試析變電站網絡安全與管理策略

國網河北省電力有限公司檢修分公司 張 賢 張煒琦 宋博言

近年全球范圍類的大規模、大面積停電屢見不鮮，而不少極具影響的停電事件是由于某些國家的電力系統受到網絡攻擊引起的。2015年12月23日烏克蘭至少三個區域的電力系統遭到網絡攻擊造成大面積停電，電力中斷3～6小時，約140萬人受到影響；2018年6月網絡黑客竊取了法國電力公司Ingerop逾65G文件，這些文件包括核電站計劃和千余名工作人員的個人私密信息等內容；2019年3月7日至9日連續三天，委內瑞拉電力系統遭到網絡攻擊導致了3次大范圍停電事件，全國大部分州都受到了影響；2020年4月葡萄牙跨國能源公司（天然氣和電力）EDP（Energias de Portugal）遭Ragnar Locker勒索軟件攻擊，贖金高達1090萬美金……

這些電力系統網絡攻擊事件說明：通信網絡技術的發展促進了電力系統的高度智能化，但是電力系統網絡安全防護出現了新的、更高難度的挑戰。分析、預測智能變電站的網絡安全風險，并對風險進行可控管理，保障變電站網絡系統的安全可靠運行，刻不容緩。

1 智能變電站的二次系統結構及網絡安全分析

智能變電站的主要特點：一次設備智能化、二次設備網絡化。智能變電站信息數據在采集、編碼、傳輸、存儲等過程全部用數字編碼。在典型的智能變電站中主要劃分成三個網絡：站控層、間隔層和過程層。站控層網絡使用的主要協議是IEC61850，實現各類設備間的統一通信；間隔層應用GOOSE通信機制常規變電站裝置之間硬接線的通信方式，大大簡化了變電站二次電纜接線；過程層是一個SAV采樣值網絡，它的主要作用是將變電站內一次設備的模擬數據準確實時傳輸至智能終端，轉化成數字信號。對于智能變電站網絡而言，其中的不安全因素主要可分為人員因素、系統因素、環境因素、安全設備因素。

人員因素。可分兩個方面：一是管理人員網絡安全意識差，沒有良好的工作態度和職業素養。在系統運行管理過程中重操作而輕管理，現場的數據配置等工作雖然準確無誤，在后期管理工作中卻敷衍了事，為智能變電站網絡安全運行埋下隱患[1]；二是技術人員的技術能力。智能變電站網絡通信是當前科技領域的前沿科技，自動化、通信、網絡等設備相隔不了幾年就會更新換代，這就要求管理人員緊跟時代步伐，不斷學習新技術掌握新技能，這樣才能保證自己的技術能力滿足工作需求。在實際的工作中不少技術人員不能滿足智能變電站維護管理工作的技術要求，對于網絡安全問題按照自己的方式隨意處理，增大了網絡安全事故的發生概率。

圖1 智能變電站二次系統結構圖

系統缺陷。是導致網絡安全問題的重要原因之一。目前智能變電站的通信系統主要應用Unix、Vxworks、Linux等，這些操作系統在設計時重視功能，對安全防護有著明顯的安全漏洞：操作系統版本更新不及時，開放端口、安全等級設置不嚴謹，易出現后門；傳統的TCP/IP協議容易遭到黑客修改。雖然系統的安全防護采用防火墻、禁用風險端口、優化系統服務等方式進行預防，但都屬于被動防御。

環境因素。智能變電站網絡系統所處的環境不是孤立不變的，不可避免的與外部進行對接，這可能會引發網絡安全事故。一種可能的情況，第三方人員對智能變電站系統進行維護，可能會用到移動介質拷貝數據，這就是一種風險，很有可能引起病毒入侵或感染。還有可能外部計算機接入變電站網絡系統，虛線網絡等新技術對系統的威脅等，都有可能造成網絡病毒的侵害。一旦病毒侵入了智能變電站網絡，病毒就會擴散到整個局域網，這樣導致系統數據變異或擁堵，造成嚴重的后果[2]。

安全設備因素。防火墻是目前智能變電站的主要網絡安全防御設備，由軟件和硬件設備組合而成，用來隔離智能變電站實時控制區與非控制生產區、外部網絡，保護實時控制區免受非法用戶操縱和控制。但防火墻不能防御局域網內部的攻擊，包括全部它能檢測到的攻擊。隨著網絡技術迅猛發展，一些新的破解方法也給防火墻造成一定隱患。

2 智能變電站面對的主要攻擊形式及造成的后果

智能變電站面臨的攻擊方式多種多樣，如病毒、木馬擺渡、廣域網的滲透，還有針對IEC61850協議、來自GOOSE的攻擊等，以下是概率最大的幾種攻擊形式：

智能變電站設計之初，設計、配置錯誤存在的后門。這是一種及其隱秘、潛伏性極強的攻擊方式，可能由邏輯自身觸發，也會受到外部指揮。這種攻擊日常管理中不易發現，流量分析也沒有效果；黑客們利用披露的安全漏洞進行攻擊破壞。雖然智能變電站設備開始運行時經測評是安全的，但運行期間依然存在新的安全漏洞。2019年12月相關組織就披露了IEC61850有安全漏洞5個，包括驗證錯誤、拒絕服務、緩沖區溢。由于信息披露和傳播速度極快、實時性強，個別安全漏洞可能通過EXP腳本傳播，如果系統被入侵會導致網絡系統癱瘓、數據泄露等災難性后果。

