張勇生　劉春宇　路麗丹

摘要：隨著配電網工程的深入發(fā)展，各種新技術的使用實現了配電網系統(tǒng)的信息化，但是也引入了更多的安全風險，在這種形勢下，如何保證各類接入對象安全、可信地連入電力信息網絡，已成為配電網建設過程中的迫切需求。本文對配電通信系統(tǒng)的需求進行分析，提出了主站、子站和終端等安全防護措施，同時建議采用有線和無線方式進行縱向安全防護，確立密鑰管理原則，可以指導配網通信系統(tǒng)安全防護體系建設。

關鍵詞：配網通信 通信系統(tǒng) 安全防護

中圖分類號：TN915.8 文獻標識碼：A 文章編號：1007-9416（2016）08-0037-02

隨著我國經濟水平的不斷提高及信息化時代的到來，人們的生產生活對電力的需求量也有了顯著的提升。在這種環(huán)境下就要求電力系統(tǒng)要保證電力供應的質量，確保電力系統(tǒng)的穩(wěn)定運行，只有這樣才能不斷滿足人們的需求和社會的穩(wěn)定及經濟的穩(wěn)定發(fā)展。配電網主要作用是將從電源或輸電網獲得的電能直接分配給不同電壓等級的用戶，是用戶直接感受供電服務質量的重要環(huán)節(jié)。配電自動化是配電網運維管理的重要手段，能夠實時監(jiān)控和操作配電設備狀態(tài)，提高配電網供電可靠性和供電能力，提升配電網調度、生產和運維管理水平。配網通信系統(tǒng)作為配電網各類信息傳輸的載體，支撐配電自動化、電能質量監(jiān)測、分布式電源、用電信息采集及電動汽車充換電等業(yè)務。

1 配網通信系統(tǒng)安全防護

配網通信系統(tǒng)安全防護體系重點解決涉及有線和無線通信的安全接入、安全傳輸、終端自身安全以及身份認證、訪問控制、數據過濾、統(tǒng)一監(jiān)控與審計等六大類問題，并通過建設安全性基礎設施，加強安全管理，保障業(yè)務應用安全穩(wěn)定運行，安全防護架構如圖1所示。

2 配網通信系統(tǒng)主站安全防護

（1）配電網調度自動化系統(tǒng)與其他系統(tǒng)通信時應采用邏輯隔離防護措施。（2）無論采用何種通信方式，自動化系統(tǒng)主站前置機應采用經國家指定部門認證的安全加固的操作系統(tǒng)，并采取嚴格的訪問控制措施。（3）當采用專網傳輸通道時，在前置機應配置安全模塊（可選取串接配網安全網關、加裝加密卡、旁接密碼機等方式），對控制命令和參數設置指令進行簽名操作，實現子站對主站的身份鑒別與報文完整性保護；對重要子站及終端的通信可采用雙向認證加密，實現主站和子站間的雙向身份鑒別，確保報文機密性和完整性。（4）當采用公網傳輸通道時，公網前置機部署于安全接入平臺，應采用電力專用的安全接入平臺（安全接入網關和安全數據過濾系統(tǒng)）實現對外統(tǒng)一提供接入、認證、訪控、加密、代理、交換、過濾等各種安全服務，完成對各種終端安全接入過程的全程控制，另外，公網前置機必須采用電力專用的正反向隔離裝置與自動化系統(tǒng)進行隔離。（5）信息安全綜合審計是對配網通信系統(tǒng)主站服務器、數據庫等提供安全日志采集和分析技術支撐，為信息安全事件的根溯源提供技術手段，實現對信息安全審計數據的自動分析，包括對運維安全審計、業(yè)務和數據庫安全審計、主機日志安全審計、網絡與邊界安全審計，并進行信息匯總和關聯分析，在配網系統(tǒng)中起到信息安全全面“故障錄波”的作用。

