智能變電站控制系統(tǒng)網(wǎng)絡行為合規(guī)性檢測技術研究

林 楠，楊 浩，章玲玲，肖勇才，歐陽文華

0 引言

目前我國變電站自動化水平正在穩(wěn)步上升，變電站智能化程度也日益提高，變電站操作動作對變電站的安全運行至關重要，2017年起，國家電網(wǎng)公司加大了對電力關鍵信息基礎設施網(wǎng)絡安全工作力度，對調(diào)度自動化系統(tǒng)網(wǎng)絡安全防護提出了更高的要求?；谧冸娬究刂葡到y(tǒng)網(wǎng)絡的設備動作特點，可以將變電站的動作合規(guī)性劃分為操作流程合規(guī)性以及網(wǎng)絡行為合規(guī)性兩方面，研究網(wǎng)絡行為合規(guī)性對防范智能變電站網(wǎng)絡攻擊有較大的現(xiàn)實價值。

1 網(wǎng)絡行為合規(guī)性審計技術的研究

網(wǎng)絡行為審計技術的核心思想是對用戶所有的網(wǎng)絡操作進行實時監(jiān)控和記錄，并對記錄結果進行分析，并依據(jù)規(guī)則庫中存儲的規(guī)則，判定行為是否合規(guī)，對于不合規(guī)的行為進行阻截。網(wǎng)絡行為從計算機角度來看，就是一些傳輸?shù)挠嬎銠C指令，這些指令再按照規(guī)定的網(wǎng)絡協(xié)議格式封裝后被傳輸?shù)街付ǖ脑O備上。因此，該技術在實現(xiàn)上采用行為監(jiān)控代理方式對用戶的網(wǎng)絡行為進行監(jiān)控和轉發(fā)，并在轉發(fā)的過程中分別模擬了網(wǎng)絡行為的用戶端與服務端。

網(wǎng)絡行為審計技術除了對網(wǎng)絡傳輸過程中的協(xié)議進行審計和監(jiān)控外，還可以對行為合規(guī)性進行檢查，即在審計過程中依據(jù)操作規(guī)程對行為操作的業(yè)務特性進行審計，以確保行為操作的合規(guī)性，防止內(nèi)部人員的誤操作。

基于上述的網(wǎng)絡行為審計技術的核心思想，設計了網(wǎng)絡行為審計系統(tǒng)的總體框架，用于實現(xiàn)工業(yè)控制網(wǎng)絡協(xié)議的會話數(shù)據(jù)的記錄、轉發(fā)、禁止命令的控制。總體框架如圖1所示。

圖1 網(wǎng)絡行為審計系統(tǒng)總體框架

網(wǎng)絡審計系統(tǒng)代理模塊總體包括連接控制與登錄認證模塊、會話轉發(fā)模塊、命令記錄模塊、命令過濾模塊、會話中斷模塊、架構配置模塊和業(yè)務規(guī)范性模塊7部分，當用戶開始進行網(wǎng)絡行為操作時，網(wǎng)絡審計代理模塊首先調(diào)用連接控制與登錄認證模塊，對用戶進行身份認證及權限檢查；當用戶通過認證后，網(wǎng)絡審計代理會與用戶客戶端之間進行標準的協(xié)議協(xié)商，并建立會話，同時網(wǎng)絡審計代理模塊也與后臺相應的服務器進行標準的協(xié)議協(xié)商并建立相應的會話。這時系統(tǒng)就可以接收用戶的命令操作，并通過調(diào)用會話轉發(fā)模塊將合法的命令操作轉發(fā)給后臺的服務器。同時，網(wǎng)絡行為審計會話代理模塊通過調(diào)用命令記錄模塊、命令過濾模塊、會話中斷模塊來完成記錄、控制、禁止用戶通過協(xié)議進行的字符命令操作。并采用正則表達式匹配過濾技術對各類命令進行控制。

命令過濾模塊在整個網(wǎng)絡行為審計系統(tǒng)的代理模塊中是最為重要的功能模塊之一，它負責維護用戶命令行為的合規(guī)性，是整個網(wǎng)絡行為審計系統(tǒng)的關鍵模塊，其內(nèi)部執(zhí)行流程如圖2所示。

圖2 命令過濾執(zhí)行流程

為了提高系統(tǒng)的審計效率，從圖2中可以看出，整個審計過程采用了合規(guī)行為列表與非合規(guī)行為列表相結合進行審計的策略，對于存在于合規(guī)進程列表的行為，則直接進行放行，不再進行合規(guī)性判定；對于存在于非合規(guī)進程列表的行為，則直接進行阻斷，也不需要再進行合規(guī)性判定。合規(guī)行為列表與非合規(guī)行為列表的結合，使得命令過濾模塊形成了3種審計模式，對用戶發(fā)送的命令信息進行3步判斷：第1步，通過正則表達式判斷該命令及其參數(shù)是否在合規(guī)行為列表中，如果存在，則直接允許改命令執(zhí)行；否則進行第2步，通過正則表達式判斷該命令及參數(shù)是否在非合規(guī)行為列表中，如果存在，則直接阻斷該命令執(zhí)行，否則需要進行第3步，即判斷命令及其參數(shù)的合規(guī)性，最后對用戶命令及其參數(shù)合規(guī)性的判定取決于管理員的本地硬件確認技術，即根據(jù)審計管理員對用戶命令合規(guī)性的判定結果決定放行或阻止命令運行。

