配电通信系统安全防护方案研究

配电通信系统安全防护方案研究

闫少春田小锋张可

(安徽南瑞继远电网技术有限公司安徽合肥230088)

摘要:文章分析了配电通信系统在安全防护方面存在的问题,提出了安全防护需求，明确了配网通信系统的结构及各层级的安全防护对象，并对各层级的安全防护技术进行了深入的研究；最后针对配网通信系统的几种组网方式，提出了相应的安全防护方案。

关键词:配电通信系统；安全防护

引言

配电通信系统是配电自动化系统的重要组成部分，随配电自动化项目同步建设，对配电网的安全稳定、经济运行等起着关键作用。随着配电自动化项目的逐步实施，配电通信网建设达到一定规模，有效支撑了配电自动化业务的可靠运行。但也逐步暴露出一些共性问题，如配电通信网总体架构不明确，建设、管理和运维模式不统一，标准体系不完善等。其中配电通信网的安全防护问题尤为突出，从2006年至今，管理部门陆续下发了《电力二次系统安全防护总体方案》及与配电行业对应的《配电二次系统安全防护方案》、《中低压配电网自动化系统安全防护补充规定》及《电力监控系统安全防护规定》，逐步丰富并完善配电通信网的安全防护问题。

本文基于最新发布的《电力监控系统安全防护规定》，从配电通信网的系统结构入手，分析了各层级的安全防护问题及需求，研究配电通信网的安全防护体系，并针对配电自动化系统的三层架构，提出了配电通信系统的总体防护方案及各层的防护方案。

配电通信系统安全防护问题及需求分析

1.1安全防护问题

配电通信网的安全防护问题主要表现为：

缺乏统一的安全防护标准：原国家电力监管委员会及国家电网公司都相继发布过有关电力二次系统安全防护的相关规定，其中关于采用无线公网的安全问题描述不尽相同，电监会的规定中禁止采用无线公网传输控制指令；由于配电网的快速发展，部分不具备光纤通信条件的中低压配电网采用了公网通信方式传输控制指令，面临来自公共网络攻击的风险，同时存在通过子站终端入侵主站，造成更大范围的安全威胁[4]。为此，国家电网(调)168号文对配电网二次系统安全防护方案中的相关措施做了进一步细化与补充。两个文件中存在描述差异导致在配电通信网的规划设计实施中缺乏标准依据。

缺乏接入网的安全防护策略及措施：接入网涉及多种通信方式，对无线公网、无线专网以及光纤通信的安全防护不能一概而论，而应根据技术体制的安全特性进行相应的安全防护措施，尚无明确规定应采取的安全策略及安全措施。

1.2安全防护需求

配网通信系统的安全防护需求可概括为：

（1)需明确配网通信系统的架构，对配网通信系统的层级进行统一划分。

（2)应明确配网通信系统各层级的安全防护对象、技术及手段，提出系统性的安全防护措施。

（3)针对主流通信技术体制，提出安全防护方案。

2配电通信系统安全防护研究

2.1配电通信系统体系架构

配电通信网的网络架构采用骨干层、接入层的分层建设模式，配网通信所涉及的节点类型包括配电自动化主站、配电自动化子站（可选）、配电自动化终端。配电通信网逻辑结构如图1所示。

通信骨干层：采用公司四级骨干网，主要采用SDH/MSTP等技术。

通信接入层：通过光纤、无线专网、无线公网等传输方式接入配电终端。随着通信技术及安全技术的不断发展，接入方式也随之更新。

2.2各层级安全防护

按照图1所示，配网通信系统的信息安全性包括主站、子站/终端，以及通信接入层设备及通道。安全防护措施应满足《电力监控系统安全防护规定》[3]和国家电网调〔2011〕168号文件[4]的要求。

配电自动化主站应采用经国家指定部门检测认证的电力专用正反向隔离装置实现横向边界防护，隔离强度接近或达到物理隔离。主站前置机需配置安全模块，对下行控制命令与参数设置指令进行签名，实现子站/终端对主站的身份鉴别与报文完整性保护。对于采用无线公网作为通信信道的前置机，与主站之间应采用防火墙等逻辑隔离措施，实现无线公网与主站的隔离。禁止无线公网与调度数据网直接相连。

配电子站/终端设备应配置安全模块，对来源于主站的控制命令和参数设置指令进行安全鉴别和数据完整性验证。

光纤通信技术应采用身份认证及加密机制、虚拟局域网VLAN技术及网络安全管理机制保证配电业务的安全传输。

无线专网通信应支持终端与基站的认证、支持国际主流加密算法、支持信令与数据加密和完整性保护措施等信息安全功能。

采用无线公网接入时，应采用“APN+VPN”或“VPDN”技术实现虚拟专有通道，通过认证服务器对接入终端进行身份认证和地址分配。

3配电通信系统安全防护方案

3.1总体要求

1）基于《电力监控系统安全防护规定》和国家电网调〔2011〕168号文件的要求，配网通信系统承载业务分属生产控制大区和管理信息大区，应满足“安全分区、网络专用、横向隔离、纵向认证”的原则。

