摘要:电力行业网络信息安全形势日益严峻,国内外由此造成的网络安全事件时有发生。在电力监控系统安全防护方面,为保障电力监控系统的安全,需按照“安全分区,网络专用,横向隔离,纵向认证”总体防护原则进行安全防护。对于纵向加密认证装置的有效运维,是落实总体防护原则、保障电力监控系统安全的关键,该文以35kV变电站纵向加密装置为例,对纵向认证装置的应用进行探讨。
关键词:电力监控系统;35kV变电站;纵向加密认证装置
0 引言
纵向加密认证装置是电力监控系统安全防护体系的纵向防线,该装置采用认证、加密、访问控制等技术措施实现数据的远方安全传输以及纵向边界的安全防护。变电站应在生产控制大区与广域网的纵向连接处设置经过国家指定部门检测认证的电力专用纵向加密认证装置,实现双向身份认证、数据加密和访问控制。35kV变电站纵向加密装置部署方式与110kV及以上电压等级变电站不同,具有以下特点:
1、35kV变电站监控系统生产控制大区未进行细分。
2、35kV变电站只部署一台纵向加密装置对生产控制大区纵向边界进行安全防护。
目前,荆州地区已实现了78座35kV变电站纵向加密装置全覆盖,预计2018年实现全部35kV变电站纵向加密装置全覆盖,如何提高35kV变电站纵向加密装置运行管理水平成为急需解决的问题。本文拟从35kV变电站纵向加密装置接入方式、常见运维方法、加密装置运行指标等方面对纵向加密的应用进行探讨,为提高荆州电网电力监控系统安全防护水平提供建议。
1 35kV变电站纵向加密接入方式
1.1 35kV变电站调度数据网部署方式。35kV变电站调度数据网只有一台路由器,在一台路由器上通过不同的网口板卡实现业务的多接入。一般35kV变电站路由器型号为H3C MSR30-40,承载的业务有远动、电量,其中路由器ethernet2/0口接远动业务,ethernet4/0口接电量业务(业务及接口以现场实际情况为准)。
1.2 35kV变电站纵向加密认证装置部署方式。目前主流纵向加密认证装置厂家有科东、南瑞、卫士通。荆州35kV变电站统一选用卫士通SJJ1632-B电力系统专用纵向加密认证装置进行部署。该装置严格按照《电力专用加密认证装置技术规范》进行设计和开发,采用专门的加密封包格式,在IP层实现数据的机密性、完整性和数据源鉴别等安全功能,同时也支持与其它厂家纵向加密装置互联互通。该纵向加密装置共有4个业务网口,分别是外1口、内1口、外2口、内2口。依据35kV变电站数据网部署方式,在调度数据网中部署一台纵向加密后,可将外1口接至路由器ethernet2/0口,内1口接远动业务,外2口接至路由器ethernet4/0口,内2口接电量业务。通过此接入方式,可利用一台纵向加密装置实现对远动及电量业务的加密认证传输。
2 35kV变电站纵向加密装置常见运维方法
2.1 站端纵向加密装置接入配合事项
变电站部署纵向加密装置前,主站调试人员需配合并做以下前期工作,方便与站端纵向加密装置联调:
1)主站给新接入加密装置签发设备证书,包括RSA证书、SM2证书、主操作员证书、备操作员证书。
2)向厂站调试人员提供主站加密装置IP地址、证书、网络信息。
3)向厂站调试人员提供主站内网安全监视平台远程管理地址、日志告警采集地址、设备证书信息。
4)在内网安全监视平台中添加站端纵向加密。
5)在主站加密设备上导入站端加密装置证书、添加隧道。
2.2 站端纵向加密装置接入完成验证项目
35kV变电站部署纵向加密后现场工作人员需核实变电站业务是否正常,加密装置配置是否规范,具体项目如下:
1)接入纵向加密装置的调度数据网业务是否正常。目前35kV变电站接入调度数据网业务有远动、电量,需分别与相应专工核实业务。
2)查看隧道是否处于open状态,对加密隧道进行刷新,看是否有加解密报文同步递增。正常情况下,刷新隧道,加解密报文会同步递增,表明纵向加密对业务数据进行了加解密。
3)加密装置能否被内网安全监视平台远程管理。内网安全监视平台应能够远程连接加密装置,并对加密装置的配置进行查看和修改。
