智能电网前景下数字化变电站的二次系统安全防护探讨

《智能电网前景下数字化变电站的二次系统安全防护探讨》由会员分享，可在线阅读，更多相关《智能电网前景下数字化变电站的二次系统安全防护探讨（14页珍藏版）》请在装配图网上搜索。

1、智能电网前景下数字化变电站的二次系统安全防护探讨重庆电力调度通信中心 欧睿摘要:本文介绍了智能电网的概念和发展趋势,探讨了随着智能电网的不断发展，数字化变电站的不断普及,如何在技术上、管理上建立安全防线，保障数字化变电站二次系统安全稳定运行。关键词:智能电网;数字化变电站; IEC 61850；调度数据网；二次系统安全防护0 引言5月21日，在2009特高压输电技术国际会议上，中国国家电网公司正式发布了举世瞩目的“建设坚强智能电网”的研究报告。这份报告表明中国电网在通过发展特高压输电工程解决坚强的一次电网问题后即将走上电网智能化的科学发展之路。作为智能电网的物理基础，数字化变电站逐步取代常规变

2、电站将是今后的发展趋势。毋庸置疑，与常规变电站相比，数字化变电站具有运行稳定、节约成本、维护方便等显著的优点。但数字化变电站作为新型变电站，现阶段在安全防护方面存在很多空白，对此则很少有文献涉及。为此，笔者根据多年二次系统安全防护工作的实践经验，从数字化变电站内部横向边界、外部纵向边界、安全防护管理等三个方面，对数字化变电站存在的安全隐患进行分析，并提出解决方案以供探讨。1 智能电网概述1.1 智能电网的概念智能电网不是一个仅局限于二次自动化范畴的概念，也不是指单一设备的智能化，而是现代电网的代名词，是过去几十年来电力新技术研发与应用的发展,是人们对未来电网的愿景。智能电网即以包括发电、输电、

3、配电、储能和用电的电力系统为对象, 利用因特网（IP）通信、计算机、信号传感、自动控制、电力电子、超导材料等领域新技术,实现从发电到用电所有环节的信息双向交流,系统地优化电力的生产、输送和使用。这些新技术的应用不仅仅是对传统输配电系统进行简单地改进、提高，而是提高电网整体性能、节省总体成本，将各种新技术与传统的输配电技术有机结合，使电网构成、运行控制、管理方式、系统性能以及所提供的服务出现革命性的变化。1.2 智能电网的发展趋势目前欧美国家均在积极规划推动智能电网，意大利及美国已率先试行。意大利的电力公司已经安装和改造了3000万台智能电表，建立起了智能化计量网络。美国多个州已经开始设计智能电

4、网系统，位于科罗拉多州首府丹佛西北40公里的小城波尔得(Boulder)，已经成为全美第一个智慧电网城市。GE、IBM、西门子、Google、Intel等信息产业龙头企业都已经投入智能电网业务。在今年4月24日，中国国家电网公司总经理刘振亚访美，与美国能源部长朱棣文相晤，并在华盛顿一场题为“更坚强的电网中国与美国展望”的会议上发表主旨演讲称：“中国国家电网公司正在全面建设以特高压电网为骨干网架、各级电网协调发展的坚强电网为基础，以信息化、数字化、自动化、互动化为特征的自主创新、国际领先的坚强智能电网。”这个观点标志着中国国家电网开始接受智能电网概念。5月7日，国家电网公司党组会议明确提出，要坚

5、持走中国特色的电网发展道路，加快建设“坚强的智能电网”，这表明中国电网发展必然走上电网智能化的科学发展之路。从发展路径来看,如果以变电站和二次设备为焦点,则常规变电站数字化变电站数字化电网智能化电网将是一条符合技术规律和电网特性的发展道路。数字化变电站作为智能电网的物理基础，同时作为高级调度中心的信息采集和命令执行单元，将贯穿智能电网建设的整个过程。2 数字化变电站二次系统信息安全隐患由于传统变电站的监控与数据采集(SCADA)系统和其他控制系统都是独立系统，是厂家的专有产品，其安全性来自于独立性以及专有性。而IEC 61850体系的数字化变电站综合自动化系统基于开放、标准的网络技术之上，所有

