發(fā)電機(jī)組涉網(wǎng)設(shè)備網(wǎng)絡(luò)安全可靠性的研究與實(shí)踐

駱華志，鐘振坤，羅漢青

（廣東珠海金灣發(fā)電有限公司，廣東 珠海 519050）

0 引 言

目前，國內(nèi)外的電力系統(tǒng)網(wǎng)絡(luò)安全形勢日益嚴(yán)峻。2011年，某國曾利用“震網(wǎng)”病毒攻擊了伊朗的鈾濃縮設(shè)備，造成其核電站1/5的離心機(jī)報廢。2015年12月2日，烏克蘭的三座變電站數(shù)據(jù)采集與監(jiān)控系統(tǒng)SCADA受到了黑客的網(wǎng)絡(luò)攻擊，導(dǎo)致伊萬諾—弗蘭科夫斯克地區(qū)發(fā)生了持續(xù)6小時的大面積停電事件，140萬人受到影響，是世界上第一起因?yàn)楹诳凸粼斐呻娋W(wǎng)大規(guī)模停電的事故。國內(nèi)，類似事件在近期也發(fā)生了多起。2018年3月23日，某電廠的行波測距裝置對省中調(diào)主站網(wǎng)段進(jìn)行了高危端口的掃描，被中調(diào)縱向加密裝置成功攔截，否則將嚴(yán)重影響電力監(jiān)控系統(tǒng)。面對日益嚴(yán)重的網(wǎng)絡(luò)安全威脅，國家能源局及時下達(dá)相關(guān)通知，要求各單位加強(qiáng)電力監(jiān)控系統(tǒng)的主機(jī)系統(tǒng)安全和防護(hù)能力，認(rèn)真排查安全隱患，提高涉網(wǎng)設(shè)備的網(wǎng)絡(luò)安全可靠性[1]。

1 機(jī)組概況

廣東珠海金灣發(fā)電有限公司是一家成立于2005年9月的中港合資企業(yè)，公司擁有2臺600 MW的國產(chǎn)超臨界機(jī)組。發(fā)電機(jī)是由上海汽輪發(fā)電機(jī)有限公司生產(chǎn)的QFSN-600-2自并勵靜止勵磁系統(tǒng)，主變壓器是由常州東芝變壓器有限公司生產(chǎn)的強(qiáng)迫油風(fēng)冷三相一體式SFP-720000/500變壓器，500 kV升壓站采用兩串3/2開關(guān)接線的雙母線運(yùn)行方式。

2 常見的黑客攻擊方式

隨著通信技術(shù)的飛速發(fā)展，電力系統(tǒng)已經(jīng)發(fā)展成為由物理電力系統(tǒng)與信息通信系統(tǒng)結(jié)合而成的復(fù)雜耦合網(wǎng)絡(luò)系統(tǒng)。綜合近年來電力系統(tǒng)受到的病毒木馬攻擊事件，發(fā)現(xiàn)最常受攻擊的是電力觀測系統(tǒng)。該系統(tǒng)包括數(shù)據(jù)采集與監(jiān)控系統(tǒng)、SCADA系統(tǒng)、相量的測量單元（PMU）、繼電保護(hù)裝置信息在內(nèi)的測量系統(tǒng)和包括狀態(tài)估計(jì)在內(nèi)的電力網(wǎng)絡(luò)狀態(tài)評估系統(tǒng)。電力觀測系統(tǒng)是電力系統(tǒng)的眼睛，為整個系統(tǒng)的決策支持提供最基本的服務(wù)信息。因此，一旦病毒木馬成功攻擊電力觀測系統(tǒng)，將會對整個電力系統(tǒng)造成巨大危險[2]。例如，病毒木馬將測量設(shè)備的遠(yuǎn)程控制終端密碼系統(tǒng)進(jìn)行破解后可以修改數(shù)據(jù)，而利用光纖竊聽技術(shù)可截獲和修改SCADA系統(tǒng)傳送到控制中心的各類數(shù)據(jù)等，這種攻擊方式稱為壞數(shù)據(jù)注入攻擊。通過精心設(shè)計(jì)，被修改的測量值基本不會被傳統(tǒng)狀態(tài)估計(jì)的壞數(shù)據(jù)辨識系統(tǒng)檢測出來。這類壞數(shù)據(jù)注入攻擊通過控制電力觀測系統(tǒng)中的若干個測量設(shè)備的數(shù)值，達(dá)到干擾破壞電力系統(tǒng)狀態(tài)估計(jì)的結(jié)果，從而影響電力系統(tǒng)的決策系統(tǒng)，改變對電力系統(tǒng)物理狀態(tài)的估計(jì)和運(yùn)行調(diào)度的決策。這種攻擊方式甚至能夠進(jìn)一步影響近年來國內(nèi)迅猛發(fā)展的電力市場業(yè)務(wù)，造成巨大的經(jīng)濟(jì)損失?？偟脕碚f，無論黑客采用怎樣的攻擊方法，它的入侵流程基本保持不變。圖1是黑客利用Windows系統(tǒng)入侵工業(yè)控制系統(tǒng)的基本流程。

