基于全球同步时钟差异化管理的变电站自动化系统定向协同网络攻击防护方法

摘要

一种基于全球同步时钟差异化管理的变电站自动化系统定向协同网络攻击防护方法，针对定向攻击变电站的恶意软件侵入变电站自动化系统后，可通过变电站描述文件获得变电站各断路器准确控制信息后控制断路器跳闸的问题，将各个变电站的全球同步时钟进行差异化管理，具体是于各个变电站的全球同步时钟接收模块中增设同步时钟时间调整模块，经时间调整后使得各个变电站的全球同步时钟的全球同步时间均不相同，再通过站内授时修改各个变电站的站内同步时间，从而避免侵入多个变电站的恶意软件通过全球同步时钟进行协同，同步发起跳闸攻击造成多个变电站同时停电的大停电事故，以保障电网在极端条件下的运行安全，能显著提高变电站自动化系统的信息安全主动防护能力。

说明书

技术领域

本发明涉及一种变电站自动化系统的信息安全防护方法，具体涉及一种基于全球同步时钟差异化管理的变电站自动化系统定向协同网络攻击防护方法。

背景技术

作为现代社会的关键性基础设施，电力系统是网络攻击的高价值目标。在电力系统的数字化和网络化发展过程中，电力系统逐渐发展成为由信息系统和物理电网融合构成的混杂系统。其中，电网的生产调度和保护控制高度依赖于信息系统，发生信息安全事件可能引发的后果显著上升。世界各国纷纷成立网络部队专门从事电力等领域的网络攻击与防卫研究。

当前，电力系统信息安全研究侧重于边界防护，对恶意软件入侵后的行为模式与防护方法研究相对有限。2010年新出现的震网病毒(Stuxnet)，可以利用计算机系统的零日漏洞逃避病毒检测，并通过优盘传播攻击物理隔离的特定重要目标。采用类似震网病毒的方式，由具有深厚电力系统背景知识的有组织攻击方制作的恶意软件侵入电力系统实时控制区是存在现实可能性的。

电力企业为保证生产控制区的信息安全，将其和其它电力信息系统在网络物理层实现隔离，如在调度中心和电厂、变电站之间通过专用的调度数据网进行经认证加密的远程通信，同一电厂、变电站的不同安全区之间设置隔离防火墙，并在生产控制大区边界设置入侵检测系统；对设备厂家的拨号接入采用加密、认证和访问控制措施，在安全区内则对恶意代码等攻击行为通过离线更新病毒库、木马库、入侵检测库等方式防护。

总体来看，电力信息安防主要针对网络和基于网络的电力生产控制系统，重点强化边界防护，以提高内部安全防护能力。传统上，物理隔离被认为是网络攻击难以逾越的天然屏障，包括电力系统在内、对安全性有较高要求的信息系统都以此为准则构建核心网络。但是，2010年出现的震网病毒颠覆了这一认识。首先，该病毒借助强化设计的优盘传播机制，可绕过安全边界攻击物理隔离的工业控制系统；其次，因杀毒软件仅能查杀已知病毒，无法查杀像震网病毒这样利用多个零日漏洞的恶意软件；最后，因震网病毒有精确的破坏目标且对目标系统有深刻认识，它不会像普通病毒、木马一样大肆传播，还可以准确修改攻击目标的控制参数、实施破坏，这种行为模式与一般的恶意软件和病毒有明显差异，现有的被动式入侵检测系统很难准确捕捉。因此，当前对类似震网病毒的恶意软件缺乏针对性的防御手段。

电力系统的变电站自动化系统直接涉及变电站的监视与控制，是极具价值的攻击目标。为保障变电站自动化系统的信息安全，我国电力企业将其置于最核心的生产控制安全Ⅰ区，与其它安全区之间在网络物理层实现隔离。在变电站自动化系统和调度自动化系统之间通过专用的调度数据网进行经认证加密的远程通信，并在生产控制大区边界设置入侵检测系统；对设备厂家的拨号接入采用加密、认证和访问控制措施，在安全区内则对恶意代码等攻击行为通过离线更新病毒库、木马库、入侵检测库等方式防护。

由于变电站自动化系统已配置有较完善的信息安全防护手段，一般的恶意软件难以入侵。此外，由于变电站自动化系统结构功能复杂，不具有行业背景知识的攻击方即便侵入变电站，也只能通过拒绝服务攻击或格式化系统等方式施行破坏，只会导致变电站失去站级保护监控能力，而不会直接导致线路跳闸等事故。具有深刻行业知识的有组织攻击方，可以针对变电站自动化系统定制定向攻击恶意软件，施行精确攻击。

