外文翻译译文-增强管理电力系统的信息基础设施的可靠性和安全性

增强管理电力系统的信息基础设施的可靠性和安全性FrancesCleveland,IEEEMember,PES-PSCC摘要-在电力行业，人们把焦点几乎都专门放在保证电力系统的可靠性的实施设备。直到最近，通讯信息流被认为是外围的重要性。但是，保障电力系统监控的信息基础设施对电网的可信度来说日益成为关键。通信协议是电力系统运行最关键的部分之一，它负责检索来自现场作业设备的信息，发送控制命令。尽管它们的关键功能，至今这些通信协议很少整合任何安全措施，包括针对一时疏忽的错误、电力系统设备失灵、通信设备故障或者有意破坏的防护措施。因为这些通信协议专业化，“通过隐藏来实现安全”成为了基本途径。但是，这方法不再是一个有效的概念。尤其电力市场正在迫使市场参与者获得任何他们能有的优势。一点微量的信息都能将一副坏牌起死回生-或者掌握来自你的竞争对手的信息能让他们由处于优势变为劣势。破坏电力系统运作的原因可能是粗心的错误到单纯是青少年的声张虚势，再到在电子竞技市场的竞争，甚至到实际的恐怖主义。随着电力行业越来越依赖于运转电力系统的信息，两大基础设施现在必须管理起来：不仅是电力系统基础设施，还有信息基础设施。电力系统基础设施的管理已经依赖于信息基础设施，因为自动化不断取代人工操作，市场需要更加精确、及时的信息，以及电力系统设备年限。因此，电力系统的可靠逐渐受到任何信息基础设可能会面临问题的影响。这篇论文主要讲述强调信息基础设施的可靠性和安全性的IECTC57WG15工作安全标准。索引-安全，可靠性，信息基础设施，通讯，IEC，电力系统操作，IEC61850，DNP,ICCP,IEC60870-5I.双重基础设施：电力系统和信息体系在电力行业，人们把焦点几乎都专门放在保证电力系统的可靠性的实施设备。直到最近，通讯信息流被认为是外围的重要性。但是，保障电力系统监控的信息基础设施对电网的可信度来说日益成为关键。除了2003年8月14日最初的电力设备问题-断电之外，唯一归因于不能在正确的时间内提供正确的信息到正确的地方的问题，导致了持续不断的连锁故障。Figure1:August14,2003Blackout(NOAAprocessedthedatafromtheDefenseMeteorologicalSatelliteProgram.PleasecreditNOAA/DMSP)通信协议是电力系统运行最关键的部分之一，它负责检索来自现场作业设备的信息，发送控制命令。尽管它们的关键功能，至今这些通信协议很少整合任何安全措施，包括针对一时疏忽的错误、电力系统设备失灵、通信设备故障或者有意破坏的防护措施。因为这些通信协议专业化，“通过隐藏来实现安全”成为了基本途径。毕竟，只有操作人员才能从高度防护控制中心去控制入侵者。谁会去关心一条网线的百万瓦兆，或者是去熟知如何读取特别的位与字节和特定的百进制通信协议，而且为什么有人想去破坏电力系统呢？但是，这方法不再是一个有效的概念。尤其电力市场正在迫使市场参与者获得任何他们能有的优势。一点微量的信息都能将一副坏牌起死回生-或者掌握来自你的竞争对手的信息能让他们由处于优势变为劣势。破坏电力系统运作的原因可能是粗心的错误到单纯是青少年的声张虚势，再到在电子竞技市场的竞争，甚至到实际的恐怖主义。不仅仅是市场驱使安全变得更重要。近年来操作电力系统的复杂性在不断加大，更可能发生机械故障和操作失误，在规模和成本上有更大影响。此外，比较旧的、模糊不清的通信协议被标准化且证据充分对黑客和工业间谍敏感的协议所代替。随着电力工业越来越依靠信息运转电力系统，现在必须要管理两大基础设施：不仅是电力系统基础设施，还有信息基础设施。电力系统基础设施的管理已经依赖于信息基础设施，因为自动化不断取代人工操作，市场需要更加精确、及时的信息，以及电力系统设备年限。因此，电力系统的可靠性逐渐受到信息基础设施可能会面临任何问题的影响。Figure2:TwoInfrastructuresMustBeManaged,NotJustOneII.SCADA协议国际化标准的开发者IECTC57IEC和TC委员会正在负责开发电力系统数据通信协议国际化的标准。