智能變電站信息安全管理系統研究

王捷

（國網湖北省電力有限公司電力科學研究院，湖北武漢 430000）

1.智能變電站介紹

1.1 智能變電站概念

智能變電站是采用先進、可靠、集成和環保的智能設備，以全站信息數字化、通信平臺網絡化、信息共享標準化為基本要求，自動完成對信息的采集、測量、控制、保護、計量和檢測。作為電力系統的樞紐，其承擔著發電、輸電、變電、配電和用電五大功能，在建設堅強智能電網中具有舉足輕重的地位。

1.2 智能變電站優勢

1.2.1 智能變電站能實現很好的低碳環保效果

在智能變電站中，傳統的電纜接線不再被工程所應用，取而代之的是光纖電纜。在各類電子設備中，使用了大量高集成度且功耗低的電子元件，此外，傳統的充油式互感器由電子式互感器取而代之。

1.2.2 智能變電站具有良好的交互性

智能變電站因其工作特性和負擔的職責，使其必須具有良好的交互性。在電網運行中，智能變電站在實現信息的采集和分析功能之后，不但可以將這些信息在內部共享，還可以將其和電網內更復雜、高級的系統之間進行良好的互動，該互動性確保了電網的安全穩定運行。

1.2.3 智能變電站可靠性特點

對電力系統的基本要求之一就是可靠性，智能變電站具有高度的可靠性，在滿足了客戶需求的同時，也實現了電網的高質量運行。所以，對變電站自身和內部的所有設施都提出了較高的要求。

1.3 體系結構

智能變電站系統分為3層：過程層、間隔層和站控層，如圖1所示。

過程層包含由一次設備和智能組件構成的智能設備、合并單元和智能終端，完成變電站電能分配、變換、傳輸及測量、控制、保護、計量、狀態監測等相關功能。

間隔層設備一般指繼電保護裝置、測控裝置、故障錄波等二次設備，實現使用一個間隔的數據并且作用于該間隔一次設備的功能，即與各種遠方輸入輸出、智能傳感器和控制器通信。

站控層包含自動化系統、站域控制系統、通信系統、對時系統等子系統，實現面向全站或一個以上一次設備的測量和控制功能，完成數據采集和監視控制、操作閉鎖以及同步相量采集、電能量采集、保護信息管理等相關功能。

2.變電站信息安全管理系統

2.1 信息安全需求分析

變電站信息安全管理系統可以實現對全站的信息進行統一采集、傳輸、分析和處理，使變電站具備自動運行控制、設備狀態檢修、運行狀態自適應、智能分析決策等高級應用功能[1]。智能變電站的信息安全管理系統的需求主要有：

（1）信息化。提供可靠、準確、充分、實時、安全的信息，不會局限于傳統“四遙”的電氣量信息，還包括設備信息、環境信息、圖像信息等。

（2）數字化。對采集到的電氣量和非電氣量信息都能進行數字化處理，不僅如此，還能實現交直流系統、輔助監控系統等的數字化處理。

（3）自動化。為智能電力系統提供服務，能自動監測設備運行信息、分析處理數據、進行狀態檢修等，提高變電站的自動化水平。

（4）互動化。實現各個層級之間的信息交流互動，不會出現信息“孤島”的現象。

（5）資源整合化。通過統一的通信規約標準，不僅實現內部信息整合，還能實現內部對外部的資源整合，達到配置最優化。

2.2 信息安全風險

對智能變電站來說，我們不僅要確保設備安全穩定運行，還要保證信息的保密性、完整性、可用性和確定性。如圖2所示的是在智能變電站中對信息安全風險分析的路徑圖，我們據此展開智能變電站所面臨的主要信息安全風險。

