徐東偉，陳 惠，陳志源，呂 毅（國網(wǎng)浙江省電力公司寧波供電公司，浙江 寧波 315000）

?

智能變電站網(wǎng)絡(luò)安全策略分析與研究

徐東偉，陳 惠，陳志源，呂 毅
（國網(wǎng)浙江省電力公司寧波供電公司，浙江 寧波 315000）

〔摘 要〕智能變電站網(wǎng)絡(luò)安全直接影響著變電站的安全穩(wěn)定運行，其發(fā)展也給變電站內(nèi)網(wǎng)絡(luò)安全帶來了新的挑戰(zhàn)。在介紹智能變電站組網(wǎng)方式及結(jié)構(gòu)基礎(chǔ)上，詳述了各種網(wǎng)絡(luò)報文的特征并計算其流量大小，并從威脅站內(nèi)網(wǎng)絡(luò)安全的3個方面分析了智能變電站網(wǎng)絡(luò)安全現(xiàn)狀。最后，針對智能變電站網(wǎng)絡(luò)存在的安全威脅，從技術(shù)和管理2個方面提出了適用于智能變電站網(wǎng)絡(luò)安全的策略。

〔關(guān)鍵詞〕智能變電站；網(wǎng)絡(luò)結(jié)構(gòu)；流量分析；網(wǎng)絡(luò)安全策略

0 引言

隨著以通信平臺網(wǎng)絡(luò)化為特征的智能變電站大規(guī)模建設(shè)，二次設(shè)備通信嚴(yán)重依賴網(wǎng)絡(luò)，站內(nèi)網(wǎng)絡(luò)的重要性已經(jīng)大大超過傳統(tǒng)的綜合自動化變電站。智能變電站網(wǎng)絡(luò)的可靠性和安全性決定了站內(nèi)智能終端、合并單元、保護裝置、測控裝置、自動化系統(tǒng)等各設(shè)備之間信息流的傳輸質(zhì)量，會對變電站的安全穩(wěn)定運行產(chǎn)生直接影響。

國家電網(wǎng)公司于2012年6月發(fā)布了《新一代智能變電站關(guān)鍵技術(shù)框架》，其中提出未來智能變電站網(wǎng)絡(luò)信息結(jié)構(gòu)的預(yù)期目標(biāo)為：將現(xiàn)在普遍采用的“三層兩網(wǎng)”網(wǎng)絡(luò)結(jié)構(gòu)簡化為“兩層一網(wǎng)”，采用MMS（Manufacturer Message Specification，制造報文規(guī)范）、GOOSE（Generic Object Oriented Substation Event，面向通用對象的變電站事件）、SV（Sampled Value，采樣值）和IEEE1588對時信息“四網(wǎng)合一”共網(wǎng)傳輸?shù)膶崿F(xiàn)方式，以減少智能變電站網(wǎng)絡(luò)層級和交換機數(shù)量，提高網(wǎng)絡(luò)利用效率。如此一來，智能變電站內(nèi)網(wǎng)絡(luò)的重要性更是不言而喻。

因此，關(guān)注和重視智能變電站內(nèi)整個網(wǎng)絡(luò)的可靠性和安全性，研究適應(yīng)于智能變電站內(nèi)部網(wǎng)絡(luò)的安全策略十分必要。

以下在現(xiàn)有智能變電站網(wǎng)絡(luò)結(jié)構(gòu)基礎(chǔ)上，重點分析站內(nèi)網(wǎng)絡(luò)安全現(xiàn)狀，最后針對網(wǎng)絡(luò)安全風(fēng)險探討智能變電站網(wǎng)絡(luò)的安全策略，以為智能變電站網(wǎng)絡(luò)的建設(shè)和運維提供參考。

1 智能變電站網(wǎng)絡(luò)結(jié)構(gòu)及流量分析

1.1 智能變電站網(wǎng)絡(luò)結(jié)構(gòu)

