根據(jù)國家電網(wǎng)公司《智能變電站技術(shù)導(dǎo)則》，智能變電站是采用先進(jìn)的傳感器、信息、通信、控制、智能等技術(shù)，以一次設(shè)備參量數(shù)字化和標(biāo)準(zhǔn)化、規(guī)范化信息平臺(tái)為基礎(chǔ)，實(shí)現(xiàn)變電站實(shí)時(shí)全景監(jiān)測、自動(dòng)運(yùn)行控制、與站外系統(tǒng)協(xié)同互動(dòng)等功能;達(dá)到提高變電可靠性、優(yōu)化資產(chǎn)利用率、減少人工干預(yù)、支撐電網(wǎng)安全運(yùn)行等目標(biāo)的變電站。其內(nèi)涵為可靠、經(jīng)濟(jì)、兼容、自主、互動(dòng)、協(xié)同，并具有一次設(shè)備智能化、信息交換標(biāo)準(zhǔn)化、系統(tǒng)高度集成化、運(yùn)行控制自動(dòng)化、保護(hù)控制協(xié)同化、分析決策在線化等技術(shù)特征。

智能化變電站的二次監(jiān)控、保護(hù)系統(tǒng)是基于 DL/T860 標(biāo)準(zhǔn)平臺(tái)，可實(shí)現(xiàn)統(tǒng)一的配置語言、統(tǒng)一建模、組網(wǎng)，共享信息和設(shè)備間的互操作性。 通常智能變電站可劃分為站控層、間隔層、過程層。下面簡單介紹各層涉及到的設(shè)備及網(wǎng)絡(luò)情況：

站控層設(shè)備 主機(jī)兼操作員工作站、一體化平臺(tái)主機(jī)、遠(yuǎn)動(dòng)通信設(shè)備、智能接口設(shè)備、故障錄波及網(wǎng)絡(luò)分析、網(wǎng)絡(luò)交換機(jī)。(其中還有打印機(jī)、音響音響告警輸出裝置)

間隔層設(shè)備 間隔層都是 I/O 測控裝置。I/O 測控裝置具有狀態(tài)量采集、交流采樣及測量、防誤閉鎖、同期檢測、就地?cái)嗦菲骶o急操作和單接線狀態(tài)及數(shù)字顯示等功能，對(duì)全站運(yùn)行設(shè)備的信息進(jìn)行采集、轉(zhuǎn)換、處理和傳送。I/O 測控裝置還應(yīng)配置有 “就地/遠(yuǎn)方”切換開關(guān)。

過程層設(shè)備 過程層設(shè)備包含智能終端、合并單元及智能一次設(shè)備接口等?？赏瓿勺冸娬緮嗦菲?、隔離開關(guān)的信號(hào)采集、處理和控制，以及互感器采樣值信息的采集和處理。

間隔層網(wǎng)絡(luò) 通過相關(guān)網(wǎng)絡(luò)設(shè)備與本間隔其他設(shè)備、 其他間隔設(shè)備以及站控層設(shè)備通信。邏輯功能上，覆蓋間隔層內(nèi)數(shù)據(jù)交換、間隔層與站控層數(shù)據(jù)交換、間隔層之間(根據(jù)需要) 數(shù)據(jù)交換，數(shù)據(jù)交換接口支持 MMS 報(bào)文和 GOOSE 報(bào)文。同時(shí)，間隔層網(wǎng)絡(luò)與過程層數(shù)據(jù)交換接口，可傳輸采樣值和 GOOSE 報(bào)文。

過程層網(wǎng)絡(luò) 通過相關(guān)網(wǎng)絡(luò)設(shè)備與間隔層設(shè)備通信。邏輯功能上，覆蓋間隔層與過程層數(shù)據(jù)交換接口?？蓚鬏敳蓸又岛?GOOSE 報(bào)文。提供(如命令、告警等)快速傳輸?shù)臋C(jī)制，可用于跳閘和故障錄波啟動(dòng)等。 智能變電站的系統(tǒng)架構(gòu)如圖所示

