摘要：為適應電力行業(yè)新的網絡安全要求，對在線監(jiān)測裝置進行了網絡安全分區(qū)改造，使用新的APN通道，改變以前不安全的明文傳輸方式，采用國密SM1、SM2、SM3、SM4算法加密傳輸，提高了在線監(jiān)測裝置網絡的安全性及可靠性。

0? ? 引言

為總體提高在線監(jiān)測裝置運維的網絡安全水平，持續(xù)鞏固“安全分區(qū)、網絡專用、橫向隔離、縱向認證”安全基礎，需全面完成安全分區(qū)和橫縱向邊界防護改造，強化主機和應用本體安全，落實物理網絡安全措施，實現網絡安全設備運行狀況實時監(jiān)控及風險預警。

對于采用無線傳輸方式接入主站的電力系統(tǒng)在線監(jiān)測裝置，從前期設計時的考慮和實際運行的情況方面來分析，明文傳輸的通信方式已經不符合目前行業(yè)的網絡安全要求，需要對在線監(jiān)測裝置進行網絡安全分區(qū)改造，以保障電力系統(tǒng)在線監(jiān)測裝置長期運行網絡的安全性及可靠性，保證電力系統(tǒng)的正常運行。

1? ? 電力系統(tǒng)在線監(jiān)測裝置無線傳輸分區(qū)改造的總體要求

1.1? ? 分區(qū)改造的原則與思路

在電力通信保障電網安全穩(wěn)定的基本原則和建設與現有電力通信專網優(yōu)勢互補的、立體式的電力通信保障體系的思路指導下，對于使用移動通信的電力系統(tǒng)在線監(jiān)測裝置，在考慮到網絡安全性后，以開通專用APN通道無線加密方式將其從舊的運行網絡區(qū)改接到加密的運行新區(qū)。

1.2? ? 改造后通信結構

在線監(jiān)測通信網絡采用專線對卡通信方式，即主站通過公網專線接入，站端用無線電話卡撥號接入，具體通信結構如圖1所示。

該通信結構采用專線接入部署時費用比卡對卡接入要高一些，但是專線的接入可以大大緩解通信瓶頸帶寬問題，同時專線的通信時延比卡對卡的要低，能保證通信質量。

2? ? 主站端具體改造內容

主站內無線監(jiān)測接入裝置需加裝加密芯片或加密模塊，站端上傳的數據經過解密后傳輸。加密后能實現網絡安全設備安全狀況實時監(jiān)控及告警，具備有效監(jiān)視跨區(qū)互聯、非法接入、移動介質違規(guī)使用等嚴重安全隱患的能力，具備網絡安全入侵檢測能力;確保電力監(jiān)控系統(tǒng)邊界網絡安全設備覆蓋完整、策略配置安全有效，實現網絡安全設備國產化。此外，設立安全接入區(qū)，服務器通過2G/3G/4G無線網絡接收端與廠站側子站設備2G/3G/4G無線網絡進行加密通信。

2.1? ? 前置機的安全要求

對于采用公網作為通信信道的前置機（公網前置機屬于安全接入區(qū)），必須采用電力專用的正反向隔離裝置與自動化系統(tǒng)進行隔離。公網前置機與站端之間通信必須采取認證及加密等安全措施。

2.2? ? 站端在線監(jiān)測系統(tǒng)接入主站的要求

（1）建立安全接入區(qū)：依據網絡安全防護要求，需設立公網安全接入區(qū)。

（2）網絡隔離：在安全接入區(qū)與調度通信部署電力專用正反向隔離裝置。

（3）無線通信數據加密：對于采用雙向認證加密措施的無線網絡通信，需在安全接入區(qū)邊界及變電站網絡邊界部署加密認證網關。其中，站端側無線加密通信網關兼具加密模塊、通信模塊功能。

