江南， 紀陵， 楊小凡

(國電南京自動化股份有限公司，江蘇 南京 210000)

0 引 言

隨著能源互聯(lián)網(wǎng)的加速建設(shè)，計算機網(wǎng)絡(luò)和通信技術(shù)在智能變電站中的應(yīng)用呈現(xiàn)出前所未有的廣度和深度。智能變電站作為信息化技術(shù)深度應(yīng)用的結(jié)晶，是電力系統(tǒng)信息安全的關(guān)鍵節(jié)點。本文對智能變電站中信息安全問題進行了探索，對信息安全相關(guān)技術(shù)進行了有益的分析和總結(jié)。

1 智能變電站信息安全問題

現(xiàn)階段智能變電站遵循“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認證”的安全防護策略，將變電站與外部網(wǎng)絡(luò)進行物理隔離。然而，大量新型攻擊方式快速涌現(xiàn)，攻擊突防能力更強、破壞力更大、影響范圍更廣、技術(shù)手段更先進，現(xiàn)有防御體系并非萬無一失，具體表現(xiàn)如下：

(1)智能變電站采用TCP/IP技術(shù)進行通信，傳統(tǒng)對TCP/IP攻擊的技術(shù)稍加修改就可進行攻擊。

(2)智能變電站內(nèi)裝置本身安全防護措施普遍不足，操作系統(tǒng)和應(yīng)用程序存在較多漏洞。

(3)通過人機接口接入智能變電站內(nèi)網(wǎng)關(guān)或主機進行站內(nèi)訪問的現(xiàn)象普遍，病毒、木馬等惡意軟件的傳播途徑依然存在。

(4)無線網(wǎng)絡(luò)等新的接入需求和接入手段不斷出現(xiàn)。

對此，學(xué)者進行了大量研究，主要體現(xiàn)在以下幾個方面：

(1)智能變電站本體安全加固技術(shù)。

(2)智能變電站通信安全技術(shù)。

(3)智能變電站主動防御技術(shù)。

(4)智能變電站信息安全評估技術(shù)。

2 智能變電站信息安全技術(shù)研究

智能變電站的信息安全需求分為兩個方面:一是網(wǎng)絡(luò)系統(tǒng)安全;二是網(wǎng)絡(luò)信息安全[1]。網(wǎng)絡(luò)系統(tǒng)安全包括了本文中闡述的本體安全，如對外來攻擊的健壯性、自身存儲信息的安全性等。網(wǎng)絡(luò)信息安全主要包括了通信安全，以保證數(shù)據(jù)信息的完整性、合法性、訪問安全性、可控性和不可否認性。

2.1 本體安全

圖1 本體安全層次

本體安全要求變電站監(jiān)控設(shè)備具備一定的安全防護能力。電力監(jiān)控設(shè)備使用嵌入式技術(shù)實現(xiàn)，安全加固涉及從硬件到操作系統(tǒng)再到上層電力規(guī)約的多個方面，如圖1所示。

2.1.1操作系統(tǒng)加固

電力監(jiān)控裝置的操作系統(tǒng)主要有Linux、Unix和Vxworks等，由于早期重功能輕防護的設(shè)計，操作系統(tǒng)主要存在以下問題：

(1)設(shè)備操作系統(tǒng)版本較低，危險漏洞較多。

(2)設(shè)備操作系統(tǒng)配置不當，如開放的危險端口、危險服務(wù)、訪問控制能力較弱。

(3)設(shè)備操作系統(tǒng)未實現(xiàn)國產(chǎn)化，存在后門安全威脅。

目前，變電站中對操作系統(tǒng)的安全加固主要通過傳統(tǒng)修改配置的方式，如開啟防火墻、禁用危險端口、加強口令復(fù)雜度和策略、優(yōu)化系統(tǒng)服務(wù)、加強日志審計等[2-3]。然而，這種方法仍然停留在打補丁、改配置的階段，雖然簡單可行，但無法滿足安全操作系統(tǒng)的目標。根據(jù)操作系統(tǒng)第三級標準的要求，羅佳等人[4]重構(gòu)了SSOOS安全子系統(tǒng)，并進行了安全擴充，形成了對主機的全方位保護，彌補了傳統(tǒng)方法的不足。郭晉[5]則采用基于可信計算的安全操作系統(tǒng)整體方案，通過在操作系統(tǒng)之上增加系統(tǒng)可信安全模塊，形成具有主動免疫能力的積極防御體系。同時，部分學(xué)者也對國產(chǎn)操作系統(tǒng)進行了研究[6-8]，著重分析了國產(chǎn)操作系統(tǒng)的生態(tài)環(huán)境、應(yīng)用和發(fā)展前景，為在電力系統(tǒng)構(gòu)建基于國產(chǎn)操作系統(tǒng)的平臺提供了參考。

