烏克蘭停電事件和伊朗核電事件等電網事故的發生，引起業內對電網信息安全的重視。計算機、通信、互聯網、視頻、紅外傳感等技術在智能變電站的應用，使得一、二次設備信息的產生、處理、傳輸、存儲等各個環節數據處理呈現網絡化特征，形成人、機、物等實體深度交互和相互作用的人-機-物動態虛擬網絡空間（cyperspace）。攻擊者對其各環節所進行的破壞對整站都可能造成嚴重影響。

相關學者從信息物理系統（cyber-physical system, CPS）角度對電網中的網絡攻擊安全進行分析和討論，認為電力CPS通過3C（computating, communication, control）技術將計算系統、通信網絡和電力系統的物理環境融為了一體，形成一個實時感知、動態控制與信息服務融合的多維異構復雜系統，而在電力CPS環境下，攻擊者依然可以通過注入虛假信息等方式，達到攻擊電網的目的。

為智能變電站二次設備或系統配套提供的配置工具可完成IEC 61850模型配置及運行參數設置等工作，并可對設備進行監視、調試甚至可進行如刀閘遙控等控制操作。若配置工具不加任何安全防護就直接訪問設備，則將給非法用戶提供攻擊或蓄意破壞設備的可乘之機。

本文結合工程需求以配置工具的C/S網絡架構體系為研究對象，參照2019年發布的信息安全技術網絡空間等級保護基本要求（下文簡稱等保）中的等保3級要求，基于國密算法通信加密、四權分立訪問控制、數據安全、代碼安全、審計日志等安全加固技術，來提升配置工具的安全防護能力。

1 配置工具在智能變電站的業務流

智能變電站采用IEC 61850相關技術規范，將二次設備網絡劃分為“三層兩網”，如圖1所示。

圖1 智能變電站網絡結構示意圖

二次設備配置工具主要采用C/S架構，運行在工程師站上或者便攜式電腦上，通過交換機或網絡直連與監控、遠動、保護、測控等裝置建立通信后再進行相關的配置操作，如向保護裝置下載IEC 61850模型文件、信息查看、控制操作等，其交互過程如圖2所示。

各個過程功能為：①在工程師站本地讀取啟動配置項；②與裝置建立通道；③下裝配置信息到裝置本地；④應用程序更新配置參數；⑤應用程序更新實時信息；⑥二次設備實時信息傳遞給配置工具進行聯調測試。

若配置工具無安全加固，則攻擊者可從上述各個過程獲取并篡改設備的配置或實時控制信息。

圖2 配置工具與二次設備業務流程圖

2 配置工具信息安全加固的技術框架

參照等保要求，從技術層面上，配置工具需要滿足通信保密性、訪問控制、安全審計、入侵防范、惡意代碼防范、網絡安全、身份鑒別、通信完整性、抗抵賴、軟件容錯、資源控制、數據完整性、數據保密性、數據備份和恢復等基本要求。結合工程安全加固要求，本文主要從以下幾個技術方面對配置工具進行安全加固，其安全加固層次架構如圖3所示。

圖3 安全加固層次架構圖

1）網絡通信加密。基于安全套接層（secure sockets layer, SSL）和國密算法SM2對網絡通信數據加密。

2）數據安全存儲。數據進行SM4加密存儲，防止非法用戶入侵裝置后可直接查看配置數據。

3）用戶訪問控制。對用戶進行雙因子認證鑒別，將用戶權限最小化，防止其非法修改其他關鍵數據。

4）數據完整性。對通信報文、應用數據、配置數據等進行SM3完整性校驗，防止數據被篡改。

5）代碼安全。

6）審計系統。對用戶行為進行安全審計。

3 配置工具安全加固設計及實現

3.1 數據通信保密性

1）安全套接層安全傳輸協議

SSL是為網絡中任意兩臺機器提供上層通信安全傳輸保障的一種協議，提供雙向身份認證功能，對客戶端和服務端傳輸數據進行加密處理。

圖4 SSL在網絡通信中的層次

SSL握手過程如圖5所示。

圖5 SSL握手過程

若雙方握手成功，則客戶端與服務端可以使用會話密鑰對應用數據進行加解密傳輸。

2）SM2國密算法

SM2橢圓曲線公鑰密碼算法具有中國知識產權，安全性更高，無國外可利用的后門，在相同安全程度要求下，橢圓曲線密碼較其他公鑰密碼所需的密鑰規模要小很多，同比常用的1024位RSA算法可提高其安全性。

SM2國密算法主要包括數字簽名算法、密鑰交換協議和公鑰加密算法等。數字簽名算法和密鑰交換協議使用SM3密碼雜湊算法實現。在保密通信過程中，實時數據可采用SM2或SM4進行加密處理，SM2比SM4安全性較高，但算法復雜，實時性相對弱。若采用SM4算法，則通過SM2對SM4的密鑰進行加密傳輸，實時數據采用SM4進行加密處理。

3）通信加密測試驗證

使用抓包工具獲取網絡通信報文，數據經過加密后未發現明文。客戶端和服務端發出的加密報文如圖6和圖7所示。

圖6 客戶端發出的加密報文

圖7 服務端發出的加密報文

3.2 用戶資源訪問控制

1）基于雙因子認證的用戶鑒別

提供基于口令、指紋卡、數據證書（如UKey）等鑒別技術中的兩種或兩種以上組合方式對用戶身份進行鑒別。主要包括登錄鑒別和實時鑒別（如對數據證書UKey實時監測），若鑒別失敗，則禁止客戶端進行任何操作。

