栗會(huì)峰劉 哲李宣義李均強(qiáng)杜曉東孟 杰栗維勛袁 龍

(1.國(guó)網(wǎng)河北省電力有限公司電力科學(xué)研究院,河北 石家莊 050021;2.國(guó)網(wǎng)河北省電力有限公司,河北 石家莊 050021)

高速鐵路一般采用電力作為機(jī)車動(dòng)力來(lái)源,具有速度快、牽引功率大、行車密度高等特點(diǎn)[1-2]。高速鐵路牽引變電站實(shí)現(xiàn)鐵路供電系統(tǒng)與電力系統(tǒng)的連接和電壓變換,是高速列車的主要?jiǎng)恿?lái)源,其穩(wěn)定連續(xù)的服役狀態(tài)是高速鐵路安全、可靠、經(jīng)濟(jì)運(yùn)行的關(guān)鍵保障。電力監(jiān)控系統(tǒng)被稱作是變電站的神經(jīng)中樞和控制中樞。近年來(lái),國(guó)內(nèi)外已發(fā)生多起通過(guò)網(wǎng)絡(luò)攻擊而導(dǎo)致電力系統(tǒng)故障甚至癱瘓的事件,變電站網(wǎng)絡(luò)安全面臨巨大威脅[3-4]。作為封閉的工業(yè)控制系統(tǒng),鐵路牽引變電站對(duì)供電高可靠性、穩(wěn)定性的要求也限制了監(jiān)控系統(tǒng)安全防護(hù)技術(shù)的應(yīng)用,存在巨大的安全隱患。鐵路牽引變電站一旦遭受網(wǎng)絡(luò)攻擊,導(dǎo)致電力供應(yīng)被切斷,鐵路交通運(yùn)輸將無(wú)法正常運(yùn)行,從而給國(guó)家經(jīng)濟(jì)發(fā)展和人民生活帶來(lái)巨大影響,嚴(yán)重情況甚至造成安全事故。

1 安全防護(hù)現(xiàn)狀

近年來(lái),隨著高速鐵路的快速發(fā)展,鐵路牽引變電站數(shù)量迅速增加。截至2018年底,全國(guó)鐵路牽引變電站數(shù)量已經(jīng)超過(guò)1 300座,主要分布在華中、華北、西北地區(qū),約為全國(guó)鐵路牽引變電站總數(shù)量的70%。高速鐵路牽引變電站的電壓等級(jí)涵蓋35～500 k V 各個(gè)電壓等級(jí),并形成了以110 k V、220 k V 電壓等級(jí)為骨干的鐵路供電網(wǎng)。

1.1 監(jiān)控系統(tǒng)構(gòu)成

高速鐵路牽引變電站主要完成將高電壓轉(zhuǎn)換為27.5 k V/55 k V 的變壓任務(wù),同時(shí)完成高速鐵路上下行饋線供電任務(wù)。

監(jiān)控系統(tǒng)一般采用計(jì)算機(jī)、通信、控制、繼電保護(hù)等技術(shù),通過(guò)數(shù)字采集和網(wǎng)絡(luò)通信的方式,實(shí)現(xiàn)對(duì)主要電氣設(shè)備的保護(hù)、控制、計(jì)量、監(jiān)測(cè)等功能。牽引變電站監(jiān)控系統(tǒng)一般采用分層分布式結(jié)構(gòu),由站控層、通信層、間隔層組成[5]。其中,站控層設(shè)備根據(jù)工程需求進(jìn)行配置,主要為運(yùn)行值班人員提供變電站監(jiān)視、控制和管理功能,包括后臺(tái)監(jiān)控計(jì)算機(jī)、五防系統(tǒng)、時(shí)鐘同步裝置等;通信層實(shí)現(xiàn)站內(nèi)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的互連互通,實(shí)現(xiàn)站內(nèi)所有保護(hù)、測(cè)控及其他智能裝置的通信信息管理功能,主要包括遠(yuǎn)動(dòng)通信單元、維管通信單元、通用通信單元;間隔層主要完成變壓器、饋線等現(xiàn)場(chǎng)高壓設(shè)備的保護(hù)、測(cè)量、監(jiān)視、控制和通信功能,以及實(shí)現(xiàn)重合閘、故障測(cè)距、故障錄波等功能。包括保護(hù)裝置、測(cè)控裝置、安全自動(dòng)裝置、故障錄波裝置、電能量采集裝置、規(guī)約轉(zhuǎn)換等系統(tǒng)。站內(nèi)監(jiān)控系統(tǒng)構(gòu)成如圖1所示。

