基于數(shù)據(jù)安全的繼電保護(hù)設(shè)備合規(guī)并網(wǎng)方案設(shè)計(jì)

韋恒，李海勇，顏麗，黃超，廖曉春，曾令森

(1.廣西電網(wǎng)有限責(zé)任公司，廣西 南寧 530013；2.武漢華電順承科技有限公司，湖北 武漢 430071)

近年來(lái)，國(guó)際安全形勢(shì)十分嚴(yán)峻，安全威脅層出不窮，國(guó)家級(jí)、集團(tuán)式安全事件時(shí)有發(fā)生。2017年全球爆發(fā)的“永恒之藍(lán)”勒索病毒，對(duì)包括電力系統(tǒng)在內(nèi)的能源關(guān)鍵基礎(chǔ)設(shè)施發(fā)起大范圍的網(wǎng)絡(luò)攻擊并實(shí)施惡意勒索，造成了極其嚴(yán)重的影響[1-3]。電力系統(tǒng)作為國(guó)計(jì)民生的一種基礎(chǔ)性資源，在各個(gè)領(lǐng)域的廣泛應(yīng)用推動(dòng)了社會(huì)經(jīng)濟(jì)的飛速發(fā)展，成為信息安全網(wǎng)絡(luò)戰(zhàn)的重點(diǎn)攻擊目標(biāo)之一。

為了應(yīng)對(duì)日益復(fù)雜的國(guó)際網(wǎng)絡(luò)環(huán)境，我國(guó)對(duì)網(wǎng)絡(luò)化、信息化程度不斷提高的電力系統(tǒng)網(wǎng)絡(luò)信息安全防護(hù)要求不斷升級(jí)。在根據(jù)﹝國(guó)能安全36號(hào)文﹞《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》進(jìn)行安全排查過(guò)程中，發(fā)現(xiàn)監(jiān)控電力大數(shù)據(jù)的繼電保護(hù)設(shè)備存在錯(cuò)綜復(fù)雜的安全問(wèn)題，如未部署入侵檢測(cè)、未限制訪問(wèn)權(quán)限、未安裝殺毒軟件、未關(guān)閉多余接口、未限制遠(yuǎn)程登錄地址、未設(shè)置超時(shí)策略等，故安全管理部門對(duì)繼電保護(hù)設(shè)備廠商提出了強(qiáng)制性的安全防護(hù)整改要求，設(shè)備必須符合電力監(jiān)控系統(tǒng)安全入網(wǎng)條件才能并網(wǎng)[4-5]。目前部分錄波器服役年限未到但安全問(wèn)題頻發(fā)，老舊錄波器因無(wú)有效的安全防護(hù)整改措施，不滿足安全整改要求而脫網(wǎng)運(yùn)行的情況已大面積出現(xiàn)，成為電力行業(yè)亟待解決的問(wèn)題。

近年來(lái)，隨著信息技術(shù)的不斷發(fā)展，國(guó)內(nèi)外展開了互聯(lián)網(wǎng)信息安全方面的廣泛研究，但在繼電保護(hù)領(lǐng)域信息安全防護(hù)方面的研究相對(duì)較少。文獻(xiàn)[6-7]聚焦于能源互聯(lián)網(wǎng)安全可信縱深防御體系研究，與電力系統(tǒng)業(yè)務(wù)接壤的安全保障展示不夠充分。文獻(xiàn)[8]揭示了電力系統(tǒng)終端的脆弱性，提出構(gòu)建智能終端安全防護(hù)體系的重要性。文獻(xiàn)[9]部署威脅驅(qū)動(dòng)的電力監(jiān)控系統(tǒng)，探究電力監(jiān)控系統(tǒng)中各種連接互聯(lián)網(wǎng)資產(chǎn)暴露出的漏洞及采取的安全措施。文獻(xiàn)[10-11]利用風(fēng)險(xiǎn)識(shí)別技術(shù)和戰(zhàn)略響應(yīng)機(jī)制，建設(shè)智能變電站安全防護(hù)體系，可實(shí)現(xiàn)智能設(shè)備的安全防護(hù)監(jiān)管和風(fēng)險(xiǎn)應(yīng)對(duì)，對(duì)聯(lián)網(wǎng)智能設(shè)備暴露的網(wǎng)絡(luò)威脅有抵御能力，但無(wú)法解決現(xiàn)有老舊二次設(shè)備的合規(guī)并網(wǎng)問(wèn)題。文獻(xiàn)[12]建立了電力企業(yè)二次系統(tǒng)安全防護(hù)監(jiān)視平臺(tái)，但未深入探索防御體系。通過(guò)以上研究發(fā)現(xiàn)，目前電力系統(tǒng)二次設(shè)備安全防護(hù)技術(shù)雖然在一定程度上對(duì)暴露出的安全問(wèn)題進(jìn)行了有效防御，但仍停留于設(shè)備的狀態(tài)監(jiān)視和短效防守的安全防護(hù)配套階段，有待進(jìn)一步開展長(zhǎng)效、主動(dòng)的網(wǎng)絡(luò)信息安全防護(hù)研究。

