浅谈智能变电站网络安全风险与防护建议.pdf

1、Topic Focusing热点专题0762023 年第 3 期浅谈智能变电站网络安全风险与防护建议于希永1，尹亮2*，刘嘉奇21.北京国网信通埃森哲信息技术有限公司，北京，1000522.绿盟科技集团股份有限公司,北京，100089摘要：随着越来越多的智能变电站投入使用，因智能变电站的高度集成化、网络化、智能化等因素，导致原本封闭孤立的变电站生产环境被打破，网络与业务的暴露面增大，给电网安全稳定运行带来挑战。本论文通过对智能变电站三层两网的业务场景进行剖析，分析出当下智能变电站存在 IEC-61850 规约无认证、加密、授权机制，站控层和过程层网络无安全审计和异常流量检测机制，电力监控主机无

2、抵御未知威胁能力以及路由器、交换机以及主机设备安全配置基线缺失等网络安全主要问题。针对这些安全问题，本论文给出通过部署安全防护产品和安全策略加固等 3 个方面的安全防护建议，对今后智能变电站网络安全防护建设，具有一定理论指导意义。关键词：智能变电站;站控层;间隔层;过程层;安全风险Discussion on Network Security Risks and Protection Suggestions for Intelligent SubstationYu Xiyong1,Yin Liang2*,Liu Jiaqi21.Beijing SGITG-Accenture Informatio

3、n Technology Co.,Ltd.,Beijing,1000522.Nsfocus Technologies Group Co.,Ltd.,Beijing,100089Abstract:With more and more intelligent substations being put into use,due to factors such as high integration,networking,and intelligence of intelligent substations,the originally closed and reliable production

4、environment of substations has been broken,and the exposure of networks and businesses has increased,facing new security threats and posing challenges to the security and stable operation of our power grid.This paper analyzes the business scenarios of intelligent substations with three layers and tw

5、o networks,and identifies the current IEC-61850 protocol without authentication,encryption,and authorization mechanisms in intelligent substations;There is no security audit and abnormal traffic detection mechanism in the station control layer and process layer networks.The main network security iss

6、ues include the inability of power monitoring hosts to resist unknown threats and the lack of security configuration baselines for routers,switches,and host devices.In response to these security issues,this paper provides security protection suggestions at three aspects:deploying security 作者简介：于希永，男

7、，北京国网信通埃森哲信息技术有限公司高级工程师，主要研究方向为电网信息化、变电站监控系统等，E-mail:。通讯作者:尹亮，男，绿盟科技集团股份有限公司工程师，主要研究方向为工业互联网安全，E-mail:。Topic Focusing热点专题0772023 年第 3 期protection products and strengthening security strategies,which have certain theoretical guidance significance for the future construction of smart substation networ

8、k security protection.Keywords:Intelligent Substation;Station Control Layer;Interval Layer;Process Layer;Security Risks1 引言变电站作为电力系统的重要组成部分1，是发电、输电、变电、配电、用电五个环节中不可或缺的关键节点。根据国家电网和南方电网“十四五”规划，在 2021-2025 年期间全国电网总投资近 3 万亿元，全面推进电网转型升级，构建新型电力系统2。变电站作为电网环节中不可或缺的关键节点，其智能化建设进程不断加快。同时，随着越来越多的智能变电站投入使用，因其高度的共

9、享性与交互性，遭到了勒索软件、挖矿病毒、黑客，甚至敌对势力的关注。智能变电站不断渗透攻击，给我国电网稳定运行带来安全隐患。因此，对智能变电站的网络安全风险以及防护措施进行分析具有重要意义。2 智能变电站业务场景及安全风险分析2.1 业务场景分析智能变电站，是以电子式互感器、变压器、开关等一次设备以及合并单元、智能终端等二次设备为数字化基础，基于 IEC 61850 规约，建立三层两网的网络结构，利用组播传输信息的高效形式，实现自动控制、智能调节、智能决策，完成信息采集、测量、控制、保护、计量和监测等基本功能的新型变电站3。其网络架构如下图 1 所示。图 1智能变电站网络架构图Topic Foc