4)加密装置日志、告警能否被内网安全监视平台接收。加密装置应配置日志告警IP地址,在内网安全监视平台中加密的资产由离线转为在线。
5)加密装置旁路或关掉电源后调度数据网业务是否正常。加密装置应能支持旁路,装置掉电后不影响业务的连通性。
6)加密装置安全策略是否符合“标准化管理”中精细化要求。安全策略应根据实际业务配置,地址、端口、协议不能放开过大。
2.3 纵向加密调试常见问题及处理思路
目前,在部署35kV变电站纵向加密过程中,有以下几种常见的问题,问题具体描述及处理思路如下:
2.3.1 内网安全监视平台不能管控纵向加密装置。分析步骤如下:
1)检查加密装置是否导入内网安全监视平台证书。在加密装置中重新导入内网安全监视平台证书,核实装置中是否填对内网安全监视平台IP地址。2)内网安全监视平台重新导入加密装置证书,核实平台中是否填对加密装置IP地址。3)检查加密装置路由设置是否正确。检查装置路由设置中目的地址、目的地址掩码、网管地址是否正确。
2.3.2 加密装置隧道不能协商成功。分析步骤如下:
1)检查站端加密装置中隧道配置。在加密装置中重新导入主站加密装置设备证书,核实隧道目的地址是否是主站加密装置地址。
2)检查主站加密装置中隧道配置。在加密装置中重新导入站端加密装置设备证书,核实隧道目的地址是否是站端加密装置地址。
3)对站端装置设备证书请求重新签发。
2.3.3 通过加密装置后远动、电量业务不通。分析步骤如下:
1)在主站加密装置中核实策略配置。检查策略的源起始地址、源终止地址是否是主站前置机地址段,检查目的起始地址、目的终止地址是否是站端业务地址段,检查端口配置是否配置正确。一般远动业务端口是2404,电量业务端口是2000或5000,具体与相应专工核实确定。2)在站端加密装置中核实策略配置。检查策略的源起始地址、源终止地址是否是站端业务地址段,检查目的起始地址、目的终止地址是否是前置机地址段,检查目的起始端口、目的终止端口是否是配置正确。
2.3.4 内网安全监视平台收到该装置发的告警。分析步骤如下:
1)详细查看该告警内容。在内网安全监视平台中,历史查询模板中查看该告警具体内容。
2)分析该告警的源地址和目的地址。如果源地址、目的地址为调度数据网地址,即该站站端数据网地址段,表明该访问为正常访问,需在站端加密装置策略中放开对该地址的限制。如果源地址、目地址不是调度数据网地址,表明该访问为非正常访问,应立即断开该站调度数据网,并对该地址进行排查。35kV变电站出现频率较多的非正常访问告警一般为南瑞远动机中自带的升级程序引起,需与远动厂家联系,对该程序进行修改。
3 纵向加密运行指标
正常运行情况下,纵向加密应实时在线、对业务进行加解密、无告警。目前,主要有以下几个指标反映纵向加密装置运行情况:
3.1 加密装置在线率。装置在线率反映装置是否正常在线。
加密装置在线率=(
)×100%
3.2 加密装置密通率。装置密通率反映装置是否正常对业务加解密。
加密装置密通率=
×100%
3.3 紧急告警平均处置时间
紧急告警平均处置时间=
×100%
备注:单个紧急告警处置用时=该告警结束时间—该告警发生时间
4 结束语
纵向加密认证装置是调度数据网与广域网的边界防线。加强纵向加密认证装置在35kV变电站的应用是提升变电站电力监控系统安全防护的关键,需要不断的探索研究,使其更好的应用到实际现场。
参考文献
[1]《电力监控系统安全防护规定》(国家发改委第14号令)
[2]《国家电网公司电力监控系统网络安全运行管理规定(试行)》调网安[2017]109号
作者简介:王 雄,男,国网荆州供电公司电力调度控制中心
论文作者:王雄
论文发表刊物:《电力设备》2018年第19期
论文发表时间:2018/10/17
标签:装置论文; 纵向论文; 变电站论文; 地址论文; 业务论文; 目的论文; 内网论文; 《电力设备》2018年第19期论文;