一种安全稳定控制系统网络安全防御方法及系统与流程

本发明属于电力系统网络安全技术领域，具体涉及一种安全稳定控制系统网络安全防御方法，还涉及一种安全稳定控制系统网络安全防御系统。

背景技术：

电网安全稳定控制系统是保障电网安全的第二道防线。为确保我国特高压交直流大电网安全运行，一般配套建设了大量的电网安全稳定控制系统。安全稳定控制系统的控制措施种类多、地域广、控制量大，网络化特征突出。随着跨区交直流电网安全稳定控制系统的建设，安控系统更加呈现出大型化、广域化和复杂化趋势，由于控制节点多，控制链条长，若遭遇恶意攻击，安控系统误动、拒动将严重影响电网的安全稳定运行。此外，多次的网络攻击事件也说明传统的信息安全技术无法完全保证电力二次系统不受恶意攻击影响。

然而，目前对于安全稳定控制系统的研究侧重于功能方面，在安全稳定控制系统的网络安全方面的研究基本处于空白，导致现在安全稳定控制系统防御网络攻击的能力较弱。因此，需要针对安全稳定控制系统存在的网络安全风险点，从装置侧和主站侧进行改造升级，从而提升安全稳定控制系统辨识和防御恶意攻击的能力。

技术实现要素：

本发明的目的在于克服现有技术中的不足，提供了一种安全稳定控制系统网络安全防御方法及系统，解决现有安全稳定控系统网络安全防御能力弱的技术问题。

为解决上述技术问题，本发明的技术方案如下。

第一方面，本发明提供了一种安全稳定控制系统网络安全防御方法，包括以下过程：

分析针对安全稳定控制装置的操作是否合规或者动作是否合理，若不合规或者不合理则拒绝此操作；

分析安全稳定控制装置实际响应行为与响应模型是否一致，若不一致则判断遭受恶意攻击，并给出告警信息；

利用多源数据的冗余性辨识安控集中管理系统中数据是否被恶意篡改，若判断发生篡改则发出告警信息；

分析安控集中管理系统实际动作情况与电网故障情况下的响应规律是否一致，若不一致则判断遭受恶意攻击，并给出告警信息。

可选的，还包括：查找安全稳定控制装置的风险点，采用加密和认证对风险点进行防护。

可选的，还包括：对安全稳定控制装置做最小化的配置，具体包括：关闭闲置的端口；退出不需要的压板；删除装置没有开启的相应功能。

可选的，所述分析针对安全稳定控制装置的操作是否合规，包括：

分析接收到的控制指令与安全稳定控制装置当前运行状态、当前电网状态的相关性，从而辨识接收到的控制指令是否合法。

可选的，所述利用多源数据的冗余性辨识安控集中管理系统中数据是否被恶意篡改，包括：

通过安控装置上送的数据与ems中状态估计的电气量进行比对，从而辨识安控装置上送的电气量是否被恶意篡改；

通过安控集中管理系统中保存的基准定制和从安控装置召唤的装置定值进行比对，从而辨识安控装置的定值是否被篡改；

通过在安控集中管理系统中对两个装置之间的报文进行比对，从而辨识装置间交互数据是否被篡改。

可选的，所述分析安控集中管理系统实际动作情况与电网故障情况下的响应规律是否一致，包括：

对比装置实际的启动过程和电网故障情况下的装置启动过程是否一致；

对比安控系统的实际动作过程和安控策略下安控动作的逻辑是否一致。

第二方面，本发明还提供了一种安全稳定控制系统网络安全防御系统，包括：

操作防护模块，用于分析针对安全稳定控制装置的操作是否合规或者动作是否合理，若不合规或者不合理则拒绝此操作；

响应防护模块，用于分析安全稳定控制装置实际响应行为与响应模型是否一致，若不一致则判断遭受恶意攻击，并给出告警信息；

数据防护模块，用于利用多源数据的冗余性辨识安控集中管理系统中数据是否被恶意篡改，若判断发生篡改则发出告警信息；

动作防护模块，用于分析安控集中管理系统实际动作情况与电网故障情况下的响应规律是否一致，若不一致则判断遭受恶意攻击，并给出告警信息。

