四、直流穩(wěn)壓電源控制和保護系統(tǒng)的網絡安全風險分析
針對直流電源控制和保護系統(tǒng)網絡安全防護的現(xiàn)狀，從攻擊方式、影響范圍等方面對其存在的風險進行了綜合分析。
風險一：監(jiān)控工作站和部分系統(tǒng)平臺采用國外的Windows和其他操作系統(tǒng)。
危險點：換流站運行監(jiān)控工作站和部分控制保護系統(tǒng)平臺都采用了Windows等非國產安全操作系統(tǒng)，不能完全掌握其安全漏洞和后門程序，目前雖然已經采取了接入管理、惡意代碼防范等安全措施，但仍然存在被非法入侵的風險。
攻擊方法：①利用非國產安全操作系統(tǒng)的漏洞，獲取遠程控制權限；②使用U盤操縱等方法，植入木馬或病毒，發(fā)送錯誤信息和控制命令；③采用邏輯炸彈、時間炸彈等方法進行攻擊。
作用：造成直流輸電系統(tǒng)的異常運行，極端情況下可能造成閉鎖停運。
二、風險二：直流穩(wěn)壓電源控制保護SCADA網絡外部通信的安全措施不完善。
風險：換流站安全1區(qū)的SCADA網絡延伸到對端換流站或中央監(jiān)控中心，采用明文傳輸方式，物理防護相對薄弱。為了滿足遠距離集中監(jiān)控的需要，一端設置了遠距離操作工作站，實現(xiàn)對對對端換流站遠距離監(jiān)控功能；另一端換流站SCADA系統(tǒng)通過網絡延伸連接到遠距離控制中心，實現(xiàn)遠距離控制功能。
進攻方法：通過遠程通道串聯(lián)攻擊設備，以重播的方式發(fā)送錯誤信息或控制命令。
作用：造成直流輸電系統(tǒng)的異常運行，極端情況下可能造成閉鎖停運。
風險三：換流站1區(qū)安全和2區(qū)安全隔離措施不完善。
危險點：換流站的安全1區(qū)域與安全2區(qū)域的網絡連接沒有邏輯隔離。換流站電能計量、一體化電源等安全2區(qū)系統(tǒng)接入安全1區(qū)直流穩(wěn)壓電源控制保護系統(tǒng)網絡，在安全1區(qū)和安全2區(qū)之間沒有安裝諸如硬件防火墻等邏輯隔離裝置，不符合“網絡專用”安全要求。
攻擊方法：可以利用安全2區(qū)主機作為攻擊跳板，將病毒、木馬傳播到安全1區(qū)，采用偽造攻擊、重放攻擊等方法，將錯誤信息發(fā)送到DC電源控制保護系統(tǒng)。
造成直流穩(wěn)壓電源控制保護網絡不能正常工作。
四、風險四：站間監(jiān)控信息的交互是通過網絡通用協(xié)議進行的。
危險性：部分換流站SCADA網絡站間通信采用104規(guī)范明文傳輸，直流場遙測和遙信信號相互傳輸，不符合“縱向認證”要求。
襲擊方法：通過遠程通道串聯(lián)攻擊設備，對電臺間通信的遙信和遙測數據進行竊聽或篡改。
對站監(jiān)測數據不能正常顯示，直流運行數據、設備參數等敏感信息泄露。
五、直流穩(wěn)壓電源控制與保護系統(tǒng)的網絡安全升級對策
根據目前直流穩(wěn)壓電源控制與保護系統(tǒng)網絡的安全現(xiàn)狀和特點，提出了一種安全防護的提升思路，可考慮以下幾點。
一、加快推進以國產安全操作系統(tǒng)為基礎的換流站監(jiān)控系統(tǒng)的實施，積極實施軟、硬件國產化，逐步完成對換流站監(jiān)控系統(tǒng)的改造，夯實換流站網絡安全基礎。
二是加強換流站基礎建設階段的網絡安全管理，制定完善的網絡安全標準；三是在項目投產前進行網絡安全等級保護測評和風險評估驗收，確保國家關鍵信息基礎設施網絡安全相關要求落實到位。
三、取消換流站內部監(jiān)控對端站的工作站和斷開網絡連接；取消部分中央監(jiān)控中心，以網絡延伸方式監(jiān)控換流站工作站，并斷開網絡連接；由于操作原因確實需要監(jiān)控，建議將監(jiān)控設備改造為IPKVM(keyboard-video-mouseoverIP)方式，并在通信線路上增加縱向加密裝置；對于采用104規(guī)約明文傳輸數據的換流站，在SCADA網絡連接通道上增加縱向加密裝置。
四、改進換流站不同安全區(qū)的運行隔離和訪問控制措施，實現(xiàn)監(jiān)控系統(tǒng)內部各區(qū)域之間的邏輯隔離或物理隔離，避免網絡入侵和信息泄漏的風險。
舉例來說，換流站都有通過規(guī)范轉換器或輔助系統(tǒng)工作站將保信子站、電能計量、集成電源等安全2區(qū)系統(tǒng)接入安全1區(qū)控制保護網絡，從而通過SCADA系統(tǒng)實現(xiàn)一體化監(jiān)控的設計，因此應該在規(guī)范轉換器或輔助系統(tǒng)工作站和直流穩(wěn)壓電源控制保護網絡之間設置防火墻，實現(xiàn)網絡隔離。
在某些換流站也存在通過規(guī)約轉換器或輔助系統(tǒng)工作站將安全1區(qū)的閥基電子設備接入SCADA系統(tǒng)的設計，對此，應改變設計，將閥基電子設備直接接入SCADA系統(tǒng)，如果技術上確有困難，不能直接接入SCADA系統(tǒng)，則應增加一個安全1區(qū)專用規(guī)約轉換器或輔助系統(tǒng)工作站，用于將閥基電子設備等安全1區(qū)裝置接入SCADA系統(tǒng)，從而保證網絡隔離，專網專用。