韋恒，李海勇，顏麗，黃超，廖曉春，曾令森

(1.廣西電網(wǎng)有限責(zé)任公司，廣西 南寧 530013；2.武漢華電順承科技有限公司，湖北 武漢 430071)

近年來，國際安全形勢十分嚴(yán)峻，安全威脅層出不窮，國家級、集團(tuán)式安全事件時有發(fā)生。2017年全球爆發(fā)的“永恒之藍(lán)”勒索病毒，對包括電力系統(tǒng)在內(nèi)的能源關(guān)鍵基礎(chǔ)設(shè)施發(fā)起大范圍的網(wǎng)絡(luò)攻擊并實施惡意勒索，造成了極其嚴(yán)重的影響[1-3]。電力系統(tǒng)作為國計民生的一種基礎(chǔ)性資源，在各個領(lǐng)域的廣泛應(yīng)用推動了社會經(jīng)濟(jì)的飛速發(fā)展，成為信息安全網(wǎng)絡(luò)戰(zhàn)的重點攻擊目標(biāo)之一。

為了應(yīng)對日益復(fù)雜的國際網(wǎng)絡(luò)環(huán)境，我國對網(wǎng)絡(luò)化、信息化程度不斷提高的電力系統(tǒng)網(wǎng)絡(luò)信息安全防護(hù)要求不斷升級。在根據(jù)﹝國能安全36號文﹞《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》進(jìn)行安全排查過程中，發(fā)現(xiàn)監(jiān)控電力大數(shù)據(jù)的繼電保護(hù)設(shè)備存在錯綜復(fù)雜的安全問題，如未部署入侵檢測、未限制訪問權(quán)限、未安裝殺毒軟件、未關(guān)閉多余接口、未限制遠(yuǎn)程登錄地址、未設(shè)置超時策略等，故安全管理部門對繼電保護(hù)設(shè)備廠商提出了強(qiáng)制性的安全防護(hù)整改要求，設(shè)備必須符合電力監(jiān)控系統(tǒng)安全入網(wǎng)條件才能并網(wǎng)[4-5]。目前部分錄波器服役年限未到但安全問題頻發(fā)，老舊錄波器因無有效的安全防護(hù)整改措施，不滿足安全整改要求而脫網(wǎng)運行的情況已大面積出現(xiàn)，成為電力行業(yè)亟待解決的問題。

近年來，隨著信息技術(shù)的不斷發(fā)展，國內(nèi)外展開了互聯(lián)網(wǎng)信息安全方面的廣泛研究，但在繼電保護(hù)領(lǐng)域信息安全防護(hù)方面的研究相對較少。文獻(xiàn)[6-7]聚焦于能源互聯(lián)網(wǎng)安全可信縱深防御體系研究，與電力系統(tǒng)業(yè)務(wù)接壤的安全保障展示不夠充分。文獻(xiàn)[8]揭示了電力系統(tǒng)終端的脆弱性，提出構(gòu)建智能終端安全防護(hù)體系的重要性。文獻(xiàn)[9]部署威脅驅(qū)動的電力監(jiān)控系統(tǒng)，探究電力監(jiān)控系統(tǒng)中各種連接互聯(lián)網(wǎng)資產(chǎn)暴露出的漏洞及采取的安全措施。文獻(xiàn)[10-11]利用風(fēng)險識別技術(shù)和戰(zhàn)略響應(yīng)機(jī)制，建設(shè)智能變電站安全防護(hù)體系，可實現(xiàn)智能設(shè)備的安全防護(hù)監(jiān)管和風(fēng)險應(yīng)對，對聯(lián)網(wǎng)智能設(shè)備暴露的網(wǎng)絡(luò)威脅有抵御能力，但無法解決現(xiàn)有老舊二次設(shè)備的合規(guī)并網(wǎng)問題。文獻(xiàn)[12]建立了電力企業(yè)二次系統(tǒng)安全防護(hù)監(jiān)視平臺，但未深入探索防御體系。通過以上研究發(fā)現(xiàn)，目前電力系統(tǒng)二次設(shè)備安全防護(hù)技術(shù)雖然在一定程度上對暴露出的安全問題進(jìn)行了有效防御，但仍停留于設(shè)備的狀態(tài)監(jiān)視和短效防守的安全防護(hù)配套階段，有待進(jìn)一步開展長效、主動的網(wǎng)絡(luò)信息安全防護(hù)研究。

