基于数据安全的继电保护设备合规并网方案设计

韦恒，李海勇，颜丽，黄超，廖晓春，曾令森

(1.广西电网有限责任公司，广西 南宁 530013；2.武汉华电顺承科技有限公司，湖北 武汉 430071)

近年来，国际安全形势十分严峻，安全威胁层出不穷，国家级、集团式安全事件时有发生。2017年全球爆发的“永恒之蓝”勒索病毒，对包括电力系统在内的能源关键基础设施发起大范围的网络攻击并实施恶意勒索，造成了极其严重的影响[1-3]。电力系统作为国计民生的一种基础性资源，在各个领域的广泛应用推动了社会经济的飞速发展，成为信息安全网络战的重点攻击目标之一。

为了应对日益复杂的国际网络环境，我国对网络化、信息化程度不断提高的电力系统网络信息安全防护要求不断升级。在根据﹝国能安全36号文﹞《电力监控系统安全防护总体方案》进行安全排查过程中，发现监控电力大数据的继电保护设备存在错综复杂的安全问题，如未部署入侵检测、未限制访问权限、未安装杀毒软件、未关闭多余接口、未限制远程登录地址、未设置超时策略等，故安全管理部门对继电保护设备厂商提出了强制性的安全防护整改要求，设备必须符合电力监控系统安全入网条件才能并网[4-5]。目前部分录波器服役年限未到但安全问题频发，老旧录波器因无有效的安全防护整改措施，不满足安全整改要求而脱网运行的情况已大面积出现，成为电力行业亟待解决的问题。

近年来，随着信息技术的不断发展，国内外展开了互联网信息安全方面的广泛研究，但在继电保护领域信息安全防护方面的研究相对较少。文献[6-7]聚焦于能源互联网安全可信纵深防御体系研究，与电力系统业务接壤的安全保障展示不够充分。文献[8]揭示了电力系统终端的脆弱性，提出构建智能终端安全防护体系的重要性。文献[9]部署威胁驱动的电力监控系统，探究电力监控系统中各种连接互联网资产暴露出的漏洞及采取的安全措施。文献[10-11]利用风险识别技术和战略响应机制，建设智能变电站安全防护体系，可实现智能设备的安全防护监管和风险应对，对联网智能设备暴露的网络威胁有抵御能力，但无法解决现有老旧二次设备的合规并网问题。文献[12]建立了电力企业二次系统安全防护监视平台，但未深入探索防御体系。通过以上研究发现，目前电力系统二次设备安全防护技术虽然在一定程度上对暴露出的安全问题进行了有效防御，但仍停留于设备的状态监视和短效防守的安全防护配套阶段，有待进一步开展长效、主动的网络信息安全防护研究。

基于此，本文设计一种基于数据安全的继电保护设备合规并网方案，以现存安全防护问题比较突出的继电保护设备录波器为例，利用合规并网装置对同站所有录波器进行安全监管代理，建立主动防御的安全防护模型和健全的防护机制，形成录波器和调度数据网之间的一道安全屏障。该方案能有效隔离不合规录波器存在的风险，后期安全策略升级不再需要协调不同录波器厂商进行升级防护，只需在调度侧对分布式合规并网装置进行远程运维和常态化管理，统一部署标准化的升级策略即可，是一种长效、主动的变电站录波器合规并网保障方法。

1 合规并网装置安全防护模型

合规并网装置采用体积小、功耗低、成本低和集成度高的嵌入式处理器，使用稳定性好、可靠性高、可裁剪的操作系统，形成系统最小化、软件轻量化和自维护的运行模式，实现与录波器同寿命、等规格的长效安全并网保障。该装置在继电保护老旧设备与网络间建立安全隔离屏障与合规信息通道，将继电保护安全防护管控水平由被动配合提升到主动防御。

合规并网装置安全防护模型如图1所示，运用安全防御手段监控内外环境中关联部分的网络活动和数据安全状态，并收集风险事件，集中记录、分析、处理和报警，将风险控制在最小影响范围，形成厂站侧的安全防护屏障，保障系统、数据和网络不受来自内外部不安全因素的入侵和破坏。后期只需对合规并网装置统一进行安全策略升级即可，提供数据传递合规通道，是一种长效、主动的安全防御方案，可满足日益提高的电力系统安全防护要求[13]。