以下为其适用范围：“ToprepareinternationalstandardsforpowersystemscontrolequipmentandsystemsincludingEMS(EnergyManagementSystems),SCADA(SupervisoryControlAndDataAcquisition),distributionautomation,teleprotection,andassociatedinformationexchangeforreal-timeandnon-real-timeinformation,usedintheplanning,operationandmaintenanceofpowersystems.Powersystemsmanagementcomprisescontrolwithincontrolcentres,substations,andindividualpiecesofprimaryequipmentincludingtelecontrolandinterfacestoequipment,systems,anddatabases,whichmaybeoutsidethescopeofTC57.Thespecialconditionsinahighvoltageenvironmenthavetobetakenintoconsideration.”IECTC57已经开发了三条广为人们所接受的协议，且成为了第四条协议的依据。这些协议如下：(1)IEC60870-5在欧洲和美国以外的国家中广泛使用，从SCADA系统到RTU数据通讯。它也使用在串行链路(101部分)和网络上(104部分)。DNP3.0由IEC60870-5导出，并在美国使用，而且现在也在其他国家广泛使用，主要是SCADA系统到RTU数据通讯。(3)IEC60870-6(又称为TASE.2或ICCP)主要是国际上使用于控制中心和SCADA系统（或其他工程系统）之间范围内的交流。IEC61850是用来保护继电器、变电站自动化、配电自动化、电力质量、分散式发电、变电站控制中心和其他电力工业操作功能。它带有的配置文件要对应保护继电器的超快速回应(5)IEC61334(DLMS)总之，这些国际化标准解释了接近百分之九十的数据通信协议在最近的执行和升级电力行业ACADA系统和变电站自动化（网络通信协议，现场总线和其他私有协议仍使用于旧版系统和其他工业中）。III.安全运用电力系统操作A.了解安全需要和保障措施对电力系统操作的影响电力系统操作造成的许多安全挑战是不同于其他工业的。例如，大部分的安全措施是在网络上反击黑客。网络环境与电力系统操作环境大不相同。因此，在安防行业典型的缺乏安全需要和在电力系统操作上通信需求的安全措施所带来潜在影响的认识。尤其，安全服务和科技主要为工业而开发。这些工业没有较多电力系统操作需要的严格执行和可靠性需求。例如：(1)阻止一个经授权的调度员进入电力系统变电站控制可能会造成比阻止一个经认可的客户进入他的银行账户更严重的结果。因此，拒绝服务远比许多典型的网络交易更重要。使用于电力工业的许多沟通渠道狭窄，因此不允许如加密和密码交换的特定安全措施的部分开销。(2)大部分系统和设备被定位为广泛传播、无人操作、和不能连网的远程站点。这使得密匙管理和其他安全措施很难实施生效。(3)许多系统连接于多分支结构的沟通渠道，所以正常网络安全办法很难实施。(4)尽管无线通信越来越被广泛使用于许多设备中，公共事业将需要小心他们使用这些无线通讯技术的地方，主要因为变电站吵杂的电环境，以及一些应用程序需要的值得信赖和快速反应。B.电力系统操作的安全保障办法因为种类繁多的通讯方式和运行特性，还有没有单一的安全办法可以应对所有类型的威胁，人们预期安全措施的多层网将被实施。例如，VPNs只保护传输层协议，不保护应用层协议，这样就是为了额外的安全措施如IEC62351-4可能通过VPNs提供应用层协议。此外，身份访问密码，入侵检测技术，访问控制列表，上锁功能和其他安全措施有必要提供额外的多重安全等级。从图5-9很明显，身份验证在许多安全办法中起很大作用。事实上，对于大部分电力系统操作，通过加密隐藏数据控制动作的身份验证更为重要。因为连接到网络（不应）是一个因素，电力系统操作通过绝缘和/或防火墙应得到很好的保护，一些普遍的威胁有所减弱，然后其他威胁变得更棘手。