6、的供应商都可以开发基于因特网的应用程序来监测、控制或远方诊断，从而可能导致计算机控制系统的安全性降低。对于电力系统这样一个要求高可靠性和安全稳定性的系统而言，信息安全问题尤其突出。2.1 数字化变电站横向边界安全隐患数字化变电站的主要特征是“一次设备智能化，二次设备网络化”，各IED之间的信息交互通过GOOSE信息传输机制实现。变电站内部通过以太网络实现通信，交换机成为信息交互的重要媒介。这种方式使得各类二次设备以标准的方式建模和通信,第一次在变电站内部完成统一的信息交互,二次设备融合成为一种趋势。但在这种趋势下数字化变电站将不再满足电力二次系统总体方案中关于安全分区，横向隔离的要求，存在以下

7、几点安全隐患：（1）不同业务特性，不同安全级别的二次系统在同一网络内进行信息交互，大大降低了实时控制业务的可靠性。（2）当某台设备出现故障就有可能对全网设备造成影响，降低了全站二次系统的运行稳定性。（3）当各种二次设备交互数据过大时可能造成网络风暴问题。（4）当发生安全事故时，各专业间分工界面不清晰，不利于事故定位与排查。2.2 数字化变电站纵向边界安全隐患变电站站内信息最终服务对象是电网调度，电网调度中心通过SCADA等应用系统获得电网运行的实时信息，这个信息必须真实可信才能帮助调度员清楚电网实时运行情况，辅助调度员对电网进行正常调度；另一方面，电网调度中心通过应用系统向变电站等现场下发控制

8、指令，这个指令必须具有完整性，没有被恶意篡改或调换。这样，电力系统才能稳定、高效的运行。数字化变电站实现全网络通信的同时在网络层和应用层存在以下几点安全隐患：2.2.1 网络层安全隐患（1）TCP/IP 协议采用明文进行数据流传输。这意味着应用程序的数据包括口令、密码等在网络上是公开的，很容易被窃听、伪造和篡改。（2）源地址欺骗。由于数据包明文发送并容易被捕获，其中源IP 地址段就可能被直接修改成其他主机的IP 地址，那么所有面向该IP 地址的服务及会话都会面临危险。（3）源路由选择欺骗。IP 数据包为测试目的设置了一个选项IP Source Routing，该选项可以直接指明到达节点的路由。

9、攻击者可以通过提供伪源 IP 地址，使得目标主机的返回信息以一条到达伪源 IP 地址主机的路由传输，从而获得源主机的合法服务。（4）TCP 序列号欺骗。TCP 通过向所传递出的所有字节分配序列号和对收到的数据提供确认，来保证可靠的数据传送。如果 TCP 序列号可以被预测，那么攻击者就可以与目标主机建立连接并传送虚假数据。总体上,笔者认为在网络层安全问题的根源有两点：第一点是 IP 包明文传输，这就使得 IP 包容易被偷看和篡改；第二点是 IP 包中没有认证数据，使得伪造与欺骗成为可能。2.2.2 应用层安全隐患（1）明文传输。远动的遥测、遥信、遥控信息以及电量信息均为明文传输，厂站信息存在被窃

10、听、截收以及修改的风险。（2）无认证。召唤数据及控制命令均无认证信息，使得非法访问、破坏信息完整性、破坏系统可用性、冒充、重演均成为可能。其中，最大的隐患是控制命令的无认证，这使得整个厂站的控制权有可能旁落。3 数字化变电站二次系统安全防护方案探讨3.1 数字化变电站横向边界防护方案笔者认为可以利用成熟的虚拟专网技术实现网络的有效逻辑隔离来解决上述问题。通过在交换机上设置基于端口的虚拟网络VLAN，不同业务特性的信息交互限定在不同的虚拟网上，这样可以有效地控制信息安全的风险，一旦发生某IED被攻击，其可能的影响范围将局限在某VLAN所限定的区域内，而不会影响其它IED的效用。具体实现可以在变电

11、站配置三层交换机，见图3.1，为IED分别划分出单独的业务VLAN(如V1/V2/V3等)。正常情况下关闭这些VLAN之间的路由，即这些业务是互不相通的。通过在交换机上设置访问控制列表ACL（Access control list）实现与一个或多个VLAN互通控制。如纵联保护具有两个虚拟网络VLAN，以满足传输关键信息和非关键信息功能的要求，其中用于传递远方跳闸命令信息的接入vlan2中，用于一般的数据通信的接入vlan3中。保护、测控一体化装置也可以实现以下应用模式：数据调用功能接入VLAN4，涉及保护跳闸和远方跳闸命令功能接入VLAN5，在三层交换机上按照业务需求可设置vlan2与vlan

