國網(wǎng)河北省電力有限公司檢修分公司 張 賢 張煒琦 宋博言

近年全球范圍類的大規(guī)模、大面積停電屢見不鮮，而不少極具影響的停電事件是由于某些國家的電力系統(tǒng)受到網(wǎng)絡攻擊引起的。2015年12月23日烏克蘭至少三個區(qū)域的電力系統(tǒng)遭到網(wǎng)絡攻擊造成大面積停電，電力中斷3～6小時，約140萬人受到影響；2018年6月網(wǎng)絡黑客竊取了法國電力公司Ingerop逾65G文件，這些文件包括核電站計劃和千余名工作人員的個人私密信息等內容；2019年3月7日至9日連續(xù)三天，委內瑞拉電力系統(tǒng)遭到網(wǎng)絡攻擊導致了3次大范圍停電事件，全國大部分州都受到了影響；2020年4月葡萄牙跨國能源公司（天然氣和電力）EDP（Energias de Portugal）遭Ragnar Locker勒索軟件攻擊，贖金高達1090萬美金……

這些電力系統(tǒng)網(wǎng)絡攻擊事件說明：通信網(wǎng)絡技術的發(fā)展促進了電力系統(tǒng)的高度智能化，但是電力系統(tǒng)網(wǎng)絡安全防護出現(xiàn)了新的、更高難度的挑戰(zhàn)。分析、預測智能變電站的網(wǎng)絡安全風險，并對風險進行可控管理，保障變電站網(wǎng)絡系統(tǒng)的安全可靠運行，刻不容緩。

1 智能變電站的二次系統(tǒng)結構及網(wǎng)絡安全分析

智能變電站的主要特點：一次設備智能化、二次設備網(wǎng)絡化。智能變電站信息數(shù)據(jù)在采集、編碼、傳輸、存儲等過程全部用數(shù)字編碼。在典型的智能變電站中主要劃分成三個網(wǎng)絡：站控層、間隔層和過程層。站控層網(wǎng)絡使用的主要協(xié)議是IEC61850，實現(xiàn)各類設備間的統(tǒng)一通信；間隔層應用GOOSE通信機制常規(guī)變電站裝置之間硬接線的通信方式，大大簡化了變電站二次電纜接線；過程層是一個SAV采樣值網(wǎng)絡，它的主要作用是將變電站內一次設備的模擬數(shù)據(jù)準確實時傳輸至智能終端，轉化成數(shù)字信號。對于智能變電站網(wǎng)絡而言，其中的不安全因素主要可分為人員因素、系統(tǒng)因素、環(huán)境因素、安全設備因素。

人員因素?？煞謨蓚€方面：一是管理人員網(wǎng)絡安全意識差，沒有良好的工作態(tài)度和職業(yè)素養(yǎng)。在系統(tǒng)運行管理過程中重操作而輕管理，現(xiàn)場的數(shù)據(jù)配置等工作雖然準確無誤，在后期管理工作中卻敷衍了事，為智能變電站網(wǎng)絡安全運行埋下隱患[1]；二是技術人員的技術能力。智能變電站網(wǎng)絡通信是當前科技領域的前沿科技，自動化、通信、網(wǎng)絡等設備相隔不了幾年就會更新?lián)Q代，這就要求管理人員緊跟時代步伐，不斷學習新技術掌握新技能，這樣才能保證自己的技術能力滿足工作需求。在實際的工作中不少技術人員不能滿足智能變電站維護管理工作的技術要求，對于網(wǎng)絡安全問題按照自己的方式隨意處理，增大了網(wǎng)絡安全事故的發(fā)生概率。

圖1 智能變電站二次系統(tǒng)結構圖

系統(tǒng)缺陷。是導致網(wǎng)絡安全問題的重要原因之一。目前智能變電站的通信系統(tǒng)主要應用Unix、Vxworks、Linux等，這些操作系統(tǒng)在設計時重視功能，對安全防護有著明顯的安全漏洞：操作系統(tǒng)版本更新不及時，開放端口、安全等級設置不嚴謹，易出現(xiàn)后門；傳統(tǒng)的TCP/IP協(xié)議容易遭到黑客修改。雖然系統(tǒng)的安全防護采用防火墻、禁用風險端口、優(yōu)化系統(tǒng)服務等方式進行預防，但都屬于被動防御。

