栗会峰刘 哲李宣义李均强杜晓东孟 杰栗维勋袁 龙

(1.国网河北省电力有限公司电力科学研究院,河北 石家庄 050021;2.国网河北省电力有限公司,河北 石家庄 050021)

高速铁路一般采用电力作为机车动力来源,具有速度快、牵引功率大、行车密度高等特点[1-2]。高速铁路牵引变电站实现铁路供电系统与电力系统的连接和电压变换,是高速列车的主要动力来源,其稳定连续的服役状态是高速铁路安全、可靠、经济运行的关键保障。电力监控系统被称作是变电站的神经中枢和控制中枢。近年来,国内外已发生多起通过网络攻击而导致电力系统故障甚至瘫痪的事件,变电站网络安全面临巨大威胁[3-4]。作为封闭的工业控制系统,铁路牵引变电站对供电高可靠性、稳定性的要求也限制了监控系统安全防护技术的应用,存在巨大的安全隐患。铁路牵引变电站一旦遭受网络攻击,导致电力供应被切断,铁路交通运输将无法正常运行,从而给国家经济发展和人民生活带来巨大影响,严重情况甚至造成安全事故。

1 安全防护现状

近年来,随着高速铁路的快速发展,铁路牵引变电站数量迅速增加。截至2018年底,全国铁路牵引变电站数量已经超过1 300座,主要分布在华中、华北、西北地区,约为全国铁路牵引变电站总数量的70%。高速铁路牵引变电站的电压等级涵盖35～500 k V 各个电压等级,并形成了以110 k V、220 k V 电压等级为骨干的铁路供电网。

1.1 监控系统构成

高速铁路牵引变电站主要完成将高电压转换为27.5 k V/55 k V 的变压任务,同时完成高速铁路上下行馈线供电任务。

监控系统一般采用计算机、通信、控制、继电保护等技术,通过数字采集和网络通信的方式,实现对主要电气设备的保护、控制、计量、监测等功能。牵引变电站监控系统一般采用分层分布式结构,由站控层、通信层、间隔层组成[5]。其中,站控层设备根据工程需求进行配置,主要为运行值班人员提供变电站监视、控制和管理功能,包括后台监控计算机、五防系统、时钟同步装置等;通信层实现站内网络和外部网络的互连互通,实现站内所有保护、测控及其他智能装置的通信信息管理功能,主要包括远动通信单元、维管通信单元、通用通信单元;间隔层主要完成变压器、馈线等现场高压设备的保护、测量、监视、控制和通信功能,以及实现重合闸、故障测距、故障录波等功能。包括保护装置、测控装置、安全自动装置、故障录波装置、电能量采集装置、规约转换等系统。站内监控系统构成如图1所示。

图1 铁路牵引变电站监控系统构成

1.2 通信连接

按照《铁路电力牵引供电设计规范》等相关规定要求,铁路牵引变电站一般与铁路供电调度系统和当地电力调度系统存在通信连接[6]。

铁路牵引变电站与铁路供电调度系统的数据通信通常采用铁路专用通信网。按照调度关系,铁路供电调度系统可以划分为:铁路总公司供电调度系统、铁路局供电调度系统、铁路供电段调度系统[7]。铁路牵引变电站通过铁路专用通信网将远动信息传送至铁路总公司和上级铁路局。铁路总公司对全国范围内所有牵引变电站的运行状态进行监视,并协调指挥下辖各铁路局供电调度作业。铁路局实现对管辖范围内各牵引变电站的远程监视、测量、控制管理。铁路局在下辖各铁路供电段调控中心建立监视工作站,负责对牵引变电站运行状态进行监视,如图2所示。

图2 铁路牵引变电站与供电调度系统通信连接方式

铁路牵引变电站与当地电力调度系统之间一般为单向通信,铁路牵引变电站按照当地电力调度机构要求上送遥测、遥信信号,电力调度机构一般不向铁路牵引变电站下发遥控指令。其通信方式通常采用3种方式进行数据通信(见图2):通过电力调度数据网,站内通信管理机利用交换机、路由器接入调度数据网;通过电力专线,由通信管理机采用串口方式接入PCM 系统,转化为光纤信号后传输至调度主站;通过无线网络,经安全接入区接入电力调度系统。

牵引变电站采用无线网络连接至电力调度系统的无线通信网关机,并经反向隔离装置后接入调度主站。在实际应用中,调度数据网为主要通信方式,无线连接方式目前尚处于规划阶段,实际应用较少。

2 存在的问题

铁路供电调度机构在电力生产过程中,往往重视电力生产安全,对网络安全的重要性缺乏必要认识,导致牵引变电站监控系统网络安全防护缺乏统一的技术和管理要求。同时,铁路牵引变电站运行维护人员的网络安全技术力量薄弱,导致网络安全要求未落实或落实不到位,实际运行中铁路牵引变电站存在较多网络安全问题。

2.1 监听与篡改报文风险

铁路牵引变电站生产控制大区与铁路供电调度系统之间纵向连接的边界处未部署必要的加密、认证、访问控制(防火墙)等防护措施。铁路牵引变电站生产控制大区与电力调控机构调度数据网连接的纵向边界处,存在纵向加密认证装置缺失、装置异常、安全策略未配置等问题。

铁路牵引变电站与上级铁路供电调度系统和电力调度系统存在通信连接和数据交互,数据远距离传输过程为明文传输,存在被侦听、篡改等安全风险,黑客通过监听并篡改控制报文,实现对铁路牵引变电站一次设备遥控权限的获取,进而影响铁路列车正常运行。

