高级网络论文 - 图文

智能电网安全模式研究

摘要：智能电网通过输电电缆与信息技术和网络技术将新兴能源整合，同时新采用的智能电网设备连接起来。然而，与IT系统相比智能电网中的系统的安全性更加脆弱，对这种具备大量专有设备、专有设备的智能电网分布式系统提供安全补丁是非常困难或者非常昂贵的。本文通过对目前智能电网系统安全方式的分析提出一种基于设备模拟过滤防火墙的方式解决智能电网安全性问题。

关键字：智能电网；SCADA；安全；设备模拟

0 引言

随着风能、潮汐能、太阳能向着电网的并入使得电力行业必须出现新的电网格局，智能电网技术应运而生。这极大的提高电力系统的可靠性、可用性、以及效率，同时通过智能设备自动调控家庭和商业用电，从而达到节约能源。然而，通过将整个电网连接到因特网上——小到接入家庭的电表，大到输电电线的整合提高电网效率的方式，同时也带来了网络安全隐患。这是由于把目前彼此分离的系统连接到因特网上，就使远距离控制成为可能。最先使用智能电网的之一的美国的20多万英里长的高压输电线，上千的发电站，几百万个数字控制站中受到攻击记录多达几万次，但是供电设施和私人供电公司并没有给防毒软件打补丁以应对恶意代码攻击。

本文通过对智能电网中的SCADA系统的三个网络层次添加一

个设备命令模拟的过滤防火墙，使得任何远程操作都必须先在设备模拟层验证才能下发到设备，从而减少了由于一个设备误动而引起的传感网络中的其他设备的误动，甚至是整个电网的停电或者馈线现象。

1 关于智能电网

国内国外对智能电网均有定义，其中一个比较公认的定义[11]由Tony Flick提出：智能电网并非一个设备，应用程序，系统，网络或者是一个想法。智能电网不是一个静态的概念，它也会随着技术的革新和发展而改变。它是建立在集成的、高速双向通信网络的基础上，通过先进的传感和测量技术、先进的设备技术、先进的控制方法以及先进的决策支持系统技术的应用，实现电网的可靠、安全、经济、高效、环境友好和使用安全的目标，其主要特征包括自愈、激励和

包括用户、抵御攻击、提供满足21世纪用户需求的电能质量、容许各种不同发电形式的接入、启动电力市场以及资产的优化高效运行。同时他给出一个智能电网模型，图1-1：智能电网模型。

SCADA系统是智能电网的核心部分，它集成了大量的功能与安全机制模块。同时由于无线网络LRM、WLAN、Wilma的大规模使用，使得智能电网不但要考虑内部员工，商业间谍，以及恐怖主义这些故意的攻击，更要考虑由于人为疏忽，自然灾害，以及设备故障这些不可预知的信息的泄露使得黑客有机可乘，然智能电网无法在正常状态下运转。但是现今使用的PKI模式繁杂过程无法在智能电网中使用。从而该文献提出一种在原有的PKI模式（图2-1：PKI模型）下增加一个TA(Trust Archor)的方式简化认证过程。 图1-1 智能电网模型 2 智能电网安全控制方式 2.1 基于TA（Trust Archor）的PKI机制 能量子模型的智能电网具备很强的分配智能与宽带通信能力[7]通过这种方式可以很大程度上提高系统的高效性和可靠性。由于目前的电网的机构复杂、设备的专有性使得电网在过去的10年里暴露出很多的缺陷。然而这些能量子系统的安全性都可归结到SCADA系统的安全。很大程度上说

图2-1 PKI模型

通过增加TA后的PKI机制，使得操作员操作智能电网设备的时候，可以无需动态加载。只需在设备生产时，通过TA将上模型中的certificate固化

在设备中，同时将设备的编号以及transfer certificate抄送给操作员，就可以解决PKI机制的复杂认证过程。不但如此，增加TA后的PKI可以接受操作员的根CA为其TA(此过程称为动态固化)。进而解决了智能电网中的SCADA的安全漏洞，同时可以保证SCADA系统多模块数据通信的实时性能要求。

完全暴露在危险中，甚至操作系统的安全性也会给SCADA带来致命地打击。另外一方面电网中物理设备的专用性，各个模块间通信协议的专有性使得建立一个统一的安全过滤模块变得非常困难。一种解决方案是[6]：基于EPU(Electric Power Utility)的安全信息域模型（图2-3：信息安全域模型），地理上分布的处理和控制单元。

2.2 基于域（domain）的EPU交互方式 智能电网的系统分为通信子系统与自动控制子系统[6]，通信系统这个庞大的系统中可能存在很多的类似于服务访问点的接口，仅仅在SCADA系统中就存在大量服务访问点，图2-2，SCADA系统中的服务访问点。 图2-3 信息安全域模型 EPU是一种安全权利的审计或者分发组织或者设备，它可以根据域安全级别设置域的安全机制，图中各个“domain”间或者内部之间的交互也由一个安全控制协议来完成。这种EPU系统和数据网络还必须将servers, client devices, data communication 图2-2：SCADA系统中的服务访问点

infrastructure, access and network management devices, operating systems, and databases等映射到“domain”中。