基于此，本文設(shè)計一種基于數(shù)據(jù)安全的繼電保護(hù)設(shè)備合規(guī)并網(wǎng)方案，以現(xiàn)存安全防護(hù)問題比較突出的繼電保護(hù)設(shè)備錄波器為例，利用合規(guī)并網(wǎng)裝置對同站所有錄波器進(jìn)行安全監(jiān)管代理，建立主動防御的安全防護(hù)模型和健全的防護(hù)機(jī)制，形成錄波器和調(diào)度數(shù)據(jù)網(wǎng)之間的一道安全屏障。該方案能有效隔離不合規(guī)錄波器存在的風(fēng)險，后期安全策略升級不再需要協(xié)調(diào)不同錄波器廠商進(jìn)行升級防護(hù)，只需在調(diào)度側(cè)對分布式合規(guī)并網(wǎng)裝置進(jìn)行遠(yuǎn)程運維和常態(tài)化管理，統(tǒng)一部署標(biāo)準(zhǔn)化的升級策略即可，是一種長效、主動的變電站錄波器合規(guī)并網(wǎng)保障方法。

1 合規(guī)并網(wǎng)裝置安全防護(hù)模型

合規(guī)并網(wǎng)裝置采用體積小、功耗低、成本低和集成度高的嵌入式處理器，使用穩(wěn)定性好、可靠性高、可裁剪的操作系統(tǒng)，形成系統(tǒng)最小化、軟件輕量化和自維護(hù)的運行模式，實現(xiàn)與錄波器同壽命、等規(guī)格的長效安全并網(wǎng)保障。該裝置在繼電保護(hù)老舊設(shè)備與網(wǎng)絡(luò)間建立安全隔離屏障與合規(guī)信息通道，將繼電保護(hù)安全防護(hù)管控水平由被動配合提升到主動防御。

合規(guī)并網(wǎng)裝置安全防護(hù)模型如圖1所示，運用安全防御手段監(jiān)控內(nèi)外環(huán)境中關(guān)聯(lián)部分的網(wǎng)絡(luò)活動和數(shù)據(jù)安全狀態(tài)，并收集風(fēng)險事件，集中記錄、分析、處理和報警，將風(fēng)險控制在最小影響范圍，形成廠站側(cè)的安全防護(hù)屏障，保障系統(tǒng)、數(shù)據(jù)和網(wǎng)絡(luò)不受來自內(nèi)外部不安全因素的入侵和破壞。后期只需對合規(guī)并網(wǎng)裝置統(tǒng)一進(jìn)行安全策略升級即可，提供數(shù)據(jù)傳遞合規(guī)通道，是一種長效、主動的安全防御方案，可滿足日益提高的電力系統(tǒng)安全防護(hù)要求[13]。

圖1 合規(guī)并網(wǎng)裝置安全防護(hù)模型

a)風(fēng)險評估：自動檢測合規(guī)并網(wǎng)裝置自身及所連接的錄波器安全達(dá)標(biāo)情況，收集站內(nèi)聯(lián)網(wǎng)設(shè)備可能存在的潛在風(fēng)險，評估風(fēng)險將會帶來的影響，設(shè)定裝置的初始環(huán)境條件。

b)安全防護(hù)：根據(jù)初始環(huán)境，事先設(shè)置預(yù)案，部署相應(yīng)的安全策略。在安全策略指導(dǎo)下制訂相應(yīng)的安全防護(hù)機(jī)制，進(jìn)行裝置安全配置管理，確保合規(guī)并網(wǎng)裝置能有效隔離風(fēng)險。裝置的安全防護(hù)機(jī)制包含但不限于集中管理、身份認(rèn)證、訪問控制、權(quán)限控制和操作審計。