对变电站自动化系统有深入认识的有组织攻击方，同样可以采用类似震网病毒的传播机制，经系统或设备厂家维护升级渠道，绕过安全防护边界侵入生产控制安全区向变电站自动化系统发起针对性攻击。由于变电站自动化系统为了兼容多个厂家的保护控制设备，在变电站描述文件中记录有各保护控制设备的详细信息。对有组织攻击方而言，其可根据变电站描述文件的结构化信息存储规约，从变电站描述文件中查找变电站中各断路器的控制端口等控制信息，再根据变电站自动化系统的通信协议发送跳闸控制命令，诱使所有断路器跳闸。

电力系统跨越辽阔地域，发生故障时往往在短时瞬间内有多个继电保护发出告警与跳闸指令并有多个断路器跳闸，为了方便调度运行人员正确处理事故、分析和判断复杂电网故障，并在事故后分析事故发展过程、在断路器拒动或误动时厘清责任归属，现代电力系统一般均配置有事件序列记录系统(SOE，Sequence Of Events)，可在电力设备发生遥信变位如开关变位时，记录下变位时间、变位原因、开关跳闸时相应的遥测量值(如相应的三相电流、有功功率等)，形成SOE记录供事后分析。要理顺调度中心和不同变电站事件发生先后顺序，需要在调度中心和变电站中采用准确对时的统一时钟。早期，调度中心和变电站之间由调度主机服务器通过远动通道对各变电站RTU进行广播对时。随着北斗、GPS等全球定位系统的普及应用和调度与变电站系统自动化程度提高，电力系统的事件序列记录已发展成为在调度中心和各个变电站通过全球同步时钟对时、再在内部进行授时的方式所取代。

电力系统为保障安全可靠运行，在确定运行方式时要求系统能通过N-1校核，以避免单个元件随机失效造成电网稳定破坏。尽管单个变电站退出运行，会造成一定的用户和负荷损失，但并不一定会威胁到电网安全。因变电站内均采用全球同步时钟系统进行时钟同步授时，有电力系统背景知识的有组织方可以根据站内的全球同步时钟进行协同，在约定的时间同时发起跳闸攻击使得多个变电站同时失压全停，以最大化攻击破坏效果，造成大面积停电事故。

发明内容

本发明所要解决的技术问题是：针对上述现有技术中，通过优盘传播的定向攻击恶意软件侵入具有强边界防护能力的变电站自动化系统后，在多个变电站自动化系统内部根据全球同步时钟协同发起跳闸攻击的信息安全问题，提供一种基于全球同步时钟差异化管理的变电站自动化系统定向协同网络攻击防护方法，该方法通过破坏侵入各个变电站的恶意软件的同步协同破坏机制，避免恶意软件协同攻击造成多个变电站同时全停导致的大面积停电事故。

为了解决上述技术问题，本发明所采用的技术方案是：一种基于全球同步时钟差异化管理的变电站自动化系统定向协同网络攻击防护方法，该方法是于现有变电站的全球同步时钟接收模块中增设能对变电站的全球同步时钟进行时间调整的同步时钟时间调整模块，该同步时钟时间调整模块的输入端和输出端分别与全球同步时钟信号接收模块和同步时钟输出授时模块相连接，同步时钟时间调整模块接收全球同步时钟信号接收模块传来的全球同步时间后对变电站的全球同步时钟进行时间调整，使调整后的每个变电站的全球同步时钟的全球同步时间互不相同，并将调整后的全球同步时间发送至同步时钟输出授时模块，以通过站内授时按各变电站调整后的全球同步时间分别对各变电站内的各个设备进行授时，使各变电站内的各个设备的站内同步时间与该变电站调整后的全球同步时间相同。

上述提及的同步时钟时间调整模块对各变电站的全球同步时钟进行时间调整是指利用同步时钟时间调整模块对各变电站的全球同步时钟的全球同步时间逐个进行延迟或加快给定的时间(如给定相同的天数、小时、分钟和秒数)。如：假设有5个变电站，对该5个变电站的全球同步时钟的同步时间逐个进行时间的递增加快1天的调整，该些变电站的全球同步时钟的实际时间为2017年5月10日0点整，则不管该5个变电站的排列顺序，只需调整后的第1个变电站的全球同步时钟显示的时间为2017年5月11日0点整，调整后的第2个变电站的全球同步时钟显示的时间为2017年5月12日0点整，依此类推，最后一个被调整的变电站的全球同步时钟显示的时间为2017年5月15日0点整。若为递减延迟1天的调整，则调整后第1个变电站的全球同步时钟显示的日期由2017年5月10日0点整变为2017年5月9日0点整，调整后的第2个变电站的全球同步时钟显示的日期为2017年5月8日0点整，依此类推。

