IEC62351变电站二次系统安全加固方案.pdf

IEC62351 变电站二次系统安全加固方案 1. 概述 通信协议是电力系统运行的最关键部分之一，它负责从现场设备取回信息和 发送控制命令至现场设备。虽然通信协议具有关键作用，但迄今这些通信协议还 很少加入任何安全措施。协议安全性的缺失使得攻击者一旦绕过外围的物理防护 措施，直接进入调度中心或变电站内部，就可直接通过通信协议实现对现场设备 的控制。安全性、安全防护和可靠性始终是电力行业中系统设计和运行的重要问 题，随着变电站的智能化、网络化，电力系统越来越多依赖于信息基础设施，该 行业中计算机安全正变得日益重要。 通常情况下存在四种类型计算机安全威胁： 1）未经授权访问信息； 2 ）未经授权修改或窃取信息； 3 ）拒绝服务； 4 ）抵赖或不可追溯。 对应的，计算机用户或软件应用存在四种基本安全需求： 1）机密性（Confidentiality）：防止对信息的未经授权访问； 2 ）完整性（Integrity ）：防止未经授权修改或窃取信息； 3 ）可用性（Availability ）：防止拒绝服务和保证对信息的授权访问； 4 ）不可抵赖性或可追溯性（Non-repudiation or Accountability ）：防止否认已 发生的行为或伪称发生了行为（实际上并没发生）。 下图展示了常见的攻击类型和安全威胁的关系： 上述安全威胁和安全需求在电力通信协议中具有相应的体现，如保密性体现 为数据在通过通信协议编码传输的过程中不被旁路监听，完整性体现为传输数据 不可篡改，等等。因此，某些具体的信息化技术手段被开发出以用于实现此类安 全需求，主要包括加密、认证、授权和访问控制，以及防重放和防篡改。 在本方案中，重点讨论通过针对基于 IEC6185 变电站协议进行安全改造， 提供以下能力： 1）提供认证以最小化中间人攻击的威胁； 2 ）提供认证以最小化某些类型的旁路控制威胁； 3 ）提供认证以最小化无意和恶意的人员行为威胁； 4 ）通过数字签名，提供实体认证： a ）确保对信息的唯一授权访问； b ）支持实现通信访问控制； 5 ）通过加密，提供认证密钥的机密性； 6 ）对那些具有额外的资源，具有处理额外负载能力的通信双方，通过加密， 提供消息的机密性； 7 ）篡改检测，提供完整性； 8 ）防止重放和欺骗； 现有的智能变电站通信主要包括 MMS 协议和 GOOSE/SMV 协议，从网络协 议的层次化角度观察，一个完整的 MMS 数据包涉及了 OSI 7 层模型， GOOSE/SMV 数据传输则仅使用物理层、链路层及应用层三个层次。本方案的安 全防护能力也通过不同的协议层次进行体现，主要集中于传输层和应用层。 2. 基于 MMS 协议的加固 MMS 协议改造主要分为两个部分，如下图所示。一是传输层安全改造，即 下图的T-Profile ，在TCP/IP 协议集上层增加安全协议 TLS/SSL ；二是应用层MMS 关联认证改造，即下图的A-Profile 的ACSE 关联时进行应用层认证。 1）传输层改造 通过在传输层上建立具有特定配置的 TLS/SSL 连接，在传输层进行两个通信 实体间的消息认证和消息加密，应对未经授权访问信息、未经授权修改（即篡改） 或窃取信息。 通过传输层改造提供的安全能力包括： 1）通过数字签名，提供节点的双向身份认证 2 ）通过加密，提供传输层认证、加密密钥的机密性 3 ）通过加密，提供传输层及以上层次消息的机密性，防止窃听 4 ）通过消息鉴别码，提供传输层及以上层次消息的完整性 5 ）通过定义传输序列号有效性，防止传输层的重放和欺骗 不能提供的安全能力包括： 传输层改造不能防止拒绝服务攻击，