高净净 徐升荣

摘要：随着电力自动化和通信技术的发展，使得配电自动化发展中的相关问题得以解决，配电自动化技术得到了提升。然而，相比与调度自动化系统，配电自动化系统很容易受到环境等各种因素的影响。虽然光纤是较为理想的通信方式，但是配电网设备的点多面广，单一方式的光纤通信，会导致产出和投入的失衡。基于此背景下，本文主要分析了配电自动化系统安全防护技术相关内容，可供参考。

关键词：配电自动化;安全防护;技术

1配电网自动化的概述

配电网自动化技术是在计算机网络技术、通信技术和电子技术的支撑下，对配电网系统正常运行状态和事故情况所进行的监测、控制、维修和管理，进而确保配电网系统安全、稳定运行的一类电力自动化技术。通过借助先进的自动化控制技术和网络技术等对配电网的工作状态予以实时监控和管理，不仅能大幅提升配电网系统的综合性能，而且还能确保配电网系统在故障发生后迅速恢复供电。可见，配电网自动化在电力系统中的应用对于与降低电力网络管理人员的劳动强度、提高电力系统的供电和维修效率具有重要的作用和意义。

2配电自动化系统防护中的安全隐患分析

2.1横向边界隐患

根据配电网数据的源端唯一性，数据流要与调度自动化系统（EMS）进行主网图模信息交互，与地理信息系统（GIS）进行配电网图模信息交互，与生产管理系统（PMS）进行配电网设备台账信息交互及交互平台的故障判断等。配电自动化系统和EMS系统何承伟实时控制区系统（I区）;PMS和GIS系统及配网抢修指挥平台称为生产管理区系统（III区）;攻击在III区在不受保护的情况下很容易进行I区的攻击，从而引起信息交互的横向边界安全问题。

2.2纵向边界隐患

配电自动化系统的纵向通信主要是主站与配电自动化终端之间的通信，其形成了纵向的数据流。由于配电自动化系统的通信条件受到诸多因素的影响（如部分配电站房不具备光纤铺设条件、市中心配电站房铺设光纤成本过高等），配电自动化系统在采用光纤通信的同时必须辅以其他的通信方式（如载波和无线通信方式）。其中，以租用移动、联通等通信运营商的无线通信网络应用最为广泛。但如果没有对纵向边界进行防护，只要l张移动、联通等通信运营商的SIM卡就可以直接与配电自动化主站进行通信，通过主站系统非法实现对配电一次设备的远方控制功能，这样就出现了纵向边界的安全隐患。

3配电自动化系统安全防护总体原则

3.1安全分区

配电自动化系统根据设备和网络应用可以分为生产控制大区（实时控制区、实时非控制区）和管理信息大区，安全管理员必须对这些分区进行严格的划分。

3.2网络专用

电力调度数据网络必须使用与外界独立的网络设备组网，在物理层面上实现电力企业网络与因特网的安全隔离。电力调度数据网络通过逻辑隔离划分为实时子网和非实时子网，分别连接安全I区和安全Ⅱ区，从而达到专网专用的目的。

3.3横向隔离

横向隔离主要应用于业务系统的横向通信隔离。其中，实时控制区（I区）与实时非控制区（Ⅱ区）之间的通信必须采用国产硬件防火墙进行逻辑隔离;生产控制大区与管理信息大区之间的通信必须采用已通过相关部门认证的电力专用横向单向（正向和反向）隔离装置进行物理隔离。

3.4纵向认证

纵向认证主要应用于业务系统的纵向通信，其纵向边界访问控制须采用硬件防火墙实现逻辑隔离，其数据通信也必须通过纵向加密认证装置对数据包进行签名加密，实现调度数据网传输保密及访问控制功能。

4配电自动化系统的安全防护措施分析

4.1子站及终端的安全防护

在配电自动化子站及终端上进行安全模块的配置，或者在它们与主站的边界处进行纵向加密装置安装。借此来实现主站系统下发的报文安全控制、鉴别和数据校验，防止一些非法命令的远程操控。

