◆曾少華

（國(guó)網(wǎng)湖南省電力公司信息通信公司 湖南 410002）

淺談安全接入平臺(tái)在湖南智能電網(wǎng)的應(yīng)用

◆曾少華

（國(guó)網(wǎng)湖南省電力公司信息通信公司 湖南 410002）

國(guó)家電網(wǎng)公司信息安全接入平臺(tái)是構(gòu)建堅(jiān)強(qiáng)智能電網(wǎng)信息安全接入的核心基礎(chǔ)防護(hù)設(shè)施。本文首先提出信息內(nèi)外網(wǎng)物理隔離現(xiàn)狀及終端接入的安全風(fēng)險(xiǎn)，引出安全接入平臺(tái)整體解決方案，重點(diǎn)介紹了安全接入平臺(tái)各組成部分的功能及其在湖南省電力公司的應(yīng)用情況。

安全接入平臺(tái)；智能電網(wǎng)；解決方案

0 引言

湖南省電力公司信息系統(tǒng)部署在管理信息大區(qū)和生產(chǎn)控制大區(qū)，其中生產(chǎn)控制大區(qū)用以支撐包括電力實(shí)時(shí)數(shù)據(jù)采集、監(jiān)控、控制系統(tǒng)在內(nèi)的各業(yè)務(wù)系統(tǒng)；管理信息大區(qū)用以支撐公司不涉及國(guó)家秘密的企業(yè)管理信息業(yè)務(wù)應(yīng)用，包括公司一體化平臺(tái)、八大業(yè)務(wù)應(yīng)用及支持系統(tǒng)正常運(yùn)營(yíng)的基礎(chǔ)設(shè)施及桌面終端等。

1 現(xiàn)狀及需求分析

隨著智能電網(wǎng)建設(shè)，對(duì)國(guó)家電網(wǎng)公司信息安全的機(jī)密性、完整性和可用性提出了更高的要求。目前，湖南省電力公司主要業(yè)務(wù)系統(tǒng)（安全生產(chǎn)、營(yíng)銷等）已逐步采用移動(dòng)作業(yè)終端通過(guò)GPRS/CDMA/3G等無(wú)線技術(shù)接入APN專網(wǎng)和公司內(nèi)網(wǎng)進(jìn)行數(shù)據(jù)交換，且接入數(shù)量將會(huì)持續(xù)快速增長(zhǎng)。

在這種形勢(shì)下，如何保證各類分散的接入對(duì)象安全、可信地連入電力信息網(wǎng)絡(luò)，同時(shí)保證機(jī)密數(shù)據(jù)不會(huì)遭到泄露，并且實(shí)現(xiàn)對(duì)接入對(duì)象和操作的監(jiān)控與審計(jì)，已成為湖南省電力公司智能電網(wǎng)和信息化建設(shè)過(guò)程中的迫切需求和需要思考的問(wèn)題。

2 安全接入平臺(tái)解決方案

安全接入平臺(tái)總體解決方案如圖1所示，整個(gè)平臺(tái)分為安全終端層、安全通道層、安全接入層、業(yè)務(wù)訪問(wèn)層四大組成部分。

圖1 安全接入平臺(tái)整體解決方案

安全終端層為各類無(wú)線設(shè)備，如 PDA、智能手機(jī)、筆記本/臺(tái)式機(jī)（3G無(wú)線網(wǎng)卡）、采集終端、攝像頭等。

安全通道層采用運(yùn)營(yíng)商的無(wú)線VPDN技術(shù)組建APN專網(wǎng)。

安全接入層包括三類接入網(wǎng)關(guān)、數(shù)據(jù)交換系統(tǒng)、身份認(rèn)證系統(tǒng)和集中監(jiān)管系統(tǒng)，依靠總線進(jìn)行通訊交互，完成認(rèn)證、接入、交換、監(jiān)管、統(tǒng)計(jì)等核心功能。