3 配網通信系統(tǒng)子站/終端安全防護

（1）子站/終端設備應具有防竊、防火、防破壞等物理安全防護措施。（2）子站/終端設備上可配置安全模塊，對來源于主站系統(tǒng)的控制命令和參數設置指令采取安全鑒別和數據完整性驗證措施，防范冒充主站對終端進行攻擊。為增加安全性，對重要子站/終端可配置具有雙向認證加密能力的安全模塊，實現主站和子站/終端間的雙向身份鑒別和數據加密。（3）配電終端的上行數據應通過安全模塊生成摘要，使用對稱算法計算校驗值，供主站識別數據傳輸的完整性。從而有效防止系統(tǒng)面臨來自網絡攻擊的風險。（4）配電終端可以借助外置式、嵌入式多種形式的安全模塊實現安全防護過程。外置式安全模塊適用于早期安裝又不支持軟件升級的配電終端。新安裝的終端建議使用嵌入式安全模塊。嵌入式安全模塊分為軟算法庫方式和安全芯片硬件方式（包括DIP、SOP、TF卡、SIM卡等形態(tài)）。

4 配網通信系統(tǒng)縱向通信安全防護

配電自動化系統(tǒng)主站與子站/終端的通信方式原則上以光纖通信為主，在各種通訊方式中應優(yōu)先采用EPON接入方式的光纖技術。對于不具備光纖通信條件的配電終端，采用無線通信方式。

4.1 有線方式

當采用EPON、工業(yè)以太網交換機、載波等有線方式通信時，需要考慮通信系統(tǒng)鑒權策略、加密技術等環(huán)節(jié)。（1）在初始狀態(tài)和數據通信兩個階段需要采用鑒權策略。在初始狀態(tài)，ONU需要通過鑒權機制確認其身份，從而決定是否允許該ONU完成注冊過程。在數據通信過程中，需進行用戶鑒權，確認通信方是否為合法用戶。（2）為保證合法用戶信息的保密性，應采用加密技術對數據進行保護。應首選國家密碼管理局推薦的SM1算法，兼容AES算法和三重攪動加密算法，從而進一步增強接入層設備間的數據傳輸安全性。每個邏輯鏈路連接標識應有獨立的密鑰。（3）將不同的ONU加入不同的VLAN或采用端口隔離特征，實現報文之間的二層隔離。

4.2 無線方式

配網通信系統(tǒng)無線方式包括無線公網和無線專網兩種模式。（1）無線公網。無線公網接入模式是電力公司借助電信運營商的無線公共網絡傳輸電力數據。電力公司應對運營商提出安全措施要求，包括：①采用“APN+VPN”或VPDN技術實現無線虛擬通道；②通過認證服務器對接入終端進行身份認證和地址分配；③在主站系統(tǒng)和公共網絡采用有線專線+GRE等；④運營商與電力公司傳輸數據時，通過安全接入平臺接入電力公司內網。（2）無線專網。當采用專用無線網絡時，應分別針對無線接入層和非接入層采用相應的信息安全措施。無線接入層指從無線通信終端到基站之間的空口傳輸鏈路；非接入層指從無線通信終端到無線核心網的鏈路。無線接入層和非接入層的安全措施應分別獨立運作。無線接入層和非接入層所采用的具體安全措施均包含雙向鑒權認證、安全性激活、信令和數據的機密性及完整性保護。無線接入層和非接入層的安全措施類似，但應采用不同的密鑰以保證各自獨立運作。

