(国网河南省电力公司电力科学研究院 郑州 450052)
摘要:本文在对传统信息系统和电力工控系统安全风险分析的基础上,充分分析变电站控制系统的特点、规约协议和安全攻击特征,开展了智能变电站信息安全监测体系设计工作。通过信息安全在线监测功能设计,预警探针与子站装置的信息通信建模,以及智能变电站设备操作合规性分析等工作的开展,完成了智能变电站信息安全监测体系的构建,在智能变电站信息安全防护方面具备很好的应用价值。
关键词:智能变电站;安全监测;合规性分析;场景指纹
1、引言
作为智能电网的重要组成部分,新一代数字化变电站采用先进的传感器、电子、信息、通信、控制、智能分析软件等技术,智能设备(IED)间的交互更为频繁,数据配合更为严密,大大提高了变电站内设备的互操作性和互换性[1-5]。但是协议的开放性和标准性同样带来一个重要的问题:变电站控制系统运行系统的安全性问题,尤其是检测和控制一次设备的二次回路通信网络的安全性问题[6-7]。
国内各行业监已多次发生病毒和“逻辑炸弹”危害监控系统正常运行事件,如果电网变电站出现“逻辑炸弹”,将严重影响电网事故分析和故障的有序恢复。因此本文在对传统信息系统和电力工控系统安全风险分析的基础上,充分分析变电站控制系统的特点、规约协议和安全攻击特征,研究变电站控制系统的异常行为建模方法,根据工控系统特点制定符合电网的信息安全监测基线,实现对变电站控制系统的合规性分析。
2、研究现状
当前电网电力监控系统调度主站侧的安全监视主要依赖于内网安全监视平台,现有的内网监视平台主要对主站侧和厂站侧部署的包括横向隔离设备、纵向加密认证装置、防火墙、入侵检测系统(IDS)、防病毒系统等设备的系统日志进行收集,却无法针对厂站内部流量和进入主站的流量进行深度分析,更没有基于相关的安全算法进行深度解析和处理。潜在的厂站侧的安全隐患可能会导致主站侧异常或者主站侧安全隐患导致厂站侧异常开分闸操作,导致局部断电发生[8]。
针对智能变电站而言,网络分析仪的分析对象主要是GOOSE、SMV以及MMS报文,能够对报文内容进行深度解析,记录链路状态,对波形进行还原,对数据进行检索和提取,同时对变电站内异常行为产生告警。但是,智能变电站网络分析仪仅限于针对变电站内使用不同协议的网络报文的业务关联分析,起到对报文信息的记录和查询功能,其告警及异常通告均作用于业务层面,如采样无效、通信中断等警报,均是针对变电站业务关联的判断,涉及生产安全及业务安全,并不涉及信息安全,实际上是一种针对智能变电站的工业现场取证设施。对厂站侧可能存在的病毒、僵尸程序、木马、蠕虫病毒等恶意代码的威胁并不能进行有效的检测和预防,对厂站侧可能出现的网络安全异常行为不能进行关联及感知,存在一定的局限性[9-10]。
3、智能变电站信息安全检测体系设计
3.1 监测系统网络构架
变电站控制系统网络设备在线监测系统,其构成示意图如图1.1所示。分为变电站侧装置和控制中心的主站系统。其中变电站侧装置分为预警探针与子站装置二级,前者布置在过程层、站控层,也可扩展接入电力数据网层,后者布置在站控层网络和电力数据网之间[11-12]。
3.2 在线监测内容及功能设计
根据ISO计算机通信的7层模型,本文将网络分为背景和应用两层,即物理层、数据链路层、网络层、传输层纳入背景层,而会话层、表示层和应用层纳入应用层,因此网络故障分为背景故障和应用故障两类[13]。只有在网络背景层正常的前提下,才可能有网络应用的正常。数字化变电站的网络,按其应用报文划分,可虚拟化为MMS网络、GOOSE网络、SV网络,在此基础下,实现对变电站智能设备与网络的在线监视与状态评估[14]。
3.2.1 网络背景层异常状态监测
(1)MMS网络背景层异常与故障
本文对TCP/IP链路建立与中断、通信超时、网络流量突变等进行监视,如TCP握手信息、中断时结束信息是否正确;异常中断分析,包括窗口尺寸、确认号等;提出相关的指标,并按表1.1的故障模型进行判断。
