智能变电站安全建设方案

发布日期:2018-06-03

概述

      2010年在伊朗爆发的震网病毒事件对工业企业的敲响警钟,使工业企业从专网等于信息安全的安全理念中警醒。电网作为国家重要的基础设施,电网的安全关乎整个国家的运行,是国家基础的安全保护对象。

      电力调度中心承担着对电厂发电机机组运行状态的监控、调控和对厂站运行状态的监控和调控的功能,是整个电力系统的控制中心。伴随着信息技术在电力系统中的大规模应用,信息流已经承载了大量的遥感、遥测、遥调和遥信的业务信息,从而为能量流提供了基础的通信信道的作用。对于信息流的采集、传输、分析和处理也构成了整个调度系统的中心内容。

      变电站作为调度中心的重要调度对象和重要的监测对象,已经逐步实现了智能化的改造,基于IEC 61850的智能化无人站已经成为变电站重要的形态。变电站作为重要的电力枢纽,对于变电站的安全防护已经成为保障电力供应的一个重要方面。二次系统安全防护中,对于变电站与主站之间的通信路径,已经通过纵向加密认证的方式来保障传输过程的安全安全问题,但是,从变电站整个安全建设的角度,建立起一套有效的安全防护体系。

      方案中主要从平台加固、通信防护、集中监控三个方面来构建智能变电站的安全体系。

 

智能变电站面临的安全威胁 

 

威胁条目

脆弱性分析

风险影响/后果

编号

威胁类型

威胁客体

相关脆弱性

利用难易程度

风险影响/后果

TE-01-S

假冒

全部客体

网络通信脆弱性

不经认证的假冒指令可直接控制合并单元与智能终端,造成一次设备损坏。

平台软件脆弱性

TE-02-T

篡改

全部客体

网络通信脆弱性

状态信息和控制指令的完整性无法得到保障,错误的状态信息和控制指令可能导致人员误操作以及站内RTU执行错误指令。

TE-03-R

抵赖

全部客体

平台软件脆弱性

状态信息和控制指令的来源无法溯源,影响故障原因排查。

网络通信脆弱性

网络监控和日志脆弱性

TE-04-I

信息泄漏

全部客体

平台软件脆弱性

传输数据遭到泄露,内部应用、网络结构遭到暴露。

网络通信脆弱性

TE-05-D

拒绝服务

全部客体

平台软件脆弱性

设备无法正常提供服务,造成智能变电站部分功能的散失。

平台配置脆弱性

恶意软件保护脆弱性

TE-06-E

权限提升

变电站监控系统

平台软件脆弱性

跨权限执行非法指令,绕过就地五防系统非法执行指令。

恶意软件保护脆弱性

 

智能变电站防护体系设计

3.1      安全防护体系总体架构

      智能变电站二次系统的防护目标是抵御黑客、病毒、恶意代码等通过各种形式对变电站二次系统发起的恶意破坏和攻击,以及其它非法操作,防止变电站二次系统瘫痪和失控,并由此导致的变电站一次系统事故。安全防护体系将平台加固、通信防护、集中监控这四个部分组成。

3.2      平台加固

      平台是指支撑智能变电站系统所有功能的软硬件设备的集合,平台加固主要从硬件安全、软件安全、配置安全和恶意软件防护四个方面进行安全加固。

              平台硬件安全加固措施

  • 对智能变电站的关键基础设施采取冗余备份,避免单点故障。
  • 对关键基础实施加强物理防护,禁止USB、光驱等外接设备。
  • 增强智能变电站设备的抗无线电和电磁脉冲干扰能力。

              平台软件安全加固措施

  • 关闭系统中不必要的应用和服务。
  • 对用户登录本地操作系统、访问系统资源等操作进行身份认证,根据用户的身份与权限进行访问控制,并且要对用户的操作行为进行安全审计。
  • 开启设备的安全防护功能,降低缓冲区溢出等攻击发生的概率。
  • 通过代码审计手段发现智能变电站关键应用在软件设计上的缺陷,比如在执行操作指令时对输入的数据包缺乏有效检测问题;软件配置和设计上认证和访问控制措施不足问题等。
  • 使用安全的传输协议,比如SSH、SFTP等,禁止使用TELNET、FTP等基于明文的传输协议。