基于此，本文設(shè)計(jì)一種基于數(shù)據(jù)安全的繼電保護(hù)設(shè)備合規(guī)并網(wǎng)方案，以現(xiàn)存安全防護(hù)問(wèn)題比較突出的繼電保護(hù)設(shè)備錄波器為例，利用合規(guī)并網(wǎng)裝置對(duì)同站所有錄波器進(jìn)行安全監(jiān)管代理，建立主動(dòng)防御的安全防護(hù)模型和健全的防護(hù)機(jī)制，形成錄波器和調(diào)度數(shù)據(jù)網(wǎng)之間的一道安全屏障。該方案能有效隔離不合規(guī)錄波器存在的風(fēng)險(xiǎn)，后期安全策略升級(jí)不再需要協(xié)調(diào)不同錄波器廠商進(jìn)行升級(jí)防護(hù)，只需在調(diào)度側(cè)對(duì)分布式合規(guī)并網(wǎng)裝置進(jìn)行遠(yuǎn)程運(yùn)維和常態(tài)化管理，統(tǒng)一部署標(biāo)準(zhǔn)化的升級(jí)策略即可，是一種長(zhǎng)效、主動(dòng)的變電站錄波器合規(guī)并網(wǎng)保障方法。

1 合規(guī)并網(wǎng)裝置安全防護(hù)模型

合規(guī)并網(wǎng)裝置采用體積小、功耗低、成本低和集成度高的嵌入式處理器，使用穩(wěn)定性好、可靠性高、可裁剪的操作系統(tǒng)，形成系統(tǒng)最小化、軟件輕量化和自維護(hù)的運(yùn)行模式，實(shí)現(xiàn)與錄波器同壽命、等規(guī)格的長(zhǎng)效安全并網(wǎng)保障。該裝置在繼電保護(hù)老舊設(shè)備與網(wǎng)絡(luò)間建立安全隔離屏障與合規(guī)信息通道，將繼電保護(hù)安全防護(hù)管控水平由被動(dòng)配合提升到主動(dòng)防御。

合規(guī)并網(wǎng)裝置安全防護(hù)模型如圖1所示，運(yùn)用安全防御手段監(jiān)控內(nèi)外環(huán)境中關(guān)聯(lián)部分的網(wǎng)絡(luò)活動(dòng)和數(shù)據(jù)安全狀態(tài)，并收集風(fēng)險(xiǎn)事件，集中記錄、分析、處理和報(bào)警，將風(fēng)險(xiǎn)控制在最小影響范圍，形成廠站側(cè)的安全防護(hù)屏障，保障系統(tǒng)、數(shù)據(jù)和網(wǎng)絡(luò)不受來(lái)自內(nèi)外部不安全因素的入侵和破壞。后期只需對(duì)合規(guī)并網(wǎng)裝置統(tǒng)一進(jìn)行安全策略升級(jí)即可，提供數(shù)據(jù)傳遞合規(guī)通道，是一種長(zhǎng)效、主動(dòng)的安全防御方案，可滿足日益提高的電力系統(tǒng)安全防護(hù)要求[13]。

圖1 合規(guī)并網(wǎng)裝置安全防護(hù)模型

a)風(fēng)險(xiǎn)評(píng)估：自動(dòng)檢測(cè)合規(guī)并網(wǎng)裝置自身及所連接的錄波器安全達(dá)標(biāo)情況，收集站內(nèi)聯(lián)網(wǎng)設(shè)備可能存在的潛在風(fēng)險(xiǎn)，評(píng)估風(fēng)險(xiǎn)將會(huì)帶來(lái)的影響，設(shè)定裝置的初始環(huán)境條件。

b)安全防護(hù)：根據(jù)初始環(huán)境，事先設(shè)置預(yù)案，部署相應(yīng)的安全策略。在安全策略指導(dǎo)下制訂相應(yīng)的安全防護(hù)機(jī)制，進(jìn)行裝置安全配置管理，確保合規(guī)并網(wǎng)裝置能有效隔離風(fēng)險(xiǎn)。裝置的安全防護(hù)機(jī)制包含但不限于集中管理、身份認(rèn)證、訪問(wèn)控制、權(quán)限控制和操作審計(jì)。