#p#

變電站的安全性分析

本節(jié)我們將重點(diǎn)從人員管理與制度流程的規(guī)范性、系統(tǒng)軟硬件安全性、網(wǎng)絡(luò)通信安全以及系統(tǒng)操作的合規(guī)性等幾個(gè)方面討論智能變電站所存在的安全問題。

制度和流程

智能變電站作為智能電網(wǎng)的核心節(jié)點(diǎn)，其重要性不言而喻。為維護(hù)其正常安全的運(yùn)行，相關(guān)的人員操作和系統(tǒng)維護(hù)工作必須遵循嚴(yán)格的安全操作規(guī)范、工作流程以及安全管理制度。但通過我們的調(diào)研分析，現(xiàn)實(shí)情況中依然存在不少安全問題，如表所示：

智能變電站安全管理制度及流程方法的安全問題

系統(tǒng)軟硬件

因智能變電站相關(guān)軟硬件在設(shè)計(jì)開發(fā)時(shí)重點(diǎn)關(guān)注系統(tǒng)功能的實(shí)現(xiàn)， 而對(duì)安全性及相應(yīng)的防護(hù)能力考慮不足，從而存在較多的安全脆弱性問題，本節(jié)將從配置管理、硬件、軟件等角度討論智能變電站系統(tǒng)所面臨的一些安全問題。具體分析見表 4-2、表 4-3、表 4-4。

配置管理相關(guān)的安全問題

系統(tǒng)硬件相關(guān)的安全問題

系統(tǒng)軟件相關(guān)的安全問題#p#

網(wǎng)絡(luò)及通信

雖然智能變電站在建設(shè)時(shí)將按不同的安全域?qū)嵤┫到y(tǒng)間的安全隔離和控制，但工業(yè)控制網(wǎng)絡(luò)設(shè)備、通信協(xié)議自身的脆弱性以及智能變電站網(wǎng)絡(luò)架構(gòu)針對(duì)安全性考慮不足的問題，智能變電站依然存在很大的安全風(fēng)險(xiǎn)。下表討論了網(wǎng)絡(luò)及通信方面的安全問題。

網(wǎng)絡(luò)與通信相關(guān)的安全問題

操作合規(guī)性

智能變電站所面臨的安全威脅除了上述其系統(tǒng)及網(wǎng)絡(luò)自身脆弱性之外，來自內(nèi)部人員的故意違規(guī)操作、破壞以及來自外部的新型 APT 攻擊(參見第三章內(nèi)容)也將是智能變電站所面臨的最大威脅。而這些威脅的消減將依賴于基于異常行為檢測、操作合規(guī)性審計(jì)以及基于沙箱的虛擬執(zhí)行等多安全機(jī)制的綜合安全防御體系。 表 4-6 討論了系統(tǒng)操作行為合規(guī)性相關(guān)的一些安全問題。

操作合規(guī)性相關(guān)的安全問題#p#

虛擬攻擊場景分析

背景描述

某智能變電站 A 是 B 國重要制造單位 C 的供電支撐變電站。 敵對(duì)組織 D 計(jì)劃干擾重要制造單位 C 生產(chǎn)活動(dòng)的正常運(yùn)行，但是直接進(jìn)去重要制造單位 C 存在較大的困難和風(fēng)險(xiǎn)。為了完成攻擊目的， 敵對(duì)組織 D 決定通過引起智能變電站 A 供電資源的中斷來影響單位 C 的正常生產(chǎn)活動(dòng)。

攻擊過程描述

執(zhí)行攻擊前，敵對(duì)組織 D 通過各種途徑了解到：

因不同廠家的設(shè)備在實(shí)現(xiàn)和配置方面存在一定的差異，智能變電站中二次設(shè)備的運(yùn)維一般都通過相關(guān)設(shè)備廠家來進(jìn)行;

