基于商用密码的新能源集控系统内生安全研究_杨乘胜.pdf

第 43 卷 第 7 期2023 年 7 月电 力 自 动 化 设 备Electric Power Automation EquipmentVol.43 No.7Jul.2023基于商用密码的新能源集控系统内生安全研究杨乘胜1，张帆2，宋坤1（1.国电南京自动化股份有限公司 信息技术事业部，江苏 南京 211100；2.南京工业大学 计算机与信息工程学院（人工智能学院），江苏 南京 211816）摘要：新能源集控系统跨地域部署，点多面广，面临来自网络空间的不确定性动态攻击风险。利用模糊层次分析法分析新能源集控系统的安全风险。针对非法遥控、非法访问等高危安全风险，从内生安全角度研究系统安全防护方法，提出国产密码技术与DLT 476 2012规约深度融合方法，用于远程数据通信，并对数据验签、解密失败行为进行安全审计，根据审计结果屏蔽恶意攻击。在数据加密过程中，提出基于Linux随机数生成器（LRNG）的“一次一密”SM4秘钥生成方案，降低了秘钥泄漏风险。编写的程序搭建实验环境对所提方法进行验证，验证结果表明所提方法是可行有效的。关键词：新能源集控系统；商用密码；国密算法；内生安全；模糊层次分析法中图分类号：TP319 文献标志码：ADOI：10.16081/j.epae.2023020160 引言“无人值班、少人值守”的新能源集控运营模式已成为当前新能源发电企业的主流运营模式1。新能源集控系统是实现集控中心集中监视、远程控制等功能的软件系统，将分布在不同地区的风力发电机、光伏逆变器、变电站、电能计量等设备的运行数据汇入统一的计算机系统，通过网络实时传送到控制中心，为电力运行以及调度决策提供及时的数据支持2。新能源集控系统是一个复杂的软件体系，其内部含大量数据接口，多个数据流转环节，并存在国内外操作系统、数据库软件并存的情况。水平不同的厂家开发的系统，往往存在隐含漏洞、缺陷，容易被攻击者利用。例如，在集控中心对风电场站下发遥控指令的过程中，往往只对遥控数据进行简单的压缩或转换处理，攻击者通过扫描、侦听、嗅探、伪造等方式，干扰控制信息下发，会引发安全事故。有学者3引入主机防护、安全审计、入侵检测等安全防护系统，起到了一定的安全防护作用，但这些安全措施往往依靠先验知识，难以应对特定攻击，且投资较大。新能源集控系统分集控中心、各新能源场站两级节点。系统跨网络空间部署，点多面广，网络组成主要包括电力专线、虚拟专用网络（virtual private network，VPN）2种方式4。其中，VPN是在互联网空间中开辟的专用网络通道，存在较大的安全风险。为解决这个问题，有学者5研究了一种在网络边界入口处设置安全接入区的方案，并在实践中应用。引入安全接入区的设计在应对黑客、病毒等攻击时具有一定的防护能力。但是，黑客利用通信服务器中的软件漏洞传输错误、伪造数据的风险依旧存在。同时，安全接入区结构复杂，存在正、反向隔离装置，数据通信健壮性降低。在面对来自公共网络的分布式拒绝服务攻击（distributed denial of service，DDoS）时，存在集控中心对外通信中断的风险。目前，国内新能源集控系统的建设水平参差不齐，没有统一的行业标准和安全监管体系。所建系统是否能应对GBT 36572 2018 电力监控系统网络安全防护导则6中提到的黑客入侵、旁路控制、完整性破坏、越权操作等安全问题还未可知。同时，新能源集控系统软件包含数据的采集、传输、存储、计算、应用等多个环节。新能源集控系统自身的复杂性也使其安全防护难度增大，需要系统性地评估安全风险，并针对性地采取防护措施。文献 78 对信息系统的内生安全进行了深入分析和归纳，提出网络空间内生安全发展新范式。内生安全从仿生学的角度，通过技术手段构建能感知入侵的“神经系统”，并依此反制入侵行为，保障系统安全。目前，内生安全在互联网空间9、工业控制系统10中有研究应用。内生安全的新视角为新能源集控系统的安全防护提供了新思路。