智能電網中通信網絡安全保護和擴展策略研究

黃東　楊涌

摘要：隨著智能電網的廣泛應用，其相應的通信網絡安全越來越被人們重視，文章主要對通信安全保護策略實施機制和擴展策略進行研究，智能電網中通信網絡安全建設具有借鑒意義。關鍵詞：智能電網；通信網絡；安全保護

智能電網集成了電力、控制、信息的大型工程系統，信息化是智能電網最重要的技術引擎。智能電網與傳統電網相比具有自動運行、預防性維修、自愈能力、停電減少、降低消耗、提高資源利用率和節省開支等優點。智能電網的信息系統模型如圖1所示。

其中：CIS（customer information system）客戶信息系統，而GIS（geographic information system）地理信息系統、AM/FM（Automated Mapping/FacilitiesManagement）自動成圖/設施管理系統，OMS（OutageManagement Solutions）斷電管理系統和DA（distributionautomation）自動配電系統，以及儀表（meters）等構成智能電網的系統結構。覆蓋整個電網的信息交互是實現電力傳輸和使用的高效性、可靠性和安全性的基礎。通信網絡支持了配電與用電網絡、輸電網絡、乃至用電市場的信息交換。

1策略研究

智能電網信息安全性包括信息采集、使用、傳輸的安全問題，也要考慮非電力信息的安全性問題，以便智能電網的通信網絡向其它領域擴展。此外，我國不僅有一般電網安全等級要求，還有大量特殊行業的用電信息安全問題。作為一個技術專題，智能電網安全將單列，但通信網絡設計中必要將安全性融入其設備和網絡的構建過程，構建安全的通信網絡。

1.1構建縱深的防御體系

智能電網中通信網絡在采取由點到面的各種安全措施時，在系統整體上還應保證各種安全措施的組合從外到內構成一個縱深的安全防御體系，保證信息系統整體的安全保護能力。應從通信網絡、局域網絡邊界、局域網絡內部、各種業務應用平臺等各個層次落實本標準中提到的各種安全措施，形成縱深防御體系。

1.2采取互補的安全措施

智能電網中通信網絡在將各種安全控制組件集成到特定信息系統中時，應考慮各個安全控制組件的互補性，關注各個安全控制組件在層面內、層面間和功能間產生的連接、交互、依賴、協調、協同等相互關聯關系，保證各個安全控制組件共同綜合作用于信息系統的安全功能上，使得信息系統的整體安全保護能力得以保證。

1.3保證一致的安全強度

在發生身份鑒別、訪問控制、安全審計、入侵防范、安全標記等行為時，分解到信息系統中的各個層面，在實現各個層面安全功能時，應保證各個層面安全功能實現強度的一致性。應防止某個層面安全功能的減弱導致系統整體安全保護能力在這個安全功能上消弱。如要實現雙因子身份鑒別，則應在各個層面的身份鑒別上均實現雙因子身份鑒別；要實現強制訪問控制，則應保證在各個層面均基于低層操作系統實現強制訪問控制，并保證標記數據在整個信息系統內部流動時標記的唯一性等。

1.4建立統一的支撐平臺

智能電網中通信網絡多數安全功能（如身份鑒別、訪問控制、數據完整性、數據保密性、抗抵賴等）為了獲得更高的強度，均要基于密碼技術，為了保證信息系統整體安全防護能力，應建立基于密碼技術的統一支撐平臺，支持高強度身份鑒別、訪問控制、數據完整性、數據保密性、抗抵賴等安全功能的實現。

1.5進行集中的安全管理

采取統一安全策略、統一安全管理等要求，為了保證分散于各個層面的安全功能在統一策略的指導下實現，各個安全控制組件在可控情況下發揮各自的作用，應建立安全管理中心，集中管理信息系統中的各個安全控制組件，支持統一安全管理。

2通信安全保護策略實施

2.1通信安全

智能電網中通信網絡應保證主要網絡設備的業務處理能力具備冗余空間，滿足業務高峰期需要；保證網絡各個部分的帶寬滿足業務高峰期需要；在業務終端與業務服務器之間進行路由控制建立安全的訪問路徑；繪制完整的網絡拓撲結構圖，有相應的網絡配置表，包含設備IP地址等主要信息，與當前運行情況相符；根據各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網或網段，并按照方便管理和控制的原則為各子網、網段分配地址段；對單個系統單獨劃分安全域，系統由獨立子網承載，每個域的網絡出口應唯一；采用冗余技術設計網絡拓撲結構，提供主要網絡設備、通信線路的硬件冗余，避免關鍵節點存在單點故障；按照對業務服務的重要次序來指定帶寬分配優先級別，保證在網絡發生擁堵的時候優先保障重要業務服務的帶寬。

2.2業務類型與邏輯網絡

根據業務的類型、功能、階段的不同，對智能電網中通信網絡進行邏輯劃分，不同類型的業務之間會存在重要程度、環境、用戶數量等方面的差異，這些不同會帶來安全需求和受破壞后的影響程度的差異，例如，支撐信息處理為主的通信網絡系統，其重要性體現在信息的安全性，而支撐業務處理為主的通信網絡系統，其重要性體現在其所提供服務的連續性和穩定性。因此，可以按照業務類型的不同劃分為不同的邏輯網絡。

2.3位置與物理網絡

根據物理位置的不同，對智能電網中通信網絡進行物理劃分。由于物理位置的不同，信息系統面臨的安全威脅等級會存在較大差異，不同物理位置之間通信信道的不可信，使不同物理位置的信息系統也不能視為可以互相訪問的一個安全域，即使等級相同可能也需要劃分為不同的信息系統分別加以保護。

3通信網絡擴展策略研究

3.1建立統一管理性的可維護型網絡

所構建的網絡不僅需要考慮初期的建設成本，更重要的是運行維護成本和能力。多信道并行網絡技術特征和資產特征差異大，如：移動的無線網絡和固定的有線網絡其管理復雜度和方法差異，公司內部網絡和租用的電信網絡的資產有不同。保障智能電網的信息傳輸能力就必須考慮對通信網絡控制策略問題，實現可在線維護的通信網絡也必須考慮統一管理問題，及時發現、定位、排除故障，進一步支持智能電網的安裝、運行維護。

3.2支持智能電網的多業務支持擴展

智能電網在支持配電和用電等基本電力業務的同時，進一步考慮其它業務支持問題，其重點是通信類業務支持，向傳統的電信接入領域滲透。隨著光纖的大規模鋪設，通信資源瓶頸將得到徹底解決，提高了多樣化服務能力。但是，目前的電力公司的通信體制基于公司內部私有協議構成，因此目前就需要考慮通用的通信標準兼容問題，尤其是IP網絡。

應急通信和辦公自動化支持是公司內部需要解決的通信類業務，其中，重慶市電力系統的應急通信應該考慮到特殊的地貌特征，以無線通信（包括衛星通信）為主，應急通信裝備功能上不僅包括一般電信業務，也要考慮成為智能電網的應急通信平臺。在IP網絡化前提下，通信系統應該支持企業內部的話音、數據、圖像、多媒體等業務。智能家居和物聯網是智能電網推廣的利器，可以從家庭到小區用電管理，利用無所不在的電力線等技術手段構成廣泛的物聯網。