安全接入網(wǎng)關(guān)、采集接入網(wǎng)關(guān)、視頻接入網(wǎng)關(guān)部署在 APN專網(wǎng)的網(wǎng)絡(luò)邊界上，提供 VPN服務(wù)端的安全隧道協(xié)商、加密功能，采用SSLVPN架構(gòu)設(shè)計(jì)，進(jìn)行各種終端經(jīng)由安全通道層的安全認(rèn)證、接入，建立雙向加密隧道對(duì)應(yīng)用系統(tǒng)數(shù)據(jù)加密，用于各類無(wú)線終端的安全接入。

數(shù)據(jù)交換系統(tǒng)部署在網(wǎng)關(guān)之后，實(shí)現(xiàn)對(duì)終端訪問(wèn)信息內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)的行為的安全審查，對(duì)交換數(shù)據(jù)的內(nèi)容檢查過(guò)濾，提供對(duì)整個(gè)數(shù)據(jù)交換行為的完整審計(jì)，包括數(shù)據(jù)來(lái)源、交換發(fā)生時(shí)間、數(shù)據(jù)交換的目標(biāo)、數(shù)據(jù)交換的內(nèi)容等方面，確保終端對(duì)信息內(nèi)網(wǎng)的業(yè)務(wù)的安全訪問(wèn)。

身份認(rèn)證系統(tǒng)對(duì)接入的終端進(jìn)行身份認(rèn)證和識(shí)別，接入終端采用數(shù)字證書、用戶名/口令、設(shè)備特征等進(jìn)行身份認(rèn)證，在接入網(wǎng)關(guān)側(cè)對(duì)接入終端的數(shù)字證書做安全檢查，實(shí)現(xiàn)對(duì)各種接入對(duì)象如人員、主機(jī)、移動(dòng)終端等的高強(qiáng)度身份認(rèn)證，保障傳輸信息的安全性、完整性和不可抵賴性。

集中監(jiān)管系統(tǒng)實(shí)現(xiàn)對(duì)安全接入平臺(tái)有效的管控流程和機(jī)制，實(shí)現(xiàn)對(duì)安全接入平臺(tái)中的各類接入終端、網(wǎng)絡(luò)通道、應(yīng)用系統(tǒng)的全面的監(jiān)測(cè)、分析、評(píng)估。監(jiān)管管理模塊采用圖形化的展現(xiàn)形式，直觀的反應(yīng)當(dāng)前平臺(tái)的運(yùn)行情況，實(shí)現(xiàn)對(duì)各類接入終端的接入管理。

3 業(yè)務(wù)應(yīng)用情況

安全接入平臺(tái)投入運(yùn)行后，湖南省電力公司移動(dòng)作業(yè)平臺(tái)、用電信息采集、輸電線路狀態(tài)在線監(jiān)測(cè)等系統(tǒng)陸續(xù)完成系統(tǒng)升級(jí)改造，以適應(yīng)安全接入平臺(tái)接入要求。截止2017年5月底，已接入移動(dòng)作業(yè)終端600多臺(tái)、用電信息采集終端30多萬(wàn)臺(tái)等。

3.1 移動(dòng)作業(yè)平臺(tái)

用于移動(dòng)作業(yè)的PDA、筆記本等移動(dòng)終端的安全接入主要包括適應(yīng)安全接入平臺(tái)的建設(shè)和移動(dòng)作業(yè)終端的安全改造。移動(dòng)作業(yè)終端與安全接入平臺(tái)間建立加密隧道傳輸數(shù)據(jù)[1]，同時(shí)安全接入平臺(tái)制定終端訪問(wèn)控制策略，并對(duì)訪問(wèn)作安全審計(jì)[2]，可以有效的抵御安全風(fēng)險(xiǎn)。

