(广东电网有限责任公司佛山供电局 广东佛山 528000)
摘要:配网自动化通信系统包括骨干通信网、接入通信网与终端层3层结构,具有可靠性、完整性与机密性的网络安全需求,为了从根本上解决配网自动化通信系统的网络安全问题,保证整个电力系统的稳定运行,应大力建设系统网络安全防护体系,建立安全接入区,部署可信安全接入网关,采用加密认证与访问控制技术,对终端设备进行加密认证,在终端层各组件中嵌入加密认证芯片,并应用串联式加密认证设备。
关键词:配网自动化通信系统;网络安全需求;网络安全防护
在城市建设快速发展的进程中,越来越多新建设的小区或商业中心选择在地下车库进行配套自动化开关或智能电表的建设。地下车库存在通信质量不佳的问题,但配网自动化开关与智能电表等设备对通讯质量有较高的要求,当前的无线网络通讯方式无法对其通信要求予以满足。虽然部分配电房安装了信号放大器,但只是单纯地将信号功率放大,信号失真、信号不持续等相关问题难以得到可靠解决。目前,大良供电所有687个电房,通信不良或无法进行通信的配电房不在少数。对此,大良供电所进行配网自动化通信系统建设,文章就配电网自动化通信系统及其网络安全问题做相应的探讨。
1配电网自动化通信系统
配网自动化系统结构包括3层:主站系统层、通信系统层与终端系统层,自动化系统主站在接收到由电力通信网络或无线公网传输过来的配网采集终端数据之后,对它们进行集中处理。类似于配网自动化系统,配网通信系统亦包括3个层次,即骨干通信网、接入通信网与终端层。其中,骨干通信网用于配网通信子站与配网通信主站之间的通信;接入通信网主要用于终端层与配网通信子站之间的通信,该层先会对信息进行预处理,以信息的重要性为依据执行筛选操作,优先将重要度高的信息上传,避免发生信息拥挤的问题。图1所示为典型的配网自动化通信系统结构。
2配网自动化通信系统的网络安全需求
通信网络作为配网自动化通信系统的重要组成部分,对系统各类型的组件进行整合,建立组件与组件以及组件与控制中心之间的相互通信。不同类型组件的相互关联极大地增加了系统的复杂程度,亦为其带来较多的安全漏洞问题:配网自动化通信系统的自动化维护以系统的各项信息为依据,这一特征具有安全隐患;系统内一些组件的正
常运行以实时数据为支持,而这些实时数据存在被过度延迟设置、篡改或丢失的风险,这些会对系统的稳定运行产生直接影响;系统内的数据库管理软件存在遭受恶意代码攻击的风险;系统实时通信一旦中断,将会引起断电甚至电力设施损坏的问题;系统各组件所采用的通信技术有所不同,各技术之间的相互作用会产生一些不良的影响;在网络环境下,系统所采集与传输的大量信息所面临的数据泄密问题更加严峻,这对安全隐私问题予以涉及。
图1 配网自动化通信系统结构
表1所示为配网自动化通信系统的网络安全需求。
表1 配网自动化通信系统网络安全需求
3配网自动化通信系统网络安全的防护措施
配网自动化通信系统的网络安全防护首先需对国家发改委发布的《电力监控系统安全防护规定》与《电力监控系统安全防护总体方案》进行严格的贯彻与落实,对“安全分区、网络专用、横向隔离、纵向认证”十六字方针予以遵循,进行配网自动化通信及其监控系统网络安全防护体系的大力建设,同时,基于各网络安全技术以及系统的应用特征,采取以下网络防护措施。
3.1进行安全接入区的建立
在接入数据交换系统的应用支持下,安全接入区可实现对终端的安全接入控制与数据过滤,利用安全接入网关对配网自动化通信系统各层组件之间的通信与参数进行签名,实现终端设备对通信层的身份鉴别以及报文内容的保护。另外,安全接入区与配网自动化通信系统之间通过数据交换系统对公网与主站进行隔离。在外部平台同系统进行数据传输之时,借助安全接入平台与系统建立连接,对公网同调度数据网直接相连的问题予以杜绝。