c)檢測(cè)校核：檢測(cè)已實(shí)施安全防護(hù)策略配置的合規(guī)并網(wǎng)裝置的安全等級(jí)，實(shí)時(shí)感知經(jīng)該裝置傳輸?shù)臄?shù)據(jù)是否攜帶風(fēng)險(xiǎn)，核對(duì)風(fēng)險(xiǎn)項(xiàng)檢測(cè)的完整度，生成安全校核結(jié)果。根據(jù)校核結(jié)果進(jìn)行風(fēng)險(xiǎn)攔截和報(bào)警，并將合規(guī)數(shù)據(jù)安全上送至主站系統(tǒng)。

d)響應(yīng)與恢復(fù)：針對(duì)不同性質(zhì)的風(fēng)險(xiǎn)動(dòng)態(tài)更新安全應(yīng)對(duì)方案，對(duì)報(bào)警信號(hào)作出應(yīng)急響應(yīng)，如調(diào)整安全策略、切斷攻擊源頭、追蹤攻擊線索等。若合規(guī)并網(wǎng)裝置系統(tǒng)遭到破壞，則利用備份體系進(jìn)行異?；謴?fù)處理，提高系統(tǒng)自維護(hù)能力。

e)遠(yuǎn)程策略升級(jí)：不再需要聯(lián)系各錄波器廠商對(duì)異種錄波器進(jìn)行安全防護(hù)整改，只需在調(diào)度側(cè)通過(guò)遠(yuǎn)程控制的方式對(duì)合規(guī)并網(wǎng)裝置統(tǒng)一進(jìn)行策略調(diào)整或升級(jí)，實(shí)施標(biāo)準(zhǔn)化安全升級(jí)維護(hù)流程[14-15]。

2 合規(guī)并網(wǎng)裝置安全防護(hù)方案

電力系統(tǒng)長(zhǎng)期存在老舊錄波器因安全防護(hù)整改不達(dá)標(biāo)而大面積脫網(wǎng)運(yùn)行的問(wèn)題，導(dǎo)致錄波數(shù)據(jù)無(wú)法正常上送，數(shù)據(jù)獲取出現(xiàn)較大延時(shí)。設(shè)計(jì)符合安全防護(hù)要求的合規(guī)并網(wǎng)裝置，對(duì)變電站內(nèi)所有錄波器進(jìn)行安全防護(hù)監(jiān)管代理，是一種長(zhǎng)效、主動(dòng)的繼電保護(hù)錄波器設(shè)備安全并網(wǎng)解決方案。

2.1 合規(guī)并網(wǎng)裝置網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

安全防護(hù)模型切斷了對(duì)安全防護(hù)整改不達(dá)標(biāo)的錄波器的直接訪問(wèn)，而是采用合規(guī)并網(wǎng)裝置代理的方式，接管了主站系統(tǒng)對(duì)錄波器的訪問(wèn)，即錄波數(shù)據(jù)的上送或召喚均需經(jīng)過(guò)合規(guī)并網(wǎng)裝置，幫助調(diào)度數(shù)據(jù)網(wǎng)和主站系統(tǒng)隔離安全操作風(fēng)險(xiǎn)，并簡(jiǎn)化安全防護(hù)整改流程。合規(guī)并網(wǎng)裝置網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖2所示。

圖2 合規(guī)并網(wǎng)裝置網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

合規(guī)并網(wǎng)裝置在主站系統(tǒng)和錄波器中間所發(fā)揮的作用如下：

a)錄波器兼容：合規(guī)并網(wǎng)裝置兼容常見的IEC 61850和IEC 60870-5-103等多種規(guī)約形式，適應(yīng)不同廠商錄波器規(guī)約服務(wù)程序的通信連接，可實(shí)現(xiàn)異種錄波器的一站式接入和數(shù)據(jù)的可靠傳輸，最大限度地發(fā)揮老舊錄波器全生命周期的價(jià)值。

b)物理隔離：故障錄波器不再直接接入調(diào)度數(shù)據(jù)網(wǎng)，而是接入合規(guī)并網(wǎng)裝置，再由合規(guī)并網(wǎng)裝置向錄波和保信主站提供數(shù)據(jù)服務(wù)接口，隔離不合規(guī)錄波器的接入可能帶來(lái)的安全風(fēng)險(xiǎn)。

c)邏輯映射：基于錄波器物理地址將索引目錄表映射成物理地址表，基于錄波器屬性信息將錄波器物理地址表映射成邏輯地址表，使得主站和原有錄波器業(yè)務(wù)交互通過(guò)并網(wǎng)裝置提供的合規(guī)通道無(wú)感運(yùn)作，發(fā)揮安全管控的作用。