10、using热点专题0782023 年第 3 期站控层：主要是一体化监控平台系统，包括综合应用服务器、数据服务器、数据通信网关机、以及时钟服务器等。站控层能够实现变电站的运行监视、调节控制、辅助决策、信息综合分析、智能告警、运维管理等功能4-6。间隔层：主要包括测控装置、保护装置、网络记录分析以及故障录波装置等。其主要作用是通过智能终端对一次设备进行保护和控制，实现本间隔内的操作、闭锁，并进行一次电气量的运算和计量等4-6。过程层：主要包括电子式互感器、断路器、刀闸、母线、开关等一次设备以及智能终端、合并单元等二次设备。其主要功能是进行一次电气量采集、执行操控命令和设备状态监测4-6。站控层网络

11、：指 MMS（Manufacturing Message Specification，制造报文规范）网络，用于站控层与间隔层之间的客户端/服务器端服务通信，传输事件顺序记录（Sequence Of Event，SOE）、测量、文件、定值、控制等信息。MMS 报文是基于 TCP 的客户端/服务器通信模式。因此，MMS 报文对通信实时性要求不是太高4-6。（1）安全区：安全区区是控制区。业务系统或功能模块的典型特征为直接实现实时监控功能，是电力生产的重要必备环节，系统实时在线运行，使用调度数据网络或专用通道。安全区的典型系统包括调度自动化系统、广域相量测量系统、配电自动化系统、变电站自动化系统等。

12、安全区是电力二次系统中最重要的系统，安全等级最高，是安全防护的重点与核心。（2）安全区：安全区是非控制区。业务系统或功能模块的典型特征为：所实现的功能为电力生产的必要环节，但不具备控制功能，使用调度数据网络，在线运行，与安全区中的系统或功能模块联系紧密。安全区区的典型系统包括调度员培训模拟系统（DTS）、故障录波信息管理系统、电能量计量系统、电力交易系统等。该区数据的实时性是分钟级、小时级。站控层分为安全区和安全区，站控层的安全区通过纵向加密认证装置与调度中心的安全区进行通信，站控层的安全区通过硬件防火墙与调度中心的安全区进行通信，综合应用服务器通过正反向隔离装置实现与生产控制大区的强逻辑隔离

13、，安全区与安全区通过传统硬件防火墙进行逻辑隔离。过程层网络：主要包括面向通用对象的 变 电 站 事 件（Generic Object Oriented Substation Event，GOOSE）网和采样测量值（Sampled Measured Value，SV）网。（1）GOOSE 网：主要是过程层的二次设备与间隔层的测控、保护、录波等装置通信使用，传输开入、开出量，完成对一次设备的智能控制，为发布/订阅通信模式，实时性要求高。过程层的 GOOSE 网和间隔层的 GOOSE，采取网采网跳方式。（2）SV网：主要用于电子式互感器、断路器、刀闸等一次设备传输原始采样值（电流电压采样值），为发布

14、/订阅通信模式，实时性要求高。IEEE 61588 时钟同步：原有的 IRIG-B 码的对时系统，需要单独组网，且时间同步误差大，不能保障主站调度系统、变电站自动化系统、故障滤波装置、继电保护等二次设备时钟精准同步，导致故障记录错位。因此，智能变电站采用IEEE 61588 对时系统，将站控层、间隔层和过程层共享一层物理网络，MMS、GOOSE、SV 以及时钟同步 IEEE 61588 网络进行共网传输。这样不需要单独组建 IRIG-B 码的对时网络，简化网络结构，利用现有网络实现全站设备的时间精确同步4-6。2.2 安全风险分析大部分智能变电站已按照能源局 36 号文进行了“横向隔离、纵向认

15、证”的安全防护建设，但在实际发展过程中，还存在以下主要风险：Topic Focusing热点专题0792023 年第 3 期（1）智能变电站的高度集成化、网络化、互操性、开放性等特点，增加了网络和业务系统的暴露面，导致变电站面临着病毒、木马等风险。安全区与安全区之间所部署的硬件防火墙不属于工业化控制防火墙，无法识别 MMS、GOOSE、SV 等智能变电站工业化控制协议。（2）站控层和过程层使用的 GOOSE 协议和 SV 协议，在开发之初并未考虑安全性，缺乏授权、认证、加密机制。如，过程层网络的GOOSE 和 SV 协议只有应用层、表示层、数据链路层和物理层，采用组播模式传输。虽然保证了实时性

