEC60870-5-101、104等）沒有對報文做機密性保護(hù)，只采用了簡單的校驗算法進(jìn)行數(shù)據(jù)報文的校驗，造成配電網(wǎng)SCADA通信規(guī)約報文傳輸過程中存在被監(jiān)聽、篡改、偽造和重放等安全威脅。

配電通信方式（光纖環(huán)網(wǎng)、工業(yè)以太網(wǎng)、公用無線通信網(wǎng)（3G、GPRS等）、數(shù)傳電臺等）采用明文傳輸，且未進(jìn)行認(rèn)證處理，存在被通信劫持、監(jiān)聽和篡改等安全風(fēng)險。此外，配電子站、配電終端一般位于無人值守變電站或室外開閉所、環(huán)網(wǎng)柜和電線柱等環(huán)境下，為惡意者物理接觸攻擊接入提供了條件。

2 配電SCADA通信安全防護(hù)系統(tǒng)設(shè)計

配電SCADA通信安全防護(hù)系統(tǒng)用于配電網(wǎng)自動化SCADA通信規(guī)約內(nèi)容的安全性保護(hù)，主要采用消息報文加密、消息報文鑒別、完整性校驗和入侵檢測告警等安全機制，以解決配電網(wǎng)SCADA通信規(guī)約報文傳輸過程中存在被監(jiān)聽、篡改、偽造和重放等安全威脅。

配電網(wǎng)SCADA通信安全防護(hù)系統(tǒng)主要功能包括以下幾點：

（1）保證配電網(wǎng)SCADA系統(tǒng)消息的機密性、完整性和可認(rèn)證性；

（2）能夠快速檢測到配電網(wǎng)SCADA系統(tǒng)中的異常狀態(tài)；

（3）安全防護(hù)系統(tǒng)對原配電網(wǎng)SCADA系統(tǒng)通信的影響小；

（4）安全防護(hù)設(shè)備可管理、可認(rèn)證、可監(jiān)控。

2.1 安全設(shè)計

2.1.1 安全機制

配電SCADA通信安全處理針對SCADA端到端通信加載相應(yīng)的安全設(shè)備[3]來進(jìn)行協(xié)議安全處理，如圖3所示。

圖3 配電SCADA安全通信過程

配電SCADA通信安全防護(hù)系統(tǒng)主要采用消息報文加密、消息報文鑒別、完整性校驗和線路異常監(jiān)測告警等安全機制。

（1）報文加密。使用對稱密碼算法（如SM1算法）對SCADA協(xié)議報文進(jìn)行加密，保證SCADA系統(tǒng)協(xié)議消息的機密性，防止攻擊者對消息的非授權(quán)獲取。

（2）報文鑒別與校驗。采用報文隨機數(shù)序列號與數(shù)字簽名機制，實現(xiàn)SCADA系統(tǒng)協(xié)議消息一次傳遞單向鑒別機制，保證SCADA系統(tǒng)協(xié)議消息的可鑒別性和完整性，防止針對SCADA協(xié)議消息的重放、篡改和偽造等安全威脅。

（3）異常報文過濾機制。安全防護(hù)設(shè)備通過消息報文認(rèn)證和數(shù)據(jù)加密機制，能夠有效檢測和抵抗SCADA消息報文非授權(quán)獲取、偽造、篡改和重放攻擊。如果檢測出上述攻擊行為，將這類報文定為異常報文進(jìn)行過濾丟棄，不繼續(xù)向配電網(wǎng)SCADA系統(tǒng)設(shè)備進(jìn)行轉(zhuǎn)發(fā)。

（4）使用線路異常監(jiān)測告警機制。配電網(wǎng)SCADA系統(tǒng)設(shè)備（FTU、RTU等）常常位于野外電線桿、鐵路沿線以及機場附近等無人值守環(huán)境，如果入侵者從安全防護(hù)設(shè)備與配電網(wǎng)SCADA系統(tǒng)專業(yè)設(shè)備單元之間接入進(jìn)行破壞，電力安全防護(hù)設(shè)備將無法認(rèn)證配電SCADA設(shè)備的真實性。采用線路異常監(jiān)測告警機制，實時監(jiān)測配電SCADA設(shè)備與安全防護(hù)設(shè)備之間的線路狀態(tài)，發(fā)現(xiàn)線路異常后，安全防護(hù)設(shè)備將產(chǎn)生線路異常告警信息。

2.1.2 安全報文

配電SCADA安全報文包括認(rèn)證報文和加密認(rèn)證報文兩種。

配電SCADA通信規(guī)約認(rèn)證報文增加序列號（或時間戳、隨機數(shù)）和數(shù)字簽名字段，以應(yīng)對報文完整性檢驗、重放攻擊檢驗和報文源身份認(rèn)證。報文格式如圖4所示。