图中的“access point”提供进入变电网的可能接入点，使得 SCADA

进而解决了在划分信息安全域时候会出现信息孤岛，或者不同域之间可以任意的访问，同时从图中可以看到对于每个域而言在它外面的都是不可信域，对于没有访问节点的其他域是不可以访问自己的，这在很大程度上保证了各个信息域内的畅通性以及外部访问的安全性。

2.3 基于安全代理的方式

智能电网要面临将以前大量的信息孤岛[5]（电网自动化网络）通过因特网连接起来。智能电网的配电网部分主要是从变电站到客户，而电网的自动控制系统（图2-4），是将一个或者多个控制中心水平方向进行整合，同时一个监控中心监管多个变电站。这种电网自动控制系统，主要是分层的采集数据以及控制配电系统集成这些电力自动系统后的智能电网将会与客户，ISOs (Independent System Operator), RTOs (Regional Transmission Organization), peer system operators.等进行数据交互。图中：control/operation center level，专线都是使用ICCP作为通信协议的LAN (Local Area Network) and IP-based (Internet Protocol)在corporate and control center之间使用，Wireless technology ，DNP3.0 (Distributed Network Protocol)在

control center和substations之间使用，然而正是这些通信方式导致智能电网容易受到组件入侵、协议攻击、技术缺陷攻击[5] ，从控制系统的“real time performance” and “continuous operation”这些特性在Power Grid Automation System中的应用，可以看出电网的设计之初就没有考虑到IT方面的安全，因此通过IT方面网络攻击，基本上都可以攻击智能电网。

图2-4：电网自动控制系统

由于自动控制系统的设备、通信协议的专有性，使得IT系统的网络安全控制方法无法适应。一种解决办法是[5]：在每两个通信区域之间增加一个安全代理控制，同理在每个节点上增加代理，进而在保持现有自动控制系统的特点基础上解决智能的电网安全

控制问题，图2-5，安全代理模式的自动控制系统。

的，然而智能电网中旧的设备确占到很大的比例。

方案二提出基于域模型的安全控制EPU，此方案非常清晰提出要将智能电网中不同功能的网络划分为彼此逻辑上分离的子域，这样只要加强子域间的安全控制就能很好的解决智能电网的安全控制。但是这些子域的划分需要有清晰界限，对于智能电网中经常变动的配电网，例如风能的接入时用户智能电表侧可能由原来的用户侧转化为配电网侧，同时对于智能电 图2-5安全代理模式的自动控制系统

网中的设备的安全控制也无法完成。

方案三提出基于代理机制，可

以完好保持电力自动控制网络自身的功能特性与IT网络无缝通信的基础上保证了电网的安全，也能够控制设备的安全问题。可以应对智能电网时代大量的传感控制设备间泛红攻击等，可以从设备层次限制网络攻击。但是此方案的设备关联性太强，不能如方案一、方案二从整体层次控制网络安全；同时设备的专有性以及10年前的设备能不能“接受”安全代理控制也不清楚，对代理漏洞的修复也非常困难。

2.4 总结

智能电网建设初衷是将原有的专有网络通过互联网以及新的智能设备连接起来。然而智能电网的集成必须面临大量10年甚至是15年前的设备，以及专网中没有考虑安全性的专有通信协议，这使得上述三种方案从不同程度体现出了。

方案一提出基于TA的PKI机制，这个方案提出了一个TA负责将安全控制机制固化在设备上，简化了IT系统中的PKI复杂认证过程，同时使得设备的安全性得到很大的提高，从而解决智能电网的网络安全问题。但是其忽略了一个问题，对于电网存在的大量的10年前的设备是没有办法解决

3 基于过滤防火墙的SCADA系统安全模式

智能电网中的输配电系统RTU，IED等设备都提供IP协议的远程控制断口，DNP协议很容易受到逆向工程技术的攻击，大量的传感自动控制使得泛宏攻击对SCADA服务器来说非常致命。因此智能电网的安全问题无论是设备还是系统之间安全问题都非常重要。第二节中提到的三种方案中，方案三提供了一个很好的控制方式，无论从成本上还是技术可行性上均能

统安全模式。

自动 Ihe Internet 实现。但是方案三的设备相关性太大， 而方案二却是对设备透明的。本文目的是找到在不改变电网结构条件下，同时能对设备透明的方案。

基于过滤防火强的SCADA系统安全模式不仅能保持电网现有的安全特性，同时在保证设备安全性的基础上对设备透明。其基本原理是在电力自动控制系统的三个不同通信协议区域分别加上一个安全过滤器，但是安全过滤器无需在具体的设备上增加任何程序或者硬件，它对设备是完全透明的。设备上出现新的漏洞，只需在过滤防火墙的模拟过滤器上更新补丁即可，对于10年前的设备同样试用。图3-1，基于过滤防火墙的SCADA系