智能變電站站內(nèi)網(wǎng)絡(luò)屬于局域網(wǎng)范疇，局域網(wǎng)中常見的拓?fù)浣Y(jié)構(gòu)有總線型、環(huán)型、星型等幾種。它們各有特點，適用于不同的場合。為了滿足傳輸速度和可靠性的要求，智能變電站網(wǎng)絡(luò)結(jié)構(gòu)一般采用雙星型結(jié)構(gòu)。這既符合網(wǎng)絡(luò)、保護雙重化設(shè)計規(guī)范，又能實現(xiàn)信息流的快速可靠傳遞。

圖1為某新建220 kV變電站網(wǎng)絡(luò)過程層結(jié)構(gòu)拓?fù)?。其中，站?nèi)的過程層配置的是2個相互獨立的星型網(wǎng)絡(luò)，并分別以各自位于母差保護屏上的中心交換機組網(wǎng)，互為備用。這是目前新建智能變電站應(yīng)用最多也是最適用的網(wǎng)絡(luò)結(jié)構(gòu)。

1.2 網(wǎng)絡(luò)報文流量特征及分析

從圖1變電站網(wǎng)絡(luò)結(jié)構(gòu)拓?fù)淇梢钥闯?，中心交換機接受的是跨間隔信息，信息量的大小及中心交換機的性能直接關(guān)系到站內(nèi)網(wǎng)絡(luò)的安全性。目前，智能變電站一般采用100 Mbit/s的工業(yè)交換機，因此有必要對網(wǎng)絡(luò)報文流量特性進行分析及計算。

1.2.1 SV網(wǎng)絡(luò)報文流量特征及分析

合并單元發(fā)送給測控裝置、故障錄波裝置、網(wǎng)絡(luò)報文分析裝置、智能電表等設(shè)備的報文均通過網(wǎng)絡(luò)傳輸，是站內(nèi)SV網(wǎng)絡(luò)的主要流量數(shù)據(jù)。在智能變電站中一般采用2層組播方式傳輸，正常時流量很大但是相對穩(wěn)定，基本上不會突變，除非裝置異?；蛘咄ǖ澜渝e。

按IEC61850-9-2《變電站通信網(wǎng)絡(luò)和系統(tǒng)》標(biāo)準(zhǔn)，工程中實際最大報文長度采樣通道一般在200 B左右，每250 μs發(fā)送1幀報文，因此單個合并單元每秒的數(shù)據(jù)流量為：

圖1 某220 kV智能變電站網(wǎng)絡(luò)結(jié)構(gòu)拓?fù)?/p>

因此，15組SV報文在1臺交換機內(nèi)的傳輸速率就會接近100 Mbit/s。

1.2.2 GOOSE網(wǎng)絡(luò)報文流量特征及分析

在智能變電站GOOSE網(wǎng)絡(luò)中傳輸?shù)腉OOSE報文主要有：智能終端發(fā)給保護及測控裝置的開關(guān)、隔離開關(guān)位置開入信息；保護裝置發(fā)給智能終端及測控裝置的重合閘、聯(lián)閉鎖信息；測控裝置發(fā)給智能終端的開關(guān)、隔離開關(guān)的控制信號等控制信息；保護裝置之間需要交換的閉鎖及啟動量，如母差保護接受來自線路保護的失靈信號及線路保護接受來自母差保護的遠(yuǎn)跳信號等；站內(nèi)所有智能二次設(shè)備發(fā)送的自檢狀態(tài)、告警信息及遠(yuǎn)方復(fù)歸等GOOSE報文。在智能變電站中，一般亦采用2層組播方式傳輸，GOOSE流量通常很??；當(dāng)發(fā)生故障時，GOOSE流量會突然增大。

正常情況下，每5 s傳輸1幀GOOSE報文，其流量在200-1 000 B；當(dāng)電網(wǎng)發(fā)生故障時，將按照2 ms，4 ms，8 ms……時間遞增的方式發(fā)送GOOSE報文，則GOOSE單組報文每秒的數(shù)據(jù)流量為：