本发明于现有变电站的全球同步时钟接收模块中增设同步时钟时间调整模块，通过同步时钟时间调整模块对接收到的全球同步时间进行时间的调整，再经站内授时，从而使得各个变电站的站内同步时间互不相同。如此，侵入变电站自动化系统的定向攻击恶意软件即便可根据变电站描述文件获得所在变电站断路器控制信息，根据本地时钟判断到达预约时间而同时发出断路器跳闸攻击信号时，由于各个变电站的时钟不同步，时间有差别，只会造成个别变电站全停失压而不会造成多个变电站同步全停失压导致的大面积停电事故。

本发明方法以破坏侵入多个变电站恶意软件的无通信协同同步机制为目标，不受定向攻击变电站的恶意软件入侵方式与途径影响，能避免定向攻击恶意软件通过全球同步时钟发起的协同攻击，有效管控定向攻击变电站自动化系统恶意软件攻击破坏效果，保障电网在极端条件下的运行安全，显著提高变电站自动化系统的信息安全主动防护能力。

附图说明

图1为全球同步时钟接收与调整的模块示意图。

图2是本发明实施例变电站的全球同步时钟调整示意图。

具体实施方式

本发明为一种基于全球同步时钟差异化管理的变电站自动化系统定向协同网络攻击防护方法，以破坏侵入变电站自动化系统定向攻击恶意软件协同攻击机制为目标，在现有变电站的全球同步时钟接收模块中加入同步时钟时间调整模块，从而可通过同步时钟时间调整模块对各变电站的全球同步时钟进行给定时间的调整，并经站内授时使得各变电站具有不同的站内同步时间。现有技术中定向攻击恶意软件侵入各变电站后，因为不能预知如何与侵入其它变电站的定向攻击恶意软件通信并取得协同攻击效应，可根据站内同步时间进行同步，同时对站内的断路器发起跳闸攻击，从而达到多个变电站全站失压全停触发大面积停电事故的目的。本发明把各变电站全球同步时钟的全球同步时间调整错开后，分散侵入各个变电站的恶意软件根据所在变电站的全球同步时钟判断是否到达预定的协同攻击时间，满足条件时发起跳闸攻击，由于各个变电站接收的全球同步时间经人为调整，站内同步时间互相岔开而不相同，不会出现多个变电站的定向攻击恶意软件协同攻击的场景，从而显著降低定向攻击变电站自动化系统恶意软件的破坏性。

本发明的基于全球同步时钟差异化管理的变电站自动化系统定向协同网络攻击防护方法，是在现有变电站的全球同步时钟的全球同步时钟接收模块(包括全球同步时钟信号接收模块和同步时钟输出授时模块)的基础上进行的改进。结合参见图1，是于现有变电站的全球同步时钟的全球同步时钟接收模块中增设能对全球同步时钟进行时间调整的同步时钟时间调整模块，该同步时钟调整模块的输入端与全球同步时钟信号接收模块连接，输出端与同步时钟输出授时模块连接。各变电站分别通过全球同步时钟信号接收模块接收卫星传来的全球同步时间，并将该全球同步时间发送至同步时钟时间调整模块，该同步时钟时间调整模块接收该全球同步时间后对变电站的全球同步时间进行时间的调整，使调整后的每个变电站的全球同步时钟的全球同步时间互不相同；该同步时钟时间调整模块再将调整后的全球同步时间发送至同步时钟输出授时模块，由该同步时钟输出授时模块对变电站内的设备进行站内授时，使各变电站内的各个设备(如保护装置、测控装置、故障录波设备等)的站内同步时间与该变电站调整后的全球同步时间相同。

较佳的，上述提及的同步时钟时间调整模块对各变电站的全球同步时钟进行时间的调整是指利用同步时钟时间调整模块对变电站的全球同步时钟的全球同步时间逐个进行递减延迟或递增加快给定时间。

本发明的全球同步时间调整方法亦可仅应用于重要的变电站，只对重要变电站进行全球同步时间的调整，同样可以达到避免变电站遭跳闸攻击造成的大停电事故风险。

实施例1

假设图2电网中有10座变电站，站内(变电站内)的全球同步时钟均未做调整，即各变电站的站内同步时间相同，则当10座变电站均遭定向攻击恶意软件入侵时，将会在同一时间发起跳闸攻击，导致该10座变电站内所有线路跳闸，造成大停电事故。按本方法，将各变电站的全球同步时钟逐个递增加快调整超前1天，则各变电站的全球同步时钟的全球同步时间相应发生改变，变电站1的全球同步时钟显示的日期天数往上超前1天(如由2017年5月10日变为2017年5月11日)，而其余各变电站的全球同步时钟的全球同步时间的日期变化见图2。由于各变电站的全球同步时钟的全球同步时间的日期均不相同，导致经站内授时后的各变电站的站内同步时间均不相同，无论入侵方如何选择预定攻击跳闸时间，都只会有一座变电站发起跳闸攻击，跳闸攻击影响范围明显小于不加防护。