c)檢測校核：檢測已實施安全防護(hù)策略配置的合規(guī)并網(wǎng)裝置的安全等級，實時感知經(jīng)該裝置傳輸?shù)臄?shù)據(jù)是否攜帶風(fēng)險，核對風(fēng)險項檢測的完整度，生成安全校核結(jié)果。根據(jù)校核結(jié)果進(jìn)行風(fēng)險攔截和報警，并將合規(guī)數(shù)據(jù)安全上送至主站系統(tǒng)。

d)響應(yīng)與恢復(fù)：針對不同性質(zhì)的風(fēng)險動態(tài)更新安全應(yīng)對方案，對報警信號作出應(yīng)急響應(yīng)，如調(diào)整安全策略、切斷攻擊源頭、追蹤攻擊線索等。若合規(guī)并網(wǎng)裝置系統(tǒng)遭到破壞，則利用備份體系進(jìn)行異常恢復(fù)處理，提高系統(tǒng)自維護(hù)能力。

e)遠(yuǎn)程策略升級：不再需要聯(lián)系各錄波器廠商對異種錄波器進(jìn)行安全防護(hù)整改，只需在調(diào)度側(cè)通過遠(yuǎn)程控制的方式對合規(guī)并網(wǎng)裝置統(tǒng)一進(jìn)行策略調(diào)整或升級，實施標(biāo)準(zhǔn)化安全升級維護(hù)流程[14-15]。

2 合規(guī)并網(wǎng)裝置安全防護(hù)方案

電力系統(tǒng)長期存在老舊錄波器因安全防護(hù)整改不達(dá)標(biāo)而大面積脫網(wǎng)運行的問題，導(dǎo)致錄波數(shù)據(jù)無法正常上送，數(shù)據(jù)獲取出現(xiàn)較大延時。設(shè)計符合安全防護(hù)要求的合規(guī)并網(wǎng)裝置，對變電站內(nèi)所有錄波器進(jìn)行安全防護(hù)監(jiān)管代理，是一種長效、主動的繼電保護(hù)錄波器設(shè)備安全并網(wǎng)解決方案。

2.1 合規(guī)并網(wǎng)裝置網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

安全防護(hù)模型切斷了對安全防護(hù)整改不達(dá)標(biāo)的錄波器的直接訪問，而是采用合規(guī)并網(wǎng)裝置代理的方式，接管了主站系統(tǒng)對錄波器的訪問，即錄波數(shù)據(jù)的上送或召喚均需經(jīng)過合規(guī)并網(wǎng)裝置，幫助調(diào)度數(shù)據(jù)網(wǎng)和主站系統(tǒng)隔離安全操作風(fēng)險，并簡化安全防護(hù)整改流程。合規(guī)并網(wǎng)裝置網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖2所示。

圖2 合規(guī)并網(wǎng)裝置網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

合規(guī)并網(wǎng)裝置在主站系統(tǒng)和錄波器中間所發(fā)揮的作用如下：

a)錄波器兼容：合規(guī)并網(wǎng)裝置兼容常見的IEC 61850和IEC 60870-5-103等多種規(guī)約形式，適應(yīng)不同廠商錄波器規(guī)約服務(wù)程序的通信連接，可實現(xiàn)異種錄波器的一站式接入和數(shù)據(jù)的可靠傳輸，最大限度地發(fā)揮老舊錄波器全生命周期的價值。

b)物理隔離：故障錄波器不再直接接入調(diào)度數(shù)據(jù)網(wǎng)，而是接入合規(guī)并網(wǎng)裝置，再由合規(guī)并網(wǎng)裝置向錄波和保信主站提供數(shù)據(jù)服務(wù)接口，隔離不合規(guī)錄波器的接入可能帶來的安全風(fēng)險。

c)邏輯映射：基于錄波器物理地址將索引目錄表映射成物理地址表，基于錄波器屬性信息將錄波器物理地址表映射成邏輯地址表，使得主站和原有錄波器業(yè)務(wù)交互通過并網(wǎng)裝置提供的合規(guī)通道無感運作，發(fā)揮安全管控的作用。