此傳輸速率遠(yuǎn)小于工業(yè)交換機100 Mbit/s的傳輸速率。

1.2.3 “四網(wǎng)合一”網(wǎng)絡(luò)報文流量特征及分析

“四網(wǎng)合一”更能代表未來智能變電站網(wǎng)絡(luò)發(fā)展方向，且未來網(wǎng)絡(luò)工況更加嚴(yán)酷，變電站對網(wǎng)絡(luò)性能要求更高。目前，智能變電站全站對時多采用網(wǎng)絡(luò)方式的SNTP（Simple Network Time Protocol，簡單網(wǎng)絡(luò)時間協(xié)議）對時方案，而周期性發(fā)送的SNTP報文對GOOSE網(wǎng)絡(luò)性能會有一定的影響。智能變電站報文流量特征如表1所示。

表1 智能變電站報文流量特征

2 智能變電站網(wǎng)絡(luò)安全現(xiàn)狀分析

智能變電站網(wǎng)絡(luò)面臨的安全威脅主要有3個方面：網(wǎng)絡(luò)交換機硬件問題對站內(nèi)網(wǎng)絡(luò)造成的風(fēng)險；網(wǎng)絡(luò)風(fēng)暴造成站內(nèi)網(wǎng)絡(luò)癱瘓；人為專業(yè)攻擊造成的破壞。

2.1 網(wǎng)絡(luò)交換機硬件風(fēng)險

變電站在正常和異常運行時，均會產(chǎn)生不同程度的電磁干擾，如高壓電氣設(shè)備的倒閘操作、短路故障等電磁暫態(tài)過程及高壓電氣設(shè)備周圍產(chǎn)生的靜電場和磁場、雷電、電磁波輻射、人體與物體的靜電放電等。這些電磁干擾會對交換機的通信傳輸產(chǎn)生一定影響，導(dǎo)致交換機轉(zhuǎn)發(fā)的報文出錯，甚至丟失整幀報文，影響智能變電站網(wǎng)絡(luò)的安全可靠運行。因此，在強電磁干擾的情況下，交換機必須滿足零丟幀的要求，以滿足過程層數(shù)字化的需求。而在實際生產(chǎn)現(xiàn)場，智能變電站的交換機選型配置及驗收都無明確的負(fù)責(zé)機構(gòu)及硬件把關(guān)負(fù)責(zé)人員，導(dǎo)致交換機管理處于無序甚至空白狀態(tài)。

2.2 網(wǎng)絡(luò)風(fēng)暴

交換機作為網(wǎng)絡(luò)核心通信設(shè)備，如果自身的報文轉(zhuǎn)發(fā)機制異常，會導(dǎo)致網(wǎng)絡(luò)風(fēng)暴，給智能變電站網(wǎng)絡(luò)運維留下極大的隱患。網(wǎng)絡(luò)風(fēng)暴的基本表現(xiàn)為：大量重復(fù)報文在網(wǎng)絡(luò)中快速傳播，大量信息排隊等待，直至占滿帶寬或耗盡交換機CPU資源，嚴(yán)重影響網(wǎng)絡(luò)的正常運行。

產(chǎn)生網(wǎng)絡(luò)風(fēng)暴的原因很多，其中重要的原因是網(wǎng)絡(luò)環(huán)路問題。

（1） 對過程層網(wǎng)絡(luò)來說，雖然工程應(yīng)用上通過靜態(tài)VLAN劃分或GMRP組播技術(shù)來實現(xiàn)網(wǎng)絡(luò)隔離，但如果網(wǎng)絡(luò)環(huán)路發(fā)生在同一VLAN內(nèi)，仍會產(chǎn)生網(wǎng)絡(luò)風(fēng)暴。

