摘要：为适应电力行业新的网络安全要求，对在线监测装置进行了网络安全分区改造，使用新的APN通道，改变以前不安全的明文传输方式，采用国密SM1、SM2、SM3、SM4算法加密传输，提高了在线监测装置网络的安全性及可靠性。

0    引言

为总体提高在线监测装置运维的网络安全水平，持续巩固“安全分区、网络专用、横向隔离、纵向认证”安全基础，需全面完成安全分区和横纵向边界防护改造，强化主机和应用本体安全，落实物理网络安全措施，实现网络安全设备运行状况实时监控及风险预警。

对于采用无线传输方式接入主站的电力系统在线监测装置，从前期设计时的考虑和实际运行的情况方面来分析，明文传输的通信方式已经不符合目前行业的网络安全要求，需要对在线监测装置进行网络安全分区改造，以保障电力系统在线监测装置长期运行网络的安全性及可靠性，保证电力系统的正常运行。

1    电力系统在线监测装置无线传输分区改造的总体要求

1.1    分区改造的原则与思路

在电力通信保障电网安全稳定的基本原则和建设与现有电力通信专网优势互补的、立体式的电力通信保障体系的思路指导下，对于使用移动通信的电力系统在线监测装置，在考虑到网络安全性后，以开通专用APN通道无线加密方式将其从旧的运行网络区改接到加密的运行新区。

1.2    改造后通信结构

在线监测通信网络采用专线对卡通信方式，即主站通过公网专线接入，站端用无线电话卡拨号接入，具体通信结构如图1所示。

该通信结构采用专线接入部署时费用比卡对卡接入要高一些，但是专线的接入可以大大缓解通信瓶颈带宽问题，同时专线的通信时延比卡对卡的要低，能保证通信质量。

2    主站端具体改造内容

主站内无线监测接入装置需加装加密芯片或加密模块，站端上传的数据经过解密后传输。加密后能实现网络安全设备安全状况实时监控及告警，具备有效监视跨区互联、非法接入、移动介质违规使用等严重安全隐患的能力，具备网络安全入侵检测能力;确保电力监控系统边界网络安全设备覆盖完整、策略配置安全有效，实现网络安全设备国产化。此外，设立安全接入区，服务器通过2G/3G/4G无线网络接收端与厂站侧子站设备2G/3G/4G无线网络进行加密通信。

2.1    前置机的安全要求

对于采用公网作为通信信道的前置机（公网前置机属于安全接入区），必须采用电力专用的正反向隔离装置与自动化系统进行隔离。公网前置机与站端之间通信必须采取认证及加密等安全措施。

2.2    站端在线监测系统接入主站的要求

（1）建立安全接入区：依据网络安全防护要求，需设立公网安全接入区。

（2）网络隔离：在安全接入区与调度通信部署电力专用正反向隔离装置。

（3）无线通信数据加密：对于采用双向认证加密措施的无线网络通信，需在安全接入区边界及变电站网络边界部署加密认证网关。其中，站端侧无线加密通信网关兼具加密模块、通信模块功能。

3    变电站站端分区改造内容

站端业务部分安排站内无线监测装置切换且经加密模块加密后，通过无线网络APN上传主站，无线网络通信采用双向认证加密的措施，需在安全接入区边界及变电站网络边界部署加密认证网关。其中，站端侧无线加密通信网关兼具加密模块、通信模块功能，模块电源要求具有ESD保护、EMC保护、防浪涌、防反接、过压保护、过流保护功能，通信信号需要使用双天线收发，考虑长远发展，公网仅在灾害及新建变电站通信调试通道时使用，站端无线加密通信网关建成独立系统。

3.1    装置改造的配置及具体要求

（1）将站端在线监测装置无线终端替换为加密无线终端。

（2）向电信部门申请专用的APN通道GD”，把通道信息配置进现场装置通信模块中。

（3）向主站申请分配IP地址，捆绑IP到专用物流电信卡上，实现专卡专用，提高通信安全性。

（4）具体配置如表1所示。

改造后的网络拓扑图如图2所示。

（5）安全策略配置如表2所示。

（6）隧道配置如表3所示。

3.2    裝置改造实施步骤

（1）前期准备工作：需要确认所涉及的装置设备通信方式，取得相关的通信规约，编写通信文档。

（2）改造环境及范围确认：站端在线监测系统现场柜的位置确认，相关电源位置、加密模块安装位置确认，安装电源、相关配线及调试工具确认。

（3）将改造方案报相关部门审核，明确改造中受影响的业务，审核通过后，办理实施许可手续。

（4）办理物联卡，加入专用APN通道，捆绑主站分配的IP地址。

（5）断开旧在线监测系统现场柜无线终端的电源，退出装置的通信无线终端。

（6）在线监测系统现场柜处安装新的无线加密终端。

（7）加密无线安装SIM卡：在线监测系统现场柜处安装的无线加密终端中安装SIM卡。

（8）测试SIM：合上在线监测系统现场柜的电源，查看无线网络信号强度、查看SIM卡获取IP地址是否正常。

（9）测试隧道：查看加密证书是否正常、ping通主站采集前置机IP，测试通道状况。

（10）设备配置及备份：对在线监测装置IED的配置及数据库等进行整体维护及备份。

（11）设备配置修改：在线监测装置IED安装及启用通信服务。

（12）业务调试：调试在线监测终端业务，进行主站—站端的联调。

（13）业务系统功能测试：测试链路及通信是否正常，发送及返回数据包是否稳定。

测试拓扑示意图如图3所示。

（14）报主站工作完结：设备状态正常，在线监测系统上传主站数据正常，观察30 min，确保系统运行稳定后，报主站改造完结。

4    结语

改造后的在线监测系统的通信方式，是基于IPsec VPN加密隧道通信协议，结合国密SM1、SM2、SM3、SM4算法与4G无线通信，为变电站端在线监测系统提供硬件级动态加密的数据安全通信。该通信方式采用代码可控的安全操作系统，支持PKI体系的电力数字调度证书，主站与终端双向设备认证和数据传输加密功能，具有安全度高、兼容性强、稳定性好等特点，为电力在线监测系统的网络安全提供了坚实保障。

[参考文献]

[1] 阚宝朋.计算机网络技术基础[M].北京：高等教育出版社，2015.

[2] 迟恩宇，王东，杨亚洲.网络安全与防护[M].2版.北京：高等教育出版社，2018.

收稿日期：2021-01-07

作者简介：梁华（1978—），男，广东信宜人，电力工程师，长期从事电力系统在线监测装置运维及技术管理、电力工程现场质量管控相关工作。