3.2对可信安全接入网关进行部署
利用可信安全接入网关实现对配网自动化通信系统各组件的加密认证与访问控制,一方面,可信安全接入网关可作为对配网主站进行保护的前置机,对传统防护设备(如防火墙)由于软件系统或网络协议漏洞被劫持之后,成为跳板进一步入侵前置机反控更多配电终端的问题予以解决;另一方面,通过对加密卡多平衡调度方法的应用,优化加解密性能,同时提出速度更快的Hash查表方法,以此提高数据隔离摆渡的效率。
3.3对加密认证以及访问控制技术予以采用
为了保证数据传输的安全性,对“开放”的空口数据链路采用加密认证与访问控制技术,同时,改造加密密钥的保存及更新机制。加密认证与访问控制技术的主要应用涉及4个方面,有鉴权与密钥协商、安全性激活、信令加密与数据加密、信令与数据的完整性校验。
3.4对终端设备进行加密认证
加密认证插件是一种软件模式的加密认证程序,可以在有着完整操作系统的配网自动化通信系统终端层安装与运行,这一插件既要加密处理终端设备所接收的调度控制命令数据以及其他相关信息,还要有安全、严格的防破译、防复制以及防篡改等安全防护措施,以此保证此插件的应用程序在出现失控问题之后不会同任何非法设备进行信息交互,不会影响配网自动化通信系统终端层甚至整个系统的安全运行。
3.5在终端层各组件中嵌入加密认证芯片
在配网自动化通信系统的终端层组件中,应以硬件的方式嵌入加密认证芯片,实现配网终端数据的加密认证与访问控制。嵌入的芯片应符合工业级高可靠、高安全、高性能、低功耗以及资源丰富的要求,建议对国家密码管理局的SM1、SM2、SM3密码算法予以使用,保证
安全防护设备的低功耗、小体积性能。
考虑到密码算法的安全性与芯片应用的灵活性要求,加密认证芯片应对SoC基本架构予以采用,通过软硬件协同设计对所需的分组密码算法、椭圆曲线密码算法以及散列算法等予以实现。复杂的运算可通过硬件加速引擎来实现,相对简单的运算则可在保证CPU运行效率的前提下,利用芯片应用程序来实现。
3.6应用串联式加密认证设备
配网自动化通信系统终端层的数据通讯方式比较多,扩容性较弱,与配网终端运行环境恶劣的现实条件相结合,采用串联式终端加密认证设备,对终端层通信方式需求多样化、厂家多、型号广的问题予以解决。串联式终端加密认证设备在通过不同通信方式连接的配电终端中均有适用性,可以在配网自动化通信系统的终端层与通信层进行部署。
4结语
配网自动化通信系统的网络安全对系统的稳定运行、整个电力系统的健康发展有着十分重要的作用。今后,配网自动化通信系统还需通过多项专业技术服务对其网络安全进行持续保障,包括常态化风险评估、渗透测试、漏洞扫描、基线核查、代码安全审计、业务安全测试以及安全加固等,只有多方面的不断优化,才能从根本上对配网自动化通信系统的网络安全问题予以解决,保证系统的稳定运行。
参考文献:
[1]杜浩东.配网自动化通信系统的研究[D].华南理工大学,2013.
[2]云雯.呼和浩特地区智能电网通信系统网络安全研究[D].华北电力大学,2016.
基金项目:佛山供电局职工技术创新项目(030600KK52180174)
作者简介:杨智诚(1989.08-),男,广东佛山人,研究方向:配网自动化
论文作者:杨智诚
论文发表刊物:《电力设备》2018年第20期
论文发表时间:2018/11/13
标签:通信系统论文; 终端论文; 系统论文; 网络安全论文; 通信论文; 数据论文; 通信网论文; 《电力设备》2018年第20期论文;