d)鏡像傳輸：從主存儲(chǔ)模塊讀取可上送的元數(shù)據(jù)，利用數(shù)據(jù)鏡像制作工具生成鏡像文件，保存于從存儲(chǔ)模塊。在主站對(duì)原錄波器發(fā)送數(shù)據(jù)請(qǐng)求指令后，通過(guò)邏輯映射和數(shù)據(jù)鏡像從獨(dú)立上行接口安全輸出，實(shí)現(xiàn)錄波數(shù)據(jù)從廠站側(cè)局域網(wǎng)到調(diào)度數(shù)據(jù)網(wǎng)安全傳輸?shù)哪康摹?/p>

e)安全策略配置：根據(jù)電力系統(tǒng)安全防護(hù)要求和錄波數(shù)據(jù)傳輸鏈路安全需求定制，配置統(tǒng)一的安全策略，建立安全防護(hù)機(jī)制，在變電站錄波器和調(diào)度數(shù)據(jù)網(wǎng)之間形成一道安全保護(hù)屏障，確保錄波數(shù)據(jù)的安全上送。

2.2 合規(guī)并網(wǎng)裝置安全防護(hù)機(jī)制

合規(guī)并網(wǎng)裝置安全防護(hù)側(cè)重于集中管理、身份認(rèn)證、訪問(wèn)控制、權(quán)限控制和操作審計(jì)等機(jī)制，錄波數(shù)據(jù)的上送或召喚均需經(jīng)過(guò)合規(guī)并網(wǎng)裝置檢測(cè)和校核。該裝置只有自身安全防護(hù)機(jī)制健全，才能有效隔離漏洞、惡意代碼和非法訪問(wèn)等各種不安全因素，形成安全保護(hù)屏障。合規(guī)并網(wǎng)裝置安全防護(hù)機(jī)制如下：

a)集中管理：對(duì)同一變電站內(nèi)所有錄波器數(shù)據(jù)進(jìn)行集中監(jiān)控，挖掘安全狀態(tài)不統(tǒng)一的錄波器數(shù)據(jù)安全風(fēng)險(xiǎn)問(wèn)題予以整理，歸集不安全因素，實(shí)現(xiàn)統(tǒng)一管理。

b)身份認(rèn)證：對(duì)系統(tǒng)操作者的身份進(jìn)行識(shí)別和驗(yàn)證。相關(guān)標(biāo)準(zhǔn)對(duì)繼電保護(hù)系統(tǒng)網(wǎng)絡(luò)信息安全提出了明確的要求，即采用至少2種認(rèn)證方式登錄系統(tǒng)，通過(guò)身份管理來(lái)準(zhǔn)確定位操作責(zé)任人。

c)訪問(wèn)控制：利用加密技術(shù)限制操作者對(duì)裝置的訪問(wèn)權(quán)限，杜絕數(shù)據(jù)被任意登錄操作，從而保護(hù)合法操作者訪問(wèn)數(shù)據(jù)資源，降低非法訪問(wèn)所帶來(lái)的風(fēng)險(xiǎn)。

d)權(quán)限控制：對(duì)不同用戶根據(jù)業(yè)務(wù)需求實(shí)施最小授權(quán)的管控策略，最大限度地保護(hù)數(shù)據(jù)安全，嚴(yán)防越權(quán)等風(fēng)險(xiǎn)事件的發(fā)生。

e)操作審計(jì)：全程實(shí)時(shí)監(jiān)控，記錄操作者在服務(wù)器、數(shù)據(jù)庫(kù)及關(guān)聯(lián)設(shè)備上所做的各種操作，包括命令、圖形和文件等。審計(jì)操作事件，根據(jù)監(jiān)控記錄進(jìn)行問(wèn)題的追本溯源，直接定位安全問(wèn)題根源，對(duì)違規(guī)行為進(jìn)行控制、告警和阻斷[16]。

2.3 數(shù)據(jù)安全防護(hù)傳輸過(guò)程

合規(guī)并網(wǎng)裝置是在廠站側(cè)局域網(wǎng)內(nèi)部設(shè)置的安全防護(hù)系統(tǒng)，是保障不合規(guī)錄波器繼續(xù)發(fā)揮作用的安全隔離設(shè)備，可避免不合規(guī)錄波器產(chǎn)生攜帶有不安全因素的錄波數(shù)據(jù)對(duì)調(diào)度數(shù)據(jù)網(wǎng)的破壞，用于實(shí)現(xiàn)不合規(guī)錄波器和調(diào)度數(shù)據(jù)網(wǎng)之間的可靠連接。該裝置對(duì)接收到的錄波數(shù)據(jù)進(jìn)行安全檢查和風(fēng)險(xiǎn)攔截，整個(gè)過(guò)程如圖3所示，主要由通信模塊、安全檢查模塊和數(shù)據(jù)處理模塊來(lái)完成可靠錄波數(shù)據(jù)的安全上送。