16、，但是一旦有非授权连接接入，就可能影响到整体变电站安全，严重的可能引发保护装置和测控装置误操作。（3）缺少从网络流量视角分析误操作、异常动作以及异常流量检测等机制。如继电保护软压板远程误操控、网络风暴。GOOSE 报文正常报警机制是：-5s-5s-2ms-2ms-4ms-8ms-5s-5s，任何威胁入侵都有可能导致报警机制的改变，引起继电保护跳闸、误动或拒动；任何异常流量都会导致 IEEE 61588 网络延迟，时钟无法精准同步，造成故障记录错误等问题4，7-12。（4）电力监控主机缺乏抵御未知威胁的能力。存在高危端口（如 139、445、3389 等）的默认开启和默认共享，以及弱口令等安全基

17、线问题；存在操作系统漏洞、电力监控软件漏洞补丁不敢打、不愿打、不想打等问题；存在移动存储介质乱插乱用现象；存在杀毒软件与全站系统组态配置 SCD 软件不兼容，导致误杀、不断重启、运行缓慢等问题；存在安装杀毒软件，病毒库不更新问题。最终导致电力监控主机处于“裸奔”和“带病”运行的状态4。除此之外，还有如下安全基线问题。（1）部分变电站虽然部署了纵向加密认证装置，、区横向隔离防火墙以及正/反向隔离装置，但是安全策略粗放，甚至为空。（2）路由器、交换机以及主机设备的安全配置基线弱，不满足最小权限设置。3 安全防护建议基于智能变电站的业务场景和安全风险分析，其安全防护建议主要体现在以下3个方面。3.1

18、 安全技术方面针对安全风险的前 4 点，智能变电站主要通过部署相应的安全防护产品进行防护。部署示意图如下图 2 所示。图 2安全产品部署示意图Topic Focusing热点专题0802023 年第 3 期（1）在安全区与区之间的 MMS 网部署 2 台工业防火墙替换原有的 IT 防火墙，基于IP、MAC、MMS 协议以及端口的访问控制列表对通信链路进行白名单防护，并对非法访问链路进行限制；基于对MMS协议2-7层拆包分析，对读、写控制以及值域、阈值等进行保护，实现对 IEC61850 规约的 MMS 协议完整性保护，防止攻击者利用 MMS 协议漏洞进行攻击，从而实现安全区与区之间的访问控制和

19、边界防护13-15。同时，为了保障业务连续性和可用性，MMS 网通过 1 主 1 备的部署模式以及工业防火墙支持 Bypass 功能，来保证业务的可用性。当主设备故障后立马切到备用设备，保障业务连续性；当主备设备都故障后，启用 Bypass 功能，利用软件和硬件看门狗机制，无论是设备掉电、上电，还是系统故障、重启等情况，将接口瞬间导通。通过高可用设计，极大地提高了工业防火墙的可用性，保障业务连续性。（2）在安全区部署工业安全审计设备，启用采集模块对 MMS 网交换机、GOOSE 网交换机以及 SV 网交换机进行镜像流量采集。基于对 IEC-61850 规约的深度解析以及机器自学习白名单模型，对

20、 MMS、GOOSE 以及 SV 网中存在的病毒、木马、恶意代码以及网络攻击和协议篡改行为实时监测；对违规操作、误操作以及异常行为、关键操作（控制程序下载、上传、组态变更以及 CPU 启停等操作）等行为实时监测。同时，流量分析模块对保护装置的跳合闸命令、测控装置的遥控命令、保护装置间的启动失灵命令、间隔层各装置闭锁命令等进行监测记录、分析，可协助继电保护异常跳闸、误动等生产事故进行快速定位、分析，缩短智能变电站故障排除时间13-15。（3）在安全区旁路部署工业入侵检测设备，启用异常检测模块对电力监控系统中存在的异常威胁和漏洞利用行为、恶意攻击行为进行实时检测。基于内置的工控攻击特征库，实时检测