d)鏡像傳輸：從主存儲模塊讀取可上送的元數(shù)據(jù)，利用數(shù)據(jù)鏡像制作工具生成鏡像文件，保存于從存儲模塊。在主站對原錄波器發(fā)送數(shù)據(jù)請求指令后，通過邏輯映射和數(shù)據(jù)鏡像從獨立上行接口安全輸出，實現(xiàn)錄波數(shù)據(jù)從廠站側(cè)局域網(wǎng)到調(diào)度數(shù)據(jù)網(wǎng)安全傳輸?shù)哪康摹?/p>

e)安全策略配置：根據(jù)電力系統(tǒng)安全防護(hù)要求和錄波數(shù)據(jù)傳輸鏈路安全需求定制，配置統(tǒng)一的安全策略，建立安全防護(hù)機(jī)制，在變電站錄波器和調(diào)度數(shù)據(jù)網(wǎng)之間形成一道安全保護(hù)屏障，確保錄波數(shù)據(jù)的安全上送。

2.2 合規(guī)并網(wǎng)裝置安全防護(hù)機(jī)制

合規(guī)并網(wǎng)裝置安全防護(hù)側(cè)重于集中管理、身份認(rèn)證、訪問控制、權(quán)限控制和操作審計等機(jī)制，錄波數(shù)據(jù)的上送或召喚均需經(jīng)過合規(guī)并網(wǎng)裝置檢測和校核。該裝置只有自身安全防護(hù)機(jī)制健全，才能有效隔離漏洞、惡意代碼和非法訪問等各種不安全因素，形成安全保護(hù)屏障。合規(guī)并網(wǎng)裝置安全防護(hù)機(jī)制如下：

a)集中管理：對同一變電站內(nèi)所有錄波器數(shù)據(jù)進(jìn)行集中監(jiān)控，挖掘安全狀態(tài)不統(tǒng)一的錄波器數(shù)據(jù)安全風(fēng)險問題予以整理，歸集不安全因素，實現(xiàn)統(tǒng)一管理。

b)身份認(rèn)證：對系統(tǒng)操作者的身份進(jìn)行識別和驗證。相關(guān)標(biāo)準(zhǔn)對繼電保護(hù)系統(tǒng)網(wǎng)絡(luò)信息安全提出了明確的要求，即采用至少2種認(rèn)證方式登錄系統(tǒng)，通過身份管理來準(zhǔn)確定位操作責(zé)任人。

c)訪問控制：利用加密技術(shù)限制操作者對裝置的訪問權(quán)限，杜絕數(shù)據(jù)被任意登錄操作，從而保護(hù)合法操作者訪問數(shù)據(jù)資源，降低非法訪問所帶來的風(fēng)險。

d)權(quán)限控制：對不同用戶根據(jù)業(yè)務(wù)需求實施最小授權(quán)的管控策略，最大限度地保護(hù)數(shù)據(jù)安全，嚴(yán)防越權(quán)等風(fēng)險事件的發(fā)生。

e)操作審計：全程實時監(jiān)控，記錄操作者在服務(wù)器、數(shù)據(jù)庫及關(guān)聯(lián)設(shè)備上所做的各種操作，包括命令、圖形和文件等。審計操作事件，根據(jù)監(jiān)控記錄進(jìn)行問題的追本溯源，直接定位安全問題根源，對違規(guī)行為進(jìn)行控制、告警和阻斷[16]。

2.3 數(shù)據(jù)安全防護(hù)傳輸過程

合規(guī)并網(wǎng)裝置是在廠站側(cè)局域網(wǎng)內(nèi)部設(shè)置的安全防護(hù)系統(tǒng)，是保障不合規(guī)錄波器繼續(xù)發(fā)揮作用的安全隔離設(shè)備，可避免不合規(guī)錄波器產(chǎn)生攜帶有不安全因素的錄波數(shù)據(jù)對調(diào)度數(shù)據(jù)網(wǎng)的破壞，用于實現(xiàn)不合規(guī)錄波器和調(diào)度數(shù)據(jù)網(wǎng)之間的可靠連接。該裝置對接收到的錄波數(shù)據(jù)進(jìn)行安全檢查和風(fēng)險攔截，整個過程如圖3所示，主要由通信模塊、安全檢查模塊和數(shù)據(jù)處理模塊來完成可靠錄波數(shù)據(jù)的安全上送。

