直流控制保护系统网络安全分析与对策
武汉加油
风雨同行 共克时艰
许继电气股份有限公司的研究人员张浩然、贾帅锋、赵冠华、李凤龙、李桂举,在2020年第1期《电气技术》杂志上撰文,对直流控制保护系统的网络结构进行了概述,归纳了其与站内/外其他系统互通的网络边界情况,并对其网络安全防护现状进行了总结;然后对直流控制保护系统网络中可能遇到的威胁进行了分析,并提出了合理、有效的提升改进对策。
近年来国外频现针对电力系统的网络攻击事件。国内虽尚未出现类似的破坏性事件,但是小规模的电脑病毒感染事件也层出不穷。虽然目前这类事件都出现在交流系统中,但并不代表国内的直流输电系统毫无漏洞。直流控制保护系统是直流输电系统的大脑,一旦直流控制保护系统网络遭到侵入、设备反馈信息或控制指令遭到篡改而造成设备误动或拒动,将导致严重后果。
为全面提升直流控制保护系统网络安全防护水平,需要对直流控制保护系统网络安全现状进行综合分析,从技术、管理等方面分析存在的风险,并针对风险点提出改进建议。
1 直流控制保护系统总体网络结构
目前国内的直流控制保护系统内部均可分成站控层、间隔层、过程层3层结构,如图1所示。各层设备之间通过不同的通信方法实现数据交互。
站控层网络实现站控层设备和间隔层设备之间的通信,其主要包含数据采集与监视控制(supervisory control and data acquisition, SCADA)网、就地控制网,采用以太网方式;间隔层网络实现各控制保护主机之间的通信,采用以太网、快速控制总线、现场总线等方式;过程层网络实现过程层设备(接入遥测和遥信量)与控制保护主机之间的通信,采用以太网、现场总线、测量总线等方式。
图1 直流控制保护系统网络构架示意图
2 直流控制保护系统网络边界情况
当前,我国所有换流站生产系统的网络架构都可分为安全1区和安全2区两部分,其中安全1区为实时控制区,安全2区为非实时控制区。直流控制保护系统部署在安全1区,保信子站、一体化电源、电能计量等辅助系统部署在安全2区,如图2所示。
图2 换流站生产系统整体网络图
1)直流控制保护网络站内边界
直流控制保护系统与换流站内其他设备的通信通道包括:①通过控制总线与阀控、阀冷、故障录波等通信;②通过规约转换器或辅助系统工作站与保信子站、电能计量、一体化电源等系统通信。
2)直流控制保护网络站外边界
直流控制保护系统对外与调控中心、直流技术中心、集中监视中心及对端换流站通信,共4个站外通信通道,详见表1。
表1 直流控制保护系统站外通信通道表
3 直流控制保护系统网络安全防护现状
直流控制保护系统网络总体上能够按照结构安全、网络专用、边界安全、本体安全的安全防护原则进行配置。
站外通信方面,直流控制保护系统与调控中心、直流技术中心间的通信通道均配置纵向加密认证装置,直流控制保护装置和SCADA网络通过2M专用通道(未配置纵向加密设备)与对站通信;站内通信方面,安全2区电能计量、保信子站及一体化电源系统通过规约转换装置(未配置横向隔离设备)接入直流控制保护系统SCADA网络;系统本体安全方面,直流控制保护系统网络采用星型结构连接,采用私有协议,具有白名单注册等严格的数据校验机制和风暴抑制功能,可以保证数据传输安全可靠。
4 直流控制保护系统网络安全风险点分析
结合直流控制保护系统网络安全防护现状,对存在的风险从攻击方式、影响程度等方面进行综合分析,具体情况如下。
1)风险一:监控工作站及部分系统平台采用Windows等国外操作系统
风险点:换流站运行监控工作站及部分控制保护系统平台均采用Windows等非国产安全操作系统,无法完全掌握其安全漏洞和后门程序,目前虽然采取了接入管理、恶意代码防范等安全加固措施,仍存在被非法入侵的风险。
攻击方式:①利用非国产安全操作系统的漏洞,获取远程控制权限;②或利用U盘摆渡攻击等方式,植入木马或病毒,发送错误信息和控制命令;③或通过逻辑炸弹、时间炸弹等方式进行攻击。
