智能变电站网络安全策略分析与研究

智能变电站网络安全策略分析与研究

发表时间：2017-12-15T14:39:51.403Z 来源：《电力设备》2017年第24期作者：姜锦峰[导读] 摘要：智能电网中智能变电站系统是其重要的组成部分，相关信息的实时采集、变电设备状态监测、电网运行数据以及变电设备的自动控制等任务。

（南京南瑞集团公司节能环保分公司江苏南京 211100）摘要：智能电网中智能变电站系统是其重要的组成部分，相关信息的实时采集、变电设备状态监测、电网运行数据以及变电设备的自动控制等任务。其作为各种控制行为的最终执行者，提供了电力自动化系统可靠的数据来源。必须切实保障智能变电站系统的安全，第三方一旦有任何系统侵入变电站，继电保护系统和各种开关装置对变电站实时篡改或伪造，得到数据进行拦截，因此都有可能造成的误动、

拒动，智能变电站系统而严重威胁安全稳定运行，进甚至导致发生多重故障或连锁性故障所引起的大面积停电事故。

关键词：智能变电站；网络安全；分析早期智能变电站主要为数字化变电站，是由电子式互感器、智能化开关等智能化一次设备、网络化二次设备分层构建，各层子系统是一个信息的孤岛，相互之间并没有充分的联系。随着通讯技术、电力电子技术等先进技术迅速发展及IEC61850统一规约的应用，各种应用以统一的规约通信方式交互到统一的信息平台，实现信息资源的共享，使得智能变电站在近年来迅速兴起，并且已在220kV及以下变电站得到普及。然而，智能电网发展规划自2009年提出到现在仅仅只有几年时间，智能变电站仍处在发展起步阶段，尤其在超高压、特高压领域未得到大范围普及，并且智能变电站相关的一系列技术研究、产品研制、标准制定、工程建设、检测调试和运行维护等方面都有待进一步提升。

1 智能变电站存在的安全风险

智能变电站（smartsub station）是采用先进、可靠、集成、低碳、环保的智能设备，以全站信息数字化、通信平台网络化、信息共享标准化为基本要求，自动完成信息采集、测量、控制、保护、计量和监测等基本功能，并可根据需要支持电网实时自动控制、智能调节、在线分析决策、协同互动等高级功能的变电站。智能变电站在逻辑上分为变电站层、间隔层、过程层三层体系架构，变电站层与间隔层之间通过站控层MMS网络连接，间隔层与过程层通过GOOSE网络和SV采样网络连接。过程层是实现电气设备智能化的基础，包括变压器、断路器、隔离开关、电流/电压互感器等一次设备及其所属的智能组件以及独立的智能电子装置。间隔层主要功能是实现数据的上传下达，主要设备一般包括继电保护装置、系统测控装置、计量装置等，体现在各种远方输入/输出、传感器和控制器通信。站控层包括自动化站级监视控制系统、站域控制、通信系统、对时系统等，实现面向全站设备的监视、控制、告警及信息交互功能，完成数据采集和监视控制（SCADA）、操作闭锁以及同步相量采集、电能量采集、保护信息管理等相关功能。

威胁智能变电站系统的安全不仅来自所连接的变电站外部网络，内部的组网方式而且与其密切相关。安全威胁其所面临的主要包括：1）截获。智能变电站系统内部与其他系统之间非法获取下发的指令，实现信息之间交互。2）中断。与其他电力系统之间的指令切断变电站通信，干扰变电站执行，各种控制命令无法正确下达执行，无法了解变电站的运行工况。3）篡改。变电站系统内部崩溃或使调度主站获得错误，变电站内遥控非法更改，其他自动装置的整定值信息改变，导致系统的运行状况受到影响。4）权限提升威胁。非法用户利用智能变电站普遍缺乏有效身份认证和授权机制的缺陷，在变电站系统上跨权限执行非法指令，以及绕过五防系统非法执行指令，导致站内系统瘫痪，甚至引起连锁事故。

2 安全防护的策略 2.1 网络安全预警系统

安措实时监视及告警过程其实是安措实施状态信号生成、实施状态信号传递、实施状态信号解析、实施状态信号比对，最后通过画面进行展示或告警的过程。智能变电站一体化监控系统或者智能变电站继电保护在线监测及智能诊断装置实现了数据从过程层传递到间隔层再到站控层的数据通道，因此本文提出了基于一体化监控系统实现安措实时监视及告警，并可部署于基于一体化监控平台实现的智能变电站二次设备在线监测及智能诊断装置上。其中，在展示过程中，结合智能变电站二次虚回路监视的相关技术即可实现安措可视化。安措确认机制可以通过实时状态信号比对和状态感知、场景检测实现双重确认机制。

2.2 安全在线监测系统

智能变电站安全在线监测系统主要包括周界安防监控子系统、运行设备温度在线监测子系统及综合安全信息管理子系统。在运行设备温度监测方面，采用新型的声表面波温度传感器在线监测电力设备的实时温度；在变电站周界安防检测入侵方面，采用激光对射技术检测变电站周界入侵信号，辅以网络摄像机联动监控入侵画面；在过程层数据采集与控制命令的传输方面，采用低成本、低功耗的Zig-Bee无线模块，组建传感器网络；在信息建模与通信标准方面，将IEC61850规范应用到该系统中，进行统一信息建模，实现平台集成与信息共享。 1）安全监测终端安全监测终端处于变电站的过程层，包括周界安防监控终端和温度在线监测终端两种设备，分别负责周界安防入侵信号的实时监控及运行设备温度的在线监测。过程层采用ZigBee无线自组织网络。周界安防监控终端包括安防现场控制器、激光围栏及网络摄像机。网络摄像机是通过TCP/IP协议进行视频信息传输与云台控制。一旦变电站周界有物体入侵，周界安防监控终端将发出声光报警，并将入侵数据，如入侵方位、入侵时间等信息通过ZigBee无线网络发送给安全测控主机，联动网络摄像机，将视角转到入侵方位，进行实时视频监控录像，方便日后回放、取证。 2）安全测控主机安全测控主机处于变电站间隔层，负责接收监控中心下发的温度采集指令、安防布防、撤防等指令。对接收到的控制指令进行解析后，通过ZigBee无线网络向各个周界安防监控终端和温度在线监测终端进行分发。周界安防监控终端将监视到的入侵信息及温度在线监测终端采集到的温度信息上传给安全测控主机，安全测控主机收到数据后，进行解析，并根据IEC61850标准将信息重新打包，以报文形式发送给监控中心，安全测控主机采用变电站现有的光纤以太网进行报文传输。

综上所述，通过对智能变电站系统所面临的安全问题进行详尽分析，得出其正面临着截获、中断、篡改和权限提升等威胁。为此，从智能变电站系统的访问控制、数据加密和数据容灾3个方面对智能变电站的安全防护进行研究，从而降低其安全风险，保证智能变电站的正常运行。