圖3 數(shù)據(jù)安全防護(hù)傳輸過程

a)通信模塊：與不同廠商錄波器建立通信連接，接收變電站內(nèi)所有錄波器實時傳輸?shù)匿洸〝?shù)據(jù)。

b)安全檢查模塊：對不同來源的數(shù)據(jù)按安全防護(hù)過程進(jìn)行記錄標(biāo)記、指標(biāo)檢查、病毒查殺、安全評估等操作，從不同角度對檢查出的風(fēng)險項進(jìn)行綜合評估，對每條數(shù)據(jù)生成評估結(jié)果，并進(jìn)行安全校核審查。

c)數(shù)據(jù)處理模塊：根據(jù)校核結(jié)果對數(shù)據(jù)進(jìn)行安全上送或風(fēng)險攔截的處理操作，利用邏輯映射的隔離防護(hù)技術(shù)形成安全屏障隔離風(fēng)險，利用數(shù)據(jù)鏡像的安全傳輸技術(shù)實現(xiàn)合規(guī)數(shù)據(jù)安全上送，確保合規(guī)并網(wǎng)裝置輸出的數(shù)據(jù)安全接入調(diào)度數(shù)據(jù)網(wǎng)。

3 合規(guī)并網(wǎng)裝置安全防護(hù)關(guān)鍵技術(shù)

合規(guī)并網(wǎng)裝置對錄波數(shù)據(jù)進(jìn)行安全檢查和隔離，其安全防護(hù)關(guān)鍵技術(shù)采用了邏輯映射、數(shù)據(jù)鏡像和安全評估，實現(xiàn)錄波數(shù)據(jù)從廠站側(cè)局域網(wǎng)到調(diào)度數(shù)據(jù)網(wǎng)的安全傳輸。合規(guī)并網(wǎng)裝置部署在數(shù)據(jù)支撐的入口，主站系統(tǒng)必須經(jīng)過該裝置允許后才能進(jìn)行數(shù)據(jù)訪問。

a)基于邏輯映射的隔離防護(hù)技術(shù)：利用邏輯映射方式，建立錄波器數(shù)據(jù)邏輯地址和物理地址之間的映射關(guān)系，實現(xiàn)主站指令的實時響應(yīng)，杜絕外部網(wǎng)絡(luò)非法訪問和攻擊，在錄波器和主站系統(tǒng)之間建立安全防護(hù)屏障和無感傳輸通道。

b)基于數(shù)據(jù)鏡像的安全傳輸技術(shù)：對主存儲模塊經(jīng)安全檢查和病毒查殺后可上傳的錄波數(shù)據(jù)進(jìn)行鏡像制作，快速生成后保存于從存儲模塊，實現(xiàn)錄波數(shù)據(jù)的安全傳輸。

c)基于風(fēng)險矩陣法的數(shù)據(jù)安全評估：從網(wǎng)絡(luò)、數(shù)據(jù)、設(shè)備等角度評估數(shù)據(jù)的綜合風(fēng)險等級，判斷數(shù)據(jù)是否具備上送條件，根據(jù)數(shù)據(jù)安全評估結(jié)果進(jìn)行合規(guī)數(shù)據(jù)的安全上送。

3.1 基于邏輯映射的隔離防護(hù)技術(shù)

合規(guī)并網(wǎng)裝置在輸入與輸出網(wǎng)口之間采用獨立的外設(shè)部件互連標(biāo)準(zhǔn)(peripheral component interconnect，PCI)總線設(shè)計，分配一批內(nèi)網(wǎng)IP地址用于錄波器通信接口接入本裝置的輸入網(wǎng)口，錄波器原有的調(diào)度數(shù)據(jù)網(wǎng)IP地址將上移到本裝置的輸出網(wǎng)口上，每個輸出網(wǎng)口單獨配置原有錄波器的調(diào)度數(shù)據(jù)網(wǎng)IP和服務(wù)端口，這樣主站仍采用原有的IP+服務(wù)端口的通信模式即可。