4.2纵向通信的安全防护

（1）纵向通信链路的安全防护。配电自动化系统的纵向链路指的是配电自动化主站系统、子站、终端之间的通信连接，以光纤、载波、无线等通信为主。光纤与载波通信方式的接入点主要以固定点的形式存在于变电站、开闭所及专用机房等。当选用无线网络进行纵向通信时，相应的非法入侵防护则需要加以技术手段的处理。通过要求通信运营商以APN+VPN或者VPDN技术进行无限虚拟的专用通道设定，实现专网专用。具体操作来看，主要是以无线终端执行GPRS接入，再借助SGSN形成一条逻辑专用链路。在无线终端启动PDP激活需要继续宁APN接入，并以固定IP地址的形式实现IP数据通过GPRS与主站路由器之间的GRE隧道路由出去，近而完成物理链路的安全通信。

（2）纵向通信规约的安全防护。主站系统以私钥进行报文和时间的签名，并加入到标准通信规约中，形成复合型的命令报文。终端对接收的报文以预装的主站公钥进行验证，并进行时间戳验证，验证通过即可执行。在下行报文的数据控制时，在进行抗重复机制、完整性保护、主站身份鉴别等基础上，还可加以复合报文的控制和时间戳的加密来提升数据传输的安全性。这种加密同样适用于遥测量和遥信良等的报文加密。在未进行加密装置或模板的安装的终端，严禁主站进行访问控制。

4.3主站的安全防护

在配电自动化系统的主站及终端通信的连接上，自动化主站系统前置机必须经过国家制定部门任何的安全加固操作系统。通信必须以调度数字证书的非对称加密算法来控制完成报文的单项认真和报文的完整性认证。配电自动化系统中常用的加密算法为160bit以上的椭圆曲线密码体制和1024bit以上的RSA算法。且以RSA算法为主，也就是通过不同的加密及解密密钥，事先生成一对RSA密钥，加密为公开的，解密是秘密的。并以签名形式对主站前置部分和终端通信边界处配置进行纵向加密。实现子站和终端对主站的行文安全性和完整性保护。

4.4横向的边界安全保护

在横向边界的各配电相关系统，分布在安全的I区和III区形成较大的安全区数据流，这部分区域必须通过物理隔壁装置进行横向边界的安全防护。并以数据流方向进行正向和反向的物理隔离装置配置。这既能够满足信息交互的需求，又能够符合整体的安全防护规定，确保系统的性能安全性。

5结语

总之，配电自动化系统的技术支撑是相对复杂的。一方面，横向上的配电系统与多个系统之间存在信息交互，例如安全I区和III区。另一方面，在由多种通信方式并存的调度业务技术支撑平台上的安全性也影响到电力系统。因此，一方面要通过技术手段对整个系统硬件及软件进行安全加固;另一方面，也要通过管理手段对其接入的相关系统、终端设备及通信链路进行有效审核接人管理。隨着配电自动化系统的不断发展，其安全防护技术同样需要不断更新完善，以确保电力系统的安全、稳定、经济运行。

参考文献

[1]陈璐.配电自动化系统安全防护技术[J].电力安全技术，2016.

[2]时金媛，赵仰东，苏标龙，刘健，刘新新，雷波.配电自动化系统馈线自动化可靠性提升关键技术分析与实现[J].供用电，2014.

[3]闫江毓，席明湘，任赟.配电自动化系统安全防护措施研究[J].警察技术，2014.

[4]王伟广.电力系统配电自动化建设研究[J].建筑工程技术与设计，2017，（8）：2118.

[5]左高，方金国，向驰，等.配电自动化终端设备中信息安全加密模块设计[J].电力系统自动化，2016，（19）：134-138.

[6]黄波.配电自动化系统建设中的关键问题与实施方法[J].环球市场信息导报，2016，（45）：113.

作者简介：高净净（1996.12—），性别：女;籍贯：山西大同;民族：汉;学历：大学本科;职务：电力调度自动化维护员;单位：国网江苏省电力有限公司泗阳县供电分公司;

徐升荣（1990.09—），性别：男;籍贯：江苏泗阳;民族：汉;学历：硕士研究生;职务：配电调度员;单位：国网江苏省电力有限公司泗阳县供电分公司;