陈 璐(国网安徽省电力公司合肥供电公司，安徽 合肥 230022)



配电自动化系统安全防护技术

陈 璐
(国网安徽省电力公司合肥供电公司，安徽 合肥 230022)

〔摘 要〕分析了配电自动化系统横向边界及纵向边界存在的安全隐患，阐述了其安全防护的总体原则、配电自动化系统建设过程及发展中可能面临的安全问题及解决方案，以充分发挥配电自动化系统的技术支撑作用，为配电网的运行管理提供可靠、安全的技术手段。

〔关键词〕配电自动化；通讯系统；安全防护技术

0 引言

近年来，随着电力自动化与通信技术的不断发展，原先制约配电自动化发展的技术问题迎刃而解，配电自动化技术也随之飞速发展。但配电自动化系统不同于调度自动化系统(EMS)。EMS通信方式较为简单，多为光纤专网，且其联络方式较为清晰，以变电站作为枢纽；而配电自动化系统的通信往往受到环境因素、社会因素等影响，需多种通信方式(如光纤、载波、无线)并存，方能使配电自动化终端与主站通信，实现自动化的遥测、遥信、遥控乃至遥视。其中，光纤是最为理想的通信方式，但是由于配电网设备点多面广，若统一采用光纤专网与主站进行通信，其投入产出严重不平衡，部分中心城区甚至无法进行光纤改造。

1 配电自动化系统安全防护存在的隐患

随着通信技术的发展，高效的无线通信技术被引入到配电自动化系统建设中，且通信运营商的无线网络已覆盖城市各个区域，完全能够满足配电自动化系统的通信要求。但若不采取任何防护措施直接通过运营商接入主站进行通信，将给主站及现场一次设备的安全运行带来很大的安全隐患，此种方式更需要加强无线公网通信的安全防护。因此，在配电自动化系统中必须要加强通讯安全防护的管理。边界防护作为电力系统内外网安全防护的关键，主要包括横向边界和纵向边界的防护。其中，横向边界为配电自动化系统与其他应用系统之间的通信边界，例如与调度自动化系统(EMS)、地理信息系统(GIS)之间的通信边界；纵向边界为配电自动化系统与配电终端之间的通信边界，例如与站所终端(DTU)、馈线终端(FTU)、配变终端(TTU)等自动化终端之间的通信边界。

1.1 横向边界存在的安全隐患

配电自动化系统作为配电网管理的技术支撑系统，必须与其他配电相关系统之间进行信息交互，才能完成对配电网科学的运行管理。这样，各系统之间就形成了横向的数据流，且该数据流在配电自动化系统中必不可少。根据配电网数据“源端维护”、“源端唯一”的原则，其数据流主要由与调度自动化系统(EMS)交互的主网图模信息，与地理信息系统(GIS)交互的配电网图模信息，与生产管理系统(PMS)交互的配电网设备台账信息，以及与配网抢修指挥平台交互的故障研判方案信息等组成。按照安全分区的原则，配电自动化系统和EMS系统为实时控制区(Ⅰ区)系统；PMS系统、GIS系统以及配网抢修指挥平台为生产管理区(Ⅲ区)系统。由于生产管理区(Ⅲ区)系统的防护较为薄弱，若不做任何防护措施，病毒、黑客等可以通过该系统直接攻击实时控制区(Ⅰ区)系统，从而导致它们之间的信息交互存在横向边界的安全隐患。

1.2 纵向边界存在的安全隐患

配电自动化系统的纵向通信主要是主站与配电自动化终端之间的通信，其形成了纵向的数据流。由于配电自动化系统的通信条件受到诸多因素的影响(如部分配电站房不具备光纤铺设条件、市中心配电站房铺设光纤成本过高等)，配电自动化系统在采用光纤通信的同时必须辅以其他的通信方式(如载波和无线通信方式)。其中，以租用移动、联通等通信运营商的无线通信网络应用最为广泛。但是如果没有对纵向边界进行防护，只要1张移动、联通等通信运营商的SIM卡就可直接与配电自动化主站进行通信，通过主站系统非法实现对配电一次设备的远方控制功能，这样就出现了纵向边界的安全隐患。

2 配电自动化系统安全防护总体原则

随着配电自动化建设的不断发展，针对配电自动化终端点多面广的特点，配电自动化系统的安全防护显得尤为突出。配电自动化系统安全防护主要是为了防范黑客、恶意代码等对系统的非法攻击，以及由此引发的电力系统安全事故，保障电力系统的安全、稳定运行。由此制定了“安全分区、网络专用、横向隔离、纵向认证”的基本原则。其具体的技术防护措施如下。