基于邏輯映射的隔離防護(hù)如圖4所示，利用基于邏輯映射的隔離防護(hù)技術(shù)，建立原錄波器數(shù)據(jù)服務(wù)與主站指令之間存在的邏輯關(guān)系，根據(jù)主站系統(tǒng)下發(fā)的請求，利用邏輯映射從隔離的從存儲模塊和獨立上行接口獲取與錄波器相對應(yīng)的鏡像數(shù)據(jù)，實現(xiàn)原有錄波器數(shù)據(jù)在安全處理后對主站指令的無感響應(yīng)，同時可以將不合規(guī)錄波器數(shù)據(jù)安全問題控制在廠站側(cè)最小范圍內(nèi)[17-18]。

圖4 基于邏輯映射的隔離防護(hù)

3.2 基于數(shù)據(jù)鏡像的安全傳輸技術(shù)

數(shù)據(jù)鏡像技術(shù)通過配置冗余的硬件和鏡像制作工具，將待上傳的數(shù)據(jù)通過鏡像方式快速備份至冗余存儲設(shè)備，是一種常見的數(shù)據(jù)傳輸方法。

基于數(shù)據(jù)鏡像的安全傳輸如圖5所示。監(jiān)控模塊在監(jiān)測到數(shù)據(jù)新增時，進(jìn)行數(shù)據(jù)的安全指標(biāo)檢查并確認(rèn)可上傳的數(shù)據(jù)內(nèi)容，利用鏡像制作工具生成數(shù)據(jù)鏡像保存于從存儲模塊，等待主站系統(tǒng)的數(shù)據(jù)請求，完成可上傳錄波數(shù)據(jù)鏡像的上送，實現(xiàn)數(shù)據(jù)的安全傳輸。生成鏡像數(shù)據(jù)之前，在從存儲模塊上申請與元數(shù)據(jù)可上傳數(shù)據(jù)大小相同的空間用于存放鏡像數(shù)據(jù)，從存儲節(jié)點分發(fā)的鏡像位置寫入相應(yīng)的鏡像數(shù)據(jù)。在運行過程中采用“心跳監(jiān)控”，如果讀取到鏡像數(shù)據(jù)尚未存入從存儲模塊，則反詢問監(jiān)控模塊，從主存儲模塊上讀取，保持主、從存儲模塊安全數(shù)據(jù)內(nèi)容的實時同步[19-20]。

圖5 基于數(shù)據(jù)鏡像的安全傳輸

3.3 基于風(fēng)險矩陣法的數(shù)據(jù)安全評估

合規(guī)并網(wǎng)裝置是原有錄波器和主站系統(tǒng)之間的物理屏障，可防止不合規(guī)錄波器直接接入調(diào)度數(shù)據(jù)網(wǎng)。利用邏輯映射實現(xiàn)該裝置數(shù)據(jù)輸入和輸出之間的隔離；通過數(shù)據(jù)鏡像技術(shù)實現(xiàn)主、從存儲數(shù)據(jù)的快速同步，完成合規(guī)數(shù)據(jù)的安全傳輸；基于風(fēng)險矩陣的數(shù)據(jù)安全評估，實現(xiàn)數(shù)據(jù)風(fēng)險等級的綜合判定，確認(rèn)可上送數(shù)據(jù)，最終目的是將風(fēng)險控制在廠站側(cè)最小范圍。

基于風(fēng)險矩陣的數(shù)據(jù)安全評估流程如圖6所示。應(yīng)用專家二維矩陣法處理數(shù)據(jù)，定量計算待評數(shù)據(jù)的風(fēng)險要素，再利用Borda序值理論和層次分析法(analytical hierarchy process，AHP)得出各風(fēng)險要素的權(quán)重，最后利用風(fēng)險矩陣得出待評數(shù)據(jù)的風(fēng)險等級值，確認(rèn)數(shù)據(jù)是否具備上送條件。將整個安全評估過程量化，使得最終數(shù)據(jù)評估結(jié)果更加清晰、客觀，具體步驟如下：