AssetManage Planning Engineering Security Filter 五、预期成果和可能的创新点 安六、主要参考文献（附pdf原文） 全 控U I Historical Dashboard 制 中T/D application O T S 心 Security Filter RTU/P gatewa Log sever communication iccp I变电站 Security Filter meters Protective Relays Wired

图3-1 基于过滤防火墙的SCADA系

图3-2 安全过滤器设计

系统异负荷运统安全模式

图3-1是一种基于安全过滤防火墙的模型，此模型的Security Filter的具体工作机制，如图3-2所示。安全过滤器的核心是其中的设备模拟器，它在接受命令的时候首先在配置好了的虚拟设备环境中运行，如果不改变当前设备的状态以及触发方式就直接下发给对应的协议，如果是出现改变设备的配置，则首先检查这一命令的来源是否可靠，如果可靠则下发给设备，同时将数据包转发给系统管理员，以备出现系统异常时候及时的恢复系统，如果是使设备超负荷工作或者系统异常，则要立即将数据包转发给管理员并提醒有入侵行为。

4 结束语

本文在分析目前的智能电网安全模式的基础上提出了基于安全过滤防火墙的智能电网安全模式，此模式在构建一个不改变原有的SCADA的结构，以及无需考虑具体设备的专有性且能与互联网无缝连接的安全智能电网模型，此模型是智能电网的构建过程中急需解决的安全问题的另一个经济可行解决方案。

Security Filter 直接传送至设备 命令 （数系统正常 据） （常规参设备 发送到管理员那数） 模拟里 器（决6参考文献 改变系统运策模行参数（命拟器） 直接会送到管理令） [1] Marian Anghel Los Alamos National 员，并且提示管Laboratory Los Alamos, New Mexico 理员有攻击者入侵或者网络出现故障

87544: Stochastic

Model for Power Grid Dynamics.

[2] Marija D. Ilic, Fellow IEEE: From

Hierarchical to Open Access Electric Power Systems [3] Michael J. Smith?, Kevin Wedeward,

IEEE, Albuquerque, NM Department of ElectricalEngineeringNew Mexico Institute of Mining and Technology, Socorro, NM 87801:

Event Detection and Location in Electric PowerSystems using Constrained Optimization

[4] Preetika Kulshrestha , Student Member,

IEEE, Lei Wang , Student Member, IEEE, Mo-Yuen Chow , Fellow, IEEE and Srdjan Lukic4, Member, IEEE: Intelligent Energy Management System Simulator for PHEVs at Municipal Parking

Deck

in

a

Smart

Grid

Environment

[5] Dong Wei, Member, IEEE, Yan Lu,

Mohsen Jafari, Member, IEEE, Paul Skare, and Kenneth Rohde: An Integrated Security System of Protecting Smart Grid against Cyber Attacks [6] G?ran N. Ericsson, Senior Member, IEEE:

Cyber Security and Power System

Communication—Essential Parts of a Smart Grid Infrastructure

[7] Anthony R. Metke and Randy L. Ekl: Security Technology for Smart Grid Networks

[8] T. Bevis, B. Hacker, C. S. Edrington, S.

Azongha Florida State University – Center for Advanced Power Systems Tallahassee, FL 32310 : A Review of PHEV Grid Impacts

[9] N. Kuntze, C. Rudolph, M. Cupelli, J. Liu

and A. Monti: Trust infrastructures for future energy networks

[10] Sam Clements, CISSP; Harold Kirkham,

Fellow, IEEE: Cyber-Security Considerations for the Smart Grid

[11] Adam Hahn Department of Electrical and

Computer Engineering Iowa State University Ames, IA 50011: Smart Grid Cybersecurity Exposure Analysis and Evalution Framework

[12] Martine Bella¨ ?che G′ enie Informatique

et G′enie Logiciel Ecole Polytechnique deMontreal Montr′ eal, QC, CANADA:

Source Detection of SYN Flooding Attacks

[13] A.Baes Mohamed A. Kandil Arab

Academy for Science and Technology :

Strengthening and Securing the TCP/IP Stack against SYN Attacks

[14] Martine Bella¨ ?che G′ enie Informatique

et G′ enie Logiciel Ecole Polytechnique

de Montr′ eal Montr′ eal, QC, CANADA Jean-Charles Gr′ egoire INRS–EMT Montr′ eal, QC, CANADA: SYN Flooding Attack Detection Based on Entropy Computing

[15] Nikhil Ranjan, Hema A. Murthy, Timothy A. Gonsalves Department of Computer Science and Engineering Indian Institute of Technology Madras, Chennai:

Detection of Syn Flooding Attacks Using Generalized Autoregressive Conditional Heteroskedasticity (GARCH) Modeling Technique

本文来源：https://www.bwwdw.com/article/ajn7.html