智能變電站 A 的二次設(shè)備通常是由 E 公司的運(yùn)維人員 M 負(fù)責(zé)運(yùn)維;M 是電氣自動(dòng)化技術(shù)的愛好者，經(jīng)常參加技術(shù)論壇 T 的話題討論;且喜歡分享自己去變電站實(shí)地運(yùn)維時(shí)發(fā)現(xiàn)的細(xì)節(jié)，并在論壇 T 上留下了自己的郵箱。

了解到這些情報(bào)后，敵對(duì)組織 D 實(shí)施了如圖 4.2 所示的攻擊過程：

(1) 定向植入惡意代碼

a) 考慮到 M 經(jīng)常出差，推測其平時(shí)登錄論壇 T 的筆記本電腦很可能就是他在實(shí)地運(yùn)維時(shí)所使用的計(jì)算機(jī)。因此，敵對(duì)組織 D 通過運(yùn)維人員 M 在論壇 T 上留下的電子郵箱發(fā)送了一份某電氣自動(dòng)化技術(shù)論壇的技術(shù)交流邀請(qǐng)信，其中攜帶著一個(gè)邀請(qǐng)函文檔附件。

b) 作為一個(gè)技術(shù)愛好者，M 沒有任何的猶豫，直接打開了附件文檔。由于敵對(duì)組織 D在該文檔中事先內(nèi)嵌了一段利用一個(gè)微軟 Word 未知漏洞的利用代碼。這段代碼在執(zhí)行后能夠從指定鏈接中下載遠(yuǎn)程訪問終端(Remote Access Terminator，RAT)惡意程序，進(jìn)而獲取管理員權(quán)限，全面接管 M 的筆記本電腦的控制權(quán)。

c) 邀請(qǐng)函事件之后，M 又收到了一個(gè)交流取消的郵件，因此其也就淡忘了這件事情。

(2) 惡意代碼植入變電站控制端

a) 幾個(gè)月后，智能變電站 A 邀請(qǐng) E 公司的運(yùn)維人員 M 去執(zhí)行例行檢查。與往常一樣，M 直接使用隨身攜帶的筆記本電腦接入到了智能變電站 A 的站控層。每當(dāng)接入一個(gè)新網(wǎng)絡(luò)的時(shí)候，M 的筆記本中一個(gè)非常不顯眼的進(jìn)程就會(huì)突然活躍了起來，掃描網(wǎng)絡(luò)中的計(jì)算機(jī)，使用微軟 Windows 操作系統(tǒng)漏洞 MS XX-XXX 控制連接的計(jì)算機(jī)，植入 RAT 程序并激活。而這次稍微有一點(diǎn)不同，其中一臺(tái)被攻陷的計(jì)算機(jī)上安裝了一款軟件 XXX，而這臺(tái)電腦正是站控層操作員站所在的計(jì)算機(jī)。

(3) 執(zhí)行惡意代碼

a) 控制站控操作員站后，一個(gè)功能模塊被悄無聲息地注入操作員站控制軟件 XXX 的進(jìn)程，該模塊負(fù)責(zé)向測控裝置發(fā)送已經(jīng)組態(tài)好的惡意代碼。因?yàn)樗械牟僮鞫际前凑照５牟僮饕?guī)程下發(fā)的指令，故障錄波和網(wǎng)絡(luò)分析儀無法感知其中可能存在的異常行為，無法及時(shí)進(jìn)行報(bào)警處理。測控裝置按照站控計(jì)算機(jī)下發(fā)的指令對(duì)刀閘進(jìn)行了斷開的操作，直接導(dǎo)致了向重要制造單位 C 的輸電中斷。同時(shí)，由于未對(duì)刀閘的操作進(jìn)行滅弧處理，引起部分裝置燒毀。#p#

(4) 中斷電力供應(yīng)

a) 通過對(duì)關(guān)鍵電力供電設(shè)施的攻擊，達(dá)到了對(duì)相關(guān)的基礎(chǔ)制造業(yè)的間接攻擊并直接影響了單位 C 的生產(chǎn)進(jìn)度，達(dá)到了攻擊者的攻擊目的。

虛擬攻擊過程示意圖