[发明专利]能源分配保护和控制装置的协同防御

说明书

技术领域

本申请涉及能源分配保护和控制装置的协同防御。

背景技术

电力传输和分配系统日益暴露于网络攻击之下。一些暴露可追溯到电 力工业向用于在整个网络上交换数据的开放性协议和标准(例如：以太网 LAN/WAN上的TCP/IP(传输控制协议/互联网协议))的转移。随着功用逐 渐转移到下一代IP可寻址智能电子设备(IED)，这些开放性标准正在快 速地获得公认。对于大多数这些IED而言，远程存取正日益成为标准的功 能设置。这些设备遭受网络攻击的风险由于继电保护部门针对未授权而访 问IED的程序上的弱点而加剧。联邦能源监管委员会(以下简称FERC) 的关键性基础设施保护标准就是旨在通过加强在基于IT安全的程序方面 的要求来解决这一安全风险。例如，FERC在2008年1月17日发布的新 闻发布会上声明“强制性的可靠性标准要求大容量电力系统的特定用户、 所有者及运营者制定政策、计划和程序，以防护对控制系统的物理及电子 访问、训练安全事务方面的人员、报告安全事故以及准备好恢复网络事 故。”

还有更复杂的安全问题，新的电力系统市场目前要求对网络数据的日 益增强的开放性。例如，FERC第888和889号法令允许公共访问特定类 型的传输数据。这样的网络信息使攻击者能够窥视到电力系统中易受攻击 的部分。类似地，之前相互隔离的控制系统的增加的网络互联也增加了与 数据通信相关的安全风险。同样地，无人变电所也变得越来越容易受到未 授权物理进入的攻击。

在IT前沿，有越来越多的电子盗窃和所谓的“黑客行动主义”的例 子。网络攻击具有使大容量电力系统瘫痪的潜在危险。在一种攻击场景下， 网络攻击者可以远程地改变本地I ED的继电器特性从而使脱扣装置误配 合(mis-coordination)。在更大的规模上，攻击者可以改变网络中的多个 IP可寻址IED的继电器特性，造成脱扣装置的误配合。在另一种攻击场 景下，黑客通过恶意改变继电器特性使本地IED发出脱扣信号，从而能够 间接地控制断开装置。这些攻击会产生即刻的和破坏性的影响，且会引起 导致电力系统崩溃的级联事件。例如，黑客能够设置继电器特性以使得在 当前负荷条件下脱扣。以这种方式，网络攻击者能够通过控制暴露的IED 而使变电所或者子系统的任何部分停止运转。

或者，攻击者能够使恶意后果延迟，直到系统中产生正常干扰。这种 类型的网络攻击可以通过有目的地使线路保护继电器错误配合，造成多于 必要的线路的脱扣而得以实现。在此类情况下，被暴露的继电器将在最初 攻击后的一段时间显露入侵。

因此，现有技术中需要改进的安全措施，以便能源保护和控制装置将 与恶意攻击相关的危险降至最低。

发明内容

根据本发明的一个方面，提供了一种用于防止对电力网中的多个IED 中之一的恶意设置更改的方法。检测对电力网中的第一IED的保护设置的 试图的更改。将对第一IED的保护设置的试图的更改发送至该电力网中的 第二IED。检查对第一IED的保护设置的试图的更改与第二IED的保护设 置的一致性。如果对第一IED的保护设置的试图的更改与第二IED的保护 设置不一致，则从第二IED向第一IED发送不一致性信号。收到不一致性 信号后拒绝对第一IED的保护设置的试图的更改。

根据本发明的另一方面，在电力网中的一个或多个IED中载有计算机 可读介质。所述计算机可读介质包含有计算机可执行指令，所述指令在由 计算机执行时，会执行阻止对电力网中多个IED中之一的恶意设置更改的 方法。检测对电力网中的第一IED的保护设置的试图的更改。将对第一 IED的保护设置试图的更改发送至该电力网中的第二IED。检查对第一IED 的保护设置的试图的更改与第二IED的保护设置的一致性。如果对第一 IED的保护设置的试图的更改与第二IED的保护设置不一致，则从第二IED 向第一IED发送不一致性信号。收到不一致性信号后拒绝对第一IED的保 护设置的试图的更改。

附图说明

本发明的特点、方面及优势将通过以下说明、所附权利要求和附图将 会得到更好的理解，在所述附图中：

图1示出了具有多个IED的电力网的示意图；

图2示出了根据本发明一个实施例的过程；

图3示出了引起恶意改变IED设置更改请求的多种方法；

图4为显示延时馈路过电流方案的适当配合的图；及