四智能变电站
的安全性研究根据国家电网公司《智能变电站技术导则》,智能变电站是采用先进的传感器、信息、通 信、控制、智能等技术,以一次设备参量数字化
和标准化、规范化信息平台为基础,实现变 电站实时全景监测、自动运行控制、与站外系统协同互动等功能;达到提高变电可靠性、优 化资产利用率、减少人工干预、支撑电网安全运行等目标的变电站。其内涵为可靠、经济、 兼容、自主、互动、协同,并具有一次设备智能化、信息交换标准化、系统高度集成化、运 行控制自动化、保护控制协同化、分析决策在线化等技术特征。智能化
变电站的二次监控、保护系统是基于 DL/T860 标准平台,可实现统一的配置语言、 统一建模、组网,共享信息和设备间的互操作性。通常智能变电站可划分为站控层、间隔层、 过程层。下面简单介绍各层涉及到的设备及网络情况:- 站控层设备 主机兼操作员工作站、一体化平台主机、远动通信设备、智能
接口设备、故障录波及网络分析、网络交换机。(其中还有打印机、音响音响告警输出装 置)
- 间隔层设备 间隔层都是 I/O 测控装置。I/O 测控装置具有状态量采集、交
流采样及测量、防误闭锁、同期检测、就地断路器紧急操作和单接线状态及数字显示等功 能,对全站运行设备的信息进行采集、转换、处理和传送。I/O 测控装置还应配置有 “就 地/远方”切换开关。 - 过程层设备 过程层设备包含智能终端、合并单元及智能一次设备接口等。
可完成变电站断路器、隔离开关的信号采集、处理和控制,以及互感器采样值信息的采集 和处理。 - 间隔层网络 通过相关网络设备与本间隔其他设备、其他间隔设备以及站控
层设备通信。逻辑功能上,覆盖间隔层内数据交换、间隔层与站控层数据交换、间隔层之 间(根据需要) 数据交换,数据交换接口支持 MMS 报文和 GOOSE 报文。同时,间隔 层网络与过程层数据交换接口,可传输采样值和 GOOSE 报文。 - 过程层网络 通过相关网络设备与间隔层设备通信。逻辑功能上,覆盖间隔
层与过程层数据交换接口。可传输采样值和 GOOSE 报文。提供(如命令、告警等)快 速传输的机制,可用于跳闸和故障录波启动等。智能变电站的系统架构如图 4.1 所示[wxp2013]:
图 4.1 智能变电站的系统架构图
变电站的安全性分析
本节我们将重点从人员管理与制度流程的规范性、系统软硬件安全性、网络通信安全以 及系统操作的合规性等几个方面讨论智能变电站所存在的安全问题。
制度和流程
智能变电站作为智能电网的核心节点,其重要性不言而喻。为维护其正常安全的运行,相 关的人员操作和系统维护工作必须遵循严格的安全操作规范、工作流程以及安全管理制度。 但通过我们的调研分析,现实情况中依然存在不少安全问题,如表 4-1 所示:
表 4-1 智能变电站安全管理制度及流程方面的安全问题
|安全问题 |描述 |
|缺乏完善的安全制度与流程 文件** |由于安全制度缺乏或不完善,没有具体安全要求,造成安全制度难以执行, 无法对相关人员提出明确的安全管理要求。智能变电站设备的操作日志记 录及合规性审查机制缺失或虽有制度但得不到落实。|
|缺乏正式的安全意识教育及 安全技术培训|将使智能变电站的安全管理人员难以及时地掌握最新的安全防护技术、安 全产品及最佳安全实践,难以提升防范新型入侵攻击的能力。 |
|智能变电站安全操作规范或 设备使用手册缺失** |这些设备操作规范和使用手册是智能变电站安全运行操作、系统配置管理 以及故障排除的重要参考文档,应妥善管理并保持随时可用。|
|没有明确的业务连续性计划 或灾难恢复计划|应当制定业务连续性计划或灾难恢复计划并进行定期演练,尽可能避免因 系统软、硬件故障的发生,而造成供电中断等安全事故|
|没有明确的配置变更管理流 程** |配置变更管理流程的缺失将导致因不安全新系统部件的引入而造成的系统 安全脆弱性,进而增大智能变电站的安全风险。 因此,应制定严格的智能变电站相关硬件、固件、软件的变更 程,通过系统变更后的安全评估制定相应的安全防护计划, 电站得到实时保护。 管理工作流 以保证智能变|
|没有明确的上线前或系统变 更时的安全风险评估规范** |新系统在上线时多缺乏严格的安全性评估。新系统自身的脆弱性或被故意 植入的后门将为后续系统的正常运行带来很大的安全隐患。|
系统软硬件
因智能变电站相关软硬件在设计开发时重点关注系统功能的实现,而对安全性及相应的防 护能力考虑不足,从而存在较多的安全脆弱性问题,本节将从配置管理、硬件、软件等角度 讨论智能变电站系统所面临的一些安全问题。具
表 4-2 配置管理相关的安全问题
|安全问题 ||描述 |
