文章总结： 本文阐述电力安全标准IEC62351-7，通过定义标准化模型实现电力设备主动监控。核心在于构建不可抵赖的审计防线，强制记录操作六要素并确保日志防篡改存储。建议部署强身份认证与SIEM系统，结合时间同步机制，确保关键操作全程可追溯，从而有效提升事故定责与取证能力。 综合评分： 92 文章分类： 技术标准,安全建设,安全运营

【大话工控安全】工业控制系统行业知识：电力行业通信安全标准IEC62351（GB/T 25320）-PART7

原创

老付话安全

老付话安全

2025年12月27日 20:38 山东

点击蓝字

关注我们

始于理论，源于实践，终于实战

老付话安全，每天一点点

激情永无限，进步看得见

关注我，带给你不一样的精彩

世界因你的沉淀而出彩

严正声明

本号所写文章方法和工具只用于学习和交流，严禁使用文章所述内容中的方法未经许可的情况下对生产系统进行方法验证实施，发生一切问题由相关个人承担法律责任，其与本号无关。

特此声明！！！

本文字数：

4407字

阅读时间：

12分钟

IEC 62351标准的第七部分 (IEC 62351-7) 专注于电力系统信息基础设施的网络与系统管理 (NSM) 数据对象模型。其核心目标是通过定义标准化的数据模型，实现对电力系统中各种智能电子设备 (IEDs)、远程终端单元 (RTUs) 以及整个通信网络的健康状况、性能和安全事件的主动监控和管理。 主要内容和目标包括：

• 标准化监控数据：该标准定义了一套抽象的、与供应商无关的数据对象模型（使用UML建模），用于描述需要被监控的系统健康、通信健康和安全入侵检测相关的信息。
• 实现互操作性：通过提供标准化的数据模型，它解决了以往不同供应商使用专有管理信息库 (MIB) 导致设备监控困难的问题。
• 促进事件响应与审计：当安全事件发生时，标准化的NSM数据（例如“谁在什么时候对哪个设备执行了什么操作”）有助于快速定位问题、进行事后审计和责任追溯，相当于为关键操作提供了“黑匣子”或“监控录像”功能。
• 映射到现有协议：IEC 62351-7 提供了这些抽象数据模型到实际网络管理协议（如SNMPv3，简单网络管理协议）MIB的映射，使得使用现有网络管理工具能够监控电力系统设备。

电网的控制中心或者智能变电站里，管理员、工程师或者自动化系统每天都要对设备进行各种操作：

• 登录系统

• 修改配置（比如保护定值、开关状态）

• 下载程序

• 重启设备

• 执行控制命令（合闸、分闸）

所面临的风险是：

• 干了坏事不留痕： 攻击者（外部黑客或内部人员）偷偷登录系统，篡改了保护设备的定值，导致该跳闸时不跳（可能引发火灾或设备损坏），或者不该跳时乱跳（导致大面积停电）。事后却查不到是谁干的，怎么干的。

• 说不清是谁干的： 系统出了问题，发现配置被改过，但日志里只记录了一个模糊的“管理员”账号，无法定位到具体责任人。

• 找不到事故原因： 发生严重事故后，想分析原因，却发现关键的操作日志不全、时间对不上、甚至被删除了。

为此，IEC 62351-7的核心是建立电力系统关键操作的“不可抵赖、全程可追溯”审计防线。它强制要求记录操作“六要素”（谁、何时、何地、对何物、做何事、结果如何），并确保日志本身的安全、完整与长期可查，从而在发生安全事件或操作事故后，能够精准定责、还原真相、分析根因。

使用三大核心支柱来解决：

1. 详尽记录：必须记录所有关键操作，内容须完整（六要素）。
2. 安全存储：日志必须防丢失、防篡改、防删除，并长期保存。
3. 可靠身份：操作者身份必须真实可信（依赖Part 6的强认证）。

终极目标：杜绝电力系统网络与操作空间中的“隐身人”和“无头案”，构建事后调查与取证的生命线。

具体实现：

1、启用审计日志功能：

所有参与关键电力系统运行和管理的设备（服务器、工作站、保护装置、RTU、IEDs、网关等）和系统（SCADA、EMS、变电站自动化系统等）必须开启记录操作日志的功能。不能关！就像关键区域必须装监控且录像一样。