尽管特定的威胁可以变化很大，依赖于被保护的资产，一些更为严峻的挑战是：(1)人为的轻率之举-员工粘贴他们的密码在他们的电脑屏幕上或是让没有给通道设置上锁。(2)旁路控制-员工关掉安全措施，没有改掉默认密码，或是每个人都使用同一个密码进入所有变电站设备。或是一个软件应用被假定为处于一个保护的环境中，因而没有验证这些操作。(3)违反授权-有人采取行动因为他们没被授权，有时因为粗心没有执行授权规则，或是因为伪装、盗窃及其他非常手段。(4)中间人-一个大门，数据服务器，通讯渠道，或是其他不得签转设备被盗用，因此数据有可能通过这个中间设备发送出去之前被读取或修改。(5)资源耗尽-无意间（或故意地）设备超负荷因此不能执行它的功能。或是一个设备证书到期因此登录失败。这个服务器的拒绝会对试着控制电力系的操作者产生较大影响。IV.IECTC57对安全需要的回应到1997年，IECTC57意识到安全多这些协议的必要性。因此第一次成立临时小组研究安全议题。这个小组发表了一份关于安全需要的技术性报道。这份报道中的一个建议是成立一个制定IECTC57协议和衍生产品安全标准的工作小组。因此，IECTC57WG15成立于1999，主要从事这项工作。这个WG15的标题是“电力系统控制和相关通信-数据和通信安全”。它的范围和目的是致力于IECTC57，特别是IEC60870-5系列,theIEC60870-6系列,theIEC61850系列,theIEC61970系列,andtheIEC61968系列制定的通信协议的安全标准发展。着手完善标准和/或完成点对点安全问题技术报告。WG15的工作范围是制定标准，以此提高TC57协议的各方面信息安全保障。这工作的一部分是将标准完善化、具体化、提高操作性。这些标准要详细化，正如现实所需，通过实用程序和响应供应商的实施。WG15致力于完善相关标准，以此全面提高公共事业基础设施信息安全保障的各方面。这项工作的正当理由是安全，保障和可靠性成为电力行业的设计和操作系统商的重要议题。而且网络安全在这个行业日益重要，因为它越来越依赖信息基础设施。开放市场产生了新的威胁，因为竞争对手的资产意识和他的系统操作性可以是有利的条件，获取这样的信息是可以实现的。自从911事件之后，新增加的恐怖主义威胁更是变得明显看得见的。适用范围/目的声明的最后一句话是非常重要：人们认识到增加协议简单加密，如添加电缆中的块加密盒子或是虚拟专用网技术，可能对许多情况不合适。安全真的是点对点的必须条件，这样才能确保已经验证后方可进入敏感电力系统装备，保证设备运转和故障的可靠及时信息，关键系统的备份，重要项目可重组的审计能力。该作品由IEC刊发，1-7部分的标题如下：(1)IEC62351-1:DataandCommunicationSecurityIntroduction(2)IEC62351-2:DataandCommunicationSecurityGlossaryofTerms(3)IEC62351-3:DataandCommunicationSecurityProfilesIncludingTCP/IP(4)IEC62351-4:DataandCommunicationSecurityProfilesIncludingMMS(5)IEC62351-5:DataandCommunicationSecuritySecurityforIEC60870-5andDerivatives(i.e.DNP3.0)(6)IEC62351-6:DataandCommunicationSecuritySecurityforIEC61850Profiles(7)IEC62351-7:DataandCommunicationSecuritySecurityThroughNetworkandSystemManagementV.IEC62351-1:简介这份标准的第一部分包括电力系统操作安全的背景，IEC62351系列安全标准的介绍。VI.IEC62351-2:术语表该部分包括术语定义和IEC62351准则里缩写词语的解释。这些解释尽可能基于现有安全和通信行业标准定义。文中提到的安全术语是广泛在电力系统行业及其他产业使用。VII.IECTC57协议安全标准的IEC623513-6部分A.综述自从WG15成立以来，它就承担着完善以下四大通讯协议的安全标准：IEC60870-5,及其派生DNP,IEC60870-6(ICCP)和IEC61850。