2.1.2存儲加固

數(shù)據(jù)庫是電力監(jiān)控設(shè)備數(shù)據(jù)的主要存儲工具。根據(jù)等級保護要求，數(shù)據(jù)庫的安全加固涉及到5個類別的20個指標，如用戶標識鑒別、口令復(fù)雜度和策略、登錄限制、訪問控制、賬戶管理和權(quán)限管理等[9]。數(shù)據(jù)庫安全典型的手段是通過優(yōu)化配置，實現(xiàn)數(shù)據(jù)庫訪問控制、身份認證和日志審計等[10]。這種方式簡單且具有較好的效果。與優(yōu)化數(shù)據(jù)庫配置不同，趙成等人[11]著重分析了主流數(shù)據(jù)庫的不足，提出一種基于主機代理的安全增強方式，將安全增強系統(tǒng)部署在服務(wù)器的網(wǎng)絡(luò)層，提高了安全性。然而服務(wù)器上部署安全模塊需要消耗一定的系統(tǒng)資源，會對數(shù)據(jù)庫的性能產(chǎn)生影響。在安全性評估方面，胡索榮等人[12]提出3個評估層面，分別為事前檢測、事中監(jiān)控和事后審計，據(jù)此設(shè)計了一套對數(shù)據(jù)庫進行安全保護的支持工具，為建立一套數(shù)據(jù)庫安全檢測方法和平臺，進行了有益的探索。

2.1.3應(yīng)用程序加固

電力通信協(xié)議對異常報文、畸形報文正確處理也是智能變電站抵御信息安全威脅的內(nèi)容。姜海濤等人[13]提供了檢查健壯性的途徑，通過使用協(xié)議模糊方法，向電力監(jiān)控設(shè)備發(fā)送非預(yù)期的畸形、錯誤報文，并監(jiān)視異常結(jié)果對協(xié)議棧的影響，實現(xiàn)了對協(xié)議健壯性的評估，為提高協(xié)議健壯性提供了評判標準和修正參考。

2.1.4國產(chǎn)化系統(tǒng)平臺

圖2 國產(chǎn)IED平臺

我國計算機通信技術(shù)使用的硬件、操作系統(tǒng)等基本為國外產(chǎn)品，后門風險突出。目前，我國自主研發(fā)的處理器龍芯已經(jīng)進行了商業(yè)應(yīng)用，操作系統(tǒng)中標麒麟、凝思、深度等都具備商業(yè)化應(yīng)用的條件，達夢、GBase等國產(chǎn)數(shù)據(jù)庫技術(shù)成熟。在基于國產(chǎn)處理器芯片、國產(chǎn)操作系統(tǒng)以及數(shù)據(jù)庫之上，構(gòu)建變電站監(jiān)控設(shè)備，滿足技術(shù)條件，具備更高安全性和自主可控性，具體如圖2所示。

上述4個方面，從底層硬件接口到操作系統(tǒng)再到上層應(yīng)用和電力規(guī)約，形成了對裝置本體安全加固的完整鏈條。

2.2 通信安全

智能變電站中IEC61850協(xié)議的開放性和以太網(wǎng)(TCP/IP)通信技術(shù)，在帶來技術(shù)變革的同時，也帶來了身份欺騙、報文篡改等傳統(tǒng)通信安全威脅[14]，存在一點突破全網(wǎng)蔓延的風險。

2.2.1IEC62351體系

IEC62351是國際電工委員會制定的通信安全標準，針對智能變電站的信息安全問題提出了解決方案。

1)TCP/IP通信安全

針對變電站中IEC60870-5-104、DNP3.0、SNTP對時、遠程瀏覽和遠程運維等采用的TCP/IP通信協(xié)議，IEC62351-3中采用TSL安全協(xié)議對TCP/IP協(xié)議進行封裝，在傳輸層和應(yīng)用層之上增加信息加密、數(shù)字簽名認證以及信息摘錄等功能，從而保證通過TCP/IP傳輸?shù)臄?shù)據(jù)的機密性和完整性，層次結(jié)構(gòu)如圖3所示。

