骆华志，钟振坤，罗汉青

（广东珠海金湾发电有限公司，广东 珠海 519050）

0 引 言

目前，国内外的电力系统网络安全形势日益严峻。2011年，某国曾利用“震网”病毒攻击了伊朗的铀浓缩设备，造成其核电站1/5的离心机报废。2015年12月2日，乌克兰的三座变电站数据采集与监控系统SCADA受到了黑客的网络攻击，导致伊万诺—弗兰科夫斯克地区发生了持续6小时的大面积停电事件，140万人受到影响，是世界上第一起因为黑客攻击造成电网大规模停电的事故。国内，类似事件在近期也发生了多起。2018年3月23日，某电厂的行波测距装置对省中调主站网段进行了高危端口的扫描，被中调纵向加密装置成功拦截，否则将严重影响电力监控系统。面对日益严重的网络安全威胁，国家能源局及时下达相关通知，要求各单位加强电力监控系统的主机系统安全和防护能力，认真排查安全隐患，提高涉网设备的网络安全可靠性[1]。

1 机组概况

广东珠海金湾发电有限公司是一家成立于2005年9月的中港合资企业，公司拥有2台600 MW的国产超临界机组。发电机是由上海汽轮发电机有限公司生产的QFSN-600-2自并励静止励磁系统，主变压器是由常州东芝变压器有限公司生产的强迫油风冷三相一体式SFP-720000/500变压器，500 kV升压站采用两串3/2开关接线的双母线运行方式。

2 常见的黑客攻击方式

随着通信技术的飞速发展，电力系统已经发展成为由物理电力系统与信息通信系统结合而成的复杂耦合网络系统。综合近年来电力系统受到的病毒木马攻击事件，发现最常受攻击的是电力观测系统。该系统包括数据采集与监控系统、SCADA系统、相量的测量单元（PMU）、继电保护装置信息在内的测量系统和包括状态估计在内的电力网络状态评估系统。电力观测系统是电力系统的眼睛，为整个系统的决策支持提供最基本的服务信息。因此，一旦病毒木马成功攻击电力观测系统，将会对整个电力系统造成巨大危险[2]。例如，病毒木马将测量设备的远程控制终端密码系统进行破解后可以修改数据，而利用光纤窃听技术可截获和修改SCADA系统传送到控制中心的各类数据等，这种攻击方式称为坏数据注入攻击。通过精心设计，被修改的测量值基本不会被传统状态估计的坏数据辨识系统检测出来。这类坏数据注入攻击通过控制电力观测系统中的若干个测量设备的数值，达到干扰破坏电力系统状态估计的结果，从而影响电力系统的决策系统，改变对电力系统物理状态的估计和运行调度的决策。这种攻击方式甚至能够进一步影响近年来国内迅猛发展的电力市场业务，造成巨大的经济损失。总得来说，无论黑客采用怎样的攻击方法，它的入侵流程基本保持不变。图1是黑客利用Windows系统入侵工业控制系统的基本流程。

3 防黑客攻击研究与实践

3.1 相关的技术研究

3.1.1 系统的运行现状

当今的网络攻击能够瞬间到达纵深目标，并随着攻击隐蔽性的不断增强和监测可感知性的逐渐下降，可用强大的攻击能力完成对电力系统设备的精准打击，破坏电网的稳定性。因此，为了确保广东珠海金湾发电有限公司继电保护相关电力监控系统的网络安全，切实提高电力监控系统的主机系统安全和主机防护能力，对涉网设备进行了详细自查。结果发现，4号机故障录波分析装置采用的是Windows 98操作系统，开放了易受网络攻击的高危端口，且无法进行关闭，还不能安装MS17-010等高危漏洞的补丁。该装置通过保信子站接入到南方电网调度端主站，一旦被黑客或病毒木马入侵，将造成整个电网的瘫痪，严重威胁着电力监控系统的网络安全。调研发现，南方电网已经出现多起由于故障录波分析装置引发的网络安全事件。由于广东珠海金湾发电有限公司的4号机故障录波分析装置是在2007年投入使用的，已经较频繁的出现故障，特别是存在采样数据不准的缺陷，严重影响了对发电机组故障数据分析的及时性和准确性。因此，对存在严重安全漏洞的4号机故障录波分析装置需进行升级改造。

3.1.2 优化改造的原理

经过认真对比、讨论、评价打分和商榷，最终确定对4号机故障录波分析装置进行部分升级优化改造。具体地，将ZH-2升级为嵌入式的ZH-5故障录波分析装置管理机。该装置应用高可靠性的实时操作系统VxWorks，并结合DSP构成纯嵌入式的故障录波和分析装置。基本结构如图2所示。

升级后的嵌入式图形系统拥有完整的波形查看、分析等全部的录波器功能。由于采用的是类似Windows风格的操作界面，人、机交流更加方便，简洁易上手。

3.1.3 系统的抗病毒原理

黑客入侵工控系统的众多事件研究表明，涉网设备会被病毒或恶意软件入侵，最重要的原因是设备多使用Windows操作系统。由于ZH-5录波装置所有的功能都不需使用Windows软件，采用的是高可靠性的VxWorks实时嵌入式操作系统，并有针对性地裁减VxWorks组件，因此能够最大程度地避免被攻击，极大地增强了其他联网设备与整个网络的稳定性[3]。