这些安全标准必须满足不同协议的不同安全目标。而这些不同的协议主要取决于它们是如何使用。一些安全标准可以交叉使用于一些协议，但其他的是针对特定情况而定的。这些不同的安全目标包括通过数字签名的实体认证，以此确保授权访问，预防窃听、回放与欺骗，和一定程度的入侵检测。对一些配置文件来说这些目标是很重要的；但对其他某个现场设备的计算机约束条件是可行的，还有介质速度约束，继电保护快速回应的要求，以及允许安全装置和非安全装置在同一个网络的需要。这篇文章将由IEC命名为IEC62351刊发，第3-6部分命名如下：IEC62351-3:DataandCommunicationSecurityProfilesIncludingTCP/IP(这些安全标准包括用在ICCP,IEC60870-5104,DNP3.0TCP/IP,和IEC61850TCP/IP的文件)IEC62351-4:DataandCommunicationSecurityProfilesIncludingMMS(这些安全标准包括用在ICCP和IEC61850的文件)IEC62351-5:DataandCommunicationSecuritySecurityforIEC60870-5andDerivatives(i.e.DNP3.0)(这些安全标准包括用在IEC60870-5andDNP系列的网络配置文件)IEC62351-6:DataandCommunicationSecuritySecurityforIEC61850Peer-to-PeerProfiles(这些安全标准包括IEC61850中不是基于TCP/IPGOOSE,GSSE,andSMV的配置文件)这些安全标准和协议的相互关系如图3所示Figure3:InterrelationshipofIEC62351SecurityStandardsandtheTC57ProtocolsBIEC62351-3:包含传输控制/网络通讯协定配置文件的安全IEC62351-3结合包含传输控制/网络通讯协定的任何文件安全，包括IEC60870-6TASE.2,IEC61850ACSI，IEC60870-5-104。它详细说明了TLS的使用，即普遍使用于因特网的安全交互，覆盖认证，机密性和完整性，而不是重复前人工作。该部分描述了TLS的参数和设置应使用于公共设施操作。特别是，IEC62351-3通过TLS加密防窃听，通过消息认证的中间人安全风险，避免通过安全证书（网络节点认证）的欺骗，以及再次通过TLS加密。但是TLS并不能防范拒绝服务。这种安全攻击应该戒备起来以防特定实现手段。CIEC62351-4:包括MMS配置安全IEC62351-4提供包括制造电文规范(ISO9506)、TASE.2(ICCP)和IEC61850的安全配置文件。主要是用TLS安装和利用它的安全措施。尤其是，认证：两大实体彼此之间看得到的互动。它需要在ACSE的额外安全措施。它也允许安全配置和非安全配置文件同时使用，这样并不是所有的系统都需要同时安全升级。D.IEC62351-5:IEC60870-5的安全和衍生产品IEC62351-5提供不同系列版本（主要是IEC60870-5-101，还有102和103部分）和网络版本（IEC60870-5-104和DNP3）的解决方案。尤其是，跳页TCP/IP的网络版本能利用IEC62351-3中写到的安全办法，这就包括加密的机密性和完整性。因此，唯一一个额外的要求是认证。这个系列版本通常使用于只能支持低比特率的通信传媒，或用在受电脑约束的现场设备。因此，TLS将带有浓重的电脑色彩或/和通信，并将使用在这些环境中。因此，唯一的安全办法提供的系列版本包括一些身份鉴别机制，这是地址欺骗、重演、修正、一些拒绝服务器攻击，但不是企图地址窃取、流量分析、否认需要加密。这些基于加密的安全办法由替代方案准备，如VPNs或线缆片段技术，这取决于其中的通信和装备的性能。关键管理议题需要在第五部分着重强调。基本关注部分如下：是否应该有一个公共密匙键任选？在第五部分有两层的密匙：会话密匙，它经常改变是为了防御攻击；更新密匙，主要是用来初始化和改变对话密匙。这两种都是对称密匙，意思是它们在终端是一样的。更新密匙是预先共享，就是它在通信开始之前必须通过一些协议之外的办法配置。