環(huán)境因素。智能變電站網(wǎng)絡系統(tǒng)所處的環(huán)境不是孤立不變的，不可避免的與外部進行對接，這可能會引發(fā)網(wǎng)絡安全事故。一種可能的情況，第三方人員對智能變電站系統(tǒng)進行維護，可能會用到移動介質拷貝數(shù)據(jù)，這就是一種風險，很有可能引起病毒入侵或感染。還有可能外部計算機接入變電站網(wǎng)絡系統(tǒng)，虛線網(wǎng)絡等新技術對系統(tǒng)的威脅等，都有可能造成網(wǎng)絡病毒的侵害。一旦病毒侵入了智能變電站網(wǎng)絡，病毒就會擴散到整個局域網(wǎng)，這樣導致系統(tǒng)數(shù)據(jù)變異或擁堵，造成嚴重的后果[2]。

安全設備因素。防火墻是目前智能變電站的主要網(wǎng)絡安全防御設備，由軟件和硬件設備組合而成，用來隔離智能變電站實時控制區(qū)與非控制生產區(qū)、外部網(wǎng)絡，保護實時控制區(qū)免受非法用戶操縱和控制。但防火墻不能防御局域網(wǎng)內部的攻擊，包括全部它能檢測到的攻擊。隨著網(wǎng)絡技術迅猛發(fā)展，一些新的破解方法也給防火墻造成一定隱患。

2 智能變電站面對的主要攻擊形式及造成的后果

智能變電站面臨的攻擊方式多種多樣，如病毒、木馬擺渡、廣域網(wǎng)的滲透，還有針對IEC61850協(xié)議、來自GOOSE的攻擊等，以下是概率最大的幾種攻擊形式：

智能變電站設計之初，設計、配置錯誤存在的后門。這是一種及其隱秘、潛伏性極強的攻擊方式，可能由邏輯自身觸發(fā)，也會受到外部指揮。這種攻擊日常管理中不易發(fā)現(xiàn)，流量分析也沒有效果；黑客們利用披露的安全漏洞進行攻擊破壞。雖然智能變電站設備開始運行時經測評是安全的，但運行期間依然存在新的安全漏洞。2019年12月相關組織就披露了IEC61850有安全漏洞5個，包括驗證錯誤、拒絕服務、緩沖區(qū)溢。由于信息披露和傳播速度極快、實時性強，個別安全漏洞可能通過EXP腳本傳播，如果系統(tǒng)被入侵會導致網(wǎng)絡系統(tǒng)癱瘓、數(shù)據(jù)泄露等災難性后果。

管理人員的錯誤邏輯與誤操作。如果要嚴格區(qū)分的話這不是惡性攻擊，但也會引起攻擊的后果。智能變電站已不存在傳統(tǒng)的物理端子，只有邏輯端子和實端子，這些端子都是是通過智能化的方式控制的。雖然可以實時監(jiān)測，但因端子眾多梳理清楚是非常難的。還有程序的錯誤邏輯也會引起一次設備的拒動作和誤動作；智能變電站設備升級、改造過程中，來自技術人員或廣域網(wǎng)中的惡意攻擊。系統(tǒng)運行過程中設備的軟件升級和硬件改造在所難免，如安全漏洞修復、版本升級、硬件更換、業(yè)務擴展、新增設備等。這樣的升級、改造可能導致系統(tǒng)設備從一個安全區(qū)域接觸到不可信區(qū)域，智能變電站系統(tǒng)就會面臨網(wǎng)絡攻擊、惡意代碼攻擊的外部環(huán)境。

社會工程學攻擊。其非常復雜，利用人性的弱點和本能的好奇進行入侵，常見的攻擊形式有假冒身份、誘餌計劃、網(wǎng)絡釣魚等。近年社會工程學攻擊網(wǎng)絡的事件逐年上升，呈泛濫之勢，方式也越來越多樣化，造成的很大的社會影響。如果黑客攻擊與社會工程學攻擊融為一體，智能變電站網(wǎng)絡系統(tǒng)的安全性將變得更加脆弱，引起的后果也是不堪設想。

智能變電站網(wǎng)絡受到攻擊，會產生嚴重的后果，主要有以下情況：

智能變電站各類數(shù)據(jù)被截獲。黑客非法獲取了智能變電站與其他站點傳輸?shù)臄?shù)據(jù)及變電站內部存儲的數(shù)據(jù)。數(shù)據(jù)截獲雖不會影響網(wǎng)絡的正常運行，但卻是黑客對變電站網(wǎng)絡再次進行攻擊的基礎；智能變電站網(wǎng)絡中斷。遭受黑客攻擊后，智能變電站網(wǎng)絡與調度數(shù)據(jù)網(wǎng)系統(tǒng)聯(lián)絡中斷，整個網(wǎng)絡系統(tǒng)癱瘓，調度主站無法監(jiān)視變電站的實時運行情況，調控主站的命令也不能有效執(zhí)行。變電站普遍實行無人值守的今天，如變電站發(fā)生嚴重故障得不到及時有效處理，從而使電網(wǎng)事故進一步擴大，造成的經濟損失和社會影響是異常嚴重的。