2）面向資源的訪問控制

在現有系統中，常采用三權分立策略進行訪問控制，將用戶角色劃分為系統管理員、操作員、審計員。在這種情況下，系統管理員成為超級用戶，存在其可對審計員業務進行操作的風險。因此，從業務角度考慮，將審計功能劃分成獨立的審計子系統，形成系統管理員、操作員、審計管理員、審計員等四權分立的角色控制。

將強制訪問控制應用于所有主體與客體，每個用戶客體對每類主體對象都設置相應的訪問控制權限，操作前檢查用戶是否有相應權限；在權限分配策略上，每個用戶客體的權限達到最小，不同角色的用戶權限應互斥。以資源訪問的CRUD（create，增加；retrieve，讀取查詢；update，更新；delete，刪除）權限為例，建立4個用戶的權限控制矩陣，示例見表1。

表1 面向資源的訪問控制矩陣

3）雙向訪問控制認證

如果只在客戶端進行訪問控制，攻擊者就可通過修改客戶端內存數據進行權限篡改，然后直接訪問到裝置。因此需要在服務端和客戶端進行雙側權限認證，以避免配置工具側權限被攻擊篡改之后導致裝置側權限被攻擊。

3.3 數據完整性及容錯處理

1）數據安全存儲

對關鍵數據（如用戶名及密碼）采用SM4算法進行存儲，如圖8所示。

圖8 數據加密存儲

2）配置參數完整性校驗

為了防止數據被竊聽者篡改，需要對配置數據進行完整性校驗。通常采用數據完整性的方式有MD5、CRC等，由于SM3采用了不可逆的摘要計算方法，所以可通過SM3進行Hash值計算。在數據完整性檢查時，使用SM3對數據進行Hash摘要計算，與前一次Hash值進行比較。若不一致，則認為配置數據存在完整性缺失，需在工具側進行區別標記，如圖9所示，第1條配置參數被標記出有改動。

3）配置參數防誤容錯處理

圖9 檢測數據完整性

智能變電站二次設備各個參數配置項具有一定的物理意義，都有設定的值域范圍。從配置工具上對參數進行配置時需要對其范圍嚴格檢查，防止人工操作造成的配置錯誤。這些檢查包括以下幾個方面：

（1）整數或浮點型數據范圍的有效性檢查，如定值區設置范圍應為整數區間0～31；（2）字符串長度的限制；（3）IP地址非法性檢查；（4）網絡端口合法性檢查；（5）定值范圍、步長、量綱等檢查；（6）裝置的IP地址重復檢查。

3.4 代碼安全

代碼安全反映了正常的業務邏輯、代碼邏輯和代碼本身的安全，如防止內存泄漏、程序異常處理、在特定條件下進入死循環、關鍵數據在代碼中明文顯示等。

對代碼進行靜態分析時不應包含以下缺陷：①內存泄露缺陷；②數組越界缺陷；③空指針缺陷；④代碼不可達缺陷；⑤內在釋放后引用缺陷；⑥并發機制缺陷；⑦資源利用缺陷；⑧防止反匯編。使用反匯編工具進行反匯編檢查，未發現明顯數據暴露，防止從代碼級進行篡改數據，如圖10所示。

圖10 反匯編檢查

3.5 安全審計系統

建立獨立的審計系統并且只能由審計員操作，提供審計服務接口、審計進程和審計分析模塊。審計內容包括登錄、增加、刪除、修改等行為，還包括用戶名、用戶惟一標識ID、操作時間、事件類型、事件等級、操作內容、操作結果等。通過審計可分析用戶操作行為及追蹤設備配置變化過程。審計信息如圖11所示，通過安全審計系統可進行查看用戶操作的完整記錄。

圖11 審計信息

4 配置工具安全加固工程應用

本文根據上述安全加固的技術應用研究，結合工程需求，實現了變電站電力監控系統網絡安全監測裝置配置工具的安全加固。該裝置在智能變電站中進行了工程實施，與此配套的配置工具在通信加密、用戶訪問控制、數據完整性、數據保密性、代碼安全、安全審計等方面進行了安全加固，可在一定程度防止對該裝置的惡意篡改操作等非法行為，提升了裝置的安全運行能力，可滿足用戶安全加固要求。

5 結論

本文通過對二次設備配置工具的安全加固，可防止非法用戶對二次設備的配置和控制操作，在一定程度上提高了整個智能變電站的安全防御能力。

由于本文的安全加固主要針對二次設備配置信息的讀寫，對設備功能的主要影響是裝置起動后加載配置信息時需要加解密和完整性檢查，因此對其原有實時功能的影響微乎其微。

配置工具的安全不僅應從信息安全方面考慮，而且在實現、部署應用、物理環境、運行管理等各個環節都應進行整體考慮和加強防范。本文以等保3級為原則進行安全加固設計及實現，然而安全無邊界，后續還需要進行更高等級要求的技術研究及實現，以進一步提升安全防護能力。