可选的，还包括风险防护模块，用于查找安全稳定控制装置的风险点，采用加密和认证对风险点进行防护。

可选的，还包括配置防护模块，用于对安全稳定控制装置做最小化的配置，具体包括：关闭闲置的端口；退出不需要的压板；删除装置没有开启的相应功能。

与现有技术相比，本发明所达到的有益效果是：本发明根据恶意攻击对电力系统影响的时序，提出了“事前防护、事中辨识和处置、事后分析”三阶段防御方案，并针对安全稳定控制装置和安控集中管理系统提出了具体的改造方案。该防御方案可以提升安全稳定控制系统辨识和防御恶意网络攻击的能力。

附图说明

图1是安全稳定控制系统网络安全防御方案。

具体实施方式

下面结合附图对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案，而不能以此来限制本发明的保护范围。

实施例1

针对现有安全稳定控制系统网络安全防御能力不足的问题，考虑现有安全稳定控制系统存在的网络安全风险点，提出了一安全稳定控制系统的网络安全防御方案。根据恶意攻击对电力系统影响的时序，提出了“事前防护、事中辨识和处置、事后分析”三阶段防御方案，并针对安全稳定控制装置和安控集中管理系统提出了具体的改造方案，从而提升安全稳定控制系统辨识和防御恶意网络攻击的能力。

本发明的一种安全稳定控制系统网络安全防御方案，参见图1所示，包括如下步骤：

步骤1、安全稳定控制系统网络安全防御整体方案

如图1所示，基于网络攻击对电力系统影响在信息-物理空间的传播时序，按攻击发生前、攻击发生但尚未影响电力一次系统、攻击影响至电力一次系统的划分原则，将网络攻击对电力系统的影响划分为不同的阶段。在各个阶段中通过不同系统的安全防御措施的时序配合及协调联动机制，提出了包含“事前防护、事中辨识和处置、事后分析”三阶段防御方案，实现针对网络攻击的全过程防御，建立包含多道防线的安全稳定控制系统协同防御体系，提升安全稳定控制系统防御网络攻击的能力。

（1）第一阶段：“事前防护”是指在攻击发生前，通过安全稳定控制系统的网络安全防护手段阻止网络攻击事件的发生；目前安全稳定控制系统（简称“安控系统”）对于网络安全方面考虑较少，存在被网络攻击的风险。需要针对风险点，充分考虑安控业务需求，制定安控系统的网络安全防护方案。

（2）第二阶段：“事中辨识和处置”是指在攻击发生但尚未影响至电力一次系统阶段，对网络攻击进行有效辨识和处置，以免网络攻击继续传播至电力一次系统。当攻击影响扩散至安全稳定控制系统但尚未引起电力一次系统故障时，安控系统可以基于安控业务特性对恶意攻击进行辨识和处置。

（3）第三阶段：“事后分析”是指网络攻击导致安全稳定控制装置动作后，从安全稳定控制装置层面和安控集中管理层面分析装置的响应是否合理，从而辨识不合理的动作，分析不合理动作的原因。

步骤2、第一阶段“事前防护”的实现方案

“事前防护”的实现方法主要是针对安全稳定控制系统存在的网络安全风险点，从“信息防护”和“配置合理性检查”两个方面，对安全稳定控制装置进行升级改造，从而防止网络攻击事件的发生。

（1）“信息防护”是指针对安控装置具体风险点，采用加密和认证等传统信息防护手段对安全稳定控制装置进行改造升级，具体措施包括：①对装置通信通道进行加密，包括装置间通信通道、装置与主站的通信通道。②对调试端口、与主站的通信端口进行认证。

（2）“配置合理性检查”是指针对不同功能的安全稳定控制装置，根据实际功能需求对安全稳定控制装置做最小化的配置，尽量减少可被利用的攻击点，降低安控装置被攻击的可能。具体措施包括：①关闭闲置的端口。②退出不必要的压板。③删除装置没有开启的相应功能的代码。从而减少安控装置可被利用的风险点。