(3)SV网络背景层异常与故障
对SV网络异常,主要根据采样频率计算报文流量,异常时告警。
3.2.2 网络应用层异常状态监测
(1)MMS网络应用层异常与故障
通过IP地址与智能设备实现关联,重点监视现象为:初始化过程中服务、数据属性、选择区域、完整性周期、入口判识、报告使能、总召唤等与变电站配置描述SCD文件中声明不一致;应用层通信过程不完整;通信中断:判别是正确中断还是异常中断;报文与标准通信协议不符合等。
(2)GOOSE网络应用层异常与故障
通过MAC地址与智能设备实现关联,重点监视现象为:保护动作事件,心跳报文中断、初始化等与SCD文件设置通信组播不一致、记录文件的字节数发生突变等;判别方法:1.GOOSE报文与SCD文件不一致;2.GOOSE报文的符合性判断,按IEC61850-7-2的状态号StNum和序列号SqNum分为3种情况,检查是否符合要求。
(3)SV网络应用层异常与故障
通过MAC地址与智能设备实现关联,主要故障现象:对于采用IEC61850-9-1协议,重点分析组播地址、APPID、逻辑设备名、采样频率是否与配置文件一致,报文中状态字是否异常、采样计算器是否正确累加等。对于采用IEC61850-9-2协议,重点分析组播地址、报文头是否与配置文件一致,报文中计数器是否正常、发送时延是否一致等。
3.3 预警探针与子站装置的通信建模和信息建模
预警探针与子站装置均应该IEC61850化,即其信息模型和通信模型应遵循IEC61850要求。保护、测控装置由IEC61850进行了详细定义,而合并单元、数字式电能表、交换机的基于IEC61850的建模可以借鉴其定义。从图1.1可以知道,预警探针只是对这些IEC61850化的IED进行报文侦听、记录和分析,并将告警的信息提供给子站装置,由子站装置进行站级分析,并转报主站[15]。
3.3.1 子站装置的通信建模
IEC61850的IED为服务器设计,具有客户/服务器(C/S)和订阅/发布(B/S)2种模式,通过远方建立数据集和报告模式,实现预警和告警功能。子站的IEC61850信息模型和通信模型如图1.2所示,其与主站的通信主要通过在子站装置的报告模型实现。
3.3.2 子站装置的信息建模
为实现子站装置的报告模型,需要在子站装置上实现3种报文或3类生数据(rawdata)的分析,同时对该3类生数据的解包分析,即获取4类熟数据(cookeddata)标准协议符合度检测,并为告警报告提取必须的数据。需要为6类报告提供必须的报告模型设计,即其数据集、定值集、报告触发机制等设计。
3.3.3 预警探针的信息建模与通信建模
预警探针,主要实现对网络通信过程的侦听和记录,作为子站装置的数据采集前置,因此其信息建模可相对简单,主要以MMS、GOOSE、SV方式建立,然后通过以太网转发到子站装置。
3.4网络设备操作合规性分析
在过程层、厂站层和电力数据网络节点处以侦听方式接入网络探针。网络探针装置内部采用了高精度恒温的时钟芯片,通过分频、倍频及锁相环等硬件技术产生了高频率的内部时钟计数,捕捉到网络报文后立刻通过硬件对数据标记时间戳,从而保证了接收数据时间的准确性,时间精度为16ns;装置可接收外部B码或者1588对时,从而保证了绝对时标的精确。网络探针对流经厂站侧和主站侧的电力监控系统的异常流量进行实时监控。监控对象包括以下几个方面:
(1)所有服务器、网关、控制器、现场设备等终端的活动。特别应关注那些具有网络接口并连接至电网的设备的活动。
(2)电网中产生和使用的所有数据。重点关注计量设备读数、设备状态信息、保护信息、向量数据等。
(3)嵌入式系统包括RTU、IED、HMI、电力保护系统、变压器、自动重合开关、PMU、无功电压系统以及所有非基于服务器系统的现场设备。