3 防黑客攻擊研究與實(shí)踐

3.1 相關(guān)的技術(shù)研究

3.1.1 系統(tǒng)的運(yùn)行現(xiàn)狀

當(dāng)今的網(wǎng)絡(luò)攻擊能夠瞬間到達(dá)縱深目標(biāo)，并隨著攻擊隱蔽性的不斷增強(qiáng)和監(jiān)測可感知性的逐漸下降，可用強(qiáng)大的攻擊能力完成對電力系統(tǒng)設(shè)備的精準(zhǔn)打擊，破壞電網(wǎng)的穩(wěn)定性。因此，為了確保廣東珠海金灣發(fā)電有限公司繼電保護(hù)相關(guān)電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全，切實(shí)提高電力監(jiān)控系統(tǒng)的主機(jī)系統(tǒng)安全和主機(jī)防護(hù)能力，對涉網(wǎng)設(shè)備進(jìn)行了詳細(xì)自查。結(jié)果發(fā)現(xiàn)，4號機(jī)故障錄波分析裝置采用的是Windows 98操作系統(tǒng)，開放了易受網(wǎng)絡(luò)攻擊的高危端口，且無法進(jìn)行關(guān)閉，還不能安裝MS17-010等高危漏洞的補(bǔ)丁。該裝置通過保信子站接入到南方電網(wǎng)調(diào)度端主站，一旦被黑客或病毒木馬入侵，將造成整個電網(wǎng)的癱瘓，嚴(yán)重威脅著電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全。調(diào)研發(fā)現(xiàn)，南方電網(wǎng)已經(jīng)出現(xiàn)多起由于故障錄波分析裝置引發(fā)的網(wǎng)絡(luò)安全事件。由于廣東珠海金灣發(fā)電有限公司的4號機(jī)故障錄波分析裝置是在2007年投入使用的，已經(jīng)較頻繁的出現(xiàn)故障，特別是存在采樣數(shù)據(jù)不準(zhǔn)的缺陷，嚴(yán)重影響了對發(fā)電機(jī)組故障數(shù)據(jù)分析的及時性和準(zhǔn)確性。因此，對存在嚴(yán)重安全漏洞的4號機(jī)故障錄波分析裝置需進(jìn)行升級改造。

3.1.2 優(yōu)化改造的原理

經(jīng)過認(rèn)真對比、討論、評價打分和商榷，最終確定對4號機(jī)故障錄波分析裝置進(jìn)行部分升級優(yōu)化改造。具體地，將ZH-2升級為嵌入式的ZH-5故障錄波分析裝置管理機(jī)。該裝置應(yīng)用高可靠性的實(shí)時操作系統(tǒng)VxWorks，并結(jié)合DSP構(gòu)成純嵌入式的故障錄波和分析裝置。基本結(jié)構(gòu)如圖2所示。

升級后的嵌入式圖形系統(tǒng)擁有完整的波形查看、分析等全部的錄波器功能。由于采用的是類似Windows風(fēng)格的操作界面，人、機(jī)交流更加方便，簡潔易上手。

3.1.3 系統(tǒng)的抗病毒原理

黑客入侵工控系統(tǒng)的眾多事件研究表明，涉網(wǎng)設(shè)備會被病毒或惡意軟件入侵，最重要的原因是設(shè)備多使用Windows操作系統(tǒng)。由于ZH-5錄波裝置所有的功能都不需使用Windows軟件，采用的是高可靠性的VxWorks實(shí)時嵌入式操作系統(tǒng)，并有針對性地裁減VxWorks組件，因此能夠最大程度地避免被攻擊，極大地增強(qiáng)了其他聯(lián)網(wǎng)設(shè)備與整個網(wǎng)絡(luò)的穩(wěn)定性[3]。

3.1.4 兩種錄波方式的特點(diǎn)

