配电自动化通信系统的网络防护

配电自动化通信系统的网络防护

陈汝烁

（广东电网发展研究院有限责任公司汕头电力咨询研究院广东省汕头市515000）

摘要：随着信息技术、自动化技术的发展和人们用电需求的日益增长，电力系统自动化建设不断加快，电力通信安全形势有所恶化，电网建设的标准和配网通信网络安全面临新的挑战。本文简要概述了配电网自动化通信系统中的网络安全管理问题，从影响信息安全的各种因素入手，探讨了一些应对措施。

关键词：配电自动化；通信；网络安全；应对措施

随着国家经济建设发展和国民生活质量的提高，对电力供应的可靠性和及时性要求越来越高，提高配电自动化水平，将是对提高供电可靠性和及时性起到突破瓶颈的作用。作为配网自动化技术实施的通信支撑平台，配电通信系统将进行更全面、深层次的通信建设以便适应配电自动化的快速发展。在实施各种有线及无线通信传输方式对配网自动化节点进行覆盖、以及配置核心层、汇聚层、接入层通信设备等通信硬件建设的同时，软件方面的开发应用也需同步跟进，其中，网络安全将是重点研究开发方向。本文将从“网络防护”这一方面探寻如何更好的建设安全的配电自动化通信系统。

1.电力系统配网网络自动化技术

配电网管理系统用于管理配电网的运行。配电网自动化网络是集现代通信技术、网络技术、传感技术和自动化技术为一体，对配电网结构和配电网的离线和在线数据进行集成和处理，形成一个自动配电网系统。通过对配电网整体运行数据的收集、汇总和分析，并根据数据分析结果，完成配电网资源的实时分配和网络负荷的合理调节，改善网络环境，提高电网的运行效率和安全性。

2.电力通信系统网络安全问题

2.1对控制性能的威胁

在智能电网系统中，控制系统具有实时通信功能，直接控制电网的运行。在常见的智能电网控制系统中，网络响应时间决定了整个控制系统的性能。局域网病毒或网络病毒攻击引起网络拥塞，影响网络响应时间，降低系统控制性能，甚至导致控制系统瘫痪。部分网络病毒软件会造成更严重的破坏，病毒文件对电网控制软件和电网系统数据库的破坏，造成不可逆转的损失。而且，病毒通过系统漏洞控制控制系统，破坏电网，造成较大的经济损失。随着电力控制系统自动化和网络化的发展，导致控制系统中商业病毒的威胁。为了保证电力控制系统的安全，管理者有必要从控制输电线路、提高系统防御能力、减少损失等方面提高控制系统的安全性。

2.2对传感装置网络的威胁

传感装置是电网自动化系统的信息收集工具，其被分布在各个监测区域，通过多种通信方式与主系统连接，长期高效地收集电网运行数据。在实际运行过程中，除了受到自然环境的威胁之外，由于传感装置网络安全性较低，容易受到各种形式的安全威胁。例如外部人员对于某个传感装置网络的信息窃取，当传感器网络向系统传递信息时，外部人员窃取通信信息。部分人员利用破坏性手段，恶意修改传感器网络信息，引起电力系统数据虚假，甚至发送伪装信息，进一步入侵和控制电力系统。在某些情况，外部人员利用传感器节点发动网络层攻击，造成更大的安全问题。

3.配网自动化系统网络安全防护的主要措施

配网自动化系统网络安全防护的首要措施是严格贯彻落实国家发改委《电力监控系统安全防护规定》和《电力监控系统安全防护总体方案》要求，遵循“安全分区、网络专用、横向隔离、纵向认证”的十六字方针开展电力监控系统网络安全防护体系建设。除此之外，还应该基于物联网技术以及电力配网自动化系统的应用特征，开展如下网络防护具体技术措施。

3.1建立安全接入区

安全接入区通过接入数据交换系统实现对终端的安全接入控制与数据过滤，通过安全接入网关对应用层系统与感知层设备之间的通信以及参数进行签名，实现感知层终端设备对应用层系统的身份鉴别与报文内容的保护。此外，安全接入区与电力配网自动化系统之间采用数据交换系统实现公网与主站的隔离。运营商与电力行业传输数据时，通过安全接入平台接入电力行业内网，杜绝公网与调度数据网直接相连。

