智能电网对于数字化变电站二次系统安全防护的应用探讨

智能电网对于数字化变电站二次系统安全防护的应用探讨智能电网对于数字化变电站二次系统安全防护的应用探讨 摘要 摘要 作为智能电网的物理基础 数字化变电站逐步取代常规变电站将是今后 的发展趋势 毋庸置疑 与常规变电站相比 数字化变电站具有运行稳定 节 约成本 维护方便等显著的优点 但数字化变电站作为新型变电站 现阶段在 安全防护方面存在很多空白 本文探讨了数字化变电站如何在技术上 管理上 建立安全防线 保障变电站二次系统安全稳定运行 关键词 关键词 智能电网 数字化变电站 IEC61850 调度数据网 二次系统安全防 护 1 1 智能电网概述智能电网概述 1 11 1 智能电网的概念智能电网的概念 智能电网即以包括发电 输电 配电 储能和用电的电力系统为对象 利 用因特网通信 计算机 信号传感 自动控制 电力电子 超导材料等领域新 技术 实现从发电到用电所有环节的信息双向交流 系统地优化电力的生产 输 送和使用 这些新技术的应用不仅仅是对传统输配电系统进行简单地改进 提 高 而是提高电网整体性能 节省总体成本 将各种新技术与传统的输配电技 术有机结合 使电网构成 运行控制 管理方式 系统性能以及所提供的服务 出现革命性的变化 1 21 2 智能电网的发展趋势智能电网的发展趋势 目前欧美国家均在积极规划推动智能电网 意大利及美国已率先试行 中 国国家电网公司总经理刘振亚曾访美 并在华盛顿一场题为 更坚强的电网 中国与美国展望 的会议上发表主旨演讲称 中国国家电网公司正在全面 建设以特高压电网为骨干网架 各级电网协调发展的坚强电网为基础 以信息 化 数字化 自动化 互动化为特征的自主创新 国际领先的坚强智能电网 这个观点标志着中国国家电网开始接受智能电网概念 之后 国家电网公司 党组会议明确提出 要坚持走中国特色的电网发展道路 加快建设 坚强的智 能电网 这表明中国电网发展必然走上电网智能化的科学发展之路 从发展路径来看 如果以变电站和二次设备为焦点 则常规变电站 数字化 变电站 数字化电网 智能化电网将是一条符合技术规律和电网特性的发展道 路 数字化变电站作为智能电网的物理基础 同时作为高级调度中心的信息采 集和命令执行单元 将贯穿智能电网建设的整个过程 2 2 数字化变电站二次系统信息安全隐患数字化变电站二次系统信息安全隐患 由于传统变电站的监控与数据采集 SCADA 系统和其他控制系统都是独立系 统 是厂家的专有产品 其安全性来自于独立性以及专有性 而IEC 61850体系 的数字化变电站综合自动化系统基于开放 标准的网络技术之上 所有的供应 商都可以开发基于因特网的应用程序来监测 控制或远方诊断 从而可能导致 计算机控制系统的安全性降低 对于电力系统这样一个要求高可靠性和安全稳 定性的系统而言 信息安全问题尤其突出 2 12 1 数字化变电站横向边界安全隐患数字化变电站横向边界安全隐患 数字化变电站的主要特征是 一次设备智能化 二次设备网络化 各IED 之间的信息交互通过GOOSE信息传输机制实现 变电站内部通过以太网络实现通 信 交换机成为信息交互的重要媒介 这种方式使得各类二次设备以标准的方 式建模和通信 第一次在变电站内部完成统一的信息交互 二次设备融合成为一 种趋势 但在这种趋势下数字化变电站将不再满足电力二次系统总体方案中关 于安全分区 横向隔离的要求 2 22 2 数字化变电站纵向边界安全隐患数字化变电站纵向边界安全隐患 变电站站内信息最终服务对象是电网调度 电网调度中心通过SCADA等应用 系统获得电网运行的实时信息 这个信息必须真实可信才能帮助调度员清楚电 网实时运行情况 辅助调度员对电网进行正常调度 另一方面 电网调度中心 通过应用系统向变电站等现场下发控制指令 这个指令必须具有完整性 没有 被恶意篡改或调换 这样 电力系统才能稳定 高效的运行 数字化变电站实 现全网络通信的同时在网络层和应用层存在以下几点安全隐患 2 2 1 网络层安全隐患 1 TCP IP 协议采用明文进行数据流传输 这意味着应用程序的数据包括口 令 密码等在网络上是公开的 很容易被窃听 伪造和篡改 2 源地址欺骗 由于数据包明文发送并容易被捕获 其中源IP 地址段就可 能被直接修改成其他主机的IP 地址 那么所有面向该IP 地址的服务及会话都 会面临危险 3 源路由选择欺骗 IP 数据包为测试目的设置了一个选项 IP Source Routing 该选项可以直接指明到达节点的路由 攻击者可以通过提供伪源 IP 地址 使得目标主机的返回信息以一条到达伪源 IP 地址主机的路由传输 从 而获得源主机的合法服务 4 TCP 序列号欺骗 TCP 通过向所传递出的所有字节分配序列号和对收到的 数据提供确认 来保证可靠的数据传送 如果 TCP 序列号可以被预测 那么攻 击者就可以与目标主机建立连接并传送虚假数据 2 2 2 应用层安全隐患 1 明文传输 远动的遥测 遥信 遥控信息以及电量信息均为明文传输 厂 站信息存在被窃听 截收以及修改的风险 2 无认证 