|安全漏洞被发现后供应商不||工业控制系统提供商难以及时发布针对漏洞的补丁程序,同时由于工业控|
|能及时发布相应的补丁程序||制系统使用范围广,数量庞大,用户难以快速准确掌握系统存在漏洞的具|
|||体情况,导致用户难以及时加固系统、提升系统的安全性①。 |
|使用缺省配置||使用缺省配置可能导致不安全(或不必要)的端口(或服务)没有关闭,|
|||甚至缺省帐户、缺省密码的存在。同时由于工业控制系统数量庞大,需关|
|||注的配置项目较多,导致用户无法快速准确掌握系统存在配置隐患的具体|
|||情况,无法及时修补,这都将为系统带来极大的安全风险。|
|缺乏系统关键配置信息的维||应明确如何对智能变电站系统的配置信息进行安全管理,以防因偶然事故|
|护管理措施||的发生、黑客对配置文件的篡改,而造成业务中断或数据的丢失。|
|密码管理不当||可导致未授权的系统访问,具体的密码管理不当问题主要涉及: |
|||l 没有制定明确的密码管理策略(包括密码强度、更改周期等); |
|||l 智能变电站系统的开机、帐户登陆或屏幕保护程序等未按要求设置足|
|||够强度的访问密码,甚至未设置密码;|
|||l 密码因保存不当造成泄漏,比如,在系统上张贴系统登录密码、共享|
|||帐户密码、通过不安全的通信线路发送明文密码等;|
|||l 密码不按要求及时变更,增大被猜测破解的可能;|
|||等等。 |
|访问控制配置不当** ||可能导致智能变电站系统操作人员无法在紧急情况下采取应急响应措施;|
|||若采用缺省配置,系统管理员权限可能过大。②|
①由于智能变电站系统软件及操作系统更新的复杂性,补丁程序的更新必须面对广泛的回归测试,从测试到最 终发布之间有较长的漏洞暴露周期。
②可基于系统操作人员的职责明确系统角色和相应的访问控制策略,并辅以操作日志审计制度、相关审查及合 规性检测机制规范各角色的操作行为。
表 4-3 系统硬件相关的安全问题
|安全问题 |描述 |
|安全变更时没有进行充分 的测试** |许多智能变电站的设施,尤其是较小的设施,没有检测设备,业务系统的安 全性变更测试必须在现场环境下进行。|
|对关键设备没有充分的物 理保护措施|访问控制中心、现场设备、便携设备及其他智能变电站组件需要被管控。许 多远程站点往往没有人员和物理监测控制措施。|
|未授权用户能够接触设备|智能变电站设备应仅限于指定的系统运维管理人员、得到授权并在陪同下的 厂商人员接触。未授权的操作可能导致:数据或硬件的窃取、损毁或擅自变 更系统的配置、恶意代码传播以及物理通信连路断开、系统关机等其他故意 的破坏性行为。|
|关键设备没有冗余备份|关键设备没有冗余备份可能导致单点故障发生。 |
|不安全的智能变电站远程 访问组件** |调制解调器或其他远程访问组件的开启,可使维护工程师和供应商获得远程 访问系统的能力的同时,也为潜在攻击者提供了方便之门。应部署安全的授 权访问控制机制,以防止未经授权的个人,通过远程访问进入到智能变电站。|
表 4-4 系统软件相关的安全问题
|安全问题 ||描述 |
|缺乏对输入数据的有效性验证||执行操作指令时对输入的数据、参数缺乏有效性检测,这些数据可能因|
|及出错处理机制||格式不正确、含有非法或其他意外的字段值,而造成系统无法正常执行、|
|||甚至崩溃。这是目前工业控制软件中所存在的最广泛的安全问题|
|可导致缓冲区溢出的安全缺陷||黑客可利用这些漏洞来来发起各种攻击,例如,可用于提升其访问系统|
|||权限。 |
|可导致拒绝服务攻击的安全缺||智能变电站系统服务端可能会受到 DOS 攻击,可导致合法用户不能访|
|陷** ||问,或系统访问响应延迟。|
|内置安全防护功能没有开启** ||产品内置的安全功能通常默认设置为禁用,需要通过配置开启。 |
|常用通信协议缺乏安全机制||智能变电站标准协议 IEC 61850、IEC 60870-5-104 等通常缺乏内置的|
|||安全功能[LYHC2012]。多采用明文传输各种管、控信息,易被攻击者窃听。|
|开启不必要服务** ||软件系统许多不必要的应用服务或网络服务很少被禁用,可能会被攻击|
|||者利用。 |
|专有软件的使用||专有软件的配置管理手册可从软件商那里获得,这些信息可以帮助黑客|
|||发起针对性的攻击。 |
|软件配置缺乏有效的认证授权|可导致未授权的软件配置操作,损害系统的正常运行。|
|缺乏有效的系统操作日志** |没有准确的日志记录,就无法追溯安全事件发生的原因。 |
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