圖1 鐵路牽引變電站監(jiān)控系統(tǒng)構(gòu)成

1.2 通信連接

按照《鐵路電力牽引供電設(shè)計(jì)規(guī)范》等相關(guān)規(guī)定要求,鐵路牽引變電站一般與鐵路供電調(diào)度系統(tǒng)和當(dāng)?shù)仉娏φ{(diào)度系統(tǒng)存在通信連接[6]。

鐵路牽引變電站與鐵路供電調(diào)度系統(tǒng)的數(shù)據(jù)通信通常采用鐵路專用通信網(wǎng)。按照調(diào)度關(guān)系,鐵路供電調(diào)度系統(tǒng)可以劃分為:鐵路總公司供電調(diào)度系統(tǒng)、鐵路局供電調(diào)度系統(tǒng)、鐵路供電段調(diào)度系統(tǒng)[7]。鐵路牽引變電站通過(guò)鐵路專用通信網(wǎng)將遠(yuǎn)動(dòng)信息傳送至鐵路總公司和上級(jí)鐵路局。鐵路總公司對(duì)全國(guó)范圍內(nèi)所有牽引變電站的運(yùn)行狀態(tài)進(jìn)行監(jiān)視,并協(xié)調(diào)指揮下轄各鐵路局供電調(diào)度作業(yè)。鐵路局實(shí)現(xiàn)對(duì)管轄范圍內(nèi)各牽引變電站的遠(yuǎn)程監(jiān)視、測(cè)量、控制管理。鐵路局在下轄各鐵路供電段調(diào)控中心建立監(jiān)視工作站,負(fù)責(zé)對(duì)牽引變電站運(yùn)行狀態(tài)進(jìn)行監(jiān)視,如圖2所示。

圖2 鐵路牽引變電站與供電調(diào)度系統(tǒng)通信連接方式

鐵路牽引變電站與當(dāng)?shù)仉娏φ{(diào)度系統(tǒng)之間一般為單向通信,鐵路牽引變電站按照當(dāng)?shù)仉娏φ{(diào)度機(jī)構(gòu)要求上送遙測(cè)、遙信信號(hào),電力調(diào)度機(jī)構(gòu)一般不向鐵路牽引變電站下發(fā)遙控指令。其通信方式通常采用3種方式進(jìn)行數(shù)據(jù)通信(見圖2):通過(guò)電力調(diào)度數(shù)據(jù)網(wǎng),站內(nèi)通信管理機(jī)利用交換機(jī)、路由器接入調(diào)度數(shù)據(jù)網(wǎng);通過(guò)電力專線,由通信管理機(jī)采用串口方式接入PCM 系統(tǒng),轉(zhuǎn)化為光纖信號(hào)后傳輸至調(diào)度主站;通過(guò)無(wú)線網(wǎng)絡(luò),經(jīng)安全接入?yún)^(qū)接入電力調(diào)度系統(tǒng)。

牽引變電站采用無(wú)線網(wǎng)絡(luò)連接至電力調(diào)度系統(tǒng)的無(wú)線通信網(wǎng)關(guān)機(jī),并經(jīng)反向隔離裝置后接入調(diào)度主站。在實(shí)際應(yīng)用中,調(diào)度數(shù)據(jù)網(wǎng)為主要通信方式,無(wú)線連接方式目前尚處于規(guī)劃階段,實(shí)際應(yīng)用較少。

