智能化变电站的信息安全防护

2012-12-19内蒙古电力公司乌海电业局余春收

河南科技 2012年23期

内蒙古电力公司乌海电业局余春收余洋

随着通信网络技术的发展，基于IEC61850的智能化变电站的应用也越来越广泛。智能化变电站依靠其庞大的通信网络体系，不仅提升了站内设备间的互换性和互操作性，也大大提高了信息系统的可靠性。但智能化变电站信息系统良好的开放性和统一报文也对信息的安全性提出了新的挑战，一旦通信系统的某个点出现了漏洞，整个系统都会存在被破坏的危险。因此，保障电力信息系统的网络安全非常重要。本文，笔者根据IEC6185的智能设备的特点，提出适用于智能化变电站的信息安全防护措施，期望为智能化变电站的运行提供可靠的信息安全保障。

一、智能化变电站的信息安全影响因素

网络信息的交互一般分为产生、传输、使用、存储这4 个过程。信息安全的根本目的就是保证信息在这4个过程中不被泄露或破坏。传统安全理念认为，信息安全防护是个静态行为。而实际上信息系统安全防护包括了进行安全评估、安全策略、实施安全措施、进行安全监视等过程，是一个闭环过程。

智能化变电站通讯环境比较复杂，需要考虑的安全环境因素繁多，智能化变电站信息流主要涉及一体化调控中心和智能化变电站，智能化变电站信息后台到各个智能设备等环境。但是智能化变电站本身所采用IEC61850具有良好的开放性，使得其信息系统存在诸多隐患，如密码的定义级别低或者没有采取认证，人员的疏忽造成密码泄露，网关服务器频繁的访问被窃取或修改等。因此，需要针对智能化变电站的运行特征和IEC61850 的技术特点，从系统的物理安全和软件安全两个方面制定信息的安全防护措施。

二、物理安全技术

虚拟网（VLAN）技术是常用的一种物理安全技术。它通过将物理的一个逻辑地址划分成不同的广播域（即VLAN），使同类设备都拥有独自的VLAN，从而将智能化变电站的各类运行数据以及各种调度信息存储于不同的节点，如将继电保护跳闸命令设置为VLAN1，将SCADA系统信息功能设置为VLAN2等，以此类推，就实现了不同信息的安全隔离，从而降低了人为破坏或者自然灾害的风险。

三、软件安全技术

软件安全方面技术种类比较多，技术的更新换代速度也比较快。目前电力系统内常用的有数字签名技术和防火墙技术两种。

1.数字签名技术。数字签名本身是个加密和解密的过程，它类似写在纸上的普通的物理签名，但是使用了数字信息的算法，通过公钥加密领域的技术实现。在智能化变电站信息系统中，使用数字签名的信息流主要考虑对变电站的各类运行信息，如四遥信息（遥信、遥测、遥控、遥调）、自动装置的整定信息等的保护，这些信息一旦泄露或被篡改，就会导致电力设备的误操作，引发电力系统事故，因此要应用数字签名进行加密发送。

2.防火墙技术。任何严密的算法也可能被破解，如果能拒敌于城墙之外，不给其进入系统获取数据，系统安全性便可大幅度提升。基于此想法，信息安全人员发明了防火墙技术。顾名思义，防火墙就是一面位于有数据沟通的终端之间的“墙”，通过TCP/IP 协议，对各种进入信息系统的数据进行甄别，合法的放行，非法的便拒之门外，从而完成对智能化变电站信息流的安全防护。一个防火墙无论实现过程多么复杂，归根结底都是基于以下这3 种技术：包过滤技术、应用代理技术和状态监视技术。包过滤技术是一种早期的防火墙技术，由于目前漏洞较多，容易被破解，电力系统很少使用。目前电力系统经常使用的是后两种技术。

（1）应用代理技术。应用代理技术作为比包过滤技术更完善的防火墙技术，其代理原理是：外部网络向内部网络传递的信息需要先经过代理服务器审核，审核通过的话，再由代理服务器连接，不给内外两边网络直接会话的机会，以此来避免入侵者使用数据驱动攻击方式。但代理型防火墙最大的弊端是容易发生数据传输迟滞现象。这是由于代理型防火墙的所有数据连接都必须建立在为之创建的代理程序进程上，而代理进程自身是要消耗一定时间的，所以数据不能及时发送。这种延迟对于电力系统来说有时是致命的，因此此种防火墙不适宜在智能化变电站中使用。

（2）状态监视技术。基于状态监视技术的防火墙实际上是结合了包过滤技术和应用代理技术，它在不影响网络正常工作的前提下，通过状态监视模块，根据各种过滤规则，抽取网络信息的不同数据层进行监测，做出相应的安全决策。这种防火墙没有使用代理进程，因此不会发生信息传输延误，同时防护等级比较高，可自行制定过滤规则，漏洞少，防护机制灵活多变，因此是最先进的。但是由于实现技术复杂，一般的计算机硬件系统上实现此技术的完善防御功能，硬件要求较高。

防火墙的防护功能虽然很明显，但是它没有查杀病毒的功能，对与U 盘、移动硬盘等传输介质传播过来的病毒束手无策。所以防火墙必须配合杀毒软件使用，才能确保信息系统的安全。