摘要:电力行业是关系到国计民生的重要行业,而电力监控系统的安全关系到电力生产的安全。随着工业4.0的到来,电力监控系统的安全正面临前所未有的考验。介绍了当前电力监控系统通信安全存在的问题,分析了当前解决方案的不足,最后提出一种基于可信网络连接结合工控协议白名单的技术方案。
关键词:电力监控系统;通信安全;可信网络连接;工控协议白名单
0 引言
随着工业4.0的推进,原本相对安全的工业设备开始暴露在网络环境下,使得设备的通信系统的安全面临新的挑战,并暴露出很多安全漏洞,特别是以电力行业为首的能源行业,成了“重灾区”。本文主要研究了电力监控系统的通信安全问题,分析了当前电力监控系统安全防护方案及其不足,最后提出了一种基于可信网络连接结合工控协议白名单的新方法。1电力监控系统通信安全问题在电力监控系统中,目前常用的协议有IEC-61850系列协议,包括MMS、GOOSE、SV等,以及IEC60870-5系列协议,包括IEC60870-5-101、IEC60870-5-102、IEC60870-5-103、IEC60870-104等。IEC-61850系列协议主要应用在智能变电站,IEC60870-5系列协议主要应用在配网自动化。由于以上工控协议在设计之初,专注于功能、性能、可靠性的实现,以满足工业生产的基本需求,而忽视了对信息安全需求的考虑,导致以上工控协议普遍存在如下表1所展示的安全隐患。
2 当前电力监控系统安全防护方案
2014年,国家发改委发布《电力监控系统安全防护规定》(发改委2014年第14号令)。2015年,国家能源局下发《关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知》(国能安全〔2015〕36号)。发改委2014年第14号令与国能安全〔2015〕36号文,共同构成了当前电力监控系统的安全防护指导方案。
2.1 用户身份认证
监控中心与远程设备通信开始前,首先,进行用户的身份认证。监控中心把经过管理密钥加密的用户名密码信息,发送给终端设备。管理密钥是预先在双方设置好的。终端收到数据后,用管理密钥解密收到的用户名密码信息,并将其与终端内部的映射表匹配,若匹配成功,则返回该用户的权限(角色)和ID号等信息,通信继续。若匹配不成功,则返回用户名密码错误信息,连接中断。表1终端设备内部映射表格式
1.2 基于角色的权限限制
监控中心内部的不同用户拥有不同的操作权限。终端设备执行操作之前,先判断用户是否具有相应的权限。故可以在应用层数据包头中,增加角色ID(8位)字段,用以识别用户的角色和操作权限。本文用到的应用层协议均以IEC870-5-101规约(简称101规约)为例。当应用层数据包通过HMAC算法的数据来源和完整性验证后,终端设备首先读取角色ID字段,根据角色将其允许的操作类型的使能标识符置1,再读取应用服务数据单元(ASDU)的类型标识字段,最后判断该操作类型的使能标识符,若为1,则允许操作;若为0,则返回越权操作的错误信息。软件实现流程如图1所示。1.3基于用户的审计当用户对终端设备远程执行操作时,设备对用户ID、操作时间和操作内容要有明确的记录。为了实现基于用户的审计,可以在应用层数据包头中增加用户ID(24位)字段。每个用户名拥有唯一的ID号,类似于企业的员工号。增加该数据段可以为负责用户审计的客户端程序提供一个接口。
1.4 密钥的管理管理
密钥只有在传输敏感性数据时才使用。通信双方都预置了管理密钥库,每个管理密钥对应唯一的ID。需要使用时,随机选择库中一个密钥,并将其ID号发送给接收端,接收端通过ID号可找到相应的管理密钥来解密信息。临时密钥的管理相对复杂一些。电网监控中心的计算机在一定的时间范围内(例如15~90min)随机地选择下次更新临时密钥的时间,不定时向终端设备发送更新临时密钥的数据包。新生成的临时密钥经管理密钥加密后传送,保证密钥协商过程的安全,同时为新的临时密钥分配一个ID号。
2网络专用,业务梳理