2、审计数据内容

（日志六要素必须记全： 谁(Who)、何时(When)、对啥(What/Where)、干啥(What)、结果如何(Result)、从哪来(Where)。-6W）

日志不能只记个“有人操作了”。它必须清晰记录：

• 谁干的 (Who)： 操作者的唯一身份标识（比如具体的用户名、ID，不能只是“admin”）。要求用IEC 62351-6（第六部分）规定的方式安全地登录和认证，这样身份才可靠。

• 什么时候干的 (When)： 操作发生的精确时间戳（时间要同步准确，比如用NTP或IEEE 1588）。

• 对谁干的 (What/Where)： 操作针对哪个具体的设备、对象、数据点（比如“断路器103的合闸命令”、“线路保护装置A的过流保护定值”）。

• 干了什么 (What)： 操作的具体动作和内容（比如：“用户登录成功”、“修改了XX定值，旧值=100A，新值=150A”、“执行了断路器103合闸命令”、“下载了新固件版本V2.0”）。

• 干没干成 (Result)： 操作成功还是失败（比如：“命令执行成功”、“登录失败：密码错误”、“修改被拒绝：权限不足”）。

• 从哪干的 (Where)： 操作的来源（比如是从控制中心的哪个工作站IP地址发起的命令）。

3、日志存储与保护

• 存得住： 日志必须存储在安全、可靠的地方。不能因为设备重启、掉电就丢了。通常会要求存到专门的日志服务器（Syslog Server）或者有保护措施的存储设备上。

• 改不了： 存好的日志不能被随意修改或删除。尤其是已经归档的历史日志，应该设为“只读”。防止坏人为了掩盖痕迹删日志。

• 看得了： 需要的时候（比如调查事故），得有工具能方便地查询、过滤、导出这些日志进行分析。

• 存得久： 日志必须保存足够长的时间（具体时间看安全策略，可能是几个月甚至几年），确保出事之后有据可查。

4、日志格式与传输

鼓励使用标准化的日志格式（比如 Syslog 协议和格式）。大家都用同一种“录像编码格式”，这样不同的系统产生的日志放在一起才容易看懂和分析。

日志在传输到存储服务器的过程中也需要保护（比如用第六部分TLS或第四部分的MAC），防止在传输路上被人篡改或窃听。

5、适用范围

有执行关键操作的客户端（工程师用的工作站、人机界面HMI）。

提供关键服务的服务器（SCADA服务器、历史数据库、证书服务器）。

关键的现场设备（保护继电器、IEDs、RTUs、智能电表数据集中器）——特别是那些允许远程访问和配置的设备。

实际场景中的应用

以下以一个现代化的智能变电站或地区电网调度控制中心为例，阐述如何具体实现Part 7的要求。

第一步：奠定基础——身份与时间的统一

在开始记录之前，必须确保两个前提：

• 可靠身份 (Who)：在所有工程师工作站、服务器、智能设备（IED）上，禁用默认账户和弱口令，部署基于 IEC 62351-6（PKI证书） 的强身份认证。确保每次登录的“管理员”都是可唯一标识的张三或李四，而非一个共享账号。
• 精确时间 (When)：在全站或全网部署 NTP（网络时间协议） 或更精确的 IEEE 1588（PTP） 时钟同步系统。确保所有设备、服务器、工作站的系统时间误差在毫秒级以内。这是将不同设备日志关联起来形成操作链条的关键。

第二步：定义“监控点位”与记录内容

明确在哪些系统和设备上必须开启审计日志功能。

| 场景层级 | 关键设备/系统 | 必须记录的“高风险操作”示例 | 记录内容（体现六要素） | | — | — | — | — | | 站控层/控制中心 | SCADA/EMS服务器、操作员工作站、工程师站 | 用户登录/登出、权限变更、数据库修改、控制命令下发、画面修改。 | 用户“张三”（证书CN=ZhangSan）于2023-10-27 14:05:23.450从工作站IP（10.1.1.10）登录SCADA服务器成功。 | | 间隔层 | 保护测控装置、智能终端、RTU | 定值修改 、保护功能投退、程序/配置下载、装置重启、遥控/遥调命令。 | 用户“李四”于2023-10-27 15:30:10.120通过工程师站，对“线路L1保护装置A”的“过流I段定值”进行修改：旧值=1000A，新值=800A。命令执行成功。 | | 过程层 | 合并单元、智能开关 | 采样参数调整、GOOSE/SV发布配置变更。 | 系统“配置工具”于2023-10-26 09:00:00.000对“合并单元MU-01”下发了新的采样率配置。 | | 支撑系统 | 日志服务器、证书授权(CA)服务器、防火墙 | 日志访问与删除、证书签发与吊销、策略变更。 | 用户“审计员王五”于2023-10-27 16:00:00.000查询了今日所有定值修改日志。 |