圖3 數(shù)據(jù)安全防護(hù)傳輸過(guò)程

a)通信模塊：與不同廠商錄波器建立通信連接，接收變電站內(nèi)所有錄波器實(shí)時(shí)傳輸?shù)匿洸〝?shù)據(jù)。

b)安全檢查模塊：對(duì)不同來(lái)源的數(shù)據(jù)按安全防護(hù)過(guò)程進(jìn)行記錄標(biāo)記、指標(biāo)檢查、病毒查殺、安全評(píng)估等操作，從不同角度對(duì)檢查出的風(fēng)險(xiǎn)項(xiàng)進(jìn)行綜合評(píng)估，對(duì)每條數(shù)據(jù)生成評(píng)估結(jié)果，并進(jìn)行安全校核審查。

c)數(shù)據(jù)處理模塊：根據(jù)校核結(jié)果對(duì)數(shù)據(jù)進(jìn)行安全上送或風(fēng)險(xiǎn)攔截的處理操作，利用邏輯映射的隔離防護(hù)技術(shù)形成安全屏障隔離風(fēng)險(xiǎn)，利用數(shù)據(jù)鏡像的安全傳輸技術(shù)實(shí)現(xiàn)合規(guī)數(shù)據(jù)安全上送，確保合規(guī)并網(wǎng)裝置輸出的數(shù)據(jù)安全接入調(diào)度數(shù)據(jù)網(wǎng)。

3 合規(guī)并網(wǎng)裝置安全防護(hù)關(guān)鍵技術(shù)

合規(guī)并網(wǎng)裝置對(duì)錄波數(shù)據(jù)進(jìn)行安全檢查和隔離，其安全防護(hù)關(guān)鍵技術(shù)采用了邏輯映射、數(shù)據(jù)鏡像和安全評(píng)估，實(shí)現(xiàn)錄波數(shù)據(jù)從廠站側(cè)局域網(wǎng)到調(diào)度數(shù)據(jù)網(wǎng)的安全傳輸。合規(guī)并網(wǎng)裝置部署在數(shù)據(jù)支撐的入口，主站系統(tǒng)必須經(jīng)過(guò)該裝置允許后才能進(jìn)行數(shù)據(jù)訪問(wèn)。

a)基于邏輯映射的隔離防護(hù)技術(shù)：利用邏輯映射方式，建立錄波器數(shù)據(jù)邏輯地址和物理地址之間的映射關(guān)系，實(shí)現(xiàn)主站指令的實(shí)時(shí)響應(yīng)，杜絕外部網(wǎng)絡(luò)非法訪問(wèn)和攻擊，在錄波器和主站系統(tǒng)之間建立安全防護(hù)屏障和無(wú)感傳輸通道。

b)基于數(shù)據(jù)鏡像的安全傳輸技術(shù)：對(duì)主存儲(chǔ)模塊經(jīng)安全檢查和病毒查殺后可上傳的錄波數(shù)據(jù)進(jìn)行鏡像制作，快速生成后保存于從存儲(chǔ)模塊，實(shí)現(xiàn)錄波數(shù)據(jù)的安全傳輸。

c)基于風(fēng)險(xiǎn)矩陣法的數(shù)據(jù)安全評(píng)估：從網(wǎng)絡(luò)、數(shù)據(jù)、設(shè)備等角度評(píng)估數(shù)據(jù)的綜合風(fēng)險(xiǎn)等級(jí)，判斷數(shù)據(jù)是否具備上送條件，根據(jù)數(shù)據(jù)安全評(píng)估結(jié)果進(jìn)行合規(guī)數(shù)據(jù)的安全上送。

3.1 基于邏輯映射的隔離防護(hù)技術(shù)

合規(guī)并網(wǎng)裝置在輸入與輸出網(wǎng)口之間采用獨(dú)立的外設(shè)部件互連標(biāo)準(zhǔn)(peripheral component interconnect，PCI)總線設(shè)計(jì)，分配一批內(nèi)網(wǎng)IP地址用于錄波器通信接口接入本裝置的輸入網(wǎng)口，錄波器原有的調(diào)度數(shù)據(jù)網(wǎng)IP地址將上移到本裝置的輸出網(wǎng)口上，每個(gè)輸出網(wǎng)口單獨(dú)配置原有錄波器的調(diào)度數(shù)據(jù)網(wǎng)IP和服務(wù)端口，這樣主站仍采用原有的IP+服務(wù)端口的通信模式即可。