21、 MMS 协议 27 层的各种入侵攻击及违规行为，以及基于敏感数据外泄、文件识别、服务器非法外联等异常行为检测，实现内网的高级威胁防护功能。同时，确保异常流量第一时间发现与排除，保障故障录波时间记录不错位13-15。（4）在安全区和区，网络安全员对全站的监控主机和服务器部署工业主机卫士系统，利用机器自学习白名单模型，对工业主机应用程序、进程、服务以及外设进行管控，抵御未知威胁。另外，网络安全员对重要的服务器进行强制访问控制，利用工业主机卫士内置的 BLP模型（不上读、不下写）和 Biba 模型（不下读、不上写），对主体（用户）和客体（文件、程序等）进行安全级别定义，然后对不同安全级别的主客体制

22、定读、写强访问控制，最终实现对变电站监控主机的安全防护13-15。3.2 安全基线方面针对纵向加密认证装置、正/反向隔离装置、路由器、交换机以及主机设备的安全基线问题，电网公司通过采购安全服务进行策略加固，具体安全策略建议如下。（1）纵向加密认证装置。纵向加密装置要正常运行，设备安全策略有效，不存在无效策略；各纵向加密装置策略按照业务细化到具体的 IP地址、业务端口号和连接方向，不存在全网段和全端口策略；删除默认用户，设备中各用户密码均为强密码，至少 8 位字符，字母+数字+特殊字符组成；各纵向加密装置策略中，除 ICMP、交换机与路由器互联和交换机与网管互联业务外，其余隧道和策略均为密通。（

23、2）正/反向隔离装置。全部正/反向隔离装置正常运行，安全策略生效，不存在无效策略；安全策略要基于 IP、MAC、业务端口绑定，IP、MAC 精确到主机设备，不得存在无用业务端口；删除正/反向隔离装置默认用户，且各用户密码均为强密码，至少 8 位字符，由字母+数字+特殊字符组成。（3）路由器、交换机。各路由器和交换机Topic Focusing热点专题0812023 年第 3 期空闲端口都关闭，交换机承载业务的端口要绑定 IP、MAC，各业务端均有业务描述信息；关闭telnet、ftp、http 等不必要的通用服务以及关闭网络边界 OSPF 路由功能；采用 SNMPv3 或增强安全的 SNMPv

24、2 网管协议；删除默认用户，各用户密码为强密码，且密码为密文存储；路由器和交换机设备远程登录应使用 SSH 协议，且设备 console 口登录配置强密码；删除默认和无效的路由，开启访问控制列表和设备日志记录功能。（4）主机设备。建议各主机设备安装安全操作系统，如国产的凝思、统信，并进行安全加固；各主机设备的用户密码由专门的设备管理人员收回，各用户的密码均为强密码；对主机设备进行漏洞扫描，对发现的漏洞进行加固，并部署工业主机卫士系统；开启日志审计功能，日志默认保存两个月。关闭 E-Mail、FTP（21）、SSH（22）、Telnet（23）、SMTP（25）、HTTP（80）、DCE/RPC

25、（135）、NETBIOS（137/139）、SNMP（161）、SMB（445）、ORACLE（1521）、远程桌面（3389）、Weblogic（7001）、BLACK JACK（1025）等不必要的服务和端口；各主机设备禁止网关或默认路由，配置精确访问路由；关闭光驱、移动存储介质的自动播放或自动打开功能；各主机设备除鼠标、键盘、U-KEY（除人机工作站和运维工作站外，禁止 U-KEY 的使用）等常用外设的正常使用，其他设备一律禁用；各主机设备设置日志策略，对鉴权事件、登录事件、用户行为事件、物理接口和网络接口接入事件、系统软硬件故障等进行审计。3.3 安全运营方面首先，进行组织治理。电力

