本發(fā)明涉及一種變電站自動化系統(tǒng)的信息安全防護方法，具體涉及一種基于全球同步時鐘差異化管理的變電站自動化系統(tǒng)定向協(xié)同網絡攻擊防護方法。

背景技術：

作為現代社會的關鍵性基礎設施，電力系統(tǒng)是網絡攻擊的高價值目標。在電力系統(tǒng)的數字化和網絡化發(fā)展過程中，電力系統(tǒng)逐漸發(fā)展成為由信息系統(tǒng)和物理電網融合構成的混雜系統(tǒng)。其中，電網的生產調度和保護控制高度依賴于信息系統(tǒng)，發(fā)生信息安全事件可能引發(fā)的后果顯著上升。世界各國紛紛成立網絡部隊專門從事電力等領域的網絡攻擊與防衛(wèi)研究。

當前，電力系統(tǒng)信息安全研究側重于邊界防護，對惡意軟件入侵后的行為模式與防護方法研究相對有限。2010年新出現的震網病毒(stuxnet)，可以利用計算機系統(tǒng)的零日漏洞逃避病毒檢測，并通過優(yōu)盤傳播攻擊物理隔離的特定重要目標。采用類似震網病毒的方式，由具有深厚電力系統(tǒng)背景知識的有組織攻擊方制作的惡意軟件侵入電力系統(tǒng)實時控制區(qū)是存在現實可能性的。

電力企業(yè)為保證生產控制區(qū)的信息安全，將其和其它電力信息系統(tǒng)在網絡物理層實現隔離，如在調度中心和電廠、變電站之間通過專用的調度數據網進行經認證加密的遠程通信，同一電廠、變電站的不同安全區(qū)之間設置隔離防火墻，并在生產控制大區(qū)邊界設置入侵檢測系統(tǒng)；對設備廠家的撥號接入采用加密、認證和訪問控制措施，在安全區(qū)內則對惡意代碼等攻擊行為通過離線更新病毒庫、木馬庫、入侵檢測庫等方式防護。

總體來看，電力信息安防主要針對網絡和基于網絡的電力生產控制系統(tǒng)，重點強化邊界防護，以提高內部安全防護能力。傳統(tǒng)上，物理隔離被認為是網絡攻擊難以逾越的天然屏障，包括電力系統(tǒng)在內、對安全性有較高要求的信息系統(tǒng)都以此為準則構建核心網絡。但是，2010年出現的震網病毒顛覆了這一認識。首先，該病毒借助強化設計的優(yōu)盤傳播機制，可繞過安全邊界攻擊物理隔離的工業(yè)控制系統(tǒng)；其次，因殺毒軟件僅能查殺已知病毒，無法查殺像震網病毒這樣利用多個零日漏洞的惡意軟件；最后，因震網病毒有精確的破壞目標且對目標系統(tǒng)有深刻認識，它不會像普通病毒、木馬一樣大肆傳播，還可以準確修改攻擊目標的控制參數、實施破壞，這種行為模式與一般的惡意軟件和病毒有明顯差異，現有的被動式入侵檢測系統(tǒng)很難準確捕捉。因此，當前對類似震網病毒的惡意軟件缺乏針對性的防御手段。

電力系統(tǒng)的變電站自動化系統(tǒng)直接涉及變電站的監(jiān)視與控制，是極具價值的攻擊目標。為保障變電站自動化系統(tǒng)的信息安全，我國電力企業(yè)將其置于最核心的生產控制安全ⅰ區(qū)，與其它安全區(qū)之間在網絡物理層實現隔離。在變電站自動化系統(tǒng)和調度自動化系統(tǒng)之間通過專用的調度數據網進行經認證加密的遠程通信，并在生產控制大區(qū)邊界設置入侵檢測系統(tǒng)；對設備廠家的撥號接入采用加密、認證和訪問控制措施，在安全區(qū)內則對惡意代碼等攻擊行為通過離線更新病毒庫、木馬庫、入侵檢測庫等方式防護。