2.1 安全分区

根据计算机设备和网络应用业务的不同，配电自动化系统分为生产控制大区和管理信息大区。其中，生产控制大区包括了实时控制区(Ⅰ区)及实时非控制区(Ⅱ区)；管理信息大区则由生产管理区(Ⅲ区)和信息管理区(Ⅳ区)组成。

（1）实时控制区(Ⅰ区)是直接对一次设备进行实时监控的系统。其通信使用电力调度数据网络或专用通道的业务系统，或使用该系统的功能模块（或子系统）。配电自动化系统及调度自动化系统为该控制区的典型业务系统。

（2）实时非控制区(Ⅱ区)是具备在线监视功能但不具备控制功能的系统。其通信同样使用电力调度数据网络或者专用通道。调度员培训模拟系统、继电保护及故障录波信息管理系统、电能计量系统等属于该安全区的业务系统。

（3）生产管理区(Ⅲ区)是与调度生产相关的管理信息系统，调度生产管理系统(OMS)为该安全区的典型业务系统。

（4）信息管理区(Ⅳ区)是与调度生产没有直接关联的管理信息系统，如企业信息网。

2.2 网络专用

电力调度数据网络必须使用与外界独立的网络设备组网，在物理层面上实现电力企业网络与因特网的安全隔离。电力调度数据网络通过逻辑隔离划分为实时子网和非实时子网，分别连接安全Ⅰ区和安全Ⅱ区，从而达到专网专用的目的。

2.3 横向隔离

横向隔离主要应用于业务系统的横向通信隔离。其中，实时控制区(Ⅰ区)与实时非控制区(Ⅱ区)之间的通信必须采用国产硬件防火墙进行逻辑隔离；生产控制大区与管理信息大区之间的通信必须采用已通过相关部门认证的电力专用横向单向(正向和反向)隔离装置进行物理隔离。

2.4 纵向认证

纵向认证主要应用于业务系统的纵向通信，其纵向边界访问控制须采用硬件防火墙实现逻辑隔离，其数据通信也必须通过纵向加密认证装置对数据包进行签名加密，实现调度数据网传输保密及访问控制功能。

3 配电自动化系统通讯安全防护措施

配电自动化系统的通信数据流主要分为横向和纵向的数据流，如图1所示。其横向数据流通过PI4部分与主站系统进行通信，纵向数据流通过PI3，PI2，PI1部分与主站系统进行通信。横向和纵向数据流的防护措施包括PI1子站/终端的安全防护、PI2纵向通信的安全防护、PI3主站的安全防护、PI4横向边界的安全防护。

3.1 PI1子站/终端的安全防护

配电自动化子站/终端必须配置安全模块或者在与主站的边界处安装纵向加密装置，对主站系统下发的控制(或参数设置)报文进行安全鉴别及数据完整性校验，以防冒充主站的非法命令对一次电气设备的误操作；且子站/终端设备需配置远方或就地的控制硬压板和软压板，通过其控制是否允许远方遥控操作或者就地手动操作。

3.2 PI2纵向通信的安全防护

配电自动化系统纵向通信安全防护包括硬件通信链路安全防护以及软件通信规约安全防护。

3．2．1 纵向通信链路的安全防护

配电自动化系统的纵向通信链路为配电自动化主站系统与子站/终端之间的通信链路，其中包括光纤、载波及无线等通信方式。光纤和载波通信方式其接入点均设置在变电站、开闭所或专用机房等固定的地点，且具备门禁或使用加锁的表箱进行防护，无法通过非接入点侵入系统网络。因此，对于光纤和载波通信方式的防护只需要在网络接入点处加装加密装置即可。

图1　配电自动化系统典型通讯结构

当通过GPRS/CDMA等公用无线网络以无线方式进行纵向通信时，为防止非法入侵的风险，必须通过技术手段进行严格的安全防护，确保接入设备的合法性、安全性。在物理链路上必须要求运营商采用APN+VPN或VPDN技术实现无线虚拟专有通道，对配电自动化系统的无线通道实行专网专用。该技术首先通过无线终端执行GPRS接入，再通过SGSN(即服务GPRS支持节点)建立1条逻辑专用链路，使得无线终端启动PDP(分组数据协议)激活其所要接入的APN，并分配相应的IP地址，将IP数据包通过GPRS网络与主站的路由器之间的GRE(通用路由协议封装)隧道路由出去，从而实现物理链路上的安全通信。同时，必须在接入主站的边界处通过正反向物理隔离装置进行物理防护，以达到物理边界与逻辑链路的综合防护。

当采用传统光纤专网通信时，必须使用独立纤芯进行主站与终端之间的通信，在物理链路上形成专网专用，并且需要在与主站通信的边界处部署逻辑隔离装置，如防火墙、安全网关等，对整个网络拓扑进行逻辑控制，防范非法入侵。