2.2.1 橫向邊界安全隱患

在智能變電站中，“一次設備智能化，二次設備網絡化”已成為主要特征。各設備之間通過以太網實現通信，在以太網中不僅能實現一次設備、二次設備內部之間的信息交互，還能實現一次與二次之間的跨級互動。在這種趨勢下，與二次電力系統應安全分區、橫向隔離的理論相悖，存在著橫向邊界安全隱患。

2.2.2 縱向邊界安全隱患

變電站與電網調度之間通過SCADA系統實現信息的實時互動，上傳的信息必須真實可靠才有助于上級調度實時掌握變電所的運行情況。同時，調度通過SCADA系統發出指令指導現場工作人員做出相應的處理。在信息上傳和指令下達的過程中，我們必須保證準確無誤，不能出現惡意篡改和調換的現象。

2.2.3 網絡層安全隱患

在網絡層安全隱患中，很有可能會出現源地址欺騙、源路由選擇欺騙和TCP序列號欺騙[2]。由于數據流均是采用明文進行傳送，所有的信息包括數據口令、密碼等都是對外公開的，很容易發生竊聽、偽造、攻擊等事件。

2.2.4 應用層安全隱患

由于遠動的“五遙”信息及其他電量、非電量等均以明文的形式進行傳送，所以，在變電站內的信息極易發生竊聽、半路攔截以及惡意修改等風險。同時，由于數據召喚和命令下達缺乏認證機制，使得非法訪問、破壞信息完整性、破壞系統可用性、冒充管理人員發出錯誤指令等均成為可能。

3.信息安全管理體系構建

3.1 構建步驟

智能變電站信息安全管理系統遵從的總體防護策略是分區分域、安全接入、動態感知和全面防護。

不同區域的變電所可以根據當地不同的實際運行情況，采取不同的方法和步驟進行構建。構建信息安全管理體系要經過以下幾個步驟：

（1）確定該系統的應用范圍。根據系統的實際應用場景，劃分出不同的安全領域，在不同的安全區域內根據各自管理的特點進行差異化防護。

（2）現場調查與風險評估。綜合查閱國家有關信息安全技術管理標準，以及對由該系統進行傳輸、處理和存儲的信息進行機密性、重要性評估，并進一步分析這些信息可能受到侵害的來源，對系統的信息資產價值進行整體把控。

（3）建立信息安全管理框架。從全局的視角，對信息安全管理系統進行層層分解，建立一個可以應用于實際的安全管理框架[3]。

3.2 安全職責

在信息安全管理體系中，又可以詳細劃分成信息通訊部門、安全監察部門、調度通訊中心和業務應用部門，每一部門職責各不相同，但又相互配合。

信息通訊部門主要職責：（1）落實國家和單位相關的政策、方針和規范等；（2）負責組織制訂本單位信息安全管理系統的防護措施，并督促各部門落實；（3）指導并檢查有關信息安全管理的相關工作，組織開展安全監督檢查、風險評估、運維安全管理和隱患排查等相關工作；（4）負責做好加強應急處置，協助其他部門做好調查處理工作。

安全監察部門主要職責：（1）負責做好智能變電站內信息安全管理系統的全過程監督檢查；（2）協助其他部門做好事故的調查和處理工作；（3）監督單位內各部門落實好信息安全管理相關措施和政策；（4）做好信息安全事故的統計和分析工作。

調度通訊中心主要職責：（1）負責做好二次系統的安全保障工作；（2）配合國家有關部門開展信息安全系統大檢查，落實好各項防護措施；（3）審核有關二次系統安全保護的實施方案；（4）負責做好二次系統應急管理與應急處置。

業務應用部門主要職責：（1）牽頭做好所負責的業務系統有關信息安全保障的工作，并制訂相關的保護方案，提出管理要求，出臺相應的技術措施；（2）根據不同類型劃分安全防護等級做好相應的保護工作，配合其他部門開展安全風險測評和隱患排查工作；（3）對相關人員開展信息安全管理培訓工作。