該系統(tǒng)有兩種不一樣的錄波方式，分別是暫態(tài)錄波和穩(wěn)態(tài)連續(xù)記錄。其中，暫態(tài)錄波是通過FPGA裝置對采集的每一幀數(shù)據(jù)進(jìn)行絕對時間的標(biāo)定后將其送到DSP裝置。DSP會啟動判據(jù)立即實(shí)施計(jì)算，如果判據(jù)滿足要求，立刻進(jìn)入錄波狀態(tài)，將啟動時刻前、后的部分?jǐn)?shù)據(jù)以高采樣率的方式進(jìn)行保存，并傳輸?shù)角度胧紺PU將數(shù)據(jù)保存為文件。同時，嵌入式CPU會自動對數(shù)據(jù)進(jìn)行故障分析與測距，并總結(jié)初步的分析報告。穩(wěn)態(tài)連續(xù)記錄是指錄波裝置在啟動后，以1 000 Hz頻率的高采樣率不停向暫態(tài)錄波插件發(fā)送實(shí)時采樣數(shù)據(jù)，從而生成實(shí)時監(jiān)測的數(shù)據(jù)與畫面。由于能夠查看到波形的具體相位信息，因此比暫態(tài)錄波的有效值記錄形式更有分析價值，但是數(shù)據(jù)容量相對較大。

3.2 技術(shù)優(yōu)化實(shí)踐過程

3.2.1 有關(guān)邏輯建模

首先依據(jù)IEC 61850規(guī)范對裝置管理機(jī)進(jìn)行邏輯設(shè)備建模。由于錄波在物理功能上分為暫態(tài)錄波和穩(wěn)態(tài)連續(xù)記錄兩種。每一個物理設(shè)備建模均是一個server，并用多個邏輯設(shè)備的LD對應(yīng)這個設(shè)備上不相同的物理功能模塊。因此，將同一個錄波裝置上的暫態(tài)錄波與穩(wěn)態(tài)連續(xù)記錄功能的對象分別建立成兩個不同的邏輯設(shè)備。

其次，進(jìn)行錄波分析裝置管理機(jī)的邏輯節(jié)點(diǎn)建模。一般的邏輯設(shè)備至少要包含LPHD、LLN0和RDRE三個邏輯節(jié)點(diǎn)。要注意的是，錄波裝置中全部的系統(tǒng)功能擴(kuò)展都放在RDRE中。在這三個邏輯節(jié)點(diǎn)中，除了標(biāo)準(zhǔn)中規(guī)定的強(qiáng)制數(shù)據(jù)對象外，還規(guī)定了部分強(qiáng)制數(shù)據(jù)對象，如表1所示。

表1 邏輯節(jié)點(diǎn)的強(qiáng)制數(shù)據(jù)對象

3.2.2 配置接入信號

要使錄波裝置能夠正常工作，必須將各接入信號的名稱、參數(shù)及其與一次設(shè)備之間的關(guān)系準(zhǔn)確接入專門的配置軟件。這里采用的配置原則是“先配一次設(shè)備、后配通道”。在配置線路時要注意，廣東珠海金灣發(fā)電有限公司采用的是3/2接線方式線路，接入的是開關(guān)電流。因此，方式要選中“3/2接線且接入開關(guān)電流”，這樣該線路就可以關(guān)聯(lián)到2組的TA（通常是斷路器電流），還可以進(jìn)行TA極性的配置。由于線路電流是兩組TA的矢量和，這樣該線路就同普通線路一樣可以進(jìn)行故障測距。

在配置一次設(shè)備的關(guān)聯(lián)通道時，對于變壓器，要將所有分支的TA極性都配置準(zhǔn)確，差流定值才能準(zhǔn)確動作。如果TA極性設(shè)置不對，可能造成暫態(tài)錄波不能及時啟動，或者選線錯誤及測距不準(zhǔn)。對于一次設(shè)備的TA極性，需全部按照“流入一次設(shè)備的內(nèi)部為正向”原則來設(shè)置。主要原則有：（1）線路設(shè)置時，如果是流向線路方向即流出升壓站的，則極性端在母線側(cè)設(shè)為正方向，否則設(shè)為反方向；（2）對于變壓器，流入變壓器則極性端在母線側(cè)設(shè)為正方向，否則設(shè)為反方向；（3）變壓器的中性點(diǎn)電流同樣也是以流入為正。