影响:造成直流输电系统运行异常,极端情况下可能导致闭锁停运。
2)风险二:直流控制保护SCADA网络外部通信安防措施不完善
风险点:换流站安全1区SCADA网络延伸至对端换流站或集中监视中心采用明文传输方式,且物理防护相对薄弱。部分直流工程为满足远方集中监控需求,在一端换流站配置远方运行人员工作站,实现对对端换流站的远方监视功能;部分换流站SCADA系统采用网络延伸方式连接到集中监视中心,实现集中监视功能。
攻击方式:在远程通道上串入攻击装置,通过重放攻击方式发送错误信息或控制命令。
影响:造成直流输电系统运行异常,极端情况下可能导致闭锁停运。
3)风险三:换流站安全1区和安全2区安全隔离措施不完善
风险点:换流站内安全1区与安全2区的网络连接未进行逻辑隔离。换流站内电能计量、一体化电源等安全2区系统接入安全1区的直流控制保护系统网络,安全1区和安全2区之间未安装硬件防火墙等逻辑隔离设备,不满足“网络专用”安全要求。
攻击方式:可利用安全2区主机作为攻击跳板向安全1区传播病毒、木马,采取伪造攻击、重放攻击等方式向直流控制保护系统发送错误信息。
影响:导致直流控制保护网络无法正常运行。
4)风险四:站间监视信息交互采用网络通用协议传输
风险点:部分换流站SCADA网络站间通信采用104规约的明文传输,相互传输直流场遥测和遥信信号,不满足“纵向认证”要求。
攻击方式:在远程通道上串入攻击装置,对站间通信的遥信及遥测数据进行窃听或篡改。
影响:对站监视数据无法正常显示,直流运行数据、设备参数等敏感信息泄露。
5 直流控制保护系统网络安全提升对策
针对当前直流控制保护系统网络的安全现状和特点,安全防护提升思路可以考虑从以下几个方面进行。
1)加快推进基于国产安全操作系统的换流站监控系统的实施,积极落实软硬件的国产化,逐步完成在运换流站监控系统改造,夯实换流站的网络安全基础。
2)强化换流站基建阶段网络安全管控,制定完善的标准规范;工程投产前开展网络安全等级保护测评和风险评估验收工作,确保国家关键信息基础设施网络安全相关要求落实到位。
3)取消换流站内监视对端站的工作站并断开网络连接;取消部分集中监视中心以网络延伸方式监视换流站的工作站,并断开网络连接;因为运维原因确有监视需求的,建议改造为IP KVM(keyboard- video-mouse over IP)方式,并在通信线路增加纵向加密装置;对于采用104规约明文传输数据的换流站,在站间SCADA网络连接通道中加装纵向加密装置。
4)完善换流站内不同安全区业务间的隔离和访问控制措施,实现监控系统内部各区域间逻辑隔离或物理隔离,避免网络入侵和信息泄露风险。
例如,换流站都有通过规约转换器或辅助系统工作站将保信子站、电能计量、一体化电源等安全2区系统接入安全1区控制保护网络,从而通过SCADA系统实现一体化监控的设计,应当在规约转换器或辅助系统工作站与直流控制保护网络之间增加防火墙,以实现网络隔离。
部分换流站还存在将安全1区的阀基电子设备通过规约转换器或辅助系统工作站接入SCADA系统的设计,对此,应该更改设计,将阀基电子设备直接接入SCADA系统,若技术上确有困难,无法直接接入,应增加一台安全1区专用规约转换器或辅助系统工作站,以用来将阀基电子设备等安全1区装置接入SCADA系统,从而保证网络隔离,专网专用。
6 结论
直流控制保护系统的网络安全防护工作不可能一蹴而就。随着直流控制保护技术的发展和换流站运维需求的变化,随时可能有新的系统接入直流控制保护系统网络,从而产生新的网络边界和安全风险点。
行业内相关人员应该时刻保持网络安全防护意识,在开展业务工作时充分考虑到可能存在的网络安全问题,并及时从管理措施和技术措施上加以解决,才能保障直流控制保护系统的正常运行。