3.3 管理措施

3.3.1 安全管理機構

成立專門的領導小組，統籌做好信息安全管理工作，指導本單位各部門做好信息安全工作。同時，在機構內設置安全管理人員做好管理方面的工作，設置技術人員做好技術處理，設置督查人員做好安全督導工作，還要設置安全運維人員負責做好運行維護。

3.3.2 人員安全管理

落實工作人員持證上崗制度，嚴格人員錄取，審核其專業能力、政治素養、身份背景等，并簽署保密協議。對于離崗人員，要及時清除其所有權限，以防信息外泄。對于持證在崗人員要加強安全技術培訓，制訂考核標準，做到獎懲分明。對于違反國家法律法規和單位有關規定，造成嚴重后果的，要依法追究其法律責任。

3.3.3 安全管理制度

要建立一個健康、健全、良好的安全管理制度體系，定期對各項安全管理規定和要求進行檢查，防止出現疏漏，不斷努力提高制度的全面性和規范性。在安全管理體系內，要嚴格落實保護等級制度，做好等級森嚴，常態化開展信息安全保護工作。同時，要加強對辦公電腦與外網相連的管控，使內外網邊界清晰，最大限度降低外界入侵的可能。

3.3.4 安全工作機制

（1）加強對風險的評估，常態化開展風險評估工作；（2）加強對隱患的排查治理，建立閉環管理機制，消除薄弱環節；（3）常態化開展應急演練機制，不斷完善應急預案，提高應急相應速度；（4）建立完整的考評機制，不斷提升管理的規范化和標準化水平。

3.3.5 建設安全與運維安全管理

在建設階段，要嚴格按照統一規范進行，按要求開展線上線下安全測試，發現問題及時匯總并進行整改，避免投入運行后出現更大的漏洞。在運行維護階段，要嚴格按照相關的制度標準進行維護，加強對基礎信息的管理，同時嚴查與外網相連接，加大對移動設備的管控力度。

3.4 技術措施

3.4.1 物力安全技術

在關鍵崗位配備充足的人員，設置相應的應急處理系統，當發生緊急情況時，能以最快的速度作出處理，將損失降到最低。

3.4.2 邊界及網絡安全技術

結合內外網各自不同的特點，設置堅強的防火墻，必要時設置隔離措施并采用加密傳輸通道進行信息輸送。禁止在辦公區域使用無線網絡，防止外部攻擊者入侵。

3.4.3 終端安全技術

對于內外網各自不同區域的計算機應按照各自的特點設置相應的安全域，并在計算機終端安裝病毒防護、保密偵查、安全管理等系統軟件，這些終端軟件要及時進行安全加固和軟件升級等工作，確保信息安全管理系統的安全性和可靠性。

3.4.4 主機安全技術

嚴格限制不具備訪問權限的客戶非法訪問，進入操作系統和查看數據庫系統時必須先進行身份識別，當非登陸超過一定次數時鎖定用戶，嚴格實行用戶賬號和口令管理一一對應制度。對于各類系統和各應用軟件，要加強對它們的安全性和兼容性測試，當發現漏洞時，及時升級修復。

3.4.5 數據安全技術

對變電站內傳輸的各項數據都要嚴格落實好數據存儲、操作訪問以及數據外傳的相關要求，對于重要敏感信息要加強保密措施，做到定期自動備份，防止數據丟失，實行全生命周期的數據管控方案。

4.結語

隨著“十四五”規劃的提出，國家對電力系統智能化和自動化提出了更高的要求，在智能變電站發展的進程中，保障信息安全成為至關重要的一點，同時，也是建設堅強智能電網的關鍵之一。本文從變電站所信息安全管理的需求入手，分析了信息安全管理中所面臨的風險種類，并基于此提出信息安全管理體系的基本原則，從安全職責、管理措施和技術措施3個方面對信息安全管理系統進行了詳細介紹，相信完備的信息安全管理系統將更好地服務于變電站智能化建設。