2 存在的問(wèn)題

鐵路供電調(diào)度機(jī)構(gòu)在電力生產(chǎn)過(guò)程中,往往重視電力生產(chǎn)安全,對(duì)網(wǎng)絡(luò)安全的重要性缺乏必要認(rèn)識(shí),導(dǎo)致牽引變電站監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)缺乏統(tǒng)一的技術(shù)和管理要求。同時(shí),鐵路牽引變電站運(yùn)行維護(hù)人員的網(wǎng)絡(luò)安全技術(shù)力量薄弱,導(dǎo)致網(wǎng)絡(luò)安全要求未落實(shí)或落實(shí)不到位,實(shí)際運(yùn)行中鐵路牽引變電站存在較多網(wǎng)絡(luò)安全問(wèn)題。

2.1 監(jiān)聽與篡改報(bào)文風(fēng)險(xiǎn)

鐵路牽引變電站生產(chǎn)控制大區(qū)與鐵路供電調(diào)度系統(tǒng)之間縱向連接的邊界處未部署必要的加密、認(rèn)證、訪問(wèn)控制(防火墻)等防護(hù)措施。鐵路牽引變電站生產(chǎn)控制大區(qū)與電力調(diào)控機(jī)構(gòu)調(diào)度數(shù)據(jù)網(wǎng)連接的縱向邊界處,存在縱向加密認(rèn)證裝置缺失、裝置異常、安全策略未配置等問(wèn)題。

鐵路牽引變電站與上級(jí)鐵路供電調(diào)度系統(tǒng)和電力調(diào)度系統(tǒng)存在通信連接和數(shù)據(jù)交互,數(shù)據(jù)遠(yuǎn)距離傳輸過(guò)程為明文傳輸,存在被偵聽、篡改等安全風(fēng)險(xiǎn),黑客通過(guò)監(jiān)聽并篡改控制報(bào)文,實(shí)現(xiàn)對(duì)鐵路牽引變電站一次設(shè)備遙控權(quán)限的獲取,進(jìn)而影響鐵路列車正常運(yùn)行。

2.2 缺乏監(jiān)視預(yù)警功能

網(wǎng)絡(luò)攻擊一般具有隱蔽性強(qiáng)、潛伏期長(zhǎng),難以追蹤等特點(diǎn),鐵路牽引變電站監(jiān)控系統(tǒng)缺乏對(duì)網(wǎng)絡(luò)異常行為、異常流量的集中監(jiān)視和分析,無(wú)法及時(shí)發(fā)現(xiàn)潛在威脅和網(wǎng)絡(luò)攻擊,并及時(shí)產(chǎn)生告警。缺乏對(duì)監(jiān)控主機(jī)操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備以及數(shù)據(jù)庫(kù)的運(yùn)行日志、操作行為進(jìn)行監(jiān)視,無(wú)法對(duì)違規(guī)操作、惡意攻擊行為及時(shí)開展調(diào)查與溯源。

2.3 缺乏安全加固與權(quán)限控制

后臺(tái)監(jiān)控機(jī)等主機(jī)設(shè)備缺乏安全加固,未定期更新系統(tǒng)補(bǔ)丁,不常用的服務(wù)和高危端口未進(jìn)行及時(shí)關(guān)閉,且操作系統(tǒng)存在中高危漏洞。牽引變電站網(wǎng)絡(luò)設(shè)備、安防設(shè)備、主機(jī)設(shè)備未對(duì)賬戶口令實(shí)施限權(quán)管理,未對(duì)賬戶的操作權(quán)限進(jìn)行分級(jí)控制,且存在弱口令、缺省賬戶、多余賬戶等情況。

2.4 感染病毒風(fēng)險(xiǎn)突出

對(duì)外來(lái)人員操作行為缺乏管控,系統(tǒng)升級(jí)維護(hù)過(guò)程中,移動(dòng)計(jì)算機(jī)、USB移動(dòng)存儲(chǔ)介質(zhì)隨意插拔,未對(duì)USB移動(dòng)存儲(chǔ)及其他外來(lái)設(shè)備進(jìn)行限制或?qū)徲?jì)。大部分牽引變電站未安裝防惡意代碼軟件或采取相應(yīng)安全措施,存在感染惡意代碼或病毒而引起電力監(jiān)控系統(tǒng)癱瘓的風(fēng)險(xiǎn)。