圖6 基于風(fēng)險矩陣法的數(shù)據(jù)安全評估流程

a)以國際信息安全管理實踐規(guī)范ISO/IEC 27001和我國信息系統(tǒng)安全的相關(guān)評估準(zhǔn)則為基礎(chǔ)，識別出數(shù)據(jù)、網(wǎng)絡(luò)和設(shè)備等存在的風(fēng)險項；

b)利用專家二維矩陣法，計算風(fēng)險發(fā)生概率P和風(fēng)險影響值I，不同的風(fēng)險項和設(shè)備脆弱性結(jié)合導(dǎo)致的風(fēng)險概率和影響具有較大的差異，計算方法要遵循實際情況評估；

c)根據(jù)風(fēng)險發(fā)生概率P和風(fēng)險影響值I對應(yīng)的等級評估標(biāo)準(zhǔn)，建立風(fēng)險等級對照表，劃分風(fēng)險概率和風(fēng)險影響等級，并量化風(fēng)險等級值Gm；

e)根據(jù)Borda數(shù)，取相對數(shù)獲得Borda序值，建立AHP判斷矩陣進(jìn)行權(quán)重計算，得出各個風(fēng)險項的權(quán)重值Wm；

4 應(yīng)用效果

在某供電局5座500 kV和10座220 kV變電站內(nèi)接入合規(guī)并網(wǎng)裝置，實現(xiàn)站內(nèi)錄波器一站式接入和數(shù)據(jù)接收，對安全檢查后無法濾除的風(fēng)險項，從網(wǎng)絡(luò)、信息、資產(chǎn)、策略、管理、系統(tǒng)6個角度進(jìn)行數(shù)據(jù)安全綜合評估。

風(fēng)險發(fā)生概率P和風(fēng)險影響值I計算方法要遵循實際情況，P可根據(jù)風(fēng)險出現(xiàn)的頻次和嚴(yán)重程度來量化，I可由嚴(yán)重程度和資產(chǎn)價值來量化。風(fēng)險頻次、嚴(yán)重程度、資產(chǎn)價值等因子從很高(評分5)到很低(評分1)依次遞減，設(shè)有5個等級評分。實際情況中可根據(jù)不同影響因子進(jìn)行動態(tài)調(diào)整，這是一個具有定性色彩的定量評估過程。對于綜合評估結(jié)果D的風(fēng)險等級為中級及以上的數(shù)據(jù)視為不安全因素，可進(jìn)行數(shù)據(jù)攔截，剖析存在的安全隱患，尋求安全策略和實施措施，以防止對調(diào)度數(shù)據(jù)網(wǎng)和主站系統(tǒng)的侵害。基于風(fēng)險矩陣法對數(shù)據(jù)進(jìn)行安全評估，評估過程參考表1，風(fēng)險等級參考?xì)v史風(fēng)險值及風(fēng)險可接收范圍進(jìn)行等級劃分，結(jié)果顯示此次數(shù)據(jù)綜合風(fēng)險等級低，數(shù)據(jù)安全在可控范圍內(nèi)，可根據(jù)主站需求進(jìn)行數(shù)據(jù)上送操作。

表1 基于風(fēng)險矩陣法的數(shù)據(jù)安全評估結(jié)果

據(jù)不完全統(tǒng)計，220 kV和500 kV樞紐變電站內(nèi)錄波器的數(shù)量平均分別為6臺和10臺。原來對變電站內(nèi)6～10臺錄波器安全防護(hù)整改需要涉及到溝通成本、硬件采購、配置更新、技術(shù)攻關(guān)等長期繁重的工作，現(xiàn)在只需對1臺合規(guī)并網(wǎng)裝置進(jìn)行標(biāo)準(zhǔn)化升級整改即可，合規(guī)并網(wǎng)裝置的接入減少了安全策略升級至少80%的工作量。在發(fā)揮新舊錄波器數(shù)據(jù)采集功能的同時，合規(guī)并網(wǎng)裝置在主站和錄波器之間起到安全屏障的作用，能主動防御錄波數(shù)據(jù)攜帶的安全風(fēng)險，形成與錄波器同壽命且安全配置統(tǒng)一的中間管理環(huán)節(jié)。