图1 合规并网装置安全防护模型

a)风险评估：自动检测合规并网装置自身及所连接的录波器安全达标情况，收集站内联网设备可能存在的潜在风险，评估风险将会带来的影响，设定装置的初始环境条件。

b)安全防护：根据初始环境，事先设置预案，部署相应的安全策略。在安全策略指导下制订相应的安全防护机制，进行装置安全配置管理，确保合规并网装置能有效隔离风险。装置的安全防护机制包含但不限于集中管理、身份认证、访问控制、权限控制和操作审计。

c)检测校核：检测已实施安全防护策略配置的合规并网装置的安全等级，实时感知经该装置传输的数据是否携带风险，核对风险项检测的完整度，生成安全校核结果。根据校核结果进行风险拦截和报警，并将合规数据安全上送至主站系统。

d)响应与恢复：针对不同性质的风险动态更新安全应对方案，对报警信号作出应急响应，如调整安全策略、切断攻击源头、追踪攻击线索等。若合规并网装置系统遭到破坏，则利用备份体系进行异常恢复处理，提高系统自维护能力。

e)远程策略升级：不再需要联系各录波器厂商对异种录波器进行安全防护整改，只需在调度侧通过远程控制的方式对合规并网装置统一进行策略调整或升级，实施标准化安全升级维护流程[14-15]。

2 合规并网装置安全防护方案

电力系统长期存在老旧录波器因安全防护整改不达标而大面积脱网运行的问题，导致录波数据无法正常上送，数据获取出现较大延时。设计符合安全防护要求的合规并网装置，对变电站内所有录波器进行安全防护监管代理，是一种长效、主动的继电保护录波器设备安全并网解决方案。

2.1 合规并网装置网络拓扑结构

安全防护模型切断了对安全防护整改不达标的录波器的直接访问，而是采用合规并网装置代理的方式，接管了主站系统对录波器的访问，即录波数据的上送或召唤均需经过合规并网装置，帮助调度数据网和主站系统隔离安全操作风险，并简化安全防护整改流程。合规并网装置网络拓扑结构如图2所示。

图2 合规并网装置网络拓扑结构

合规并网装置在主站系统和录波器中间所发挥的作用如下：

a)录波器兼容：合规并网装置兼容常见的IEC 61850和IEC 60870-5-103等多种规约形式，适应不同厂商录波器规约服务程序的通信连接，可实现异种录波器的一站式接入和数据的可靠传输，最大限度地发挥老旧录波器全生命周期的价值。

b)物理隔离：故障录波器不再直接接入调度数据网，而是接入合规并网装置，再由合规并网装置向录波和保信主站提供数据服务接口，隔离不合规录波器的接入可能带来的安全风险。

c)逻辑映射：基于录波器物理地址将索引目录表映射成物理地址表，基于录波器属性信息将录波器物理地址表映射成逻辑地址表，使得主站和原有录波器业务交互通过并网装置提供的合规通道无感运作，发挥安全管控的作用。

d)镜像传输：从主存储模块读取可上送的元数据，利用数据镜像制作工具生成镜像文件，保存于从存储模块。在主站对原录波器发送数据请求指令后，通过逻辑映射和数据镜像从独立上行接口安全输出，实现录波数据从厂站侧局域网到调度数据网安全传输的目的。

e)安全策略配置：根据电力系统安全防护要求和录波数据传输链路安全需求定制，配置统一的安全策略，建立安全防护机制，在变电站录波器和调度数据网之间形成一道安全保护屏障，确保录波数据的安全上送。

2.2 合规并网装置安全防护机制

合规并网装置安全防护侧重于集中管理、身份认证、访问控制、权限控制和操作审计等机制，录波数据的上送或召唤均需经过合规并网装置检测和校核。该装置只有自身安全防护机制健全，才能有效隔离漏洞、恶意代码和非法访问等各种不安全因素，形成安全保护屏障。合规并网装置安全防护机制如下：

a)集中管理：对同一变电站内所有录波器数据进行集中监控，挖掘安全状态不统一的录波器数据安全风险问题予以整理，归集不安全因素，实现统一管理。

b)身份认证：对系统操作者的身份进行识别和验证。相关标准对继电保护系统网络信息安全提出了明确的要求，即采用至少2种认证方式登录系统，通过身份管理来准确定位操作责任人。

c)访问控制：利用加密技术限制操作者对装置的访问权限，杜绝数据被任意登录操作，从而保护合法操作者访问数据资源，降低非法访问所带来的风险。

d)权限控制：对不同用户根据业务需求实施最小授权的管控策略，最大限度地保护数据安全，严防越权等风险事件的发生。

e)操作审计：全程实时监控，记录操作者在服务器、数据库及关联设备上所做的各种操作，包括命令、图形和文件等。审计操作事件，根据监控记录进行问题的追本溯源，直接定位安全问题根源，对违规行为进行控制、告警和阻断[16]。

2.3 数据安全防护传输过程

合规并网装置是在厂站侧局域网内部设置的安全防护系统，是保障不合规录波器继续发挥作用的安全隔离设备，可避免不合规录波器产生携带有不安全因素的录波数据对调度数据网的破坏，用于实现不合规录波器和调度数据网之间的可靠连接。该装置对接收到的录波数据进行安全检查和风险拦截，整个过程如图3所示，主要由通信模块、安全检查模块和数据处理模块来完成可靠录波数据的安全上送。