2013年，移動(dòng)作業(yè)平臺(tái)處于試點(diǎn)推廣階段，株洲電業(yè)局、超高壓管理局作為試點(diǎn)單位，已接入終端200多臺(tái)。2016年至今，移動(dòng)作業(yè)平臺(tái)已升級(jí)到PMS2.0階段，完成全省十四個(gè)電業(yè)局的推廣應(yīng)用，已接入終端600多臺(tái)。

3.2 用電信息采集

基于無(wú)線公網(wǎng)的用電信息采集系統(tǒng)的數(shù)據(jù)傳輸處于公共網(wǎng)絡(luò)環(huán)境中，面臨著監(jiān)測(cè)數(shù)據(jù)被竊聽(tīng)、被篡改、傳輸錯(cuò)誤等問(wèn)題[3]。按照用電信息采集系統(tǒng)的總體架構(gòu)，并根據(jù)國(guó)網(wǎng)公司智能電網(wǎng)信息安全防護(hù)總體方案要求，用電信息采集系統(tǒng)應(yīng)采用專用的APN網(wǎng)絡(luò)，并為終端分配帳號(hào)和密碼進(jìn)行認(rèn)證。

用電信息采集終端上應(yīng)安裝公司統(tǒng)一部署的數(shù)字證書，對(duì)終端進(jìn)行認(rèn)證、訪問(wèn)控制和信息加密傳輸，實(shí)現(xiàn)主站對(duì)終端、終端對(duì)主站的雙重認(rèn)證。

2012年7月份，用電信息采集完成全省14個(gè)電業(yè)局采集終端接入；截止2017年5月份，集中式用電信息采集系統(tǒng)中共有在線采集終端30萬(wàn)多臺(tái)，采集成功率為99.4%。

4 結(jié)束語(yǔ)智能電網(wǎng)的實(shí)現(xiàn)主要是通過(guò)終端傳感器將用戶之間、用戶和電網(wǎng)公司之間形成即時(shí)連接的網(wǎng)絡(luò)互動(dòng)，從而實(shí)現(xiàn)數(shù)據(jù)讀取的實(shí)時(shí)、高速、雙向的效果，整體性地提高電網(wǎng)的綜合效率。國(guó)網(wǎng)公司智能電網(wǎng)將覆蓋智能電網(wǎng)發(fā)電、輸電、變電、配電、用電等各個(gè)環(huán)節(jié)，發(fā)電機(jī)/電動(dòng)機(jī)狀態(tài)監(jiān)測(cè)、輸電線路在線監(jiān)測(cè)、電氣設(shè)備狀態(tài)監(jiān)測(cè)、變壓器狀態(tài)監(jiān)測(cè)、電力設(shè)施全方位防護(hù)及保電支撐、配電智能巡檢、電動(dòng)汽車信息平臺(tái)等業(yè)務(wù)系統(tǒng)正處于研發(fā)之中，將陸續(xù)接入安全接入平臺(tái)。

隨著國(guó)網(wǎng)公司智能電網(wǎng)的發(fā)展，安全接入平臺(tái)將會(huì)起著愈加重要的作用，它對(duì)流經(jīng)數(shù)據(jù)進(jìn)行加密、認(rèn)證，以確保終端傳感器采集的數(shù)據(jù)安全可靠地傳送到公司內(nèi)網(wǎng)核心業(yè)務(wù)應(yīng)用，抵御外來(lái)安全威脅，為“堅(jiān)強(qiáng)”智能電網(wǎng)安全可靠運(yùn)行提供有力保障。

[1] 彭國(guó)軍，邵玉如．移動(dòng)智能終端安全威脅分析與防護(hù)研究[J]，2012．

[2] 方明偉．基于可信計(jì)算的移動(dòng)智能終端安全技術(shù)研究[D]，2012．

[3] 汪坤，何桂立，馬鑫．智能終端安全現(xiàn)狀及發(fā)展趨勢(shì)[M]，2012．

[4] 錢煜明．企業(yè)移動(dòng)設(shè)備管理技術(shù)[J]，2013．