表2統(tǒng)計了合規(guī)并網(wǎng)裝置接入后試運行的15座變電站共110臺錄波器近3年發(fā)生的安全事件，從安全策略升級、漏洞整改、惡意代碼侵入、非法訪問攔截、安全違規(guī)操作和安全檢查等角度進(jìn)行合規(guī)并網(wǎng)裝置接入前后的安全指標(biāo)比較，從系統(tǒng)故障和信息中斷次數(shù)考察該裝置的性能，可以看出該裝置的接入在安全和性能方面都優(yōu)于錄波器直接接入調(diào)度數(shù)據(jù)網(wǎng)，起到了較好的安全隔離和穩(wěn)定傳輸?shù)淖饔谩?/p>

表2 合規(guī)并網(wǎng)裝置接入前后安全防護(hù)檢查指標(biāo)比較

為了進(jìn)一步展示該方案的優(yōu)勢，從安全防護(hù)特點、對象和效果3個方面與當(dāng)前國內(nèi)外研究的繼電保護(hù)設(shè)備安全防護(hù)方案進(jìn)行實施情況比較，見表3。

表3 國內(nèi)外繼電保護(hù)設(shè)備安全防護(hù)方案實施情況比較

可以看出，本文所提方案不僅規(guī)避了傳統(tǒng)安全防護(hù)整改分散、效果不可控和效率低的問題，而且有效結(jié)合了國內(nèi)外已有的寶貴經(jīng)驗，將安全防護(hù)管理從前端調(diào)度側(cè)轉(zhuǎn)移至后端廠站側(cè)，在脆弱的電力監(jiān)控系統(tǒng)終端進(jìn)行風(fēng)險的快速識別和主動攔截，第一時間將風(fēng)險控制在廠站側(cè)最小范圍內(nèi)，并建立安全通道，保障合規(guī)數(shù)據(jù)的實時上送。

該方案具備長效、主動的安全防護(hù)保障特點，可實現(xiàn)對變電站內(nèi)所有錄波器安全狀態(tài)的快速反應(yīng)和合規(guī)錄波數(shù)據(jù)的安全傳輸，基本排除錄波器自身安全條件的影響，達(dá)成在運錄波器接通率99.9%的目標(biāo)。

5 結(jié)束語

本文所設(shè)計的基于數(shù)據(jù)安全的繼電保護(hù)設(shè)備合規(guī)并網(wǎng)方案，通過安全防護(hù)機(jī)制相對完善的合規(guī)并網(wǎng)裝置作為安全監(jiān)管代理，強(qiáng)化廠站側(cè)物理環(huán)境的安全性，將同變電站內(nèi)所有錄波器合規(guī)并網(wǎng)；通過數(shù)據(jù)安全傳輸過程的設(shè)計，實現(xiàn)對接收數(shù)據(jù)的安全檢查和風(fēng)險攔截；通過邏輯映射和數(shù)據(jù)鏡像的方式建立合規(guī)通道，實現(xiàn)可靠錄波數(shù)據(jù)的安全傳遞。實踐結(jié)果表明，該方案可實現(xiàn)錄波器接通率99.9%的目標(biāo)，達(dá)成主站和現(xiàn)有錄波器之間交互業(yè)務(wù)無感運作和數(shù)據(jù)安全傳輸?shù)哪康?，減少安全防護(hù)整改至少80%的工作量，滿足日益提高的電力系統(tǒng)安全防護(hù)要求，拓寬繼電保護(hù)領(lǐng)域信息安全防護(hù)的建設(shè)思路。

后續(xù)將從主站和合規(guī)并網(wǎng)裝置云邊協(xié)同進(jìn)行遠(yuǎn)程巡檢和智能安全防護(hù)運維著手，進(jìn)一步研究遠(yuǎn)程安全防護(hù)策略統(tǒng)一部署和升級維護(hù)，為電力行業(yè)網(wǎng)絡(luò)信息安全防護(hù)深化實踐奠定基礎(chǔ)。