4.3 各項安全措施要求

（1）鑒權與密鑰協商過程：應實現通信兩端的雙向鑒權，并保障兩端密鑰達成一致。通信雙方在共同持有根密鑰的前提下，通過協商過程相互認證對方的合法身份，并計算出后續(xù)安全措施所用的密鑰。密鑰生成算法的輸入應包含幀序號或時間戳等信息以確保密鑰的時間有效性，防止重放攻擊。（2）安全性激活過程：驗證通信雙方安全模式和加密算法的統(tǒng)一。通信雙方通過校驗安全模式命令的完整性確認雙方具備相同安全模式，協商所要采用的加密算法及完整性校驗算法。非接入層的激活應先于無線接入層。（3）信令加密和數據加密過程：應實現通信信令和數據的機密性保護。使用密鑰協商過程中生成的加密密鑰對信令和數據進行加密傳輸，保護數據的機密性。所采用的加密算法可選擇SM1、ZUC或AES，由安全性激活過程確認。加密信令和數據應使用不同的加密密鑰。（4）信令和數據的完整性校驗：應實現通信信令和數據的完整性保護。使用密鑰協商過程中生成的完整性密鑰進行數據完整性校驗，保護數據完整性。具體校驗方式可選擇CRC或MAC，由安全性激活過程確認。信令和數據的校驗應使用不同的完整性密鑰。

5 配網通信系統(tǒng)密鑰管理原則

（1）密鑰生成原則：密鑰的產生需要在硬件物理介質中產生，密鑰的內容不能使用明文方式輸出。生成密鑰的物理介質需要具有隨機數發(fā)生器，利用物理噪聲源作為種子，可以產生高質量的隨機大素數、公鑰密鑰對和會話密鑰。（2）密鑰存儲原則：安全認證及數據加解密過程需要保證完整性和運行時的保密性。在認證過程中存儲介質需要保證可以抵抗如電壓、電流在內的能量分析攻擊手段。密鑰的存儲介質及軟件需可以抵抗如反匯編、反編譯在內的逆向工程攻擊手段。密鑰存儲介質要求具有物理防護措施，避免被攻擊者探測，當遭受強力光照、封裝被打開等攻擊時，敏感數據應進行自毀或完全刪除。（3）密鑰傳遞原則：密鑰在存儲介質間分發(fā)時，密鑰內容不可以以明文方式出現。主站側存儲介質的傳遞需要有專人、多人參與。（4）密鑰備份原則：系統(tǒng)對密鑰的存儲需要具有備份機制，當存儲介質出現故障時，可以通過恢復措施保證業(yè)務系統(tǒng)正常運轉。（5）密鑰更新原則：密鑰應采用周期性更新原則，確保密鑰的定期、同步更換。當遇到特殊情況，如懷疑密鑰泄漏的情況下，應采用應急密鑰更新機制。（6）密鑰銷毀原則：當業(yè)務終端或存儲介質結束其生命周期時，需要通過銷毀措施將密鑰清除。

6 配網通信系統(tǒng)安全評估

（1）應當依據本方案的要求對配網通信系統(tǒng)的總體安全防護水平進行安全評估。安全評估貫穿于配網通信系統(tǒng)的規(guī)劃、設計、實施、運維和廢棄階段。（2）應當建立二次系統(tǒng)安全評估制度，采取以自評估為主、聯合評估為輔的方式，將安全評估納入電力系統(tǒng)安全評價體系。應當掌握基本的自評估技術和方法，配備必要的評估工具。（3）配網通信系統(tǒng)在投運之前、升級改造之后必須進行安全評估；已投入運行的系統(tǒng)應該定期進行安全評估。評估方案及結果應及時向上級主管部門匯報、備案。（4）參與評估的機構及人員必須穩(wěn)定、可靠、可控，并與被評估單位簽署長期保密協議。對生產控制大區(qū)安全評估的所有記錄、數據、結果等均不得以任何形式攜帶出被評估單位，按國家有關要求做好保密工作。

配網通信系統(tǒng)安全評估應嚴格控制實施風險，確保評估工作不影響配網通信系統(tǒng)的安全穩(wěn)定運行。評估前制定相應的應急預案，實施過程應符合配網通信系統(tǒng)的相關管理規(guī)定。

參考文獻

[1]覃文府.配電網建設中電力通信網的規(guī)劃分析[J].江西建材，2015（01）.

[2]李森.智能配電網通信系統(tǒng)訪問控制[J].中國科技信息，2014（24）.

[3]李舒.基于EPON技術的配電網通信技術[J].農村電氣化，2014（02）.