步骤3、第二阶段“事中辨识和处置”的实现方案

“事中辨识和处置”的实现方法主要包括对“安全稳定控制装置”和“安控集中管理系统”进行改造升级，在网络攻击尚未引起装置动作之前有效辨识网络攻击并进行处置，以免恶意攻击的传播。

（1）对安全稳定控制装置的升级改造主要包括增加“操作合规性分析”的功能。操作合规性分析包括三类，分别是结合安控装置的状态、安全装置的操作规程和电力系统的状态等，分析针对安控装置的操作是否合规或者动作是否合理，从而拒绝不合规或者不合理的操作，从而保证即使在攻击者获取了一定的操作权限后仍然无法执行关键的操作。具体的三类操作合规性分析措施包括：

①基于装置状态的操作合规性分析，即对于接收到的控制指令，通过分析接收到的指令与安全稳定控制装置当前的运行状态的相关性，从而辨识接收到的控制指令是否合法，如果指令不合法则产生响应的告警信息。比如已有技术实现中安全稳定控制装置在收到远方定值修改指令后，会比对“远方定值修改压板”的投退状态，如果“远方定值修改压板”的投入则执行指令，否则不执行指令。在此功能的基础上进行改造，如果“远方定值修改压板”未投运情况下收到远方定值修改指令，不仅拒绝执行指令，还需要产生相应的告警信息。

②基于操作规程的操作合规性分析，对安全稳定装置接收到的指令或者操作，通过分析指令或者操作是否符合操作规程，从而辨识指令或者操作是否合法，如果指令或者操作不合法则产生告警。比如现在安全稳定控制装置技术上允许装置在运行状态下进行调试和通过面板修改定值，但是工程现场操作规程一般要求在装置退出状态下进行调试和通过面板修改定值。对此功能进行改造，将操作规程的内容以技术实现的方式集成至安全稳定控制装置中，即在进行功能调试和面板修改定值的操作时，首先检测装置是否在退出状态，如果在退出状态则允许进行功能调试和面板定值修改，否则则拒绝执行调试和面板定值修改的操作指令，并产生相应的告警信息。

③基于电网状态的操作合规性分析，对安全稳定装置接收到的指令或者操作，通过分析指令或者操作与当前的电网状态相关性，从而辨识指令或者操作是否合法，如果指令或者操作不合法则拒绝执行，并且产生告警。比如已有部分工程中安全稳定控制装置在收到直流提升命令后需要与本地测得的电网频率比对，如果频率满足条件则执行提升直流命令，否则不执行提升直流命令。在此功能基础上，对现有安全稳定控制装置进行功能改造，在装置收到控制指令后，首先根据电气量与控制指令的关系，从而辨识指令或者操作是否合法，如果指令或者操作不合法则拒绝执行，并且产生告警。

（2）对安控集中管理系统的升级改造主要包括增加“多源数据比对”的功能。多源数据比对指通过利用安控系统级中多源数据的冗余性，辨识被恶意篡改的数据，从而实现针对数据篡改攻击的防护。具体包括：

①电气量比对，通过安控装置上送的数据与ems中状态估计的电气量进行比对，从而辨识安控装置上送的电气量是否被篡改，如果被篡改则产生告警。

②定值比对，通过安控集中管理系统中保存的基准定制和从安控装置召唤的装置定值进行比对，从而辨识安控装置的定值是否被篡改，如果被篡改则产生告警。

③装置间交互报文比对，通过在安控集中管理系统中比对两个装置之间的报文是否一致来辨识装置间交互数据是否被篡改，如果被篡改则产生告警。比如通过攻击安控主站发往安控子站的控制指令可以导致安控子站误动，通过比对安控集中管理系统收到的主子站报文可以发现安控主站并没有给子站发送动作指令，但是子站收到了主站的动作指令并出口动作，从而可以辨识安控装置间通信可能遭受了数据篡改攻击。