由于變電站自動化系統(tǒng)已配置有較完善的信息安全防護手段，一般的惡意軟件難以入侵。此外，由于變電站自動化系統(tǒng)結構功能復雜，不具有行業(yè)背景知識的攻擊方即便侵入變電站，也只能通過拒絕服務攻擊或格式化系統(tǒng)等方式施行破壞，只會導致變電站失去站級保護監(jiān)控能力，而不會直接導致線路跳閘等事故。具有深刻行業(yè)知識的有組織攻擊方，可以針對變電站自動化系統(tǒng)定制定向攻擊惡意軟件，施行精確攻擊。

對變電站自動化系統(tǒng)有深入認識的有組織攻擊方，同樣可以采用類似震網病毒的傳播機制，經系統(tǒng)或設備廠家維護升級渠道，繞過安全防護邊界侵入生產控制安全區(qū)向變電站自動化系統(tǒng)發(fā)起針對性攻擊。由于變電站自動化系統(tǒng)為了兼容多個廠家的保護控制設備，在變電站描述文件中記錄有各保護控制設備的詳細信息。對有組織攻擊方而言，其可根據變電站描述文件的結構化信息存儲規(guī)約，從變電站描述文件中查找變電站中各斷路器的控制端口等控制信息，再根據變電站自動化系統(tǒng)的通信協(xié)議發(fā)送跳閘控制命令，誘使所有斷路器跳閘。

電力系統(tǒng)跨越遼闊地域，發(fā)生故障時往往在短時瞬間內有多個繼電保護發(fā)出告警與跳閘指令并有多個斷路器跳閘，為了方便調度運行人員正確處理事故、分析和判斷復雜電網故障，并在事故后分析事故發(fā)展過程、在斷路器拒動或誤動時厘清責任歸屬，現代電力系統(tǒng)一般均配置有事件序列記錄系統(tǒng)(soe，sequenceofevents)，可在電力設備發(fā)生遙信變位如開關變位時，記錄下變位時間、變位原因、開關跳閘時相應的遙測量值(如相應的三相電流、有功功率等)，形成soe記錄供事后分析。要理順調度中心和不同變電站事件發(fā)生先后順序，需要在調度中心和變電站中采用準確對時的統(tǒng)一時鐘。早期，調度中心和變電站之間由調度主機服務器通過遠動通道對各變電站rtu進行廣播對時。隨著北斗、gps等全球定位系統(tǒng)的普及應用和調度與變電站系統(tǒng)自動化程度提高，電力系統(tǒng)的事件序列記錄已發(fā)展成為在調度中心和各個變電站通過全球同步時鐘對時、再在內部進行授時的方式所取代。

電力系統(tǒng)為保障安全可靠運行，在確定運行方式時要求系統(tǒng)能通過n-1校核，以避免單個元件隨機失效造成電網穩(wěn)定破壞。盡管單個變電站退出運行，會造成一定的用戶和負荷損失，但并不一定會威脅到電網安全。因變電站內均采用全球同步時鐘系統(tǒng)進行時鐘同步授時，有電力系統(tǒng)背景知識的有組織方可以根據站內的全球同步時鐘進行協(xié)同，在約定的時間同時發(fā)起跳閘攻擊使得多個變電站同時失壓全停，以最大化攻擊破壞效果，造成大面積停電事故。

技術實現要素：

本發(fā)明所要解決的技術問題是：針對上述現有技術中，通過優(yōu)盤傳播的定向攻擊惡意軟件侵入具有強邊界防護能力的變電站自動化系統(tǒng)后，在多個變電站自動化系統(tǒng)內部根據全球同步時鐘協(xié)同發(fā)起跳閘攻擊的信息安全問題，提供一種基于全球同步時鐘差異化管理的變電站自動化系統(tǒng)定向協(xié)同網絡攻擊防護方法，該方法通過破壞侵入各個變電站的惡意軟件的同步協(xié)同破壞機制，避免惡意軟件協(xié)同攻擊造成多個變電站同時全停導致的大面積停電事故。