召唤数据及控制命令均无认证信息 使得非法访问 破坏信息完 整性 破坏系统可用性 冒充 重演均成为可能 3 3 数字化变电站二次系统安全防护方案探讨数字化变电站二次系统安全防护方案探讨 3 13 1 数字化变电站横向边界防护方案数字化变电站横向边界防护方案 有学者认为可以利用成熟的虚拟专网技术实现网络的有效逻辑隔离来解决 上述问题 通过在交换机上设置基于端口的虚拟网络VLAN 不同业务特性的信 息交互限定在不同的虚拟网上 这样可以有效地控制信息安全的风险 一旦发 生某IED被攻击 其可能的影响范围将局限在某VLAN所限定的区域内 而不会影 响其它IED的效用 具体实现可以在变电站配置三层交换机 也可以应用保护 测控一体化装 置实现以下应用模式 数据调用功能接入VLAN4 涉及保护跳闸和远方跳闸命令 功能接入VLAN5 在三层交换机上按照业务需求可设置vlan2与vlan5互通 vlan3与vlan4互通 这样可以在逻辑层划分不同的应用 有效地实现安全隔离 在保证二次设备信息交互的同时将实时业务与非实时业务进行逻辑隔离 为实 时控制业务的高安全性提供保障 3 23 2 数字化变电站纵向边界防护方案数字化变电站纵向边界防护方案 要在纵向边界保证远动数据的完整性 安全性及保密性 关键在于数据包 加密及身份认证 而认证方法的关键也在于加密 加密技术是信息安全技术的 基础 但远动系统是实时控制系统 其实时性要求较高 秒级 且远动系统 可用计算机资源相对较少 也就决定了远动信息传输的加密及身份认证的算法 和方式有其自身的特点 必须将对实时业务的影响减少到最小 3 2 1 基本防护 1 通信软件的可靠性 正确性要高 2 合理配置信息转发表 3 关闭未使用的服务 协议 4 基本IP地址验证 可在路由器上设置访问控制列表进行访问控制实现只允 许调度终端与厂站终端之间点对点通信 3 2 2 合理的网络隔离 1 厂站内部网络要与远传网络实现隔离 2 各厂站端与调度中心实现点对点数据通信 关闭各厂站之间的网络路由 3 由于目前尚不具备遥控操作的身份验证 遥控操作的安全性得不到充分保 证 远传网络中控制网络要与非控制网络通过mpls vpn技术实现逻辑隔离 将 控制网独立出来 保证其他任何网络无法路由到控制网 3 2 3 加密认证技术 1 加密算法 现阶段主流加密算法有对称密码算法和非对称密码算法两种 其中非对称密码算法是 使用一个密钥对数据加密 另一个密钥对数据解密码 2 防止冒充 篡改 3 交换认证 由于IEC 61850对于信息采用面向对象自我描述的方法 使得 变电站综合自动化信息交换认证的实现成为可能 3 33 3 二次系统安全预防二次系统安全预防 二次系统安全防护的理念是 三分技术 七分管理 打造一个安全可靠的运 行环境 不能只靠技术防范 还应有与之相适应的安全防护管理体系 笔者认 为数字化变电站安全防护管理应注重以下三个方面 3 3 1 建立完备的 可操作的应急预案 应急预案应具有完备的措施及较强的可操作性 包括 如何实现系统黑启 动快速恢复系统基本功能 如何快速将出现问题的网络进行隔离等处理方法 这样才能最大限度地减少因突然爆发安全问题而带来的二次系统的损害 并可 在最短的时间内恢复二次系统功能 保证生产系统的正常运行 3 3 2 提高值班员的安全意识 二次系统安全防护不仅仅是各单位自动化人员的工作 也不仅仅是网络安 全员的工作 更是变电站内每一位值班员的安全责任 值班员拥全站设备控制 权 应做到以下五不要 不要在远动主机上进行与工作无关的任何操作 不要 安装不必要的软件 不要打开来路不明的文件 不要设置过于简单的密码 不 要将帐号及密码外借他人 另外 还需加强值班员的职业素质教育 增强工作 责任心 从而提高安全意识 保证电力二次设备安全防线牢不可破 3 3 3 将二次系统安全防护工作纳入安全生产日常管理 随着电网智能化的发展 以往电力公司重一次 轻二次的思想必须改变 多次二次设备安全事故证明 二次设备出现安全事故造成的危害比起一次设备 将有过之而无不及 所以应将二次系统安全防护工作纳入安全生产日常管理体 系中 将变电站二次安全防护设备纳入变电运行管理中 各单位安监部门要将 二次系统安全防护工作作为安全检查工作的重点检查内容 督促指导各单位二 次安安全防护工作的有效开展 4 4 结束语结束语 本文以数字化变电站作为切入点从变电站内部横向边界 外部纵向边界 安全防护管理等三个方面 系统地阐述了数字化变电站安全防护方面目前存在 的安全隐患 并提出了相应的解决方案 智能电网不是一个仅局限于二次自动 化范畴的概念 也不是指单一设备的智能化 它是一项全新的概念 在现阶段 对其问题与缺点的认识与对其优点的认识同等重要 总之 智能电网是过去几 十年来电力新技术研发与应用的发展 是人们对未来电网的愿景 参考文献参考文献 1 胡炎 谢小荣 韩英铎 辛耀中 电力信息系统安全体系设计方法综述 期刊 论文 电力系统自动化 2005 1 2 谢开 刘永奇 朱治中等 面向未来的智能电网 J 中国电力 2008 41 6 3 IEC61850 变电站通信网络和系统