3.1.4 两种录波方式的特点

该系统有两种不一样的录波方式，分别是暂态录波和稳态连续记录。其中，暂态录波是通过FPGA装置对采集的每一帧数据进行绝对时间的标定后将其送到DSP装置。DSP会启动判据立即实施计算，如果判据满足要求，立刻进入录波状态，将启动时刻前、后的部分数据以高采样率的方式进行保存，并传输到嵌入式CPU将数据保存为文件。同时，嵌入式CPU会自动对数据进行故障分析与测距，并总结初步的分析报告。稳态连续记录是指录波装置在启动后，以1 000 Hz频率的高采样率不停向暂态录波插件发送实时采样数据，从而生成实时监测的数据与画面。由于能够查看到波形的具体相位信息，因此比暂态录波的有效值记录形式更有分析价值，但是数据容量相对较大。

3.2 技术优化实践过程

3.2.1 有关逻辑建模

首先依据IEC 61850规范对装置管理机进行逻辑设备建模。由于录波在物理功能上分为暂态录波和稳态连续记录两种。每一个物理设备建模均是一个server，并用多个逻辑设备的LD对应这个设备上不相同的物理功能模块。因此，将同一个录波装置上的暂态录波与稳态连续记录功能的对象分别建立成两个不同的逻辑设备。

其次，进行录波分析装置管理机的逻辑节点建模。一般的逻辑设备至少要包含LPHD、LLN0和RDRE三个逻辑节点。要注意的是，录波装置中全部的系统功能扩展都放在RDRE中。在这三个逻辑节点中，除了标准中规定的强制数据对象外，还规定了部分强制数据对象，如表1所示。

表1 逻辑节点的强制数据对象

3.2.2 配置接入信号

要使录波装置能够正常工作，必须将各接入信号的名称、参数及其与一次设备之间的关系准确接入专门的配置软件。这里采用的配置原则是“先配一次设备、后配通道”。在配置线路时要注意，广东珠海金湾发电有限公司采用的是3/2接线方式线路，接入的是开关电流。因此，方式要选中“3/2接线且接入开关电流”，这样该线路就可以关联到2组的TA（通常是断路器电流），还可以进行TA极性的配置。由于线路电流是两组TA的矢量和，这样该线路就同普通线路一样可以进行故障测距。

在配置一次设备的关联通道时，对于变压器，要将所有分支的TA极性都配置准确，差流定值才能准确动作。如果TA极性设置不对，可能造成暂态录波不能及时启动，或者选线错误及测距不准。对于一次设备的TA极性，需全部按照“流入一次设备的内部为正向”原则来设置。主要原则有：（1）线路设置时，如果是流向线路方向即流出升压站的，则极性端在母线侧设为正方向，否则设为反方向；（2）对于变压器，流入变压器则极性端在母线侧设为正方向，否则设为反方向；（3）变压器的中性点电流同样也是以流入为正。

3.2.3 相关参数的设置

首先要设置各运行参数，如一般的参数、通信设置、GPS对时设置、静态路由设置和修改时间装置等。设置好参数后，进入实时波形监视页面，全面监视接入的所有模拟量信号，查看、比对各通道的测量值。波形要和实际信号一致，如图3所示。最后，按定值整定范围和整定原则进行相关模拟量定值、频率定值、变压器定值、序量定值和开关量定值的整定核对。

图3 3/2接线的相量监视波形图

3.2.4 采样装置DSP采样数据不准的通道改接

4号机A厂高变低压侧B分支40BBB01电流Ia、Ib、Ic、In的DSP接触不良，会导致采样数据出现缺陷。针对这种情况，改接录波装置外通道。将4号机A厂高变低压侧B分支40BBB01电流Ia、Ib、Ic、In的录波通道由29、30、31、32改至备用通道37、38、39、40，并将其 CT回路 A4451、B4451、C4451、N4451由 2D：81、2D：82、2D：83、2D：84改 接 至 2D：89、2D：90、2D：91、2D：92，如图4、图5所示。通道改接后，通过备用DSP插件的端口连接故障录波管理机多次测试，证明采样数据准确无误。因此，无需更换整套录波采样装置，为公司节省了大量的设备采购经费。

图4 改接前40BBB01的电流CT回路外接线

3.2.5 装置调试采样及整定值校验

首先进行整定值的校验调试，确保发电机机端电压、机端电流、中性点电流、中性点零序电流与主变、厂高变、励磁变电流的整定值校验调试正常。其次，对500 kV线路各相电压、发电机机端三相电流等交流回路的采样值进行检验，确认正常。最后，进行输入接点（模拟保护动作）调试传动试验，对发电机差动、非电量关闭主汽门等相关的所有保护进行逐一试验。结果显示全部准确，满足了南方电网的要求，且整体运行情况很好，投运至今未出现异常现象，杜绝了病毒感染，确保了机组和整个电网的安全稳定运行。

3.3 优化实践的经验

通过本次对发电机组涉网设备防黑客攻击的改造升级优化，对相关网络安全防护有了更深认识，在运维过程中要特别注意以下事项：（1）涉网设备要尽量运用国产自主研发的工控安全设备如嵌入式操作系统等，确保控制网络和信息网络间的通信联系与访问记录受到严格监管；（2）对设备厂家提供给的任何管理员级别账户的操作，要使用专门的监测工具进行监测；（3）定期对涉网设备进行软硬件升级与防御性能的测试。

4 结 论

针对目前电力系统涉网设备严峻的形势，广东珠海金湾发电有限公司对存在严重安全隐患的4号机故障录波分析装置进行了优化升级改造，使用嵌入式图形操作系统、最新的DSP技术和大规模的FPGA技术，使其运行、配置和维护不再需要Windows系统，能够完全抵抗病毒和恶意软件的攻击，大大提高了涉网装置的网络安全性与稳定性，对其他厂家类似的设备有着较大的借鉴意义。