2.2 缺乏监视预警功能

网络攻击一般具有隐蔽性强、潜伏期长,难以追踪等特点,铁路牵引变电站监控系统缺乏对网络异常行为、异常流量的集中监视和分析,无法及时发现潜在威胁和网络攻击,并及时产生告警。缺乏对监控主机操作系统、网络设备以及数据库的运行日志、操作行为进行监视,无法对违规操作、恶意攻击行为及时开展调查与溯源。

2.3 缺乏安全加固与权限控制

后台监控机等主机设备缺乏安全加固,未定期更新系统补丁,不常用的服务和高危端口未进行及时关闭,且操作系统存在中高危漏洞。牵引变电站网络设备、安防设备、主机设备未对账户口令实施限权管理,未对账户的操作权限进行分级控制,且存在弱口令、缺省账户、多余账户等情况。

2.4 感染病毒风险突出

对外来人员操作行为缺乏管控,系统升级维护过程中,移动计算机、USB移动存储介质随意插拔,未对USB移动存储及其他外来设备进行限制或审计。大部分牵引变电站未安装防恶意代码软件或采取相应安全措施,存在感染恶意代码或病毒而引起电力监控系统瘫痪的风险。

2.5 网络安全防范意识不足

铁路牵引变电站运维人员的网络安全技术能力不足,网络安全风险意识薄弱。牵引变电站监控系统在故障处理、程序升级等过程中,过度依赖设备厂商人员,可能存在通过设备厂商开展远程运维操作的风险,误将牵引变电站监控系统暴露在互联网上,使站内设备面临病毒感染、远程攻击的威胁。

3 网络安全防护策略

针对铁路牵引变电站存在的网络安全问题,结合电力监控系统网络安全防护要求[8],提出应建立完善边界防护与本体安全并重,静态管控与动态监控相结合的综合安全防护体系。通过部署安全防护设备强化边界访问控制,针对主机设备、网络设备、安全防护设备开展安全加固,规范安全配置要求,部署就地监视与告警功能,实现对变电站监控系统设备实时监视,及时发现网络告警与设备异常,防范外部网络攻击。

3.1 网络专用与安全加密

牵引变电站同时与铁路供电调度系统、当地电力调度系统存在通信连接,按照网络专用的原则,牵引变电站内应分别部署远动通信管理装置,分别向铁路部门和电力部门传输遥测、遥信数据,避免因共用远动通信管理装置,带来串网感染病毒、蠕虫攻击的风险。

在铁路牵引变电站与外部系统的纵向通信线路上增加加密、认证、访问控制等措施,防范因通信报文明文传输,被外部监听、篡改,越权获取牵引变电站一次设备控制权限的风险。与铁路供电调度系统的通信链路上可部署防火墙,并设置端口、IP地址的安全配置。通过调度数据网接入电力调度系统的,应部署电力专用纵向加密认证装置,对传输数据进行加密。

3.2 基于白名单的访问控制策略

白名单访问控制策略的主要思路是默认拒绝所有数据包通过,只有全部满足白名单中规则的数据包才可通过。白名单策略可以帮助抵御未经授权的非法访问,有效抵御ARP 欺骗、Ping of Death 攻击和SYN Flood 攻击等拒绝服务攻击。白名单策略在站控层网络通信中的典型应用为绑定设备的IP地址与Mac地址的映射关系,并设置源Mac地址、源IP地址、目的IP 地址、目的端口号作为白名单规则。只有满足上述所有条件的数据包才可通过过滤,并进行下一步操作。基于源MAC 地址、源IP 地址、目的IP 地址和目的端口号的白名单访问控制策略,能够有效抵御IP 欺骗攻击和基于IP 欺骗的拒绝服务攻击。

3.3 网络安全加固

安全加固是提高主机设备、网络设备、安全防护设备及业务系统安全性和抗攻击能力的重要技术手段。通过安全加固可以在网络层、主机层以及应用层等层面建立符合业务需求的安全防线。电力监控系统安全加固包括安全配置加固和安全漏洞修复。安全配置加固应遵循“最小化原则”,即开放最少的服务、设置最小的权限、增加更多的审计,主要内容包括设备管理、用户与口令管理、登陆管理、权限控制、安全策略、日志与审计。

安全漏洞加固一般通过使用专用工控系统漏洞扫描工具,对业务系统进行漏洞扫描,并对存在的中高危漏洞通过更新漏洞补丁、关闭相应端口等方式进行修复。

3.4 运行监视与告警

通过在铁路牵引变电站站控层部署网络安全事件监测与预警装置,将变电站内主机设备的操作系统安全事件、网络设备安全事件、安全防护设备安全事件纳入监视范围。安全事件至少包括设备运行状态信息、设备正常操作日志、违规告警事件三类。设备运行状态包括CPU 利用率、内存利用率、主机温度、在线时长等信息,并设置安全阈值,一旦设备运行状态超过安全阈值,发送安全告警,确保设备安全平稳运行。安全操作信息包括设备接入、用户登录、用户退出等事件信息,提供操作审计和事件调查。违规告警事件包括不符合安全策略的主机访问、禁用服务/端口开启、外网设备违规接入等信息,实现对违规操作的及时发现、及时处置。

4 结论

高速铁路是我国的重要交通运输工具,事关国计民生。以上围绕铁路牵引变电站监控系统网络安全开展分析研究。首先分析了铁路牵引变电站监控系统的基本构成,包括监控系统的内部组成和站外通信连接方式。其次,结合牵引变电站监控系统构成,详细分析了当前高速铁路牵引变电站普遍存在的网络安全问题,指出铁路牵引变电站监控系统网络安全防护水平薄弱。最后,针对存在的网络安全问题,提出建立完善综合安全防护体系,并围绕报文加密传输、系统加固、访问控制、实时监视等方面提出对应的安全防护策略,提升铁路牵引变电站安全防护水平与抵御外部网络攻击的能力。