图3 数据安全防护传输过程

a)通信模块：与不同厂商录波器建立通信连接，接收变电站内所有录波器实时传输的录波数据。

b)安全检查模块：对不同来源的数据按安全防护过程进行记录标记、指标检查、病毒查杀、安全评估等操作，从不同角度对检查出的风险项进行综合评估，对每条数据生成评估结果，并进行安全校核审查。

c)数据处理模块：根据校核结果对数据进行安全上送或风险拦截的处理操作，利用逻辑映射的隔离防护技术形成安全屏障隔离风险，利用数据镜像的安全传输技术实现合规数据安全上送，确保合规并网装置输出的数据安全接入调度数据网。

3 合规并网装置安全防护关键技术

合规并网装置对录波数据进行安全检查和隔离，其安全防护关键技术采用了逻辑映射、数据镜像和安全评估，实现录波数据从厂站侧局域网到调度数据网的安全传输。合规并网装置部署在数据支撑的入口，主站系统必须经过该装置允许后才能进行数据访问。

a)基于逻辑映射的隔离防护技术：利用逻辑映射方式，建立录波器数据逻辑地址和物理地址之间的映射关系，实现主站指令的实时响应，杜绝外部网络非法访问和攻击，在录波器和主站系统之间建立安全防护屏障和无感传输通道。

b)基于数据镜像的安全传输技术：对主存储模块经安全检查和病毒查杀后可上传的录波数据进行镜像制作，快速生成后保存于从存储模块，实现录波数据的安全传输。

c)基于风险矩阵法的数据安全评估：从网络、数据、设备等角度评估数据的综合风险等级，判断数据是否具备上送条件，根据数据安全评估结果进行合规数据的安全上送。

3.1 基于逻辑映射的隔离防护技术

合规并网装置在输入与输出网口之间采用独立的外设部件互连标准(peripheral component interconnect，PCI)总线设计，分配一批内网IP地址用于录波器通信接口接入本装置的输入网口，录波器原有的调度数据网IP地址将上移到本装置的输出网口上，每个输出网口单独配置原有录波器的调度数据网IP和服务端口，这样主站仍采用原有的IP+服务端口的通信模式即可。

基于逻辑映射的隔离防护如图4所示，利用基于逻辑映射的隔离防护技术，建立原录波器数据服务与主站指令之间存在的逻辑关系，根据主站系统下发的请求，利用逻辑映射从隔离的从存储模块和独立上行接口获取与录波器相对应的镜像数据，实现原有录波器数据在安全处理后对主站指令的无感响应，同时可以将不合规录波器数据安全问题控制在厂站侧最小范围内[17-18]。

图4 基于逻辑映射的隔离防护

3.2 基于数据镜像的安全传输技术

数据镜像技术通过配置冗余的硬件和镜像制作工具，将待上传的数据通过镜像方式快速备份至冗余存储设备，是一种常见的数据传输方法。

基于数据镜像的安全传输如图5所示。监控模块在监测到数据新增时，进行数据的安全指标检查并确认可上传的数据内容，利用镜像制作工具生成数据镜像保存于从存储模块，等待主站系统的数据请求，完成可上传录波数据镜像的上送，实现数据的安全传输。生成镜像数据之前，在从存储模块上申请与元数据可上传数据大小相同的空间用于存放镜像数据，从存储节点分发的镜像位置写入相应的镜像数据。在运行过程中采用“心跳监控”，如果读取到镜像数据尚未存入从存储模块，则反询问监控模块，从主存储模块上读取，保持主、从存储模块安全数据内容的实时同步[19-20]。

图5 基于数据镜像的安全传输

3.3 基于风险矩阵法的数据安全评估

合规并网装置是原有录波器和主站系统之间的物理屏障，可防止不合规录波器直接接入调度数据网。利用逻辑映射实现该装置数据输入和输出之间的隔离；通过数据镜像技术实现主、从存储数据的快速同步，完成合规数据的安全传输；基于风险矩阵的数据安全评估，实现数据风险等级的综合判定，确认可上送数据，最终目的是将风险控制在厂站侧最小范围。

基于风险矩阵的数据安全评估流程如图6所示。应用专家二维矩阵法处理数据，定量计算待评数据的风险要素，再利用Borda序值理论和层次分析法(analytical hierarchy process，AHP)得出各风险要素的权重，最后利用风险矩阵得出待评数据的风险等级值，确认数据是否具备上送条件。将整个安全评估过程量化，使得最终数据评估结果更加清晰、客观，具体步骤如下：

