浅谈智能变电站网络安全风险与防护建议.pdf
《浅谈智能变电站网络安全风险与防护建议.pdf》由会员分享,可在线阅读,更多相关《浅谈智能变电站网络安全风险与防护建议.pdf(7页珍藏版)》请在咨信网上搜索。
1、Topic Focusing热点专题0762023 年第 3 期浅谈智能变电站网络安全风险与防护建议于希永1,尹亮2*,刘嘉奇21.北京国网信通埃森哲信息技术有限公司,北京,1000522.绿盟科技集团股份有限公司,北京,100089摘要:随着越来越多的智能变电站投入使用,因智能变电站的高度集成化、网络化、智能化等因素,导致原本封闭孤立的变电站生产环境被打破,网络与业务的暴露面增大,给电网安全稳定运行带来挑战。本论文通过对智能变电站三层两网的业务场景进行剖析,分析出当下智能变电站存在 IEC-61850 规约无认证、加密、授权机制,站控层和过程层网络无安全审计和异常流量检测机制,电力监控主机无
2、抵御未知威胁能力以及路由器、交换机以及主机设备安全配置基线缺失等网络安全主要问题。针对这些安全问题,本论文给出通过部署安全防护产品和安全策略加固等 3 个方面的安全防护建议,对今后智能变电站网络安全防护建设,具有一定理论指导意义。关键词:智能变电站;站控层;间隔层;过程层;安全风险Discussion on Network Security Risks and Protection Suggestions for Intelligent SubstationYu Xiyong1,Yin Liang2*,Liu Jiaqi21.Beijing SGITG-Accenture Informatio
3、n Technology Co.,Ltd.,Beijing,1000522.Nsfocus Technologies Group Co.,Ltd.,Beijing,100089Abstract:With more and more intelligent substations being put into use,due to factors such as high integration,networking,and intelligence of intelligent substations,the originally closed and reliable production
4、environment of substations has been broken,and the exposure of networks and businesses has increased,facing new security threats and posing challenges to the security and stable operation of our power grid.This paper analyzes the business scenarios of intelligent substations with three layers and tw
5、o networks,and identifies the current IEC-61850 protocol without authentication,encryption,and authorization mechanisms in intelligent substations;There is no security audit and abnormal traffic detection mechanism in the station control layer and process layer networks.The main network security iss
6、ues include the inability of power monitoring hosts to resist unknown threats and the lack of security configuration baselines for routers,switches,and host devices.In response to these security issues,this paper provides security protection suggestions at three aspects:deploying security 作者简介:于希永,男
7、,北京国网信通埃森哲信息技术有限公司高级工程师,主要研究方向为电网信息化、变电站监控系统等,E-mail:。通讯作者:尹亮,男,绿盟科技集团股份有限公司工程师,主要研究方向为工业互联网安全,E-mail:。Topic Focusing热点专题0772023 年第 3 期protection products and strengthening security strategies,which have certain theoretical guidance significance for the future construction of smart substation networ
8、k security protection.Keywords:Intelligent Substation;Station Control Layer;Interval Layer;Process Layer;Security Risks1 引言变电站作为电力系统的重要组成部分1,是发电、输电、变电、配电、用电五个环节中不可或缺的关键节点。根据国家电网和南方电网“十四五”规划,在 2021-2025 年期间全国电网总投资近 3 万亿元,全面推进电网转型升级,构建新型电力系统2。变电站作为电网环节中不可或缺的关键节点,其智能化建设进程不断加快。同时,随着越来越多的智能变电站投入使用,因其高度的共