2.5 網(wǎng)絡(luò)安全防范意識(shí)不足

鐵路牽引變電站運(yùn)維人員的網(wǎng)絡(luò)安全技術(shù)能力不足,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)意識(shí)薄弱。牽引變電站監(jiān)控系統(tǒng)在故障處理、程序升級(jí)等過(guò)程中,過(guò)度依賴設(shè)備廠商人員,可能存在通過(guò)設(shè)備廠商開展遠(yuǎn)程運(yùn)維操作的風(fēng)險(xiǎn),誤將牽引變電站監(jiān)控系統(tǒng)暴露在互聯(lián)網(wǎng)上,使站內(nèi)設(shè)備面臨病毒感染、遠(yuǎn)程攻擊的威脅。

3 網(wǎng)絡(luò)安全防護(hù)策略

針對(duì)鐵路牽引變電站存在的網(wǎng)絡(luò)安全問(wèn)題,結(jié)合電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)要求[8],提出應(yīng)建立完善邊界防護(hù)與本體安全并重,靜態(tài)管控與動(dòng)態(tài)監(jiān)控相結(jié)合的綜合安全防護(hù)體系。通過(guò)部署安全防護(hù)設(shè)備強(qiáng)化邊界訪問(wèn)控制,針對(duì)主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備、安全防護(hù)設(shè)備開展安全加固,規(guī)范安全配置要求,部署就地監(jiān)視與告警功能,實(shí)現(xiàn)對(duì)變電站監(jiān)控系統(tǒng)設(shè)備實(shí)時(shí)監(jiān)視,及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)告警與設(shè)備異常,防范外部網(wǎng)絡(luò)攻擊。

3.1 網(wǎng)絡(luò)專用與安全加密

牽引變電站同時(shí)與鐵路供電調(diào)度系統(tǒng)、當(dāng)?shù)仉娏φ{(diào)度系統(tǒng)存在通信連接,按照網(wǎng)絡(luò)專用的原則,牽引變電站內(nèi)應(yīng)分別部署遠(yuǎn)動(dòng)通信管理裝置,分別向鐵路部門和電力部門傳輸遙測(cè)、遙信數(shù)據(jù),避免因共用遠(yuǎn)動(dòng)通信管理裝置,帶來(lái)串網(wǎng)感染病毒、蠕蟲攻擊的風(fēng)險(xiǎn)。

在鐵路牽引變電站與外部系統(tǒng)的縱向通信線路上增加加密、認(rèn)證、訪問(wèn)控制等措施,防范因通信報(bào)文明文傳輸,被外部監(jiān)聽、篡改,越權(quán)獲取牽引變電站一次設(shè)備控制權(quán)限的風(fēng)險(xiǎn)。與鐵路供電調(diào)度系統(tǒng)的通信鏈路上可部署防火墻,并設(shè)置端口、IP地址的安全配置。通過(guò)調(diào)度數(shù)據(jù)網(wǎng)接入電力調(diào)度系統(tǒng)的,應(yīng)部署電力專用縱向加密認(rèn)證裝置,對(duì)傳輸數(shù)據(jù)進(jìn)行加密。

3.2 基于白名單的訪問(wèn)控制策略

白名單訪問(wèn)控制策略的主要思路是默認(rèn)拒絕所有數(shù)據(jù)包通過(guò),只有全部滿足白名單中規(guī)則的數(shù)據(jù)包才可通過(guò)。白名單策略可以幫助抵御未經(jīng)授權(quán)的非法訪問(wèn),有效抵御ARP 欺騙、Ping of Death 攻擊和SYN Flood 攻擊等拒絕服務(wù)攻擊。白名單策略在站控層網(wǎng)絡(luò)通信中的典型應(yīng)用為綁定設(shè)備的IP地址與Mac地址的映射關(guān)系,并設(shè)置源Mac地址、源IP地址、目的IP 地址、目的端口號(hào)作為白名單規(guī)則。只有滿足上述所有條件的數(shù)據(jù)包才可通過(guò)過(guò)濾,并進(jìn)行下一步操作?；谠碝AC 地址、源IP 地址、目的IP 地址和目的端口號(hào)的白名單訪問(wèn)控制策略,能夠有效抵御IP 欺騙攻擊和基于IP 欺騙的拒絕服務(wù)攻擊。