另一个办法是会话密匙和更新密匙仍是对称，但更新密匙能随意的使用一个第三层密匙，即一个不对称的公共/私有密匙对。更新密匙不会频繁改变，可能不是按月或年计，也许仅当人员改变而改变。我们是否应该允许多个用户/更新密匙？使用第三层密匙的争议之一是它允许IEC60870-5链接的用户认证，不仅仅是设备。如果允许多个更新密匙，他们可能会与分配给个体的证书联系起来。这将允许个体的行为在一个自动化系统内从端到端被追踪。我们是否应该允许多个同时存在用户？一个更为复杂的问题是是否允许同时使用通信连结。第五部分2CD评论中提出的原理，每一条安全信息都附加额外的八位字节以此来辨别正在使用通讯的用户。人们普遍认为这些密匙管理议题中的三个是可行的。但是，密匙管理的精确原理仍旧在讨论中。因为没有一个简单答案，且在分布广泛、低宽带配置的条件下也没有标准（例如从NIST或ISO/IEC），使用各种办法去处理密匙更新不是一个经济的选择。E.IEC62351-6：IEC61850点对点配置文件的安全（如GOOSE）IEC61850配置文件包括运行TCP/IP的MMS协议使用IEC62351-3和IEC62351-4。运行TCP/IP（网络服务或其他未来的配置文件）的额外IEC61850配置文件将使用IEC62351-3加上可能的附加安全措施，这措施由通信行业为了应用层（范围外的一套标准）研发的。IEC61850包含三个协议，即在一个变电站局域网点对点多路传送数据包且不可路由。主要的协议，GOOSE，被设计来保护继电，信息需要在4毫秒在只能控制器之间点对点传输。已经给出的这些严格执行要求，加密术或其他安全措施可能会严重影响传输速率，这是不能接受的。因此，认证是唯一的安全办法，且作为一个必要条件包括其中，因此IEC62351-6提供一个原理，其中包含这些配置文件数字化消息签名的最小的计算机要求。.IEC62351第七部分：网络安全和系统管理A.端对端安全要求WG15除了SCADA协议安全标准，还承担着第五任务，同时它被TC57催着致力于端对端安全，这承担着比保护通信协议还要大的范围。端对端的安全包括安全政策，访问控制机制，密匙管理，审计日志，和其他关键基础设施保护议题。在这个扩展范围的第一步是完善网络和系统管理数据对象，以此帮助管理信息基础设施。B.IEC62351-7的范围和目标IEC62351-7的范围主要集中在信息基础设施的网络和系统管理。电力系统操作逐渐依赖于信息基础设施，包括通信网，智能电子装置，自定义通信协议。因此，信息基础设施的管理对电力系统操作提供必要高阶安全性和可靠性来说很关键。WG15为电力系统操作环境开发MSN数据对象的摘要（近期一个工作小组起草的）。这些NSM数据对象反映了什么样的信息需要像管理电力系统基础设施一样可靠的管理信息基础设施（如图4）。网络管理的ISOCMIP和IETFSNMP标准可以为管理提供一些办法。在SNMP，管理信息库数据用来监控网络和系统的安全，但每个供应商必须完善他们自己的设备的一套管理信息数据库。对电力系统操作，SNMPMIBs是唯一的对普通网络设备可行的办法，例如路由器。没有为IEDs研发的标准MIBs，所以供应商用“adhoc”或监控一些类型设备运行状态的专用办法。因此，这个标准也提供了类似MIB数据对象（又称NSM数据对象）给电力工业。抽象SNMP客户端代理商模型被认为是在标准范围之内，但是SNMP并不被看成是协议选择。反而是在文件中定义的NSM数据对象代表一组信息，即被认为是强制型，推荐，或为了支持网络、系统管理和安全问题侦测选项。这些抽象NSM数据对象当前以表格呈现，但是希望在UML类别中表述。NSM数据对象可以映射任何一个适当的协议，包括IEC61850，IEC60870-5，IEC60870-6，SNMP,网络服务器，或其他适当的协议。一个最初映射SNMP的文件在它被提交到IEC之前将得到完善。这个文件的普遍理念是记录需要在TC57环境里执行端对端安全侦测的信息类型和信息定义。在TC57环境之外推荐的MIBs使用或不使用超出了文件的范围。Figure4:NSMobjectmodelsaretheInformationInfrastructureequivalenttotheCIMandIEC61850objectmodelsofthePowerSystemInfrastructur