網(wǎng)絡行為審計技術基于審計代理，在代理程序中旁路數(shù)據(jù)到內(nèi)存或數(shù)據(jù)庫中進行監(jiān)控和審計，同時提供給審計人員控制、審計接口，供審計人員控制操作員的操作。配合登錄認證機制和業(yè)務操作合規(guī)性管理機制，確保網(wǎng)絡行為發(fā)起者身份的合規(guī)性和操作的合規(guī)性，實現(xiàn)對網(wǎng)絡用戶身份的合規(guī)性、行為的合規(guī)性和操作的合規(guī)性保證，提供電力合規(guī)網(wǎng)絡體系行為層可行性保證機制。

2 典型變電站拓撲模型及簡化

變電站采取的總體安全防護策略為安全分區(qū)、網(wǎng)絡專用、橫向隔離、縱向認證，其中根據(jù)變電站的特點、各相關業(yè)務系統(tǒng)的重要程度、數(shù)據(jù)流程、安全要求，將系統(tǒng)分為3個安全區(qū)：安全區(qū)I為實時控制區(qū)，安全區(qū)II為非控制生產(chǎn)區(qū)，安全區(qū)III為生產(chǎn)管理區(qū)，其中安全區(qū)I的特征為直接實現(xiàn)監(jiān)控功能；安全區(qū)II的特征為使用調(diào)度數(shù)據(jù)網(wǎng)絡，在線運行，但不具備控制功能；安全區(qū)III的特征是實現(xiàn)電力生產(chǎn)的管理功能，不具備控制功能，不在線運行，與操控中心的終端直接相關。此外變電站的拓撲結構按功能邏輯一共可分為三個不同的層面——站控層、間隔層和過程層，各層之間的信息傳輸要求身份認證，同一層內(nèi)的設備位置實現(xiàn)物理隔離。

在對典型變電站模型進行仿真搭建的過程中，由于不需要涉及生產(chǎn)等問題，可以簡化典型變電站模型。站控層保留工程師站功能，簡化其余模塊，簡化后的工程師站模擬處理MMS報文。間隔層保留測控裝置，報文記錄儀，線路保護，網(wǎng)絡主時鐘，簡化其余模塊。其中，測控裝置對過程層接受處理SV報文，對站控層發(fā)送MMS報文；報文記錄儀對過程層接收處理SV和GOOSE報文，并鏡像記錄間隔層其余設備對站控層發(fā)送的MMS報文；線路保護裝置接受處理過程層的SV和GOOSE報文，并在保護動作中，對下發(fā)送SV和GOOSE報文，對站控層發(fā)送MMS報文。過程層中變壓器等等效為合并單元，統(tǒng)一模擬發(fā)送SV報文，斷路器、隔離開關和繼電保護裝置等等效為保護單元，統(tǒng)一模擬發(fā)送GOOSE報文。

簡化后變電站拓撲模型如圖3所示。

圖3 簡化后變電站拓撲模型及其報文結構

3 配置監(jiān)測仿真

3.1 實現(xiàn)流程

結合快速文本比對和語義分析技術，實現(xiàn)待監(jiān)測設備配置變化的檢測和解讀功能，其流程如圖4所示。

圖4 設備配置變化監(jiān)測與解讀流程

1）通過語法分析，剔除配置文件中的注釋、說明性信息，保留其關鍵配置信息。2）將獲取的設備實時配置文件與配置文件庫中關鍵配置信息進行快速文本比對。如果相同，說明未發(fā)生配置變化，否則進行第3步。3）對發(fā)生變化的配置信息描述部分進行語義分析、將其轉換為用戶容易理解的表述形式。

3.2 仿真環(huán)境設置與配置監(jiān)測

設備配置監(jiān)測的仿真主要是對“三層兩網(wǎng)”中的設備進行監(jiān)測。在對設備配置監(jiān)測進行仿真搭建平臺的過程中，站控層保留工程師站模擬處理MMS報文。

間隔層與工程師站通過交換機進行MMS通信。間隔層主要有電能測量裝置、濾波裝置、測控裝置和測控保護裝置。間隔層與過程層的信息交互也通過交換機來實現(xiàn)，其中與合并裝置進行通信時使用SV報文，與保護裝置通信時使用GOOSE報文。過程層保留上3個合并裝置，3個保護裝置。其仿真環(huán)境拓撲圖如圖5所示。