通过代表正常系统行为特征的工业控制系统场景指纹,可以有效地检测异常行为。对于新获取的数据流,通过重复步骤1-3获取交易模式并与场景指纹对比,如果出现新的交易模式,就可以对网络中的出现的所有异常情况进行监测,并及时向用户发出告警,协助用户完成网络安全事件的及时防范与处置。
4、结语
智能变电站网络设备涵盖二次终端设备、数据交换设备和信息层网络设备等智能化设备,设备的异构性强、类型多样,以及GOOSE、SMV、SV和SNMP管控协议的复杂度高,导致目前缺乏统一化的智能变电站网络设备管控系统及在线监测系统。针对这一问题,本文开展了智能变电站信息安全监测体系设计工作,完成了基于预警探针和子站装置的系统构架设计,预警探针和子站装置的软硬件设计和信息与通信建模,以及智能变电站设备操作合规性分析和网络设备操作场景指纹验证等工作,具备很好的示范应用价值。
参考文献:
[1] 朱大新.数字化变电站综合自动化系统的发展[J],电工技术杂志,2014,4:20-22
[2] 高翔,张沛超.数字化变电站主要技术特征和关键技术[J],电网技术,2006,30(26):67-71,81
[3] 高翔,周健,周红等.基于IEC61850标准在南桥监控系统应用实现[J],电力系统自动化,2006,30(6):105-107
[4] 曾庆禹,李国龙.变电站集成技术的发展—现代紧凑型变电站[J],电网技术,2002,26(8):60-67
[5] 曾庆禹.电力系统数字光电量测系统的原理及技术[J],电网技术,2001,25(4):1-5
[6] 张结.应用IEC61850实现产品互操作性的思考[J],电力系统自动化,2005,2(3):90-94
[7] 徐天奇,李琰,尹项根,等.数字化变电站自动化系统可靠性
评估[J].电力系统自动化,2011,35(19):12-17
[8] 许伟国,张亮.智能变电站网络通信在线故障诊断系统的设计与应用[J].电力自动化设备,2010,30(6):121-124
[9] 许伟国,张亮,金乃正.智能变电站网络通信状态监测与故障分析[J].浙江电力,2012(4):8-10
[10] 李宁波,徐之文,张映鸿,等.变电站谐波在线监测的应用研究[J].机电工程技术,2013(3):48-51
[11] 吴杰余,张哲,尹项根,等.电气二次设备状态检修研究[J].继电器,2002,30(2):22-24
[12] 韩平,赵勇,李晓朋,等.继电保护状态检修的实用化尝试[J].电力系统保护与控制,2010,38(19):92-95
[13] Carol Taylor,Paul Oman,and Axel Krings.Assessing Power Substation NetWork Security and Survivability:A Work in Progress Report
[14] Oman,P.E.Schweitzer,and J.Roberts.Protecting the Grid From Cyber Attack:Safeguarding IEDS,Substations and SCADA Systems,Utility Automation,2002,Vol 7(1):25-32
[15] IEC62351-1,Data and Communication Security - Part 1:Introdution and Overview.(CD),Version 1,2005,04
作者简介:
吕卓(1986.1-),男,河南郑州人,上海交通大学信息安全专业硕士,单位:国网河南省电力公司电力科学研究院,研究方向:电力工控信息安全。
论文作者:吕卓,郭志民,陈岑
论文发表刊物:《电力设备》2017年第2期
论文发表时间:2017/3/28
标签:变电站论文; 报文论文; 网络论文; 装置论文; 智能论文; 异常论文; 探针论文; 《电力设备》2017年第2期论文;