电力系统中并存着两张独立的网络:电力调度数据网和电力综合业务网。网络在物理层面分开,采用各自独立网络设备和通信通道。在边界交接处,部署电力专用横向隔离装置。电力调度数据网络是电力调度生产的专用网络,承载安全区Ⅰ、Ⅱ的相关系统和业务的纵向数据通信。电力调度数据网络采用MPLSVPN技术,将实时业务、非实时业务分割成两个相对独立的逻辑专网:实时VPN(rt-VPN)和非实时VPN(nrt-VPN),路由各自独立,在网络路由层面互不相通,其中实时VPN还保证了实时业务的网络服务质量QoS。采用分层VPN技术进一步提高网络的安全特性。电力综合业务网络是电力生产管理的专用网络,承载安全区III、IV的相关系统和业务的纵向数据通信。综合业务网划分有多个VPN,不同的业务分属不同的虚拟子网。与因特网连接的业务及工作站,均独立于调度数据网和综合业务网。
3 业务横向隔离
3.1 构建横向防线
横向隔离是电力监控系统安全防护体系的横向防线,解决同一层级业务系统间横向数据贯通的安全防护问题。横向隔离的精髓是将电力监控系统各业务分成不同安全等级,在系统的连接出部署不同强度的安全防护设备,进行安全隔离。生产控制大区与管理信息大区之间应部署电力专用横向单向安全隔离装置,隔离强度接近或达到物理隔离。横向单向隔离装置按照业务需要设置,专机专用。生产控制大区内部的安全区I和安全区II之间釆用国产硬件防火墙设备,实现逻辑隔离。防火墙设备按照业务需要设置,专机专用。安全接入区与生产控制大区连接时,釆用电力专用横向反向安全隔离装置进行集中互联。
3.2 电力专用横向单向隔离装置
电力专用横向单向安全隔离装置是生产控制大区与管理信息大区之间横向防护的关键设备。电力专用横向单向安全隔离装置分正向型和反向型。生产控制大区到管理信息大区或安全接入区的数据传输采用正向安全隔离装置;管理信息大区或安全接入区到生产控制大区的数据传输采用反向安全隔离装置。电力专用横向隔离装置与防火墙装置的差别:首先横向隔离装置仅能完成单向数据传输,其次横向隔离装置仅能进行非网络方式(正文)的数据交换,因此无法进行网络方式穿越,安全性更高;与普通网闸的差别,在于采用不同的芯片和不同的工作原理。
3.3横向数据
安全传输要求严格禁止安全风险高的通用网络服务和数据库访问穿越横向单向安全隔离装置,仅允许纯数据的单向安全传输。
4 通用安全
4.1 物理安全电力
监控系统机房均设置门禁系统(重要系统机房设置双重门禁系统),采取防火、防水、防雷、防盗窃、防破坏等措施。机房内应部署监控摄像头、温湿度感应器、水浸检测探头等,并接入一体化集中监控系统。四级系统的前置系统服务器均放置在屏蔽机柜中。
4.2 防病毒及恶意代码
由于电力监控系统与外网隔绝,网络版防杀病毒系统的病毒库应离线升级,电力监控系统中建议部署网络版防杀病毒系统。网络版防杀病毒系统主服务器部署在中心站,工作站下载部署客户端。网络版病毒库主站端升级后自动推送至客户机,客户机每日自动进行病毒及恶意代码查杀。
4.3 入侵检测
生产控制大区和管理信息大区分别部署网络入侵检测系统,根据业务需求设置合理规则库。入侵检测探
5 结束语
本文介绍了当前电力监控系统通信安全存在的问题,分析了当前技术方案的不足,最后尝试提出一种基于可信网络连接结合工控协议白名单的技术方案,能够较好地解决当前电力监控系统的通信安全问题。
参考文献:
[1]周渊深.交直流调速系统与MATLAB仿真[M].北京:中国电力出版社,2005.
[2]王兆安,黄俊.电力电子技术[M].4版.北京:机械工业出版社,2009.
[3]洪乃刚.电力电子和电力拖动控制系统的MATLAB仿真[M].北京:机械工业出版社,2006
[4]张崇巍,张兴.PWM整流器及其控制[M].北京:机械工业出版社,2005.
[5]李华德.交流调速控制系统[M].北京:电子工业出版社,2003.
论文作者:邓福林
论文发表刊物:《电力设备》2018年第14期
论文发表时间:2018/9/18
标签:电力论文; 监控系统论文; 密钥论文; 横向论文; 大区论文; 业务论文; 网络论文; 《电力设备》2018年第14期论文;