圖5 仿真搭建環(huán)境拓撲圖

當過程層中的設備配置發(fā)生改變時，發(fā)送至間隔層的SV、GOOSE報文信息中關于配置方面的文件信息也將發(fā)生改變，間隔層通過判斷解析其中配置信息問題，進行信息交互，使過程層中配置改變的設備發(fā)出報警信號并對用戶做出提示。

將局域網(wǎng)中的計算機接入網(wǎng)絡中模擬設備操作，各模擬設備的配置的關鍵信息如表1所示。

表1 仿真環(huán)境設備配置

根據(jù)上述要求搭建仿真平臺，搭建后設備正常時界面如圖7所示。仿真平臺界面中每個設備的右上角都有一個指示燈，初始狀態(tài)時亮藍燈，表示設備正常運行，當設備的配置發(fā)生更改時藍燈顏色將會更改為紅色。同時，在設備的右側或者下方有一個提示框，框內(nèi)注明了設備的IP地址以及設備的配置狀態(tài)。在初始時刻，裝置的配置信息與配置文件庫一致，提示框中內(nèi)容顯示“裝置正?！?。當裝置的配置信息改變時，提示框中就會顯示“裝置告警”，以此提醒操作人員此設備的配置信息已發(fā)生了改變。

在設備配置無變化時設備配置表如圖6所示。所有的裝置IP地址與MAC地址與表1一致。配置狀態(tài)一列均顯示正常。由于設備配置中的配置節(jié)點較多，本文只模擬查找顯示配置中的三個節(jié)點，分別是RED99節(jié)點，RDRE1節(jié)點和ZBSH節(jié)點。在設備配置無改變的情況下，所有節(jié)點均顯示“正?！?。

圖6 設備配置仿真結果

3.3 配置突變模擬設置

當設備故障或者有入侵對象時，設備的配置將會發(fā)生改變。本文通過后臺更改配置內(nèi)容來模擬設備配置突變的情況。

本文中將合并裝置1中的RDRE1節(jié)點中的SP中的六項功能約束，刪除其中三項，此時合并裝置1的配置內(nèi)容已發(fā)生改變，以此模擬合并裝置1配置突變。

對比圖7、8可發(fā)現(xiàn)，在將合并裝置1中的RDRE1節(jié)點中的SP中的六項功能約束刪減為3項之后，讀取同一段節(jié)點的配置文件，可看出配置更改后的配置文件由6項減少為3項，與初始狀態(tài)下的配置文件（配置文件庫）對比發(fā)生了改變。

圖7 配置更改前讀取的配置文件

圖8 配置更改后讀取的配置文件

3.4 配置監(jiān)測仿真結果

當合并裝置1的配置被更改時，仿真平臺界面中相應的顯示合并裝置1的仿真機會亮紅燈，同時提示信息由“裝置正?！弊?yōu)椤把b置告警”，在主界面中顯示合并裝置1被改變。如圖9所示。

圖9 合并單元1配置改變時仿真平臺界面

同時在設備配置一覽表中相應的部分也會有異常告警。如圖10所示，本文中模擬配置突變，改變了合并裝置1中的RDRE1節(jié)點的三項約束功能，合并裝置1的配置狀態(tài)發(fā)生了改變，“配置狀態(tài)”一欄顯示“異常”，同時“RDRE1節(jié)點”一欄顯示的也是異常。最后，在有設備配置發(fā)生異常的情況下，告警處還會有紅色的字跡提醒，提醒內(nèi)容包含配置改變發(fā)生的時間、發(fā)生改變的設備以及設備配置改變的具體內(nèi)容。如圖11所示。顯示在2016-10-27 12:35:18.0時刻，IP地址為192.168.2.11的裝置（合并裝置1）配置發(fā)生改變，而具體的內(nèi)容就是“RDRE1節(jié)點與原始模型不符”。

圖10 合并裝置1配置改變時的設備配置表

圖11 合并裝置1配置改變時的告警內(nèi)容

4 結束語

經(jīng)以上仿真案例可知，在仿真平臺中使用文本對比的語義分析法可以快速查找出發(fā)生配置改變的裝置，并且可以進一步知道改變的節(jié)點。如此，在設備配置發(fā)生改變時，準確找出問題所在，有利于快速定位故障來源進而采取措施解決問題。

[1]王德文，邸劍，張長明.變電站狀態(tài)監(jiān)測IED的IEC 61850息建模與實現(xiàn)[J].電力系統(tǒng)自動化，2012（03）∶81-86.

[2]李永亮，李剛.IEC61850第2版簡介及其在智能電網(wǎng)中的用展望[J].電網(wǎng)技術，2010（04）∶11-16.

[3]黃智宇.基于IEC61850的變電站網(wǎng)絡通信及裝置的研究[D].大連理工大學，2008.

[4]伍星，陳進，李如強，陳一鳴.基于數(shù)據(jù)挖掘的設備狀態(tài)監(jiān)測和故障診斷[J].振動與沖擊，2004（04）∶72-76.