既然内生安全问题不可能彻底消除7，就需要从分析新能源集控系统的安全要素入手，认识来自网络空间的不确定性高危安全风险，再利用系统的架构、算法、机制、场景等内在因素保障安全。本文针对新能源集控系统安全风险，研究并引入商用密码技术，感知外部篡改、伪造等恶意攻击，并在软件内部构建安全审计模块形成免疫力，屏收稿日期：20221009；修回日期：20221130在线出版日期：20230217基金项目：中国华电集团有限公司科技项目（CHDKJ220109）Project supported by the Science and Technology Project of China Huadian Corporation Ltd.（CHDKJ220109）210第 7 期杨乘胜，等：基于商用密码的新能源集控系统内生安全研究蔽攻击源连接，保障系统安全。1 新能源集控系统安全风险评估新能源集控系统的具体介绍见附录A。任何一个信息系统都会面临多种安全风险，每种安全风险对系统的影响程度不同，内生安全防护手段也不同。为此，首先需要梳理对发电运行安全影响大的网络安全要素，从重点方向入手。模糊层次分析法 1112（fuzzy analytic hierarchy process，FAHP）是一种信息系统的综合风险评估方法。文献 11 从风险概率、风险影响、风险不可控性三方面计算设备被破坏、数据泄漏等安全风险因素的风险值，对比风险值得到最大安全风险因素。本文根据新能源集控系统特点重新设计安全风险因素（C1 C6），利用FAHP对新能源集控系统进行安全性评估：首先，建立新能源集控系统的安全风险评估模型；然后，从风险概率、风险影响、风险不可控性3个方面计算各风险因素的风险值；最后，根据各风险因素的评估值，得到最大安全风险因素。具体步骤如下。步骤 1：建立新能源集控系统的安全风险评估递阶层次模型，如图1所示。步骤2：采用层次分析法（analytic hierarchy process，AHP）计算第二层准则的相对权重。根据AHP，对模型第二层准则（元素）进行两两比较，建立判断矩阵M_，如式（1）所示。M_=|b11b12 b1nb21b22 b2n bn1bn2 bnn（1）式中：bij（i，j=1，2，n）为从A的角度评估因素Bi对因素Bj的相对重要度，重要度的度量取1 9之间的自然数；n为模型第二层准则（元素）数量。根据判断矩阵M_，求出第二层各元素的相对权重。相对权重用各元素的排序权向量W表示，其计算方法为：首先求出M_的特征向量 M=m1，m2，mn，其中mi=bi1bi2binn；然后对M进行归一化处理，得到排序权向量 W=W1，W2，Wn，Wi的计算公式如式（2）所示。Wi=mi/i=1nmi（2）计算矩阵的最大特征根max，如式（3）所示。max=(MA_BW)inWi（3）式中：(MA_BW)i表示从A的角度评估因素Bi的特征度量。根据式（4）进行一致性检验。Ic=max-nn-1（4）当Ic0.1时，表明矩阵一致性成立，各项权重计算无逻辑错误。根据上述AHP，对图1所示模型邀请6名新能源发电运营领域专家，分别对风险概率、风险影响、风险不可控性这3个元素以第一层“风险因素重要性”要素进行重要度的比较评定，评定打分取1 9间的自然数。根据各位专家的评定意见，综合计算第二层元素比较结果，得到判断矩阵M_为：MA_B=|11/2 52161/5 1/6 1（5）进一步求得M_矩阵的特征向量 M=0.506，0.854，0.120，排序权向量W=0.342，0.577，0.081，最大特征根max=3.029，一致性指标Ic=0.0150.1，表明该判断矩阵一致性成立。步骤3：采用FAHP计算第三层风险因素的相对权重。采用模糊判断法对各因素进行定量判定13，消除各元素之间比较的主观性。专家对各风险因素给出风险程度评价，评价分为m个等级。