26、企业应把电力监控系统的网络安全管理融入安全生产管理体系中,对网络安全、功能安全、物理安全进行一体化管理。按照“谁主管、谁负责;谁运营、谁负责;谁使用、谁负责”的原则，健全电力监控系统安全防护的组织保证体系和安全责任体系。明确网络安全负责人和管理组织，企业主要负责人是网络安全第一责任人，明确关键岗位和职责，关键岗位人员签署网络安全责任书等，开展人才梯队建设。电网公司通过理论与实验课程，再加上模拟仿真的实验环境，提升学员的理解和掌握能力，快速培养一批复合型、创新型、实战型人才；电科院通过组织竞技比赛，对学员进行应急处置方面培训，使学员熟练操作工控设备、网络设备、工控机、SCADA 实时服务器以及网

27、络安全产品功能，熟练掌握报警信息查看、日志关联分析、安全事件识别与研判等技能，并能够根据事件发展势态进行策略调整、加固，掌握必要的应急处置手段，提升员工的实战对抗能力和安全应急处置能力。其次，进行安全管理制度和流程建设。主要从四个层面进行建设，包括一级文件的网络安全方针、战略；二级文件的管理规定、办法；三级文件的操作流程、规范、作业指导书、模板等；四级文件的各类表单、记录日志、报告等。最后，对制度文件进行评审、修订、发布、执行等管理。最后，电力企业通过对安全运营体系中“人”“流程”“技术”三个基本要素的基础能力建设，开展安全维护、通报预警、应急演练与事件处置等实战化安全运营工作。4 总结本论文

28、通过对智能变电站业务场景和存在的安全风险进行分析，并针对智能变电站存在的安全问题，给出针对性的安全防护建议，为后续变电站数字化转型过程中的网络安全建设提供理论指导依据。参考文献1 江南,纪陵,杨小凡.智能变电站信息安全技术J,电气自动化,2018,40(6):48-51.Topic Focusing热点专题0822023 年第 3 期2 黄雅宣.智能变电站的涵义及发展探讨 J,通讯世界,2017,3(7):131-132.3 彭志强,周航,韩禹.智能变电站自动化设备透明运维系统构建与应用 J,电力系统保护与控制,2020,48(13):156-163.4 马 跃 强.绿 盟 智 能 变 电 站

29、 安 全 解 决 方 案,为 继 电 保 护 再 上 一 把 安 全 锁 OL.2022-03-24.https:/ XHUXvGSjw1NKCXDw.5 张延旭,蔡泽祥,龙翩翩,等.智能变电站通信网络实时故障诊断模型与方法 J,电网技术,2016,40(6):1856-1862.6 李国斌.基于智能化的 110kV 变电站的设计研究J,中国设备工程,2022,2(7):24-25.7 王胜,唐超,张凌浩,等.面向 IEC61850 智能变电站的网络安全异常流量分析方法 J,重庆大学学报,2022,45(1):1-8.8 王松,裘愉涛,侯伟宏,等.智能变电站继电保护 GOOSE 网络跳闸探讨

30、J,电力系统自动化,2015,39(9):140-144.9 刘正高,袁拓来.基于南网标准的智能变电站GOOSE 网络跳闸报文解析及技术研究 J,科学技术创新,2021,4(2):104-106.10 刘海峰,林海鹰,欧阳帆,等.IEEEl588 对时系统在金南智能变电站的实现 J,湖南电力,2013,33(2):33-36.11 汤效军,黄鑫.IEEE1588 在智能变电站应用研究与风险分析 J,中国电机工程,2022,5(11):109-111.12 王进虎,王娜.智能变电站 GOOSE 通信异常分类研究及影响分析 J,东北电力技术,2021,42(1):11-14.13 赵峰,马跃强.基于等保 2.0 工业控制系统网络安全技术防护方案的设计 J,网络安全技术与应用,2020,13(5):117-120.14 马跃强.煤炭港口管控一体化系统工控安全防护设计 J,工业信息安全,2022,2(10):46-50.15 马跃强,杨盛明,韩儒剑,杨涛,曹旭.可编程控制器(PLC)的安全问题研究 J.工业信息安全,2022,6(3):126-128.