步骤4、第三阶段“事后分析”的实现方案

“事后分析”的实现方法主要包括对“安全稳定控制装置”和“安控集中管理系统”进行改造升级，在网络攻击引起装置非正常动作以后，分析装置的响应是否合理，从而识别不合理的动作，分析不合理动作的原因。

（1）对安全稳定控制装置的升级改造主要包括增加“装置响应合理性分析”的功能。装置响应合理性是指通过分析安控装置不同工况下（装置状态、压板投退状态、电力系统运行工况等）的响应规律（装置的动作、告警信息、报文收发过程等），建立安控装置的响应模型。在此基础上，分析安控装置实际响应行为与响应模型是否一致，从而判断安控系统的响应情况是否合理，从而辨识是否遭受恶意攻击，如果遭受恶意攻击则给出告警信息，支撑事后分析。

（2）对安控集中管理系统的升级改造主要包括增加“安控系统的响应合理性分析”的功能。安控系统响应合理性分析是指基于安控系统级的业务逻辑，分析安控装置在电网故障情况下的响应规律，通过分析安控装置实际动作情况与电网故障情况下的响应规律是否一致，从而判断安控系统的响应情况是否合理，辨识是否是恶意攻击引起的安控系统的动作，如果遭受恶意攻击则给出告警信息，支撑事后分析。可以增加的功能具体包括：

①基于装置启动过程的合理性分析。电网故障情况下装置的启动过程一般是安控子站先启动，然后根据安控系统结构，主站、总站顺序启动，通过对比装置实际的启动过程和电网故障情况下的装置启动过程可以辨识装置动作是否是由于恶意攻击引起的。

②基于安控策略的合理性分析。根据安控系统的策略，分析安控系统的动作过程是否符合安控动作的逻辑，从而辨识恶意攻击等引起的安控装置非正常的动作。

③根据安控系统的其他响应特征量进行分析和辨识恶意攻击，如装置告警信息、闭锁信息等。在实际应用时，可以根据不同响应特征量的特性采用不同的方法形成安控系统的影响合理性模型，如基于安控策略合理性分析可以采用模型驱动的方法实现，基于装置启动过程的合理性分析可以采用数据驱动的方法实现。

实施例2

基于与实施例1同样的发明构思，本发明还提供了一种安全稳定控制系统网络安全防御系统，包括：

操作防护模块，用于分析针对安全稳定控制装置的操作是否合规或者动作是否合理，若不合规或者不合理则拒绝；

响应防护模块，用于分析安全稳定控制装置实际响应行为与响应模型是否一致，若不一致则判断遭受恶意攻击，并给出告警信息；

数据防护模块，用于利用多源数据的冗余性辨识安控集中管理系统中数据是否被恶意篡改，若判断发生篡改则发出告警信息；

动作防护模块，用于分析安控集中管理系统实际动作情况与电网故障情况下的响应规律是否一致，若不一致则判断遭受恶意攻击，并给出告警信息。

可选的，还包括风险防护模块，用于查找安全稳定控制装置的风险点，采用加密和认证对风险点进行防护。

可选的，还包括配置防护模块，用于对安全稳定控制装置做最小化的配置，具体包括：关闭闲置的端口；退出不需要的压板；删除装置没有开启的相应功能。

本发明系统中各模块的具体实现方案参见实施例1方法的各步骤过程。

本发明根据恶意攻击对电力系统影响的时序，提出了“事前防护、事中辨识和处置、事后分析”三阶段防御方案，并针对安全稳定控制装置和安控集中管理系统提出了具体的改造方案。该防御方案可以提升安全稳定控制系统辨识和防御恶意网络攻击的能力。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质（包括但不限于磁盘存储器、cd-rom、光学存储器等）上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备（系统）、和计算机程序产品的流程图和／或方框图来描述的。应理解可由计算机程序指令实现流程图和／或方框图中的每一流程和／或方框、以及流程图和／或方框图中的流程和／或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能的步骤。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明技术原理的前提下，还可以做出若干改进和变型，这些改进和变型也应视为本发明的保护范围。