国网河北省电力有限公司检修分公司 张 贤 张炜琦 宋博言

近年全球范围类的大规模、大面积停电屡见不鲜，而不少极具影响的停电事件是由于某些国家的电力系统受到网络攻击引起的。2015年12月23日乌克兰至少三个区域的电力系统遭到网络攻击造成大面积停电，电力中断3～6小时，约140万人受到影响；2018年6月网络黑客窃取了法国电力公司Ingerop逾65G文件，这些文件包括核电站计划和千余名工作人员的个人私密信息等内容；2019年3月7日至9日连续三天，委内瑞拉电力系统遭到网络攻击导致了3次大范围停电事件，全国大部分州都受到了影响；2020年4月葡萄牙跨国能源公司（天然气和电力）EDP（Energias de Portugal）遭Ragnar Locker勒索软件攻击，赎金高达1090万美金……

这些电力系统网络攻击事件说明：通信网络技术的发展促进了电力系统的高度智能化，但是电力系统网络安全防护出现了新的、更高难度的挑战。分析、预测智能变电站的网络安全风险，并对风险进行可控管理，保障变电站网络系统的安全可靠运行，刻不容缓。

1 智能变电站的二次系统结构及网络安全分析

智能变电站的主要特点：一次设备智能化、二次设备网络化。智能变电站信息数据在采集、编码、传输、存储等过程全部用数字编码。在典型的智能变电站中主要划分成三个网络：站控层、间隔层和过程层。站控层网络使用的主要协议是IEC61850，实现各类设备间的统一通信；间隔层应用GOOSE通信机制常规变电站装置之间硬接线的通信方式，大大简化了变电站二次电缆接线；过程层是一个SAV采样值网络，它的主要作用是将变电站内一次设备的模拟数据准确实时传输至智能终端，转化成数字信号。对于智能变电站网络而言，其中的不安全因素主要可分为人员因素、系统因素、环境因素、安全设备因素。

人员因素。可分两个方面：一是管理人员网络安全意识差，没有良好的工作态度和职业素养。在系统运行管理过程中重操作而轻管理，现场的数据配置等工作虽然准确无误，在后期管理工作中却敷衍了事，为智能变电站网络安全运行埋下隐患[1]；二是技术人员的技术能力。智能变电站网络通信是当前科技领域的前沿科技，自动化、通信、网络等设备相隔不了几年就会更新换代，这就要求管理人员紧跟时代步伐，不断学习新技术掌握新技能，这样才能保证自己的技术能力满足工作需求。在实际的工作中不少技术人员不能满足智能变电站维护管理工作的技术要求，对于网络安全问题按照自己的方式随意处理，增大了网络安全事故的发生概率。

图1 智能变电站二次系统结构图

系统缺陷。是导致网络安全问题的重要原因之一。目前智能变电站的通信系统主要应用Unix、Vxworks、Linux等，这些操作系统在设计时重视功能，对安全防护有着明显的安全漏洞：操作系统版本更新不及时，开放端口、安全等级设置不严谨，易出现后门；传统的TCP/IP协议容易遭到黑客修改。虽然系统的安全防护采用防火墙、禁用风险端口、优化系统服务等方式进行预防，但都属于被动防御。

环境因素。智能变电站网络系统所处的环境不是孤立不变的，不可避免的与外部进行对接，这可能会引发网络安全事故。一种可能的情况，第三方人员对智能变电站系统进行维护，可能会用到移动介质拷贝数据，这就是一种风险，很有可能引起病毒入侵或感染。还有可能外部计算机接入变电站网络系统，虚线网络等新技术对系统的威胁等，都有可能造成网络病毒的侵害。一旦病毒侵入了智能变电站网络，病毒就会扩散到整个局域网，这样导致系统数据变异或拥堵，造成严重的后果[2]。

安全设备因素。防火墙是目前智能变电站的主要网络安全防御设备，由软件和硬件设备组合而成，用来隔离智能变电站实时控制区与非控制生产区、外部网络，保护实时控制区免受非法用户操纵和控制。但防火墙不能防御局域网内部的攻击，包括全部它能检测到的攻击。随着网络技术迅猛发展，一些新的破解方法也给防火墙造成一定隐患。

2 智能变电站面对的主要攻击形式及造成的后果

智能变电站面临的攻击方式多种多样，如病毒、木马摆渡、广域网的渗透，还有针对IEC61850协议、来自GOOSE的攻击等，以下是概率最大的几种攻击形式：

智能变电站设计之初，设计、配置错误存在的后门。这是一种及其隐秘、潜伏性极强的攻击方式，可能由逻辑自身触发，也会受到外部指挥。这种攻击日常管理中不易发现，流量分析也没有效果；黑客们利用披露的安全漏洞进行攻击破坏。虽然智能变电站设备开始运行时经测评是安全的，但运行期间依然存在新的安全漏洞。2019年12月相关组织就披露了IEC61850有安全漏洞5个，包括验证错误、拒绝服务、缓冲区溢。由于信息披露和传播速度极快、实时性强，个别安全漏洞可能通过EXP脚本传播，如果系统被入侵会导致网络系统瘫痪、数据泄露等灾难性后果。