為了解決上述技術問題，本發(fā)明所采用的技術方案是：一種基于全球同步時鐘差異化管理的變電站自動化系統(tǒng)定向協(xié)同網絡攻擊防護方法，該方法是于現有變電站的全球同步時鐘接收模塊中增設能對變電站的全球同步時鐘進行時間調整的同步時鐘時間調整模塊，該同步時鐘時間調整模塊的輸入端和輸出端分別與全球同步時鐘信號接收模塊和同步時鐘輸出授時模塊相連接，同步時鐘時間調整模塊接收全球同步時鐘信號接收模塊傳來的全球同步時間后對變電站的全球同步時鐘進行時間調整，使調整后的每個變電站的全球同步時鐘的全球同步時間互不相同，并將調整后的全球同步時間發(fā)送至同步時鐘輸出授時模塊，以通過站內授時按各變電站調整后的全球同步時間分別對各變電站內的各個設備進行授時，使各變電站內的各個設備的站內同步時間與該變電站調整后的全球同步時間相同。

上述提及的同步時鐘時間調整模塊對各變電站的全球同步時鐘進行時間調整是指利用同步時鐘時間調整模塊對各變電站的全球同步時鐘的全球同步時間逐個進行延遲或加快給定的時間(如給定相同的天數、小時、分鐘和秒數)。如：假設有5個變電站，對該5個變電站的全球同步時鐘的同步時間逐個進行時間的遞增加快1天的調整，該些變電站的全球同步時鐘的實際時間為2017年5月10日0點整，則不管該5個變電站的排列順序，只需調整后的第1個變電站的全球同步時鐘顯示的時間為2017年5月11日0點整，調整后的第2個變電站的全球同步時鐘顯示的時間為2017年5月12日0點整，依此類推，最后一個被調整的變電站的全球同步時鐘顯示的時間為2017年5月15日0點整。若為遞減延遲1天的調整，則調整后第1個變電站的全球同步時鐘顯示的日期由2017年5月10日0點整變?yōu)?017年5月9日0點整，調整后的第2個變電站的全球同步時鐘顯示的日期為2017年5月8日0點整，依此類推。

本發(fā)明于現有變電站的全球同步時鐘接收模塊中增設同步時鐘時間調整模塊，通過同步時鐘時間調整模塊對接收到的全球同步時間進行時間的調整，再經站內授時，從而使得各個變電站的站內同步時間互不相同。如此，侵入變電站自動化系統(tǒng)的定向攻擊惡意軟件即便可根據變電站描述文件獲得所在變電站斷路器控制信息，根據本地時鐘判斷到達預約時間而同時發(fā)出斷路器跳閘攻擊信號時，由于各個變電站的時鐘不同步，時間有差別，只會造成個別變電站全停失壓而不會造成多個變電站同步全停失壓導致的大面積停電事故。

本發(fā)明方法以破壞侵入多個變電站惡意軟件的無通信協(xié)同同步機制為目標，不受定向攻擊變電站的惡意軟件入侵方式與途徑影響，能避免定向攻擊惡意軟件通過全球同步時鐘發(fā)起的協(xié)同攻擊，有效管控定向攻擊變電站自動化系統(tǒng)惡意軟件攻擊破壞效果，保障電網在極端條件下的運行安全，顯著提高變電站自動化系統(tǒng)的信息安全主動防護能力。