圖3 TLS示意圖

TLS協(xié)議包括TLS記錄協(xié)議和TLS握手協(xié)議，TLS握手協(xié)議負責建立通信會話，進行數(shù)字證書的驗證，傳遞對稱加密算法和壓縮算法等，TLS記錄協(xié)議使用握手過程中確定的對稱加密算法對傳輸報文數(shù)據(jù)進行加密。現(xiàn)階段對TLS的研究主要集中在如何在智能變電站中進行應(yīng)用以及安全改進。梁鋒等人[15]對在TCL/IP中應(yīng)用TLS協(xié)議進行安全加強的方法進行了詳細的闡述。嚴童等人[16]提出兩種方式:一種是在TLS匿名模式中嵌入Kerberos認證協(xié)議進行身份驗證的方式:另一種是采用基于SSL/TLS的VPN隧道技術(shù)作為安全解決方案，這種方案在保障通信安全的同時解決了SSL VPN模型的功能局限性，易用且利于接入VPN應(yīng)用。靜永文等人[17]對TLS進行了改進，指出遠程控制環(huán)境中TCP/IP連接時間一般比較長，且長連接環(huán)境中使用同一個加密密鑰具有不安全性，對此提出基于混沌序列的加密方法，在長久持續(xù)的連接中，重新對密鑰進行協(xié)商，從而加強了會話的安全性。

2)GOOSE、SMV和MMS報文安全性

智能變電站中不同報文的實時性、報文流量和報文數(shù)據(jù)敏感度都有不同的要求。GOOSE報文對實時性要求高，應(yīng)進行加密和防篡改檢測，數(shù)據(jù)量大且數(shù)據(jù)敏感度稍弱的SMV僅需進行防篡改，MMS是變電站內(nèi)部和外部進行通信的報文，易被竊聽和篡改，需進行身份認證、加密和防篡改。

GOOSE、SMV和MMS報文安全性的實現(xiàn)主要是通過擴展報文保留字段，增加安全驗證內(nèi)容實現(xiàn)。研究者[18-19]結(jié)合實際，對MMS、GOOSE以及SMV協(xié)議安全性進行了研究，建立基于IEC62351的原型系統(tǒng)，為IEC62531安全體系在我國智能變電站的運用和后續(xù)研究進行了有益的探索。鑒于認證和加密過程需要時間，增加了網(wǎng)絡(luò)負擔，王保義等人[20]使用加密速度更快、硬件代價更小的GCM認證加密算法對智能變電站安全報文格式進行設(shè)計，該算法在保證通信安全性的同時，對通信性能也有所提高。

3)IEC62351實施難點

IEC62351雖為變電站的信息安全提供了解決方案，但其應(yīng)用也存在難點。首先，加密和認證機制本身需要一定的時間，與實時性具有一定的矛盾性，如何權(quán)衡好安全性和實時性是需要解決的問題。其次，IEC62351體系需要與現(xiàn)有安防體系無縫對接，保證整體穩(wěn)定運行。再次，變電站內(nèi)的二次設(shè)備來自于不同廠家，通信的加密和認證需要所有廠家的同步進行。最后，存量變電站的IEC62351安全加固采用何種方式也是待解決的問題[21]。

上述探索和研究，為IEC62351安全體系在智能變電站的應(yīng)用提供了寶貴的資料和實踐。

2.2.2國產(chǎn)加密算法在智能變電站中的應(yīng)用

通信報文安全性的核心是認證和加密。目前，國內(nèi)使用的密碼體系主要來自歐美，如RSA、MD5等，這些加密算法本身就存在一定的風險，如RSA算法就曾被指收美國政府千萬美元在加密算法中安裝后門。對此，國家商用密碼管理辦公室制定了一系列的國密算法標準[22]。趙宇亮等人[23]根據(jù)密碼分類標準，對國密算法進行了概述和分析，分別介紹了對稱算法SM1、SM4、祖沖之密碼算法，非對稱算法SM2、SM9以及SM3散列算法。國產(chǎn)算法的安全性相對高，已經(jīng)具備替代國外密碼的實力。在電力通信系統(tǒng)中使用國密算法具有重要的安全意義，學(xué)者們開展了大量研究。胡朝輝等人[24]將基于國產(chǎn)SM2的身份鑒別算法應(yīng)用在電力信息系統(tǒng)，實現(xiàn)了更好的身份鑒別能力。針對TLS協(xié)議連接時間過長不利于通信安全的問題，學(xué)者[25]提出將SM2國密體系應(yīng)用在TLS協(xié)議上，在遠動通信中使用“長連接”與“短連接”相互配合的策略，并對該方法進行驗證，結(jié)果顯示其滿足了智能變電站遠動通信數(shù)據(jù)安全性和實時性的需求。王曉燕等人[26]基于FPGA平臺，研究了SM3算法IP核的設(shè)計與實現(xiàn)，并與SHA-256算法進行了對比，驗證了其優(yōu)越性。

國家商用密碼的安全性優(yōu)于國外商用密碼，逐步替代國外加密算法有利于我國電力系統(tǒng)的安全運行。

2.3 主動防御技術(shù)

圖4 電力系統(tǒng)可信計算平臺架構(gòu)