12、5互通，vlan3与vlan4互通，这样可以在逻辑层划分不同的应用,有效地实现安全隔离。在保证二次设备信息交互的同时将实时业务与非实时业务进行逻辑隔离，为实时控制业务的高安全性提供保障。3.2 数字化变电站纵向边界防护方案笔者认为在纵向边界保证远动数据的完整性、安全性及保密性，关键在于数据包加密及身份认证，而认证方法的关键也在于加密，加密技术是信息安全技术的基础。但远动系统是实时控制系统，其实时性要求较高（秒级），且远动系统可用计算机资源相对较少，也就决定了远动信息传输的加密及身份认证的算法和方式有其自身的特点，必须将对实时业务的影响减少到最小。3.2.1 基本防护（1）通信软件的可靠性、正确

13、性要高。现阶段通信软件都是各系统厂商自行开发，这就要求系统厂家在编写通信软件时要对写数据请求的合理性进行严格检查，避免写数据越界，破坏系统数据，造成缓冲区溢出，留下隐患；同时软件的正确性要经过严格认证，不得影响系统的正常运行。（2）合理配置信息转发表。对于不同的主站，远动系统往往配置不同的信息转发表，进行初步的信息访问控制，对于无遥控信息要求的，要取消遥控信息转发表，以免留下漏洞。（3）关闭未使用的服务、协议。现阶段仅提供IEC60870-5-104 协议及开放相应端口（一般为2404）以及61850协议所需端口，关闭其他未用协议及端口。（4）基本ip地址验证。厂站远动终端要验证主站及路由器I

14、P 地址，主站也要验证厂站及路由器IP 地址。可在路由器上设置访问控制列表进行访问控制实现只允许调度终端与厂站终端之间点对点通信。3.2.2 合理的网络隔离（1）厂站内部网络要与远传网络实现隔离。业务数据通过网关机实现数据转发，远传网络不能路由到内部网络，反之亦然。（2）各厂站端与调度中心实现点对点数据通信，关闭各厂站相互之间的网络路由。（3）由于目前尚不具备遥控操作的身份验证，遥控操作的安全性得不到充分保证，远传网络中控制网络要与非控制网络通过mpls-vpn技术实现逻辑隔离，将控制网独立出来，保证其他任何网络无法路由到控制网。3.2.3 加密认证技术（1）加密算法现阶段主流加密算法有以下两

15、种：l 对称密码算法 使用同一个密钥对数据进行加密、解密。l 非对称密码算法使用一个密钥对数据加密，另一个密钥对数据解密码。由于对称密钥密码体系加解密数据的密钥相同，容易被黑客破解，笔者认为应考虑采用非对称密码算法对远动数据进行加密。明文消息密文传送公钥密文加密私钥明文消息解密。 图3.1：非对称加密运作方式（2）防止冒充，篡改为防止核心数据被恶意篡改，冒充调度端对厂站进行控制操作，笔者认为可采取数字签名的方式对数据进行验证。数字签名方案由签名算法和验证算法构成。如图3.3所示，整个加解密过程如下：a 需传输数据首先通过杂凑函数（杂凑函数是一种接收任意长的消息作为输入，并产生固定长输出的算法，

16、这个输出称为消息摘要或指纹）如md5进行消息摘要。b 摘要通过本地私钥进行加密，加密后的摘要与需传输数据打包通过网络方式传输到对端。c 对端接收到数据包后。将传输数据通过md5运算得到的消息摘要与利用公钥解密后的摘要相比对，如果一致就表明信息准确，没有发生篡改与冒充。图3.2：数字签名运作方式(3）交换认证。由于IEC 61850对于信息采用面向对象自我描述的方法，使得变电站综合自动化信息交换认证的实现成为可能。笔者基于X.509的证书分配方法，结合调度机构分级管理的特点，提出如图3.4所示的证书分配架构。由国调作为根证书形成信任根，对下级调度机构层层授权建立一条信任链，从信任根硬件平台操作系