（2） 對站控層網(wǎng)絡(luò)來講，由于沒有采用任何組播報文隔離技術(shù)，GOOSE報文組播范圍為站控層全網(wǎng)；一旦網(wǎng)絡(luò)內(nèi)形成重復(fù)鏈路，GOOSE報文就會形成網(wǎng)絡(luò)風(fēng)暴。

2.3 人為專業(yè)攻擊

在智能變電站網(wǎng)絡(luò)條件下，人為專業(yè)攻擊主要分為以下2種。

（1） 主動破壞。非法專業(yè)用戶接入網(wǎng)絡(luò)后，通過監(jiān)聽、攔截對站內(nèi)信息及設(shè)備進行監(jiān)視和控制操作，再偽造信息向網(wǎng)絡(luò)發(fā)送大量無用報文，使站內(nèi)網(wǎng)絡(luò)設(shè)備異常、死機甚至無法重啟，最后導(dǎo)致整個網(wǎng)絡(luò)癱瘓。

（2） 無意識破壞。專業(yè)用戶正常接入網(wǎng)絡(luò)后，由于誤操作導(dǎo)致大量組播報文在網(wǎng)絡(luò)內(nèi)傳播，對網(wǎng)絡(luò)造成破壞和損失。

3 網(wǎng)絡(luò)安全策略

針對現(xiàn)有智能變電站網(wǎng)絡(luò)安全現(xiàn)狀，從技術(shù)和管理2方面提出站內(nèi)網(wǎng)絡(luò)安全策略，以避免智能變電站內(nèi)可能出現(xiàn)的各種網(wǎng)絡(luò)風(fēng)險。

3.1 應(yīng)用網(wǎng)絡(luò)可視化在線監(jiān)測技術(shù)

實際工程應(yīng)用對智能變電站網(wǎng)絡(luò)狀態(tài)的監(jiān)視僅停留在網(wǎng)絡(luò)斷鏈報警和復(fù)歸等基本功能上，而對站內(nèi)網(wǎng)絡(luò)運行時交換機內(nèi)部狀態(tài)、流量狀況、網(wǎng)絡(luò)冗余度、負(fù)載率等關(guān)鍵實時性指標(biāo)完全無法實現(xiàn)監(jiān)控。這導(dǎo)致變電站無法評估交換機及網(wǎng)絡(luò)狀態(tài)，且正常運維時缺乏對二次網(wǎng)絡(luò)設(shè)備的有效巡視手段，致使?jié)撛谌毕莶荒鼙患皶r發(fā)現(xiàn)并解決。

通過增加交換機管理功能模塊DSP和處理器CPU，擴展出讀取智能變電站SCD文件的功能；進而根據(jù)源數(shù)據(jù)MAC地址和APPID信息感知并計算數(shù)據(jù)流量，且進行可視化呈現(xiàn)；然后配置VLAN和端口限速，實現(xiàn)對網(wǎng)絡(luò)流量進行檢測、報警及可視化等功能。以某智能變電站110 kV部分交換機為例，其網(wǎng)絡(luò)流量預(yù)警及可視化示意如圖2所示。

當(dāng)某一交換機由于網(wǎng)絡(luò)接線或者外來攻擊信息導(dǎo)致網(wǎng)絡(luò)風(fēng)暴時，流量預(yù)警功能能迅速監(jiān)測并發(fā)出告警，且通過可視化手段給運維人員明確的故障定位，使運維人員能立即進行人工干預(yù)，降低網(wǎng)絡(luò)風(fēng)暴發(fā)生的可能性。

3.2 交換機硬件選型及管理

為阻止智能變電站發(fā)生網(wǎng)絡(luò)風(fēng)暴，要求過程層網(wǎng)絡(luò)擁有較高的應(yīng)對突發(fā)數(shù)據(jù)的能力。由于過程層交換機的級聯(lián)端口轉(zhuǎn)發(fā)壓力最大，因此24端口交換機級聯(lián)端口可采用1 000 Mbit/s的速率。根據(jù)國家電網(wǎng)公司標(biāo)準(zhǔn)要求，當(dāng)MV采用組網(wǎng)或與GOOSE共網(wǎng)的方式傳輸時，用于母線差動保護或主變差動保護的過程層交換機應(yīng)支持在任意1 000 M網(wǎng)口出現(xiàn)持續(xù)0.25 ms（為80點采樣速率時的1個采樣周期）的2 000 M突發(fā)流量時不丟包。