作為主動防御技術(shù)，可信計算從計算機硬件結(jié)構(gòu)上考慮，通過引入TPM(可信平臺模塊)作為信任根建立可信計算平臺，在硬件加電后，可信計算通過硬件信任根逐步傳播信任，最終形成可信系統(tǒng)和可信網(wǎng)絡(luò)，是一種更加安全的主動防御體系[27]。

鑒于可信計算在信息安全方面的優(yōu)勢，許多文獻[28-30]深入研究了其在電力系統(tǒng)中應(yīng)用，給出實現(xiàn)計算平臺可信、應(yīng)用行為可信、網(wǎng)絡(luò)通信可信的思路和方法，基本架構(gòu)如圖4所示。

雖然可信計算是一種安全免疫技術(shù)，但是硬件芯片、加密算法和操作系統(tǒng)等技術(shù)基本由國外廠商提供。對此，學(xué)者[31]提出一種自主可控的可信計算平臺，核心硬件和軟件進行國產(chǎn)化，如核心處理器采用國產(chǎn)龍芯，操作系統(tǒng)采用國產(chǎn)麒麟，BIOS也實現(xiàn)自主可信。作者在此基礎(chǔ)上，設(shè)計了可信平臺控制模塊TPCM作為可信任根，建立從硬件到上層電力應(yīng)用規(guī)約的可信鏈，關(guān)鍵系統(tǒng)、軟件和硬件均實現(xiàn)國產(chǎn)化，如圖5所示。

圖5 國產(chǎn)可信計算平臺架構(gòu)

沈昌祥等人[32]則對可信計算中的加密體系進行分析，在可信計算平臺上使用國產(chǎn)密碼體系替代歐美加密算法，提出了“運算和防御并行的雙體系架構(gòu)”。

可信計算從源頭開始控制，形成安全鏈，是一種安全性更高更理想的解決方案。

2.4 信息安全評估

上述內(nèi)容主要針對如何對智能變電站進行信息安全的加固，安全評估也是智能變電站安全建設(shè)的重要一環(huán)。

圖6 基于ACID準則層的APH結(jié)構(gòu)

對變電站信息的安全評估主要是統(tǒng)計學(xué)方法，如層次分析法、云模型、D-S證據(jù)理論和模糊綜合評價等。如曹一家等人[33]從數(shù)據(jù)的ACID出發(fā)，以保密性、可用性、不可否認性和完整性為準則層建立通信安全評估指標得出權(quán)重，并使用權(quán)重值作為D-S證據(jù)理論的輸入，從而根據(jù)信任區(qū)間得出變電站通信安全性的綜合評估，模型如圖6所示。

相比上述方法，劉念等人[34]對智能變電站信息安全因素進行更加精細的劃分，從目標層、準則層、指標層、行為層和準則層開始逐層細化，對通信協(xié)議安全性、目標對象安全性、安全算法強度、網(wǎng)絡(luò)監(jiān)控、攻擊者知識等指標層的內(nèi)容進行了分析，設(shè)計了基于層次分析法(AHP)和逼近理想解排序法(TOPSIS)的脆弱度因子量化方法。該方法根據(jù)IEC61850標準構(gòu)建了評估算法，通過不同安全方案下的脆弱度計算比較，表明該方法能有效量化系統(tǒng)脆弱度。

與使用層次分析法不同，故障樹分析法FTA是一種通過分析各種對系統(tǒng)可能造成故障的因素，計算系統(tǒng)故障概率的方法。貝葉斯網(wǎng)絡(luò)技術(shù)則是一種對不確定知識進行推理的模型，在電力系統(tǒng)中已經(jīng)廣泛應(yīng)用。楊文征[35]將故障樹和貝葉斯技術(shù)有機地結(jié)合起來，形成了一種變電站網(wǎng)絡(luò)結(jié)構(gòu)可靠性評估方法。

針對變電站安全現(xiàn)狀，一些學(xué)者綜合考慮了各方面安全環(huán)節(jié)，通過對二次設(shè)備本身的安全如操作系統(tǒng)漏洞、危險端口和危險服務(wù)等內(nèi)容進行研究和掃描，使用模糊協(xié)議方法對二次設(shè)備協(xié)議棧的健壯性進行測試，通過網(wǎng)絡(luò)報文分析異常設(shè)備、異常流量和異常協(xié)議，最終進行綜合分析得出變電站安全性評分估值和安全態(tài)勢，對智能變電站的安全防護加固工作具有指導(dǎo)意義。

3 結(jié)束語

本文對智能變電站面臨的信息安全風險進行了分析，并從本體安全、通信安全、主動防御和信息安全評估等方面對當前智能變電站信息安全研究的相關(guān)內(nèi)容進行了有益的探索。