智能變電站數(shù)據(jù)篡改。黑客侵入智能變電站網(wǎng)絡后對站內關鍵數(shù)據(jù)進行惡意篡改，如修改開關遙信信息，導致站內開關遙信點號和主站遙信點號不一致，主站的遙控命令執(zhí)行錯亂；智能變電站受控于人。黑客入侵智能變電站網(wǎng)絡并完全控制了整個變電站的運行，調控主站完全失去監(jiān)視、控制能力。這種情況發(fā)生，智能變電站只能任由黑客控制和操縱，引起的嚴重后果不堪設想。

3 智能變電站網(wǎng)絡安全管理策略

國家層面的網(wǎng)絡安全等級保護制度2.0標準于2019年12月1日已正式實施，該標準強調主動防御，并對工業(yè)控制系統(tǒng)提出了針對性的防護要求。在執(zhí)行國家標準基礎上，按照電力系統(tǒng)網(wǎng)絡安全防護“安全分區(qū)、網(wǎng)絡專用、橫向隔離、縱向認證”的總原則，可將智能變電站劃分為生產管理區(qū)、實施監(jiān)控區(qū)、非控制生產區(qū)、外部網(wǎng)絡等。下面從五方面介紹智能變電站網(wǎng)絡安全管理策略。

強化智能變電站網(wǎng)絡安全管理。確保智能變電站的網(wǎng)絡安全，首先要強化計算機網(wǎng)絡的安全管理。計算機系統(tǒng)和網(wǎng)絡系統(tǒng)有很多方面不完善，因此技術管理人員需加強計算機網(wǎng)絡系統(tǒng)的安全管理，加大監(jiān)管力度，發(fā)現(xiàn)問題馬上處理。管理人員可利用入侵檢測技術，綜合人工智能、統(tǒng)計、密碼等相關學科技術，防止變電站網(wǎng)絡被黑客入侵；其次加強移動介質的管理，不使用無線聯(lián)網(wǎng)及外部網(wǎng)絡，避免病毒入侵變電站內部網(wǎng)絡；其三，利用符合電力系統(tǒng)的高規(guī)格防病毒軟件并保持最新版本，防止內部網(wǎng)絡的病毒擴散或惡意代碼攻擊，進而影響網(wǎng)絡安全運行。

綜合部署安全防護設備。安全防護設備主要包括防火墻、物理隔離、縱向認證裝置等設備。防火墻部署在實時控制區(qū)與非控制生產區(qū)之間及生產管理區(qū)與外部網(wǎng)絡之間，實現(xiàn)區(qū)域的邏輯隔離、報文過濾、訪問控制等功能。電力專用物理隔離裝置是非控制生產區(qū)與生產管理區(qū)的必備邊界，具有最高的安全防護強度，是橫向防護的要點。非控制生產區(qū)與生產管理區(qū)之間部署正向物理隔離裝置，負責單向數(shù)據(jù)傳遞?？v向認證加密裝置用于實時控制區(qū)與非控制生產區(qū)的廣域網(wǎng)邊界防護，實現(xiàn)本地包過濾功能以及廣域網(wǎng)通信提供認證與加密功能，保證數(shù)據(jù)傳輸?shù)臋C密性、完整性。

廣泛應用身份認證技術。在智能變電站網(wǎng)絡系統(tǒng)中，通過對用戶身份的認證可避免非法用戶對高于其權限的資源進行訪問，由此達到數(shù)據(jù)安全目的。基于CA的身份認證機制比較常見，每個網(wǎng)絡的證書都是由CA中心分發(fā)并簽名確認，證書包含公開密鑰，CA除了對證書進行簽發(fā)，還可管理證書和密鑰。

廣泛應用防病毒技術。病毒防范是保證智能變電站網(wǎng)絡系統(tǒng)安全運行的一種非常重要的技術措施。網(wǎng)絡病毒危害性大、破壞力強，必須采取安全、可靠、有效的防病毒方法，如基于服務器的防病毒技術、基于網(wǎng)絡目錄和文件的安全性方法、實施反病毒技術、工作站防病毒芯片等。

信息安全評估。是智能化變電站的一個重要特征。信息安全評估應用云計算、層次分析模型、模糊評價等統(tǒng)計學方法實現(xiàn)，對變電站網(wǎng)絡安全的事前控制異常關鍵。