配电自动化系统安全防护技术分析
2016-10-19周庆龙韩春雷
周庆龙 韩春雷
摘要 本文结合配电自动化系统中的横向和纵向边界中的相关安全隐患描述,对安全防护的总体原则,配电自动化系统的建设过程及发展中的相关安全问题及解决方案进行了详细的阐述。最后强调了在配电网的运行管理技术手段安全可靠方面,配电自动化系统技术的支撑作用。
关键词 配电;自动化系统;安全防护;技术分析
引言
随着电力自动化和通信技术的进步,使得配电自动化发展中的相关问题得以解决,配电自动化技术得到了提升。但是,与调度自动化系统相比,配电自动化系统很容易受到环境和社会因素的影响。虽然光纤是较为理想的通信方式,但是配电网设备的点多面广,单一方式的光纤通信,会导致产出和投入的失衡。
1 配电自动化系统防护中的安全隐患
1.1 横向边界隐患
根据配电网数据的源端唯一性,数据流要与调度自动化系统(EMS)进行主网图模信息交互,与地理信息系统(GIS)进行配电网图模信息交互,与生产管理系统(PMS)进行配电网设备台账信息交互及交互平台的故障判断等。配电自动化系统和EMS系统何承伟实时控制区系统(I区);PMS和GIS系统及配网抢修指挥平台称为生产管理区系统(III区);攻击在III区在不受保护的情况下很容易进行I区的攻击,从而引起信息交互的横向边界安全问题。
1.2 纵向边界隐患
配电自动化系统通信因环境和社会因素的影响,必须采用多种通信方式,其中以通信运营商的无线通信网络较为普遍,如果纵向边界防护不到位,黑客可以借助一张sim卡就实现与配电主站的通信而进行远程控制,这就出现了纵向边界隐患。
2 配电自动化系统安全防护应遵循的基本原则
2.1 进行安全分区
配电自动化系统根据设备和网络应用可以分为生产控制大区(实时控制区、实时非控制区)和管理信息大区,安全管理员必须对这些分区进行严格的划分。
2.2 确保专网专用
电力调度数据网络是通过在物理层进行电力企业专网与因特网的安全隔离实现的独立网络设备组。同时,电力调度数据网络以逻辑隔离的形式划分为实时和非实时子网,进行安全I区和II区的连接,从而达到专网专用。
2.3 横向物理隔离
家住国产硬件防火墙进行实时和非实时控制区的通信逻辑隔离。
2.4 纵向的安全认证
纵向的认证主要用来实现纵向通信的业务系统安全。
3 配电自动化系统的安全防护具体措施
3.1 子站及终端的安全防护
在配电自动化子站及终端上进行安全模块的配置,或者在它们与主站的边界处进行纵向加密装置安装。借此来实现主站系统下发的报文安全控制、鉴别和数据校验,防止一些非法命令的远程操控。
3.2 纵向通信的安全防护
⑴配电自动化系统的纵向链路指的是配电自动化主站系统、子站、終端之间的通信连接。方式以光纤、载波、无线等通信为主。光纤与载波通信方式的接入点主要以固定点的形式存在于变电站、开闭所及专用机房等。当选用无线网络进行纵向通信时,相应的非法入侵防护则需要加以技术手段的处理。通过要求通信运营商以APN+VPN或者VPDN技术进行无限虚拟的专用通道设定,实现专网专用。具体操作来看,主要是以无线终端执行GPRS接入,再借助SGSN形成一条逻辑专用链路。在无线终端启动PDP激活需要继续宁APN接入,并以固定IP地址的形式实现IP数据通过GPRS与主站路由器之间的GRE隧道路由出去,近而完成物理链路的安全通信。
⑵纵向通信规约的安全防护。主站系统以私钥进行报文和时间的签名,并加入到标准通信规约中,形成复合型的命令报文。终端对接收的报文以预装的主站公钥进行验证,并进行时间戳验证,验证通过即可执行。在下行报文的数据控制时,在进行抗重复机制、完整性保护、主站身份鉴别等基础上,还可加以复合报文的控制和时间戳的加密来提升数据传输的安全性。这种加密同样适用于遥测量和遥信良等的报文加密。在未进行加密装置或模板的安装的终端,严禁主站进行访问控制。
3.3 主站的安全防护
在配电自动化系统的主站及终端通信的连接上,自动化主站系统前置机必须经过国家制定部门任何的安全加固操作系统。通信必须以调度数字证书的非对称加密算法来控制完成报文的单项认真和报文的完整性认证。配电自动化系统中常用的加密算法为160bit以上的椭圆曲线密码体制和1024bit以上的RSA算法。且以RSA算法为主,也就是通过不同的加密及解密密钥,事先生成一对RSA密钥,加密为公开的,解密是秘密的。并以签名形式对主站前置部分和终端通信边界处配置进行纵向加密。实现子站和终端对主站的行文安全性和完整性保护。
3.4 横向的边界安全保护
在横向边界的各配电相关系统,分布在安全的I区和III区形成较大的安全区数据流,这部分区域必须通过物理隔壁装置进行横向边界的安全防护。并以数据流方向进行正向和反向的物理隔离装置配置。这既能够满足信息交互的需求,又能够符合整体的安全防护规定,确保系统的性能安全性。
4 结束语
配电自动化系统的技术支撑是相对复杂的。一方面,横向上的配电系统与多个系统之间存在信息交互,比如安全I区和III区。另一方面,在由多种通信方式并存的调度业务技术支撑平台上的安全性也影响到电力系统。所以,必须在加强技术手段的同时,强化管理手段加强对相关接入的审核。并充分地借助配电自动化的发展,为电力系统的安全和稳定提供进一步的保障。