基于邏輯映射的隔離防護(hù)如圖4所示，利用基于邏輯映射的隔離防護(hù)技術(shù)，建立原錄波器數(shù)據(jù)服務(wù)與主站指令之間存在的邏輯關(guān)系，根據(jù)主站系統(tǒng)下發(fā)的請(qǐng)求，利用邏輯映射從隔離的從存儲(chǔ)模塊和獨(dú)立上行接口獲取與錄波器相對(duì)應(yīng)的鏡像數(shù)據(jù)，實(shí)現(xiàn)原有錄波器數(shù)據(jù)在安全處理后對(duì)主站指令的無(wú)感響應(yīng)，同時(shí)可以將不合規(guī)錄波器數(shù)據(jù)安全問(wèn)題控制在廠站側(cè)最小范圍內(nèi)[17-18]。

圖4 基于邏輯映射的隔離防護(hù)

3.2 基于數(shù)據(jù)鏡像的安全傳輸技術(shù)

數(shù)據(jù)鏡像技術(shù)通過(guò)配置冗余的硬件和鏡像制作工具，將待上傳的數(shù)據(jù)通過(guò)鏡像方式快速備份至冗余存儲(chǔ)設(shè)備，是一種常見的數(shù)據(jù)傳輸方法。

基于數(shù)據(jù)鏡像的安全傳輸如圖5所示。監(jiān)控模塊在監(jiān)測(cè)到數(shù)據(jù)新增時(shí)，進(jìn)行數(shù)據(jù)的安全指標(biāo)檢查并確認(rèn)可上傳的數(shù)據(jù)內(nèi)容，利用鏡像制作工具生成數(shù)據(jù)鏡像保存于從存儲(chǔ)模塊，等待主站系統(tǒng)的數(shù)據(jù)請(qǐng)求，完成可上傳錄波數(shù)據(jù)鏡像的上送，實(shí)現(xiàn)數(shù)據(jù)的安全傳輸。生成鏡像數(shù)據(jù)之前，在從存儲(chǔ)模塊上申請(qǐng)與元數(shù)據(jù)可上傳數(shù)據(jù)大小相同的空間用于存放鏡像數(shù)據(jù)，從存儲(chǔ)節(jié)點(diǎn)分發(fā)的鏡像位置寫入相應(yīng)的鏡像數(shù)據(jù)。在運(yùn)行過(guò)程中采用“心跳監(jiān)控”，如果讀取到鏡像數(shù)據(jù)尚未存入從存儲(chǔ)模塊，則反詢問(wèn)監(jiān)控模塊，從主存儲(chǔ)模塊上讀取，保持主、從存儲(chǔ)模塊安全數(shù)據(jù)內(nèi)容的實(shí)時(shí)同步[19-20]。

圖5 基于數(shù)據(jù)鏡像的安全傳輸

3.3 基于風(fēng)險(xiǎn)矩陣法的數(shù)據(jù)安全評(píng)估

合規(guī)并網(wǎng)裝置是原有錄波器和主站系統(tǒng)之間的物理屏障，可防止不合規(guī)錄波器直接接入調(diào)度數(shù)據(jù)網(wǎng)。利用邏輯映射實(shí)現(xiàn)該裝置數(shù)據(jù)輸入和輸出之間的隔離；通過(guò)數(shù)據(jù)鏡像技術(shù)實(shí)現(xiàn)主、從存儲(chǔ)數(shù)據(jù)的快速同步，完成合規(guī)數(shù)據(jù)的安全傳輸；基于風(fēng)險(xiǎn)矩陣的數(shù)據(jù)安全評(píng)估，實(shí)現(xiàn)數(shù)據(jù)風(fēng)險(xiǎn)等級(jí)的綜合判定，確認(rèn)可上送數(shù)據(jù)，最終目的是將風(fēng)險(xiǎn)控制在廠站側(cè)最小范圍。

基于風(fēng)險(xiǎn)矩陣的數(shù)據(jù)安全評(píng)估流程如圖6所示。應(yīng)用專家二維矩陣法處理數(shù)據(jù)，定量計(jì)算待評(píng)數(shù)據(jù)的風(fēng)險(xiǎn)要素，再利用Borda序值理論和層次分析法(analytical hierarchy process，AHP)得出各風(fēng)險(xiǎn)要素的權(quán)重，最后利用風(fēng)險(xiǎn)矩陣得出待評(píng)數(shù)據(jù)的風(fēng)險(xiǎn)等級(jí)值，確認(rèn)數(shù)據(jù)是否具備上送條件。將整個(gè)安全評(píng)估過(guò)程量化，使得最終數(shù)據(jù)評(píng)估結(jié)果更加清晰、客觀，具體步驟如下：