设每个风险因素Ci的等级评判集为V=v1 v2 vm，令Ci对V的隶属度矩阵Ri=ri1 ri2 rim，即隶属度矩阵R为：R=|r11r12 r1mr21r22 r2m rn1rn2.rnm（6）一个风险因素相对不同的准则就得到不同的隶属度矩阵。第三层的各风险因素在某准则下的相对权重矩阵MBi_C的计算公式为：MBi_C=VR=v1v2 vm|r11r21 rn1r12r22 rn2 r1mr2m rnm（7）归一化后的相对于第二层的第b个准则下的排序权向量Wb=Wb1，Wb2，Wbn，其中Wbi为在第二层第b个准则下Ci相对于其他风险因素的权值。最后，计算每层的权重乘积，对其求和后即得到第三层各风险因素Ci的风险值Wi，如式（8）所示。图1新能源集控系统安全风险评估递阶层次模型Fig.1Hierarchical model of security risk assessment ofnew energy centralized control system211电 力 自 动 化 设 备第 43 卷Wi=j=1tWjWji（8）式中：t为第二层准则的数量；Wj为第二层第 j 个准则的权值。通过比较各风险因素的风险值，可获得第三层风险最大的风险因素。根据步骤3所述方法，计算针对风险概率、风险影响、不可控性3个准则的排序权向量。邀请新能源发电运营、网络安全、系统设计、软件研发4个领域的10位专家进行评估。针对风险概率、风险影响这 2 个准则，每位专家对各风险因素评定其风险概率为v1，1 v1，5中的一种，其中v1，1 v1，5分别对应风险可忽略、低、中等、高、很高的情况，所得评判集为 1/25 3/25 5/25 7/25 9/25；针对不可控性准则，每位专家对各风险因素评定其风险概率为v2，1 v2，3中的一种，其中v2，1 v2，3分别对应风险可控、基本可控、不可控的情况，所得评判集为1/9 3/9 5/9。根据专家评定意见，形成风险概率准则下的隶属度矩阵如表1所示。根据式（7）求得相对权重矩阵MB1_C=0.168 0.232 0.168 0.208 0.256 0.096，然后计算得到风险因素对风险概率准则的归一化排序权向量 W1=0.149，0.206，0.149，0.184，0.227，0.085。根据专家评定意见，形成风险影响准则下的隶属度矩阵如表2所示。根据式（7）求得相对权重矩阵MB2_C=0.288 0.212 0.32 0.184 0.192 0.28，然后计算得到风险因素对风险影响准则的归一化排序权向量 W2=0.195，0.144，0.216，0.124，0.130，0.189。根据专家评定意见，形成不可控准则下的隶属度矩阵如表3所示。根据式（7）可求得相对权重矩阵MB3_C=0.356 0.4 0.422 0.311 0.378 0.244，然后计算得到风险因素对不可控准则的归一化排序权向量W3=0.169，0.189，0.2，0.147，0.179，0.116。最后，根据式（8）计算风险因素Ci的风险值向量W=0.177，0.169，0.192，0.146，0.167，0.148。对W中元素按大小排序，得到安全风险从大到小排序的风险因素为非法遥控（C3）、通信中断（C1）、非法访问（C2）、数据泄漏（C5）、系统故障（C6）、病毒入侵（C4）。针对上述安全风险，新能源集控系统传统的安全防护措施主要是在系统边界部署安全防护设备、安装防病毒软件等方法。但是，这些方法大多依赖先验知识，难以应对黑客用伪造方法发起的非法遥控、非法访问等不确定性动态网络攻击，这些攻击对系统安全风险影响较大。所以，从内生安全角度解决系统安全问题具有现实意义。2 基于商用密码的新能源集控系统设计2.1设计思路内生安全是利用设备自身软硬件架构、运行机制等内源性因素，通过访问控制、密码验证、白名单、冗余裁决等机制构建的本体安全性设计和安全性功能14。系统内生安全问题可以抽象为2类问题。一类是狭义内生安全，指一个系统除预期设计功能之外，总存在包括副作用、脆弱性、自然