2）生产控制大区的业务系统在与其终端的纵向联接中使用无线通信网、电力企业其它数据网（非电力调度数据网）或者外部公用数据网的虚拟专用网络方式（VPN）等进行通信的，应当设立安全接入区。

3）主站系统采用电力专用的正反向隔离装置实现横向边界防护，采用国产硬件防火墙与其他系统进行逻辑隔离，通信前置机通过配置加密网关，对主站下发的控制命令与参数设置指令进行签名；现场终端内嵌安全加密模块，对来源于主站的控制命令和参数设置指令采取安全鉴别和数据完整性验证。

在此前提下，根据不同的通信技术体制，提出几种组网方式下的安全防护方案。

3.2有线专网

有线专网通信信道防护措施如下：

（1）采用鉴权策略。在初始状态，ONU需要通过鉴权机制确认其身份，从而决定是否允许该ONU完成注册过程。在数据通信过程中，需进行用户鉴权，确认通信方是否为合法用户。工业以太网交换机应采用访问控制策略保证合法装置接入。

（2）为保证合法用户信息的保密性，应采用加密技术对数据进行保护。应首选国家密码管理局推荐的SM1算法，兼容AES算法和三重搅动加密算法，增强接入层设备间的数据传输安全性。每个逻辑链路连接标识应有独立的密钥。

（3）将不同的ONU加入不同的VLAN或采用端口隔离特征，实现报文之间的二层隔离。

3.3无线专网

无线专网除了对主站与终端采取必要的防护措施外，针对“开放”的空口数据链路，采用先进的数据加密技术以及严谨的密钥保存与更新机制来保证数据的安全传输。应采取以下安全措施：

1）鉴权与密钥协商过程：应实现通信两端的双向鉴权，并保障两端密钥达成一致。通信双方在共同持有根密钥的前提下，通过协商过程相互认证对方的合法身份，并计算出后续安全措施所用的密钥。密钥生成算法的输入应包含帧序号或时间戳等信息以确保密钥的时间有效性，防止重放攻击。

2）安全性激活过程：验证通信双方安全模式和加密算法的统一。通信双方通过校验安全模式命令的完整性确认双方具备相同的安全模式，协商所要采用的加密算法及完整性校验算法。非接入层的激活应先于无线接入层。

3）信令加密和数据加密过程：应实现通信信令和数据的机密性保护。使用密钥协商过程中生成的加密密钥对信令和数据进行加密传输，保护数据的机密性。所采用的加密算法可选择SM1、ZUC或AES，由安全性激活过程确认。加密信令和数据应使用不同的加密密钥。

4）信令和数据的完整性校验：应实现通信信令和数据的完整性保护。使用密钥协商过程中生成的完整性密钥进行数据完整性校验，保护数据完整性。具体校验方式可选择CRC或MAC，由安全性激活过程确认。信令和数据的校验应使用不同的完整性密钥。

3.4无线公网

无线公网的前置机通过接入电力专用的安全平台实现对终端的安全接入控制与数据过滤，通过安全接入网关对主站下发的控制命令与参数设置指令进行签名，实现终端对主站的身份鉴别与报文完整性保护。此外，公网前置机与配电自动化系统之间采用正、反向安全隔离装置实现公网与主站的隔离。杜绝公网与调度数据网直接相连。应采用以下安全措施：

1）采用“APN+VPN”或VPDN技术实现无线虚拟专有通道；

2）通过认证服务器对接入终端进行身份认证和地址分配；

3）在主站系统和公共网络采用有线专线+GRE等手段；

4）运营商与电力公司传输数据时，通过安全接入平台接入电力公司内网。

4结语

目前，国内配电自动化系统正在加快建设，配套的配电通信系统因其多样的通信技术体制而使系统安全防护变得复杂，设计建设模式各有差别，规范化、标准化的配电通信网建设是需要进一步研究的内容。

本文对配电网通信系统的安全防护问题进行了分析，提出了配网通信系统的安全防护需求，从配电自动化主站、配电终端及通信接入网的安全防护需求出发，提出了各层及设备的安全防护措施，最后给出了几种常用的通信技术体制下的系统安全防护方案。

参考文献

孙中伟，马亚宁，王一蓉，霍司天，徐光年.基于EPON的配电网自动化通信系统及其安全机制[J].光电力系统自动化，2010，34(8):72-75.

吴琳,郭兆成,张大巍.无线专网通信在大连配电自动化中的应用[J].电力系统通信,2012,33(231):107-111

《电力监控系统安全防护规定》，国家发展改革委2014年第14号令