3．2．2 纵向通信规约的安全防护

配电自动化通信网络必须部署纵向加密认证装置或模块进行纵向通信安全的防护。其采用非对称加密技术进行单向身份认证，从而实现控制(或参数设置)数据报文的完整性校验和主站身份认证，并且添加时间标签确保报文的时效性，其规约的标准格式为标准协议控制(或参数设置)报文、时间戳(或随机数)、数字签名。

主站系统采用私钥对控制报文和时间戳进行签名，将其添加在标准通信规约(如101，104规约)中，形成复合命令报文后发送；终端收到报文后使用预装的主站公钥进行验签，并对时间戳进行实效性验证；验证通过后则执行该命令。在实现下行报文即控制(或参数设置)数据报文的抗重放机制、完整性保护、主站身份鉴别的基础上，还可以对复合报文的控制(或参数设置)和时间戳(或随机数)等明文进行加密，实现密文传输，提高数据的安全性。同样，这种加密方式也可对遥测量、遥信量等上行报文进行加密。加密过程应采用加密算法或非对称加密算法。其通信方式如表1所示。

对未安装或部署纵向加密装置或加密模块的终端，严格禁止主站对其进行控制（或参数设置）。

表1　通信方式

3.3 PI3主站的安全防护

对于配电自动化系统，主站与终端通信无论采用何种方式，自动化主站系统前置机必须采用经国家指定部门认证的已进行安全加固的操作系统。其通信必须采用基于调度数字证书的非对称加密算法完成控制(或参数设置)报文的单向认证及报文的完整性认证。在配电自动化系统中常用的加密算法有ECC(椭圆曲线密码体制)(160 bit以上)和RSA （1 024 bit以上）算法。在实际应用中多采用RSA算法，即采用不同的加密密钥及解密密钥，事先生成1对RSA密钥，加密密钥为公开信息，解密密钥是保密的，通过加密密钥对会话进行加密，对方收到信息后通过解密密钥进行解密。在主站前置部分与终端通信边界处配置纵向加密装置或加密模块，对下行控制（或参数设置）命令进行签名，实现子站/终端对主站的报文完整性保护、身份鉴别及抗重放攻击功能。

3.4 PI4横向边界的安全防护

配电自动化系统需要与各相关系统进行信息交互，如通过EMS采集变电站内设备的运行数据，通过GIS采集配电网设备的图形及模型信息，通过PMS采集配电网设备的台账信息，将配电自动化终端运行信息发送至配网抢修指挥平台。这些系统分布在安全I区、安全III区，已形成跨安全大区的数据流，因此必须采用物理隔离装置对其横向边界进行防护，并且根据数据流的方向分别配置正向或反向物理隔离装置；一方面满足信息交互的需要，另一方面严格履行安全防护的总体规定，确保系统的安全性。

4 结束语

配电自动化系统绝非一个单纯的技术支撑系统，一方面在横向上配电自动化系统与多个系统存在信息交互，包括安全I区与安全III区；另一方面由于配电设备点多面广，单一的通信方式已无法满足其纵向的数据采集要求，需要无线、有线等多种通信方式并存，使得整个配电自动化系统形成一个由多种通信链路与多种信息交互并存的调度业务技术支撑平台，其安全性直接影响整个电力系统。因此，一方面要通过技术手段对整个系统硬件及软件进行安全加固；另一方面也要通过管理手段对其接入的相关系统、终端设备及通信链路进行有效审核接入管理。随着配电自动化系统的不断发展，其安全防护技术同样需要不断更新完善，以确保电力系统的安全、稳定、经济运行。

陈 璐(1981-)，男，工程师，主要从事调度自动化、配电自动化、电力二次安全防护相关工作，email：jedi901@sina．com。

国家能源局发布2015年全社会用电量：同比增长0.5 %

2015年，全社会用电量55 500亿kWh，同比增长0．5 %。分产业看，第一产业用电量1 020 亿kWh，同比增长2．5 %；第二产业用电量40 046亿kWh，同比下降1．4 %；第三产业用电量7 158亿kWh，同比增长7．5 %；城乡居民生活用电量7 276亿kWh，同比增长5．0 %。2015年，全国6 000 kW及以上电厂发电设备累计平均利用小时为3 969 h，同比减少349 h。其中，水电设备平均利用小时为3 621 h，同比减少48 h；火电设备平均利用小时为4 329 h，同比减少410 h。2015年，全国电源新增生产能力(正式投产)12 974万kW，其中，水电1 608万kW，火电6 400万kW。

（来源：国家能源局网站 2016-01-18）

作者简介：

收稿日期：2015-08-13。