17、统应用一级认证一级，一级信任一级，把这种信任扩展到整个可信计算领域。 根CA 二级CA图3.3：数字证书体系3.3 安全防护管理二次系统安全防护的理念是:三分技术、七分管理，打造一个安全可靠的运行环境，不能只靠技术防范，还应有与之相适应的安全防护管理体系。笔者认为数字化变电站安全防护管理应注重以下三个方面。3.3.1 建立完备的，可操作的应急预案具有一定的安全技术防护措施，并不代表二次系统安全就万无一失。为了在安全问题出现之后，能及时处理，限制问题影响范围，保证整个二次系统的正常进行，应制定一套专门针对电力二次系统信息安全防护的应急预案。应急预案应具有完备的措施及较强的可操作性，包括：如何实现

18、系统黑启动快速恢复系统基本功能；如何快速将出现问题的网络进行隔离等处理方法。这样才能最大限度地减少因突然爆发安全问题而带来的二次系统的损害，并可在最短的时间内恢复二次系统功能，保证生产系统的正常运行。3.3.2 提高值班员的安全意识二次系统安全防护不仅仅是各单位自动化人员的工作，也不仅仅是网络安全员的工作，更是变电站内每一位值班员的安全责任。在信息传输网络化的今天，任何一个变电站的的远动主机都有可能造成影响全网的信息安全事故。分析以往发生的网络安全危机，大多是由于值班员未具备基本的网络安全常识所导致。因此，值班员的安全意识与全网二次系统安全防护水平有相当大的关系。值班员拥全站设备控制权，应做到

19、以下五不要：不要在远动主机上进行与工作无关的任何操作；不要安装不必要的软件；不要打开来路不明的文件；不要设置过于简单的密码，不要将帐号及密码外借他人。另外，还需加强值班员的职业素质教育，增强工作责任心，从而提高安全意识，保证电力二次设备安全防线牢不可破。3.3.3 将二次系统安全防护工作纳入安全生产日常管理 随着电网智能化的发展，以往电力公司重一次，轻二次的思想必须改变。多次二次设备安全事故证明，二次设备出现安全事故造成的危害比起一次设备将有过之而无不及。所以应将二次系统安全防护工作纳入安全生产日常管理体系中，将变电站二次安全防护设备纳入变电运行管理中。各单位安监部门要将二次系统安全防护工作作

20、为安全检查工作的重点检查内容，督促指导各单位二次安安全防护工作的有效开展。4. 结束语本文在介绍了智能电网的概念与发展趋势后，提出数字化变电站作为智能电网的物理基础将贯穿智能电网建设的整个过程，数字化变电站的安全防护问题将是实现智能电网必须考虑的问题。笔者以数字化变电站作为切入点从变电站内部横向边界、外部纵向边界、安全防护管理等三个方面，系统地阐述了数字化变电站安全防护方面目前存在的安全隐患，并结合多年二次系统安全防护工作的实践经验，提出了相应的解决方案。智能电网是一项全新的概念，在现阶段，对其问题与缺点的认识与对其优点的认识同等重要。希望本文能对数字化变电站的普及以及智能电网的实现有积极的借

21、鉴价值。参考文献: 1 胡炎.谢小荣.韩英铎.辛耀中 电力信息系统安全体系设计方法综述 期刊论文 - 电力系统自动化 2005(1) 2 谢开,刘永奇,朱治中,等. 面向未来的智能电网 J .中国电力, 2008, 41 (6) . 3 IEC61850. 变电站通信网络和系统 S. 4 高翔. 数字化变电站应用展望 J . 华东电力, 2006, 34 (8). 5 高翔，张沛超，数字化变电站主要技术特征和关键技术，电网技术，2006 年，12 月. 6 姚建国，杨胜春，高宗和，等. 电网调度自动化系统发展趋势展望J.电力系统自动化，2007，31（13）. 7 黄 强，沈昌祥，陈幼雷等，基于可信计算的保密和完整性统一安全策略，计算机工程与应用，2006，10 月 8 伍军, 段斌，黄生龙，变电站远程通信的安全体系研究，电力系统及其自动化学报，2006 年，V18（4）； 9 谭文恕.IEC61850 和IEC60870-6（TASE.2）的比较（Comparison of IEC61850 withIEC60870-6（TASE.2）.电网技术（Power System Technology），2001，25（10）：1-4.作者简介:欧睿(1981- ) ,男,重庆电力调度通信中心自动化处网络安全专责,工程师,长期从事电力系统自动化工作，主要负责系统网络维护与安全防护。