3.2部署可信安全接入网关

通过可信安全接入网关实现感知层终端的加密认证和访问控制，可信安全接入网关一方面是有效保护配网主站前置机，解决传统防护设备（如防火墙）由于软件系统或网络协议漏洞被劫持后，成为跳板进一步入侵前置机反控大量配电终端的问题。另一方面是提出加密卡的多核平衡调度方法以提升加解密性能和提出高速Hash查表方法以提升数据隔离摆渡效率。

3.3采用加密认证与访问控制技术

为保障应用层与感知测的数据传输安全，通过加密认证与访问控制技术，针对“开放”的空口数据链路，采用先进的加密认证与访问控制技术，同时对加密密钥的保存与更新机制进行改造，从而来保证数据的安全传输。加密认证与访问控制技术主要的应用主要包括鉴权与密钥协商过程、安全性激活过程、信令加密和数据加密过程以及信令和数据的完整性校验等4大过程。

3.4感知层终端软件中应用加密认证

加密的身份验证插件是一个加密的身份验证过程的软件模型,可以安装上运行一个完整的操作系统的感知层的终端,插件需要做不仅接收终端设备调度控制命令和解密的数据和其他信息处理,也需要严格的裂缝预防、防止安全措施,如复制、防篡改，确保插件应用程序的安全性失控，不存在非法设备信息交互、终端错误、系统安全隐患。

3.5感知层终端硬件设备嵌入加密认证芯片

嵌入式加密认证芯片以硬件方式嵌入配网终端中，实现配网终端数据的加密认证和访问控制，芯片应具有工业级高可靠、高安全、高性能、低功耗，资源丰富等特征，推荐使用国家密码管理局的SM1、SM2、SM3密码算法，为终端安全防护设备低功耗、小体积设计提供了有效支持。基于密码算法安全性和芯片应用灵活性的综合考虑，加密认证芯片采用基于SoC(systemonchip)的基本架构，以软硬件协同设计方式实现所需的分组密码算法、椭圆曲线密码算法和散列算法等。对于复杂运算采用硬件加速引擎实现，其它则可以考虑在不降低CPU运行效率情况下，用芯片应用程序实现。

3.6串联加密认证设备

配电终端有多种数据通信的方式，扩容性不强，结合配电终端运行环境恶劣的特点，通过串联型终端加密认证设备，解决配电终端多种通信方式需求、多厂家多型号的问题。串联型终端加密认证设备，适用于通过各类通信方式连接的配电终端，部署时串接感知层的配电终端和网络层之间。

3.7应用入侵监测技术

入侵检测是指通过对网络上可用的行为、安全日志或审计数据或其他信息的操作，检测系统上的入侵或入侵企图。入侵检测技术是防火墙技术的升级和增强。入侵监测技术包括信息采集、信息分析和信息处理三个方面。首先对监控系统的手机电源系统中的用户活动、行为信息、网络信息、系统数据等信息进行监控。然后通过处理系统与预置的监控模型进行匹配，判断是否为入侵。最后，采取了相应的结果处理措施。

结论

综上所述，电力配网的自动化通信系统虽然显著提升了电力系统的智能化、信息化、网络化程度，但也由于其网络化特征，引发了网络安全问题，造成整个智能电力系统的安全威胁。面对通信网络中的安全威胁，需要电力企业提升各类安全技术，并减少人为因素影响，切实保障电力通信网络安全。

参考文献：

[1]刘素华，项东，张宁等.EPON用于电力配网通信的应用分析[J].中国新通信，2016(02):83-84.

[2]邢宁哲，徐鑫.电力通信网安全防护体系架构模型研究[J].信息安全与通信保密，2014(09):191-194.

[3]刘国军，郑晓崑，杨会峰等.电力通信网安全分区研究[J].电力信息与通信技术，2016(08):27-32.

[4]苏德浩.探究电子信息技术在电力自动化系统中的应用[J].科技风，2017(11):74.