               平台配置安全加固措施

  • 系统和应用软件的关键补丁要及时安装,安装前要进行相关测试。
  • 在系统上线时要修改缺省用户名、密码等缺省配置。
  • 关键配置文件要实时备份。
  • 关键设置的数据要加密存储。
  • 制定合理访问控制策略,为智能变电站用户分配合适的访问权限。

               恶意软件防护措施

  • 在智能变电站生产控制大区部署独立的防恶意代码系统,避免和管理信息大区共用一套系统。
  • 防恶意代码系统的规则库要采取离线的手段进行更新。

 

3.3      通信防护

              安全分区

  • 《变电站二次系统安全防护方案》中规定,220kV 以上变电站二次系统的生产控制大区应当设置控制区和非控制区,对于不接入省级以上调度中心的 110kV 及以下变电站,其二次系统生产控制大区可不再进行细分,相当于只设置控制区。

              边界防护

  • 控制区和非控制区之间要采用国产硬件防火墙、具有访问控制功能的设备或相当功能的设施实现两个区域的逻辑隔离、报文过滤、访问控制等功能,其访问控制规则应当正确有效。
  • 生产控制大区内的不同业务系统间应该采取安全措施限制系统间的直接互通,如VLAN 和访问控制等安全技术。
  • 在间隔层和站控层之间使用专业的工业防火墙,阻止病毒和任何其它的非法访问。

              通信加密与认证

  • 通过远程拨号访问生产控制大区的远方访问用户要使用数字证书、硬件U-KEY等双因素认证技术进行登录和访问认证,同时确保访问用户使用的是经过安全加固的操作系统平台。
  • 智能变电站宜按照IEC 62351要求,采用信息加密、数字签名、身份认证等安全技术,保障信息通信安全,实现信息通信机密性、完整性、不可否认性和可用性要求。

 

3.4      集中监控

  • 集中监控措施目的主要是在安全事件发生前发现入侵企图、在安全事件发生中及时定位事件点、在安全事件发生后进行审计追踪,并能够对网络异常流量进行分析。主要安全设施有入侵检测系统、集中报警平台。
  • 智能变电站系统中的操作行为,应该进行严格的业务安全审计,在事故发生后能进行溯源。审计记录的内容至少应包括事件日期、时间、发起者信息、操作类型、事件描述和操作结果等。
  • 应用系统应当提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。
  • 运维人员在智能变电站内的操作要通过堡垒机进行记录。

   

       针对智能变电站安全需求,站控层部署工控审计系统SAS,对站控层下达到间隔层的指令进行记录。通过内置的规则来判定下发指令是否存在异常违规指令,如发现其中含有异常指令,审计系统会通知管理员进行处理,避免因无法感知异常事件,导致的危害蔓延。

在站控层部署工控入侵检测系统NIDS对站控层边界处的网络流量进行病毒、蠕虫等攻击代码检测,实时发现攻击事件并对关键操作事件进行告警。

      在站控层部署堡垒机SAS-H对运维过程进行有效的监控。只有经过身份确认的运维人员才能进入到变电站系统进行运维,并对其运维行为进行全程记录。

 

方案价值

  • 对于变电站的安全隐患,通过平台加固可以有效的降低变电站存在的脆弱性,减少受攻击面,有效降低变电站的安全风险。
  • 对于基于纵深防护的思想,对于变电站内进行分区、分域和通信的加密有效的提升站内通信的安全性,降低由于单点的安全问题所导致的站内整体运行故障,降低变电站的安全风险。
  • 通过监控手段可以对运维过程进行有效的监控,大大降低了运维过程所带来的风险,可以有效的对变电站的异常操作及时进行预警,提升变电站应对安全威胁的能力

 

方案优势

      变电站的安全防护一直以来都是以边界防护为主,缺乏站内的安全建设。而针对工控越来越复杂的安全形势,为了保障变电站的稳定安全按运行,需要从安全的各个层面来考虑变电站的安全建设。本方案对于变电站的面临的安全威胁进行深度的分析,对已有的电力二次安全防护中对于安全加固和集中控制进行了有效的集成,针对智能变电站的面临的安全威胁加入了针对变电站内安全进行防护的手段,通过对平台进行深度加固,对通信过程进行有效控制,通过集中的安全管理,有效的提升变电站整体安全防护的能力。