配电自动化系统安全防护技术

配电自动化系统安全防护技术

安昱澄杨旭光

（河北省电力公司石家庄供电分公司配电运检室河北省050000）

摘要：配电自动化系统不同于调度自动化系统，后者通信方式较为单纯，多为光纤专网，且联络方式较为清晰（以变电站作为枢纽）；而配电自动化系统的通信往往受到环境因素、社会因素的影响，需要光纤、载波、无线等多种通信方式并存，方能使配电自动化终端与主站通信，实现自动化的遥测、遥信、遥控乃至遥视功能。因此，要加强配电自动化系统二次安全防护的管理。

关键词：配电自动化；安全防护；防护技术

一、影响配电自动化系统安全性的因素

1、施工条件因素造成安全问题

所谓“施工条件”，是指施工的工艺流程、设备材料等。目前，部分施工单位在进行配电工程施工前，未根据具体的工程特点制订相应的施工方案和施工流程，对施工进程缺少整体把握。进而导致整个施工没有顺序，易引发安全事故。对于配电工程施工中采用的大型机械设备而言，由于配电工程是一个规模大、周期长的工程项目，在施工的过程中需要借助这些大型设备施工，但大型设备的使用也是工程的安全隐患之一。

2、环境因素造成的安全问题

由于配电工程会跨区域进行，其工程项目具有不确定性，这就对配电工程的安全施工造成了一定的影响。这些不确定因素包括施工现场的复杂地形、高空作业时的阳光照射等。这些问题同样是在配电工程施工中需要注意的。

二、配电自动化系统安全防护技术

1、主站安全防护技术

对于配电自动化系统，主站与终端无论采用何种通信方式，自动化主站系统前置机均要采用经国家指定部门认证的、已进行安全加固的操作系统，其通信应采用基于调度数字证书的非对称加密算法完成控制（或参数设置）数据报文的单向认证及报文完整性认证。在配电自动化系统中，常用的加密算法有ECC（椭圆曲线密码体制）（160bit以上）算法或RSA（1024bit以上）算法。在实际应用中，多采用后者RSA算法，即采用不同的加密密钥及解密密钥，事先生成一对RSA密钥，加密密钥为公开信息，解密密钥是保密的，通过加密密钥对会话进行加密，对方收到信息后通过解密密钥进行解密。在主站前置部分与终端通信边界处配置纵向加密装置或加密模块，对下行控制（或参数设置）命令进行签名，实现子站终端对主站的报文完整性保护、身份鉴别及抗重放攻击功能。

2、配网通信系统子站/终端安全防护

第一，子站/终端设备上可配置安全模块，对来源于主站系统的控制命令和参数设置指令采取安全鉴别和数据完整性验证措施，防范冒充主站对终端进行攻击。为增加安全性，对重要子站/终端可配置具有双向认证加密能力的安全模块，实现主站和子站/终端间的双向身份鉴别和数据加密。第二，配电终端的上行数据应通过安全模块生成摘要，使用对称算法计算校验值，供主站识别数据传输的完整性。从而有效防止系统面临来自网络攻击的风险。第三，配电终端可以借助外置式、嵌入式多种形式的安全模块实现安全防护过程。外置式安全模块适用于早期安装又不支持软件升级的配电终端。新安装的终端建议使用嵌入式安全模块。嵌入式安全模块分为软算法库方式和安全芯片硬件方式（包括DIP、SOP、TF卡、SIM卡等形态）。

3、纵向通信安全防护

配电自动化系统主站与子站/终端的通信方式原则上以光纤通信为主，在各种通讯方式中应优先采用EPON接入方式的光纤技术。对于不具备光纤通信条件的配电终端，采用无线通信方式。当采用EPON、工业以太网交换机、载波等有线方式通信时，需要考虑通信系统鉴权策略、加密技术等环节。首先，在初始状态和数据通信两个阶段需要采用鉴权策略。在初始状态，ONU需要通过鉴权机制确认其身份，从而决定是否允许该ONU完成注册过程。在数据通信过程中，需进行用户鉴权，确认通信方是否为合法用户。其次，为保证合法用户信息的保密性，应采用加密技术对数据进行保护。应首选国家密码管理局推荐的SM1算法，兼容AES算法和三重搅动加密算法，从而进一步增强接入层设备间的数据传输安全性。每个逻辑链路连接标识应有独立的密钥。最后，将不同的ONU加入不同的VLAN或采用端口隔离特征，实现报文之间的二层隔离当采用GPRS（通用分组无线服务技术）或CDMA（码分多址）等公用无线网络时，若直接通过运营商接入主站并进行通信，则会对主站及现场一次设备的安全运行带来很大的安全隐患。

4、横向边界的安全防护

由于配电自动化系统需要与各相关系统进行信息交互，如通过EMS采集变电站内设备的运行数据，通过GIS采集配电网设备的图形及模型信息，通过PMS采集配电网设备的台账信息，并将这些配电自动化终端运行信息发送至配网抢修指挥平台。这些系统分布在安全Ⅰ区、安全Ⅲ区，已形成跨安全大区的数据流。因此，必须采用物理隔离装置对其横向边界进行防护，并且根据数据流的方向分别配置正向或反向物理隔离装置。这样，一方面满足了信息交互的需要，另一方面严格履行了安全防护的总体规定，从而确保系统的安全性。

结束语

本文仅对配电自动化系统的边界防护技术进行了简要的介绍，其安全防护技术还包括系统内部防护技术（如系统操作的安全校核、系统的安全加固等）。随着自动化系统的不断发展，配电自动化系统的安全防护技术同样需要不断更新完善，以确保电力系统的安全稳定经济运行。

参考文献：

[1]闫江毓，席明湘，任赟.配电自动化系统安全防护措施研究[J].警察技术，2014，S1：111-113.

[2]王凤阁.配电自动化系统在郑州试点区域的规划及应用研究[D].华北电力大学，2015.

[3]唐雪峰.延边地区配电自动化规划方案研究[D].华北电力大学，2015.

[4]贾志勇.佳木斯市区（B区）配电自动化建设及改造方案研究[D].吉林大学，2015.