图6 基于风险矩阵法的数据安全评估流程

a)以国际信息安全管理实践规范ISO/IEC 27001和我国信息系统安全的相关评估准则为基础，识别出数据、网络和设备等存在的风险项；

b)利用专家二维矩阵法，计算风险发生概率P和风险影响值I，不同的风险项和设备脆弱性结合导致的风险概率和影响具有较大的差异，计算方法要遵循实际情况评估；

c)根据风险发生概率P和风险影响值I对应的等级评估标准，建立风险等级对照表，划分风险概率和风险影响等级，并量化风险等级值Gm；

e)根据Borda数，取相对数获得Borda序值，建立AHP判断矩阵进行权重计算，得出各个风险项的权重值Wm；

4 应用效果

在某供电局5座500 kV和10座220 kV变电站内接入合规并网装置，实现站内录波器一站式接入和数据接收，对安全检查后无法滤除的风险项，从网络、信息、资产、策略、管理、系统6个角度进行数据安全综合评估。

风险发生概率P和风险影响值I计算方法要遵循实际情况，P可根据风险出现的频次和严重程度来量化，I可由严重程度和资产价值来量化。风险频次、严重程度、资产价值等因子从很高(评分5)到很低(评分1)依次递减，设有5个等级评分。实际情况中可根据不同影响因子进行动态调整，这是一个具有定性色彩的定量评估过程。对于综合评估结果D的风险等级为中级及以上的数据视为不安全因素，可进行数据拦截，剖析存在的安全隐患，寻求安全策略和实施措施，以防止对调度数据网和主站系统的侵害。基于风险矩阵法对数据进行安全评估，评估过程参考表1，风险等级参考历史风险值及风险可接收范围进行等级划分，结果显示此次数据综合风险等级低，数据安全在可控范围内，可根据主站需求进行数据上送操作。

表1 基于风险矩阵法的数据安全评估结果

据不完全统计，220 kV和500 kV枢纽变电站内录波器的数量平均分别为6台和10台。原来对变电站内6～10台录波器安全防护整改需要涉及到沟通成本、硬件采购、配置更新、技术攻关等长期繁重的工作，现在只需对1台合规并网装置进行标准化升级整改即可，合规并网装置的接入减少了安全策略升级至少80%的工作量。在发挥新旧录波器数据采集功能的同时，合规并网装置在主站和录波器之间起到安全屏障的作用，能主动防御录波数据携带的安全风险，形成与录波器同寿命且安全配置统一的中间管理环节。

表2统计了合规并网装置接入后试运行的15座变电站共110台录波器近3年发生的安全事件，从安全策略升级、漏洞整改、恶意代码侵入、非法访问拦截、安全违规操作和安全检查等角度进行合规并网装置接入前后的安全指标比较，从系统故障和信息中断次数考察该装置的性能，可以看出该装置的接入在安全和性能方面都优于录波器直接接入调度数据网，起到了较好的安全隔离和稳定传输的作用。

表2 合规并网装置接入前后安全防护检查指标比较

为了进一步展示该方案的优势，从安全防护特点、对象和效果3个方面与当前国内外研究的继电保护设备安全防护方案进行实施情况比较，见表3。

表3 国内外继电保护设备安全防护方案实施情况比较

可以看出，本文所提方案不仅规避了传统安全防护整改分散、效果不可控和效率低的问题，而且有效结合了国内外已有的宝贵经验，将安全防护管理从前端调度侧转移至后端厂站侧，在脆弱的电力监控系统终端进行风险的快速识别和主动拦截，第一时间将风险控制在厂站侧最小范围内，并建立安全通道，保障合规数据的实时上送。

该方案具备长效、主动的安全防护保障特点，可实现对变电站内所有录波器安全状态的快速反应和合规录波数据的安全传输，基本排除录波器自身安全条件的影响，达成在运录波器接通率99.9%的目标。

5 结束语

本文所设计的基于数据安全的继电保护设备合规并网方案，通过安全防护机制相对完善的合规并网装置作为安全监管代理，强化厂站侧物理环境的安全性，将同变电站内所有录波器合规并网；通过数据安全传输过程的设计，实现对接收数据的安全检查和风险拦截；通过逻辑映射和数据镜像的方式建立合规通道，实现可靠录波数据的安全传递。实践结果表明，该方案可实现录波器接通率99.9%的目标，达成主站和现有录波器之间交互业务无感运作和数据安全传输的目的，减少安全防护整改至少80%的工作量，满足日益提高的电力系统安全防护要求，拓宽继电保护领域信息安全防护的建设思路。

后续将从主站和合规并网装置云边协同进行远程巡检和智能安全防护运维着手，进一步研究远程安全防护策略统一部署和升级维护，为电力行业网络信息安全防护深化实践奠定基础。