3.3 網(wǎng)絡(luò)安全加固

安全加固是提高主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備、安全防護(hù)設(shè)備及業(yè)務(wù)系統(tǒng)安全性和抗攻擊能力的重要技術(shù)手段。通過(guò)安全加固可以在網(wǎng)絡(luò)層、主機(jī)層以及應(yīng)用層等層面建立符合業(yè)務(wù)需求的安全防線。電力監(jiān)控系統(tǒng)安全加固包括安全配置加固和安全漏洞修復(fù)。安全配置加固應(yīng)遵循“最小化原則”,即開放最少的服務(wù)、設(shè)置最小的權(quán)限、增加更多的審計(jì),主要內(nèi)容包括設(shè)備管理、用戶與口令管理、登陸管理、權(quán)限控制、安全策略、日志與審計(jì)。

安全漏洞加固一般通過(guò)使用專用工控系統(tǒng)漏洞掃描工具,對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行漏洞掃描,并對(duì)存在的中高危漏洞通過(guò)更新漏洞補(bǔ)丁、關(guān)閉相應(yīng)端口等方式進(jìn)行修復(fù)。

3.4 運(yùn)行監(jiān)視與告警

通過(guò)在鐵路牽引變電站站控層部署網(wǎng)絡(luò)安全事件監(jiān)測(cè)與預(yù)警裝置,將變電站內(nèi)主機(jī)設(shè)備的操作系統(tǒng)安全事件、網(wǎng)絡(luò)設(shè)備安全事件、安全防護(hù)設(shè)備安全事件納入監(jiān)視范圍。安全事件至少包括設(shè)備運(yùn)行狀態(tài)信息、設(shè)備正常操作日志、違規(guī)告警事件三類。設(shè)備運(yùn)行狀態(tài)包括CPU 利用率、內(nèi)存利用率、主機(jī)溫度、在線時(shí)長(zhǎng)等信息,并設(shè)置安全閾值,一旦設(shè)備運(yùn)行狀態(tài)超過(guò)安全閾值,發(fā)送安全告警,確保設(shè)備安全平穩(wěn)運(yùn)行。安全操作信息包括設(shè)備接入、用戶登錄、用戶退出等事件信息,提供操作審計(jì)和事件調(diào)查。違規(guī)告警事件包括不符合安全策略的主機(jī)訪問(wèn)、禁用服務(wù)/端口開啟、外網(wǎng)設(shè)備違規(guī)接入等信息,實(shí)現(xiàn)對(duì)違規(guī)操作的及時(shí)發(fā)現(xiàn)、及時(shí)處置。

4 結(jié)論

高速鐵路是我國(guó)的重要交通運(yùn)輸工具,事關(guān)國(guó)計(jì)民生。以上圍繞鐵路牽引變電站監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全開展分析研究。首先分析了鐵路牽引變電站監(jiān)控系統(tǒng)的基本構(gòu)成,包括監(jiān)控系統(tǒng)的內(nèi)部組成和站外通信連接方式。其次,結(jié)合牽引變電站監(jiān)控系統(tǒng)構(gòu)成,詳細(xì)分析了當(dāng)前高速鐵路牽引變電站普遍存在的網(wǎng)絡(luò)安全問(wèn)題,指出鐵路牽引變電站監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)水平薄弱。最后,針對(duì)存在的網(wǎng)絡(luò)安全問(wèn)題,提出建立完善綜合安全防護(hù)體系,并圍繞報(bào)文加密傳輸、系統(tǒng)加固、訪問(wèn)控制、實(shí)時(shí)監(jiān)視等方面提出對(duì)應(yīng)的安全防護(hù)策略,提升鐵路牽引變電站安全防護(hù)水平與抵御外部網(wǎng)絡(luò)攻擊的能力。