管理人员的错误逻辑与误操作。如果要严格区分的话这不是恶性攻击，但也会引起攻击的后果。智能变电站已不存在传统的物理端子，只有逻辑端子和实端子，这些端子都是是通过智能化的方式控制的。虽然可以实时监测，但因端子众多梳理清楚是非常难的。还有程序的错误逻辑也会引起一次设备的拒动作和误动作；智能变电站设备升级、改造过程中，来自技术人员或广域网中的恶意攻击。系统运行过程中设备的软件升级和硬件改造在所难免，如安全漏洞修复、版本升级、硬件更换、业务扩展、新增设备等。这样的升级、改造可能导致系统设备从一个安全区域接触到不可信区域，智能变电站系统就会面临网络攻击、恶意代码攻击的外部环境。

社会工程学攻击。其非常复杂，利用人性的弱点和本能的好奇进行入侵，常见的攻击形式有假冒身份、诱饵计划、网络钓鱼等。近年社会工程学攻击网络的事件逐年上升，呈泛滥之势，方式也越来越多样化，造成的很大的社会影响。如果黑客攻击与社会工程学攻击融为一体，智能变电站网络系统的安全性将变得更加脆弱，引起的后果也是不堪设想。

智能变电站网络受到攻击，会产生严重的后果，主要有以下情况：

智能变电站各类数据被截获。黑客非法获取了智能变电站与其他站点传输的数据及变电站内部存储的数据。数据截获虽不会影响网络的正常运行，但却是黑客对变电站网络再次进行攻击的基础；智能变电站网络中断。遭受黑客攻击后，智能变电站网络与调度数据网系统联络中断，整个网络系统瘫痪，调度主站无法监视变电站的实时运行情况，调控主站的命令也不能有效执行。变电站普遍实行无人值守的今天，如变电站发生严重故障得不到及时有效处理，从而使电网事故进一步扩大，造成的经济损失和社会影响是异常严重的。

智能变电站数据篡改。黑客侵入智能变电站网络后对站内关键数据进行恶意篡改，如修改开关遥信信息，导致站内开关遥信点号和主站遥信点号不一致，主站的遥控命令执行错乱；智能变电站受控于人。黑客入侵智能变电站网络并完全控制了整个变电站的运行，调控主站完全失去监视、控制能力。这种情况发生，智能变电站只能任由黑客控制和操纵，引起的严重后果不堪设想。

3 智能变电站网络安全管理策略

国家层面的网络安全等级保护制度2.0标准于2019年12月1日已正式实施，该标准强调主动防御，并对工业控制系统提出了针对性的防护要求。在执行国家标准基础上，按照电力系统网络安全防护“安全分区、网络专用、横向隔离、纵向认证”的总原则，可将智能变电站划分为生产管理区、实施监控区、非控制生产区、外部网络等。下面从五方面介绍智能变电站网络安全管理策略。

强化智能变电站网络安全管理。确保智能变电站的网络安全，首先要强化计算机网络的安全管理。计算机系统和网络系统有很多方面不完善，因此技术管理人员需加强计算机网络系统的安全管理，加大监管力度，发现问题马上处理。管理人员可利用入侵检测技术，综合人工智能、统计、密码等相关学科技术，防止变电站网络被黑客入侵；其次加强移动介质的管理，不使用无线联网及外部网络，避免病毒入侵变电站内部网络；其三，利用符合电力系统的高规格防病毒软件并保持最新版本，防止内部网络的病毒扩散或恶意代码攻击，进而影响网络安全运行。

综合部署安全防护设备。安全防护设备主要包括防火墙、物理隔离、纵向认证装置等设备。防火墙部署在实时控制区与非控制生产区之间及生产管理区与外部网络之间，实现区域的逻辑隔离、报文过滤、访问控制等功能。电力专用物理隔离装置是非控制生产区与生产管理区的必备边界，具有最高的安全防护强度，是横向防护的要点。非控制生产区与生产管理区之间部署正向物理隔离装置，负责单向数据传递。纵向认证加密装置用于实时控制区与非控制生产区的广域网边界防护，实现本地包过滤功能以及广域网通信提供认证与加密功能，保证数据传输的机密性、完整性。

广泛应用身份认证技术。在智能变电站网络系统中，通过对用户身份的认证可避免非法用户对高于其权限的资源进行访问，由此达到数据安全目的。基于CA的身份认证机制比较常见，每个网络的证书都是由CA中心分发并签名确认，证书包含公开密钥，CA除了对证书进行签发，还可管理证书和密钥。

广泛应用防病毒技术。病毒防范是保证智能变电站网络系统安全运行的一种非常重要的技术措施。网络病毒危害性大、破坏力强，必须采取安全、可靠、有效的防病毒方法，如基于服务器的防病毒技术、基于网络目录和文件的安全性方法、实施反病毒技术、工作站防病毒芯片等。

信息安全评估。是智能化变电站的一个重要特征。信息安全评估应用云计算、层次分析模型、模糊评价等统计学方法实现，对变电站网络安全的事前控制异常关键。