圖4 SCADA通信規(guī)約認(rèn)證報文

配電SCADA通信規(guī)約認(rèn)證加密報文主要包括安全報文頭部、安全報文內(nèi)容區(qū)域和安全報文尾部等三個部分。報文格式如圖5所示。

圖5 SCADA通信規(guī)約加密認(rèn)證報文

以DL/T 634.5101-2002協(xié)議為例進(jìn)行安全設(shè)計。根據(jù)業(yè)務(wù)報文的特點，可對業(yè)務(wù)報文進(jìn)行分類處理。DL/T 634.5101-2002協(xié)議的報文分為固定幀和可變長幀，固定幀為1個或5個字節(jié)，可變長幀中的幀長字段長度為1個字節(jié)，說明可變長幀的最大長度不會超過256字節(jié)，如圖6所示[4]。

圖6 DL/T 634.5101-2002報文格式

固定長幀主要是鏈路維持信息，可不做安全處理。可變長幀（包括總召喚、遙測、遙信、遙控和遙調(diào)等報文）可根據(jù)業(yè)務(wù)安全性要求進(jìn)行分類處理，如總召喚報文、遙測和遙信報文可進(jìn)行簽名認(rèn)證處理；遙控和遙調(diào)類報文可進(jìn)行加密認(rèn)證處理。加密認(rèn)證安全報文構(gòu)成，如圖7所示。安全報文內(nèi)容區(qū)域是對IEC60870-5-101協(xié)議報文使用SM1算法加密后的密文。

圖7 IEC60870-5-101加密認(rèn)證安全報文

2.2 系統(tǒng)組成及功能

配電網(wǎng)SCADA通信安全防護(hù)系統(tǒng)由安全管理系統(tǒng)、主站級配電SCADA通信安全防護(hù)設(shè)備、子站級配電SCADA通信安全防護(hù)設(shè)備和現(xiàn)場終端級配電SCADA通信安全防護(hù)設(shè)備等4部分組成，如圖8所示。

圖8 配電網(wǎng)SCADA通信安全防護(hù)系統(tǒng)組成

安全管理系統(tǒng)主要負(fù)責(zé)密鑰管理、安全設(shè)備管理和配電SCADA通信異常監(jiān)控等。擔(dān)負(fù)配電網(wǎng)SCADA通信安全防護(hù)系統(tǒng)的密鑰管理，負(fù)責(zé)安全防護(hù)系統(tǒng)密鑰的產(chǎn)生、分發(fā)、存儲和銷毀等工作；對主站級配電網(wǎng)SCADA通信安全防護(hù)設(shè)備、子站級配電網(wǎng)SCADA通信安全防護(hù)設(shè)備和現(xiàn)場終端級安全防護(hù)設(shè)備進(jìn)行管理，具有設(shè)備注冊、狀態(tài)查詢、認(rèn)證和工作狀態(tài)顯示等功能；負(fù)責(zé)接收安全防護(hù)設(shè)備產(chǎn)生的線路異常告警消息和入侵告警消息，顯示配電網(wǎng)SCADA系統(tǒng)異常工作點。

主站級安全防護(hù)設(shè)備的主要功能包括：監(jiān)測主站與其連接狀態(tài)，如有異常向安全管理系統(tǒng)報告；對主站/子站發(fā)送和接收的消息進(jìn)行安全處理（認(rèn)證和加密）；發(fā)現(xiàn)異常報文，向安全管理系統(tǒng)發(fā)送告警消息；接受安全管理系統(tǒng)的管理（在線狀態(tài)查詢、身份認(rèn)證和安全策略指令（如密鑰更換指令）等）。

子站級安全防護(hù)設(shè)備的主要功能包括：監(jiān)測子站與其連接狀態(tài)，如有異常向安全管理系統(tǒng)報告；對子站/現(xiàn)場終端發(fā)送和接收的消息進(jìn)行安全處理（認(rèn)證和加密）；發(fā)現(xiàn)異常報文，向安全管理系統(tǒng)發(fā)送告警消息；接受安全管理系統(tǒng)的管理（在線狀態(tài)查詢、身份認(rèn)證和安全策略指令（如密鑰更換指令）等）。

現(xiàn)場終端級安全防護(hù)設(shè)備的主要功能包括：監(jiān)測現(xiàn)場終端與其連接狀態(tài)，如有異常向安全管理系統(tǒng)報告；對現(xiàn)場終端/子站發(fā)送和接收的消息進(jìn)行安全處理（認(rèn)證和加密）；發(fā)現(xiàn)異常報文，向安全管理系統(tǒng)發(fā)送告警消息；接受安全管理系統(tǒng)的管理（在線狀態(tài)查詢、身份認(rèn)證和安全策略指令（如密鑰更換指令）等）。