圖6 基于風(fēng)險(xiǎn)矩陣法的數(shù)據(jù)安全評(píng)估流程

a)以國(guó)際信息安全管理實(shí)踐規(guī)范ISO/IEC 27001和我國(guó)信息系統(tǒng)安全的相關(guān)評(píng)估準(zhǔn)則為基礎(chǔ)，識(shí)別出數(shù)據(jù)、網(wǎng)絡(luò)和設(shè)備等存在的風(fēng)險(xiǎn)項(xiàng)；

b)利用專家二維矩陣法，計(jì)算風(fēng)險(xiǎn)發(fā)生概率P和風(fēng)險(xiǎn)影響值I，不同的風(fēng)險(xiǎn)項(xiàng)和設(shè)備脆弱性結(jié)合導(dǎo)致的風(fēng)險(xiǎn)概率和影響具有較大的差異，計(jì)算方法要遵循實(shí)際情況評(píng)估；

c)根據(jù)風(fēng)險(xiǎn)發(fā)生概率P和風(fēng)險(xiǎn)影響值I對(duì)應(yīng)的等級(jí)評(píng)估標(biāo)準(zhǔn)，建立風(fēng)險(xiǎn)等級(jí)對(duì)照表，劃分風(fēng)險(xiǎn)概率和風(fēng)險(xiǎn)影響等級(jí)，并量化風(fēng)險(xiǎn)等級(jí)值Gm；

e)根據(jù)Borda數(shù)，取相對(duì)數(shù)獲得Borda序值，建立AHP判斷矩陣進(jìn)行權(quán)重計(jì)算，得出各個(gè)風(fēng)險(xiǎn)項(xiàng)的權(quán)重值Wm；

4 應(yīng)用效果

在某供電局5座500 kV和10座220 kV變電站內(nèi)接入合規(guī)并網(wǎng)裝置，實(shí)現(xiàn)站內(nèi)錄波器一站式接入和數(shù)據(jù)接收，對(duì)安全檢查后無(wú)法濾除的風(fēng)險(xiǎn)項(xiàng)，從網(wǎng)絡(luò)、信息、資產(chǎn)、策略、管理、系統(tǒng)6個(gè)角度進(jìn)行數(shù)據(jù)安全綜合評(píng)估。

風(fēng)險(xiǎn)發(fā)生概率P和風(fēng)險(xiǎn)影響值I計(jì)算方法要遵循實(shí)際情況，P可根據(jù)風(fēng)險(xiǎn)出現(xiàn)的頻次和嚴(yán)重程度來(lái)量化，I可由嚴(yán)重程度和資產(chǎn)價(jià)值來(lái)量化。風(fēng)險(xiǎn)頻次、嚴(yán)重程度、資產(chǎn)價(jià)值等因子從很高(評(píng)分5)到很低(評(píng)分1)依次遞減，設(shè)有5個(gè)等級(jí)評(píng)分。實(shí)際情況中可根據(jù)不同影響因子進(jìn)行動(dòng)態(tài)調(diào)整，這是一個(gè)具有定性色彩的定量評(píng)估過(guò)程。對(duì)于綜合評(píng)估結(jié)果D的風(fēng)險(xiǎn)等級(jí)為中級(jí)及以上的數(shù)據(jù)視為不安全因素，可進(jìn)行數(shù)據(jù)攔截，剖析存在的安全隱患，尋求安全策略和實(shí)施措施，以防止對(duì)調(diào)度數(shù)據(jù)網(wǎng)和主站系統(tǒng)的侵害?；陲L(fēng)險(xiǎn)矩陣法對(duì)數(shù)據(jù)進(jìn)行安全評(píng)估，評(píng)估過(guò)程參考表1，風(fēng)險(xiǎn)等級(jí)參考?xì)v史風(fēng)險(xiǎn)值及風(fēng)險(xiǎn)可接收范圍進(jìn)行等級(jí)劃分，結(jié)果顯示此次數(shù)據(jù)綜合風(fēng)險(xiǎn)等級(jí)低，數(shù)據(jù)安全在可控范圍內(nèi)，可根據(jù)主站需求進(jìn)行數(shù)據(jù)上送操作。

表1 基于風(fēng)險(xiǎn)矩陣法的數(shù)據(jù)安全評(píng)估結(jié)果

據(jù)不完全統(tǒng)計(jì)，220 kV和500 kV樞紐變電站內(nèi)錄波器的數(shù)量平均分別為6臺(tái)和10臺(tái)。原來(lái)對(duì)變電站內(nèi)6～10臺(tái)錄波器安全防護(hù)整改需要涉及到溝通成本、硬件采購(gòu)、配置更新、技術(shù)攻關(guān)等長(zhǎng)期繁重的工作，現(xiàn)在只需對(duì)1臺(tái)合規(guī)并網(wǎng)裝置進(jìn)行標(biāo)準(zhǔn)化升級(jí)整改即可，合規(guī)并網(wǎng)裝置的接入減少了安全策略升級(jí)至少80%的工作量。在發(fā)揮新舊錄波器數(shù)據(jù)采集功能的同時(shí)，合規(guī)并網(wǎng)裝置在主站和錄波器之間起到安全屏障的作用，能主動(dòng)防御錄波數(shù)據(jù)攜帶的安全風(fēng)險(xiǎn)，形成與錄波器同壽命且安全配置統(tǒng)一的中間管理環(huán)節(jié)。