管理人員的錯誤邏輯與誤操作。如果要嚴格區分的話這不是惡性攻擊，但也會引起攻擊的后果。智能變電站已不存在傳統的物理端子，只有邏輯端子和實端子，這些端子都是是通過智能化的方式控制的。雖然可以實時監測，但因端子眾多梳理清楚是非常難的。還有程序的錯誤邏輯也會引起一次設備的拒動作和誤動作；智能變電站設備升級、改造過程中，來自技術人員或廣域網中的惡意攻擊。系統運行過程中設備的軟件升級和硬件改造在所難免，如安全漏洞修復、版本升級、硬件更換、業務擴展、新增設備等。這樣的升級、改造可能導致系統設備從一個安全區域接觸到不可信區域，智能變電站系統就會面臨網絡攻擊、惡意代碼攻擊的外部環境。

社會工程學攻擊。其非常復雜，利用人性的弱點和本能的好奇進行入侵，常見的攻擊形式有假冒身份、誘餌計劃、網絡釣魚等。近年社會工程學攻擊網絡的事件逐年上升，呈泛濫之勢，方式也越來越多樣化，造成的很大的社會影響。如果黑客攻擊與社會工程學攻擊融為一體，智能變電站網絡系統的安全性將變得更加脆弱，引起的后果也是不堪設想。

智能變電站網絡受到攻擊，會產生嚴重的后果，主要有以下情況：

智能變電站各類數據被截獲。黑客非法獲取了智能變電站與其他站點傳輸的數據及變電站內部存儲的數據。數據截獲雖不會影響網絡的正常運行，但卻是黑客對變電站網絡再次進行攻擊的基礎；智能變電站網絡中斷。遭受黑客攻擊后，智能變電站網絡與調度數據網系統聯絡中斷，整個網絡系統癱瘓，調度主站無法監視變電站的實時運行情況，調控主站的命令也不能有效執行。變電站普遍實行無人值守的今天，如變電站發生嚴重故障得不到及時有效處理，從而使電網事故進一步擴大，造成的經濟損失和社會影響是異常嚴重的。

智能變電站數據篡改。黑客侵入智能變電站網絡后對站內關鍵數據進行惡意篡改，如修改開關遙信信息，導致站內開關遙信點號和主站遙信點號不一致，主站的遙控命令執行錯亂；智能變電站受控于人。黑客入侵智能變電站網絡并完全控制了整個變電站的運行，調控主站完全失去監視、控制能力。這種情況發生，智能變電站只能任由黑客控制和操縱，引起的嚴重后果不堪設想。

3 智能變電站網絡安全管理策略

國家層面的網絡安全等級保護制度2.0標準于2019年12月1日已正式實施，該標準強調主動防御，并對工業控制系統提出了針對性的防護要求。在執行國家標準基礎上，按照電力系統網絡安全防護“安全分區、網絡專用、橫向隔離、縱向認證”的總原則，可將智能變電站劃分為生產管理區、實施監控區、非控制生產區、外部網絡等。下面從五方面介紹智能變電站網絡安全管理策略。

強化智能變電站網絡安全管理。確保智能變電站的網絡安全，首先要強化計算機網絡的安全管理。計算機系統和網絡系統有很多方面不完善，因此技術管理人員需加強計算機網絡系統的安全管理，加大監管力度，發現問題馬上處理。管理人員可利用入侵檢測技術，綜合人工智能、統計、密碼等相關學科技術，防止變電站網絡被黑客入侵；其次加強移動介質的管理，不使用無線聯網及外部網絡，避免病毒入侵變電站內部網絡；其三，利用符合電力系統的高規格防病毒軟件并保持最新版本，防止內部網絡的病毒擴散或惡意代碼攻擊，進而影響網絡安全運行。

綜合部署安全防護設備。安全防護設備主要包括防火墻、物理隔離、縱向認證裝置等設備。防火墻部署在實時控制區與非控制生產區之間及生產管理區與外部網絡之間，實現區域的邏輯隔離、報文過濾、訪問控制等功能。電力專用物理隔離裝置是非控制生產區與生產管理區的必備邊界，具有最高的安全防護強度，是橫向防護的要點。非控制生產區與生產管理區之間部署正向物理隔離裝置，負責單向數據傳遞。縱向認證加密裝置用于實時控制區與非控制生產區的廣域網邊界防護，實現本地包過濾功能以及廣域網通信提供認證與加密功能，保證數據傳輸的機密性、完整性。

廣泛應用身份認證技術。在智能變電站網絡系統中，通過對用戶身份的認證可避免非法用戶對高于其權限的資源進行訪問，由此達到數據安全目的。基于CA的身份認證機制比較常見，每個網絡的證書都是由CA中心分發并簽名確認，證書包含公開密鑰，CA除了對證書進行簽發，還可管理證書和密鑰。

廣泛應用防病毒技術。病毒防范是保證智能變電站網絡系統安全運行的一種非常重要的技術措施。網絡病毒危害性大、破壞力強，必須采取安全、可靠、有效的防病毒方法，如基于服務器的防病毒技術、基于網絡目錄和文件的安全性方法、實施反病毒技術、工作站防病毒芯片等。

信息安全評估。是智能化變電站的一個重要特征。信息安全評估應用云計算、層次分析模型、模糊評價等統計學方法實現，對變電站網絡安全的事前控制異常關鍵。