針對網(wǎng)絡(luò)環(huán)路問題，除了加強管理，保證工程實施時避免環(huán)路接線外，在交換機選型時要選擇可以生成樹協(xié)議的交換機。當(dāng)交換機設(shè)備生成樹協(xié)議后，能使交換機在環(huán)路處形成虛斷，避免網(wǎng)絡(luò)風(fēng)暴的產(chǎn)生。

此外，針對交換機管理無序的現(xiàn)狀，要明確站內(nèi)交換機管理職責(zé)，定期對交換機性能進行專業(yè)測試，并對測試結(jié)果進行相應(yīng)的分析、處理、存檔。在大量性能測試數(shù)據(jù)的基礎(chǔ)上，對交換機工作狀態(tài)進行專業(yè)評估。通過科學(xué)嚴(yán)謹(jǐn)?shù)臋z查分析，使智能變電站交換機及網(wǎng)絡(luò)得到更好的維護與管理。

圖2 網(wǎng)絡(luò)流量預(yù)警及可視化示意

4 結(jié)束語

未來的智能電網(wǎng)將會具備快速自愈功能，并且不僅僅體現(xiàn)在網(wǎng)架物理結(jié)構(gòu)上，同樣表現(xiàn)在二次信息網(wǎng)絡(luò)系統(tǒng)中。未來應(yīng)搭建控制網(wǎng)絡(luò)運行特性的網(wǎng)絡(luò)安全風(fēng)險綜合評估模型，并在此模型的基礎(chǔ)上建立大電網(wǎng)內(nèi)網(wǎng)絡(luò)系統(tǒng)設(shè)計方法、網(wǎng)絡(luò)安全指標(biāo)和評價工具，最終達(dá)到抵御外界侵襲并抑制內(nèi)部網(wǎng)絡(luò)風(fēng)險的目的，保證電力系統(tǒng)網(wǎng)絡(luò)安全可靠運行。

參考文獻(xiàn)：

1 張清枝，魏 勇，趙成功.變電站網(wǎng)絡(luò)化二次系統(tǒng)關(guān)鍵技術(shù)研究及應(yīng)用［J］.電力系統(tǒng)保護與控制，2009，37（8）：47-52.

2 汪 強.基于IEC61850的光纖工業(yè)以太網(wǎng)交換機的設(shè)計及應(yīng)用［J］.電力系統(tǒng)保護與控制，2010，38（13）：113-115.

3 鄭新才，施魯寧，楊 光，等.IEC61850 標(biāo)準(zhǔn)下采樣值傳輸規(guī)范9-1，9-2的對比和分析［J］.電力系統(tǒng)保護與控制，2008，36（18）：47-50.

4 國家電網(wǎng)公司.Q/GDW429—2010智能變電站網(wǎng)絡(luò)交換機技術(shù)規(guī)范［S］.北京：中國電力出版社，2010.

5 徐 勇，陸玉軍，張 雷.智能變電站網(wǎng)絡(luò)交換機在線監(jiān)測設(shè)計與實現(xiàn)［J］.江蘇電機工程，2014，33（2）：52-55.

徐東偉（1986-），男，工程師，主要從事變電運維工作，email：1987229520@qq.com。

陳 惠（1982-），女，助理工程師，主要從事變電運維工作。

陳志源（1955-），男，高級技師，主要從事變電運維工作。

呂 毅（1967-），男，高級技師，主要從事變電運維工作。

收稿日期：2016-01-18。

作者簡介：