附圖說明

圖1為全球同步時鐘接收與調整的模塊示意圖。

圖2是本發(fā)明實施例變電站的全球同步時鐘調整示意圖。

具體實施方式

本發(fā)明為一種基于全球同步時鐘差異化管理的變電站自動化系統(tǒng)定向協(xié)同網絡攻擊防護方法，以破壞侵入變電站自動化系統(tǒng)定向攻擊惡意軟件協(xié)同攻擊機制為目標，在現有變電站的全球同步時鐘接收模塊中加入同步時鐘時間調整模塊，從而可通過同步時鐘時間調整模塊對各變電站的全球同步時鐘進行給定時間的調整，并經站內授時使得各變電站具有不同的站內同步時間。現有技術中定向攻擊惡意軟件侵入各變電站后，因為不能預知如何與侵入其它變電站的定向攻擊惡意軟件通信并取得協(xié)同攻擊效應，可根據站內同步時間進行同步，同時對站內的斷路器發(fā)起跳閘攻擊，從而達到多個變電站全站失壓全停觸發(fā)大面積停電事故的目的。本發(fā)明把各變電站全球同步時鐘的全球同步時間調整錯開后，分散侵入各個變電站的惡意軟件根據所在變電站的全球同步時鐘判斷是否到達預定的協(xié)同攻擊時間，滿足條件時發(fā)起跳閘攻擊，由于各個變電站接收的全球同步時間經人為調整，站內同步時間互相岔開而不相同，不會出現多個變電站的定向攻擊惡意軟件協(xié)同攻擊的場景，從而顯著降低定向攻擊變電站自動化系統(tǒng)惡意軟件的破壞性。

本發(fā)明的基于全球同步時鐘差異化管理的變電站自動化系統(tǒng)定向協(xié)同網絡攻擊防護方法，是在現有變電站的全球同步時鐘的全球同步時鐘接收模塊(包括全球同步時鐘信號接收模塊和同步時鐘輸出授時模塊)的基礎上進行的改進。結合參見圖1，是于現有變電站的全球同步時鐘的全球同步時鐘接收模塊中增設能對全球同步時鐘進行時間調整的同步時鐘時間調整模塊，該同步時鐘調整模塊的輸入端與全球同步時鐘信號接收模塊連接，輸出端與同步時鐘輸出授時模塊連接。各變電站分別通過全球同步時鐘信號接收模塊接收衛(wèi)星傳來的全球同步時間，并將該全球同步時間發(fā)送至同步時鐘時間調整模塊，該同步時鐘時間調整模塊接收該全球同步時間后對變電站的全球同步時間進行時間的調整，使調整后的每個變電站的全球同步時鐘的全球同步時間互不相同；該同步時鐘時間調整模塊再將調整后的全球同步時間發(fā)送至同步時鐘輸出授時模塊，由該同步時鐘輸出授時模塊對變電站內的設備進行站內授時，使各變電站內的各個設備(如保護裝置、測控裝置、故障錄波設備等)的站內同步時間與該變電站調整后的全球同步時間相同。

較佳的，上述提及的同步時鐘時間調整模塊對各變電站的全球同步時鐘進行時間的調整是指利用同步時鐘時間調整模塊對變電站的全球同步時鐘的全球同步時間逐個進行遞減延遲或遞增加快給定時間。

本發(fā)明的全球同步時間調整方法亦可僅應用于重要的變電站，只對重要變電站進行全球同步時間的調整，同樣可以達到避免變電站遭跳閘攻擊造成的大停電事故風險。

實施例1

假設圖2電網中有10座變電站，站內(變電站內)的全球同步時鐘均未做調整，即各變電站的站內同步時間相同，則當10座變電站均遭定向攻擊惡意軟件入侵時，將會在同一時間發(fā)起跳閘攻擊，導致該10座變電站內所有線路跳閘，造成大停電事故。按本方法，將各變電站的全球同步時鐘逐個遞增加快調整超前1天，則各變電站的全球同步時鐘的全球同步時間相應發(fā)生改變，變電站1的全球同步時鐘顯示的日期天數往上超前1天(如由2017年5月10日變?yōu)?017年5月11日)，而其余各變電站的全球同步時鐘的全球同步時間的日期變化見圖2。由于各變電站的全球同步時鐘的全球同步時間的日期均不相同，導致經站內授時后的各變電站的站內同步時間均不相同，無論入侵方如何選擇預定攻擊跳閘時間，都只會有一座變電站發(fā)起跳閘攻擊，跳閘攻擊影響范圍明顯小于不加防護。