9、享性与交互性,遭到了勒索软件、挖矿病毒、黑客,甚至敌对势力的关注。智能变电站不断渗透攻击,给我国电网稳定运行带来安全隐患。因此,对智能变电站的网络安全风险以及防护措施进行分析具有重要意义。2 智能变电站业务场景及安全风险分析2.1 业务场景分析智能变电站,是以电子式互感器、变压器、开关等一次设备以及合并单元、智能终端等二次设备为数字化基础,基于 IEC 61850 规约,建立三层两网的网络结构,利用组播传输信息的高效形式,实现自动控制、智能调节、智能决策,完成信息采集、测量、控制、保护、计量和监测等基本功能的新型变电站3。其网络架构如下图 1 所示。图 1智能变电站网络架构图Topic Foc
10、using热点专题0782023 年第 3 期站控层:主要是一体化监控平台系统,包括综合应用服务器、数据服务器、数据通信网关机、以及时钟服务器等。站控层能够实现变电站的运行监视、调节控制、辅助决策、信息综合分析、智能告警、运维管理等功能4-6。间隔层:主要包括测控装置、保护装置、网络记录分析以及故障录波装置等。其主要作用是通过智能终端对一次设备进行保护和控制,实现本间隔内的操作、闭锁,并进行一次电气量的运算和计量等4-6。过程层:主要包括电子式互感器、断路器、刀闸、母线、开关等一次设备以及智能终端、合并单元等二次设备。其主要功能是进行一次电气量采集、执行操控命令和设备状态监测4-6。站控层网络
11、:指 MMS(Manufacturing Message Specification,制造报文规范)网络,用于站控层与间隔层之间的客户端/服务器端服务通信,传输事件顺序记录(Sequence Of Event,SOE)、测量、文件、定值、控制等信息。MMS 报文是基于 TCP 的客户端/服务器通信模式。因此,MMS 报文对通信实时性要求不是太高4-6。(1)安全区:安全区区是控制区。业务系统或功能模块的典型特征为直接实现实时监控功能,是电力生产的重要必备环节,系统实时在线运行,使用调度数据网络或专用通道。安全区的典型系统包括调度自动化系统、广域相量测量系统、配电自动化系统、变电站自动化系统等。
12、安全区是电力二次系统中最重要的系统,安全等级最高,是安全防护的重点与核心。(2)安全区:安全区是非控制区。业务系统或功能模块的典型特征为:所实现的功能为电力生产的必要环节,但不具备控制功能,使用调度数据网络,在线运行,与安全区中的系统或功能模块联系紧密。安全区区的典型系统包括调度员培训模拟系统(DTS)、故障录波信息管理系统、电能量计量系统、电力交易系统等。该区数据的实时性是分钟级、小时级。站控层分为安全区和安全区,站控层的安全区通过纵向加密认证装置与调度中心的安全区进行通信,站控层的安全区通过硬件防火墙与调度中心的安全区进行通信,综合应用服务器通过正反向隔离装置实现与生产控制大区的强逻辑隔离
13、,安全区与安全区通过传统硬件防火墙进行逻辑隔离。过程层网络:主要包括面向通用对象的 变 电 站 事 件(Generic Object Oriented Substation Event,GOOSE)网和采样测量值(Sampled Measured Value,SV)网。(1)GOOSE 网:主要是过程层的二次设备与间隔层的测控、保护、录波等装置通信使用,传输开入、开出量,完成对一次设备的智能控制,为发布/订阅通信模式,实时性要求高。过程层的 GOOSE 网和间隔层的 GOOSE,采取网采网跳方式。(2)SV网:主要用于电子式互感器、断路器、刀闸等一次设备传输原始采样值(电流电压采样值),为发布
14、/订阅通信模式,实时性要求高。IEEE 61588 时钟同步:原有的 IRIG-B 码的对时系统,需要单独组网,且时间同步误差大,不能保障主站调度系统、变电站自动化系统、故障滤波装置、继电保护等二次设备时钟精准同步,导致故障记录错位。因此,智能变电站采用IEEE 61588 对时系统,将站控层、间隔层和过程层共享一层物理网络,MMS、GOOSE、SV 以及时钟同步 IEEE 61588 网络进行共网传输。这样不需要单独组建 IRIG-B 码的对时网络,简化网络结构,利用现有网络实现全站设备的时间精确同步4-6。2.2 安全风险分析大部分智能变电站已按照能源局 36 号文进行了“横向隔离、纵向认
15、证”的安全防护建设,但在实际发展过程中,还存在以下主要风险:Topic Focusing热点专题0792023 年第 3 期(1)智能变电站的高度集成化、网络化、互操性、开放性等特点,增加了网络和业务系统的暴露面,导致变电站面临着病毒、木马等风险。安全区与安全区之间所部署的硬件防火墙不属于工业化控制防火墙,无法识别 MMS、GOOSE、SV 等智能变电站工业化控制协议。(2)站控层和过程层使用的 GOOSE 协议和 SV 协议,在开发之初并未考虑安全性,缺乏授权、认证、加密机制。如,过程层网络的GOOSE 和 SV 协议只有应用层、表示层、数据链路层和物理层,采用组播模式传输。虽然保证了实时性
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 浅谈 智能 变电站 网络安全 风险 防护 建议
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【自信****多点】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【自信****多点】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。