3.2.3 相關(guān)參數(shù)的設(shè)置

首先要設(shè)置各運(yùn)行參數(shù)，如一般的參數(shù)、通信設(shè)置、GPS對時設(shè)置、靜態(tài)路由設(shè)置和修改時間裝置等。設(shè)置好參數(shù)后，進(jìn)入實(shí)時波形監(jiān)視頁面，全面監(jiān)視接入的所有模擬量信號，查看、比對各通道的測量值。波形要和實(shí)際信號一致，如圖3所示。最后，按定值整定范圍和整定原則進(jìn)行相關(guān)模擬量定值、頻率定值、變壓器定值、序量定值和開關(guān)量定值的整定核對。

圖3 3/2接線的相量監(jiān)視波形圖

3.2.4 采樣裝置DSP采樣數(shù)據(jù)不準(zhǔn)的通道改接

4號機(jī)A廠高變低壓側(cè)B分支40BBB01電流Ia、Ib、Ic、In的DSP接觸不良，會導(dǎo)致采樣數(shù)據(jù)出現(xiàn)缺陷。針對這種情況，改接錄波裝置外通道。將4號機(jī)A廠高變低壓側(cè)B分支40BBB01電流Ia、Ib、Ic、In的錄波通道由29、30、31、32改至備用通道37、38、39、40，并將其 CT回路 A4451、B4451、C4451、N4451由 2D：81、2D：82、2D：83、2D：84改 接 至 2D：89、2D：90、2D：91、2D：92，如圖4、圖5所示。通道改接后，通過備用DSP插件的端口連接故障錄波管理機(jī)多次測試，證明采樣數(shù)據(jù)準(zhǔn)確無誤。因此，無需更換整套錄波采樣裝置，為公司節(jié)省了大量的設(shè)備采購經(jīng)費(fèi)。

圖4 改接前40BBB01的電流CT回路外接線

3.2.5 裝置調(diào)試采樣及整定值校驗(yàn)

首先進(jìn)行整定值的校驗(yàn)調(diào)試，確保發(fā)電機(jī)機(jī)端電壓、機(jī)端電流、中性點(diǎn)電流、中性點(diǎn)零序電流與主變、廠高變、勵磁變電流的整定值校驗(yàn)調(diào)試正常。其次，對500 kV線路各相電壓、發(fā)電機(jī)機(jī)端三相電流等交流回路的采樣值進(jìn)行檢驗(yàn)，確認(rèn)正常。最后，進(jìn)行輸入接點(diǎn)（模擬保護(hù)動作）調(diào)試傳動試驗(yàn)，對發(fā)電機(jī)差動、非電量關(guān)閉主汽門等相關(guān)的所有保護(hù)進(jìn)行逐一試驗(yàn)。結(jié)果顯示全部準(zhǔn)確，滿足了南方電網(wǎng)的要求，且整體運(yùn)行情況很好，投運(yùn)至今未出現(xiàn)異常現(xiàn)象，杜絕了病毒感染，確保了機(jī)組和整個電網(wǎng)的安全穩(wěn)定運(yùn)行。

3.3 優(yōu)化實(shí)踐的經(jīng)驗(yàn)

通過本次對發(fā)電機(jī)組涉網(wǎng)設(shè)備防黑客攻擊的改造升級優(yōu)化，對相關(guān)網(wǎng)絡(luò)安全防護(hù)有了更深認(rèn)識，在運(yùn)維過程中要特別注意以下事項(xiàng)：（1）涉網(wǎng)設(shè)備要盡量運(yùn)用國產(chǎn)自主研發(fā)的工控安全設(shè)備如嵌入式操作系統(tǒng)等，確?？刂凭W(wǎng)絡(luò)和信息網(wǎng)絡(luò)間的通信聯(lián)系與訪問記錄受到嚴(yán)格監(jiān)管；（2）對設(shè)備廠家提供給的任何管理員級別賬戶的操作，要使用專門的監(jiān)測工具進(jìn)行監(jiān)測；（3）定期對涉網(wǎng)設(shè)備進(jìn)行軟硬件升級與防御性能的測試。

4 結(jié) 論

針對目前電力系統(tǒng)涉網(wǎng)設(shè)備嚴(yán)峻的形勢，廣東珠海金灣發(fā)電有限公司對存在嚴(yán)重安全隱患的4號機(jī)故障錄波分析裝置進(jìn)行了優(yōu)化升級改造，使用嵌入式圖形操作系統(tǒng)、最新的DSP技術(shù)和大規(guī)模的FPGA技術(shù)，使其運(yùn)行、配置和維護(hù)不再需要Windows系統(tǒng)，能夠完全抵抗病毒和惡意軟件的攻擊，大大提高了涉網(wǎng)裝置的網(wǎng)絡(luò)安全性與穩(wěn)定性，對其他廠家類似的設(shè)備有著較大的借鑒意義。