特别强调：

• “参数修改”类操作：必须记录“旧值”和“新值”，这是判断恶意篡改还是正常调整的直接证据。
• “控制命令”类操作：必须记录完整的命令对象、参数和执行结果（成功/失败/超时）。

第三步：构建安全的日志流水线（采集、传输、存储）

这是实现“存得住、改不了”的核心环节。

1. 集中化采集：

• 在每个关键设备上启用Syslog、IEC 61850日志服务或厂商专用日志接口。
• 部署中央日志服务器（如Syslog服务器）或安全信息与事件管理（SIEM）系统。所有设备将日志实时或定时发送至此中心。

1. 安全传输：

• 在传输过程中，使用 TLS（IEC 62351-3/6） 对日志进行加密，防止在网络中被窃听或篡改。

1. 加固存储：

• 防篡改：配置日志服务器的存储卷为只读（Read-Only） 或使用一次写入多次读取（WORM） 技术。确保日志一旦写入，任何人都无法修改或删除。
• 防丢失：采用RAID技术、定期异地备份。对于极端重要的日志，可考虑写入只读介质（如光盘归档）。
• 长期保留：根据安全策略（如“至少保留180天”），配置日志的滚动归档策略。将近期日志在线存储供快速查询，将历史日志压缩后转储至廉价大容量存储器。

第四步：分析与取证——让日志“活”起来

存储日志是为了使用。需要部署工具和能力：

1. 查询与可视化：通过SIEM系统或日志分析平台，提供强大的搜索引擎。可以按时间、用户、设备、操作类型等进行快速过滤。

• 示例查询：“显示过去24小时内，所有对‘保护定值’进行修改且‘新值’大于‘旧值’的操作日志。”

1. 关联分析：系统能自动关联不同设备上的日志。

• 场景还原：当某条线路跳闸，系统能自动拉出一条时间线：

1. 14:05 用户A登录工程师站。

2. 14:30 用户A修改了相关保护定值。

3. 15:00 故障发生，保护动作。 通过关联，可以快速判断跳闸与之前的操作是否存在因果关系。

4. 实时告警：对极高风险操作（如：非工作时间登录、连续登录失败、关键定值被修改）设置实时告警，即时通知安全人员。

第五步：实战演练——事故调查示例

场景：某变电站发生不明原因停电，怀疑遭受网络攻击或误操作。

调查流程：

1. 锁定时间范围：确定停电发生的大致时间（如15:00-15:05）。
2. 全局搜索：在SIEM系统中，搜索该时间段内全站所有设备的日志。
3. 聚焦关键操作：过滤出所有“控制命令”（分闸）和“定值修改”日志。
4. 关联分析：发现一条关键记录： 用户“临时工_赵六”（IP: 10.1.2.99）于15:02:30对“102断路器”执行了“远程分闸”命令。结果：成功。
5. 追溯源头：进一步查询用户“赵六”的活动：

• 他于14:50从一台未经授权的临时运维笔记本电脑登录。
• 该账号权限过高，且为多人共享。
• 登录后无其他操作，直接执行了分闸。

1. 结论：这是一起典型的内部人员（或冒用身份）误操作/滥用权限事件，而非外部攻击。根本原因包括：身份管理不严格（共享账号）、权限分配过粗、未执行操作复核流程。

通过这套基于IEC 62351-7构建的审计体系，原本可能成为“无头案”的事故，在几分钟内就被清晰还原。

end

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：老付话安全 老付话安全《【大话工控安全】工业控制系统行业知识：电力行业通信安全标准IEC62351（GB/T 25320）-PART7》