2.3 應(yīng)用部署

2.3.1 部署位置

安全管理系統(tǒng)和主站級安全防護(hù)設(shè)備部署于配電自動化主站區(qū)域，子站級安全防護(hù)設(shè)備部署于配電子站區(qū)域，終端級安全防護(hù)設(shè)備部署于終端區(qū)域，如圖9所示。

配電SCADA通信安全防護(hù)系統(tǒng)部署具體位置如表1所示。

2.3.2 工作模式

安全防護(hù)設(shè)備的工作模式主要包括“安全模式”和“透傳模式”。安全模式是指安全設(shè)備對原配電網(wǎng)SCADA系統(tǒng)消息做加解密、消息鑒別驗證等處理后再進(jìn)行消息報文轉(zhuǎn)發(fā)。透傳模式指安全設(shè)備對原配電網(wǎng)SCADA系統(tǒng)消息不做任何處理而直接進(jìn)行消息報文轉(zhuǎn)發(fā)。

圖9 安全防護(hù)系統(tǒng)部署位置

表1 配電SCADA通信安全防護(hù)系統(tǒng)部署位置

2.3.3 部署過程

安全防護(hù)設(shè)備部署開通，主要是指安全防護(hù)設(shè)備在不影響原有配電網(wǎng)SCADA系統(tǒng)工作的情況下，從開始接入配電網(wǎng)SCADA網(wǎng)絡(luò)到進(jìn)入“安全處理”工作模式的轉(zhuǎn)變流程。

配電網(wǎng)環(huán)境中，配電網(wǎng)自動化系統(tǒng)設(shè)備數(shù)量多，分布分散，在安全防護(hù)設(shè)備實際部署時可能遇到多種情況：

（1）確定好部署方案后，安全防護(hù)設(shè)備在一段時間內(nèi)逐步部署，最終完成部署目標(biāo)。

（2）在配電網(wǎng)環(huán)境中，可能只有一部分配電網(wǎng)SCADA系統(tǒng)設(shè)備部署安全防護(hù)設(shè)備，這種就是局部部署問題，如圖10所示。

（3）可能先進(jìn)行局部部署，一段時間后，又增加部署安全防護(hù)設(shè)備。

圖10 安全防護(hù)設(shè)備局部部署

鑒于以上部署情況，在實際部署過程中，將采用從上至下的順序逐級部署安全防護(hù)設(shè)備（即先部署主站安全防護(hù)設(shè)備，再部署子站安全防護(hù)設(shè)備，最后部署現(xiàn)場終端安全防護(hù)設(shè)備）到配電網(wǎng)SCADA系統(tǒng)的各位置。

3 結(jié) 語

本文針對配電SCADA通信存在的安全風(fēng)險，設(shè)計了一種配電SCADA通信安全防護(hù)系統(tǒng)。具體地，在原有配電自動化設(shè)備上加載安全設(shè)備的方式，通過加密認(rèn)證、異常監(jiān)測等技術(shù)手段，解決配電SCADA通信面臨的通信監(jiān)聽、篡改、重放和劫持等攻擊威脅。技術(shù)原理適用于以安全芯片或安全軟件模塊嵌入配電主站、子站和終端的實現(xiàn)方式，可用于配電SCADA通信安全增強設(shè)計參考。

參考文獻(xiàn)：

[1] 饒志宏.工業(yè)SCADA系統(tǒng)信息安全技術(shù)[M].北京：國防工業(yè)出版社,2014.RAO Zhi-hong.Information Security Technology of Industrial SCADA System[M].Beijing：National Defense Industry Press,2014.

[2] 中華人民共和國國家發(fā)展和改革委員會.第14號令‘電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定“[EB/OL].(2014-09-01).[2018-01-06].http：//www.ndrc.gov.cn/zcfb/zcfbl/201408/t20140814_622262.html.National Development and Reform Commission of the PRC.Fourteenth order‘The Security Regulations of Power monitoring system“[EB/OL].(2014-09-01)[2018-01-06].http：//www.ndrc.gov.cn/zcfb/zcfbl/201408/t20140814_622262.html.

[3] 蘭昆,饒志宏.基于SCADA系統(tǒng)的工業(yè)控制網(wǎng)絡(luò)安全服務(wù)框架研究[J].信息安全與通信保密 ,2010(03)：47-49.LAN kun,RAO zhi-hong.The Study of Security Service Framework of Industrial Control SCADA System[J].Information Security and Communication Confidentiality,2010(03)：47-49.

[4] DL/T 634.5101-2002基本遠(yuǎn)動任務(wù)配套標(biāo)準(zhǔn)[S].2002.DL/T 634.5101-2002 Basic Telecontrol Task Matching Standard[S].2002.