3? ? 變電站站端分區(qū)改造內容

站端業(yè)務部分安排站內無線監(jiān)測裝置切換且經加密模塊加密后，通過無線網絡APN上傳主站，無線網絡通信采用雙向認證加密的措施，需在安全接入區(qū)邊界及變電站網絡邊界部署加密認證網關。其中，站端側無線加密通信網關兼具加密模塊、通信模塊功能，模塊電源要求具有ESD保護、EMC保護、防浪涌、防反接、過壓保護、過流保護功能，通信信號需要使用雙天線收發(fā)，考慮長遠發(fā)展，公網僅在災害及新建變電站通信調試通道時使用，站端無線加密通信網關建成獨立系統(tǒng)。

3.1? ? 裝置改造的配置及具體要求

（1）將站端在線監(jiān)測裝置無線終端替換為加密無線終端。

（2）向電信部門申請專用的APN通道GD”，把通道信息配置進現場裝置通信模塊中。

（3）向主站申請分配IP地址，捆綁IP到專用物流電信卡上，實現?？▽Ｓ?，提高通信安全性。

（4）具體配置如表1所示。

改造后的網絡拓撲圖如圖2所示。

（5）安全策略配置如表2所示。

（6）隧道配置如表3所示。

3.2? ? 裝置改造實施步驟

（1）前期準備工作：需要確認所涉及的裝置設備通信方式，取得相關的通信規(guī)約，編寫通信文檔。

（2）改造環(huán)境及范圍確認：站端在線監(jiān)測系統(tǒng)現場柜的位置確認，相關電源位置、加密模塊安裝位置確認，安裝電源、相關配線及調試工具確認。

（3）將改造方案報相關部門審核，明確改造中受影響的業(yè)務，審核通過后，辦理實施許可手續(xù)。

（4）辦理物聯卡，加入專用APN通道，捆綁主站分配的IP地址。

（5）斷開舊在線監(jiān)測系統(tǒng)現場柜無線終端的電源，退出裝置的通信無線終端。

（6）在線監(jiān)測系統(tǒng)現場柜處安裝新的無線加密終端。

（7）加密無線安裝SIM卡：在線監(jiān)測系統(tǒng)現場柜處安裝的無線加密終端中安裝SIM卡。

（8）測試SIM：合上在線監(jiān)測系統(tǒng)現場柜的電源，查看無線網絡信號強度、查看SIM卡獲取IP地址是否正常。

（9）測試隧道：查看加密證書是否正常、ping通主站采集前置機IP，測試通道狀況。

（10）設備配置及備份：對在線監(jiān)測裝置IED的配置及數據庫等進行整體維護及備份。

（11）設備配置修改：在線監(jiān)測裝置IED安裝及啟用通信服務。

（12）業(yè)務調試：調試在線監(jiān)測終端業(yè)務，進行主站—站端的聯調。

（13）業(yè)務系統(tǒng)功能測試：測試鏈路及通信是否正常，發(fā)送及返回數據包是否穩(wěn)定。

測試拓撲示意圖如圖3所示。

（14）報主站工作完結：設備狀態(tài)正常，在線監(jiān)測系統(tǒng)上傳主站數據正常，觀察30 min，確保系統(tǒng)運行穩(wěn)定后，報主站改造完結。

4? ? 結語

改造后的在線監(jiān)測系統(tǒng)的通信方式，是基于IPsec VPN加密隧道通信協議，結合國密SM1、SM2、SM3、SM4算法與4G無線通信，為變電站端在線監(jiān)測系統(tǒng)提供硬件級動態(tài)加密的數據安全通信。該通信方式采用代碼可控的安全操作系統(tǒng)，支持PKI體系的電力數字調度證書，主站與終端雙向設備認證和數據傳輸加密功能，具有安全度高、兼容性強、穩(wěn)定性好等特點，為電力在線監(jiān)測系統(tǒng)的網絡安全提供了堅實保障。

[參考文獻]

[1] 闞寶朋.計算機網絡技術基礎[M].北京：高等教育出版社，2015.

[2] 遲恩宇，王東，楊亞洲.網絡安全與防護[M].2版.北京：高等教育出版社，2018.

收稿日期：2021-01-07

作者簡介：梁華（1978—），男，廣東信宜人，電力工程師，長期從事電力系統(tǒng)在線監(jiān)測裝置運維及技術管理、電力工程現場質量管控相關工作。