表2統(tǒng)計(jì)了合規(guī)并網(wǎng)裝置接入后試運(yùn)行的15座變電站共110臺(tái)錄波器近3年發(fā)生的安全事件，從安全策略升級(jí)、漏洞整改、惡意代碼侵入、非法訪問(wèn)攔截、安全違規(guī)操作和安全檢查等角度進(jìn)行合規(guī)并網(wǎng)裝置接入前后的安全指標(biāo)比較，從系統(tǒng)故障和信息中斷次數(shù)考察該裝置的性能，可以看出該裝置的接入在安全和性能方面都優(yōu)于錄波器直接接入調(diào)度數(shù)據(jù)網(wǎng)，起到了較好的安全隔離和穩(wěn)定傳輸?shù)淖饔谩?/p>

表2 合規(guī)并網(wǎng)裝置接入前后安全防護(hù)檢查指標(biāo)比較

為了進(jìn)一步展示該方案的優(yōu)勢(shì)，從安全防護(hù)特點(diǎn)、對(duì)象和效果3個(gè)方面與當(dāng)前國(guó)內(nèi)外研究的繼電保護(hù)設(shè)備安全防護(hù)方案進(jìn)行實(shí)施情況比較，見表3。

表3 國(guó)內(nèi)外繼電保護(hù)設(shè)備安全防護(hù)方案實(shí)施情況比較

可以看出，本文所提方案不僅規(guī)避了傳統(tǒng)安全防護(hù)整改分散、效果不可控和效率低的問(wèn)題，而且有效結(jié)合了國(guó)內(nèi)外已有的寶貴經(jīng)驗(yàn)，將安全防護(hù)管理從前端調(diào)度側(cè)轉(zhuǎn)移至后端廠站側(cè)，在脆弱的電力監(jiān)控系統(tǒng)終端進(jìn)行風(fēng)險(xiǎn)的快速識(shí)別和主動(dòng)攔截，第一時(shí)間將風(fēng)險(xiǎn)控制在廠站側(cè)最小范圍內(nèi)，并建立安全通道，保障合規(guī)數(shù)據(jù)的實(shí)時(shí)上送。

該方案具備長(zhǎng)效、主動(dòng)的安全防護(hù)保障特點(diǎn)，可實(shí)現(xiàn)對(duì)變電站內(nèi)所有錄波器安全狀態(tài)的快速反應(yīng)和合規(guī)錄波數(shù)據(jù)的安全傳輸，基本排除錄波器自身安全條件的影響，達(dá)成在運(yùn)錄波器接通率99.9%的目標(biāo)。

5 結(jié)束語(yǔ)

本文所設(shè)計(jì)的基于數(shù)據(jù)安全的繼電保護(hù)設(shè)備合規(guī)并網(wǎng)方案，通過(guò)安全防護(hù)機(jī)制相對(duì)完善的合規(guī)并網(wǎng)裝置作為安全監(jiān)管代理，強(qiáng)化廠站側(cè)物理環(huán)境的安全性，將同變電站內(nèi)所有錄波器合規(guī)并網(wǎng)；通過(guò)數(shù)據(jù)安全傳輸過(guò)程的設(shè)計(jì)，實(shí)現(xiàn)對(duì)接收數(shù)據(jù)的安全檢查和風(fēng)險(xiǎn)攔截；通過(guò)邏輯映射和數(shù)據(jù)鏡像的方式建立合規(guī)通道，實(shí)現(xiàn)可靠錄波數(shù)據(jù)的安全傳遞。實(shí)踐結(jié)果表明，該方案可實(shí)現(xiàn)錄波器接通率99.9%的目標(biāo)，達(dá)成主站和現(xiàn)有錄波器之間交互業(yè)務(wù)無(wú)感運(yùn)作和數(shù)據(jù)安全傳輸?shù)哪康?，減少安全防護(hù)整改至少80%的工作量，滿足日益提高的電力系統(tǒng)安全防護(hù)要求，拓寬繼電保護(hù)領(lǐng)域信息安全防護(hù)的建設(shè)思路。

后續(xù)將從主站和合規(guī)并網(wǎng)裝置云邊協(xié)同進(jìn)行遠(yuǎn)程巡檢和智能安全防護(hù)運(yùn)維著手，進(jìn)一步研究遠(yuǎn)程安全防護(hù)策略統(tǒng)一部署和升級(jí)維護(hù)，為電力行業(yè)網(wǎng)絡(luò)信息安全防護(hù)深化實(shí)踐奠定基礎(chǔ)。