淺談安全接入平臺在湖南智能電網(wǎng)的應(yīng)用

◆曾少華

（國網(wǎng)湖南省電力公司信息通信公司 湖南 410002）

淺談安全接入平臺在湖南智能電網(wǎng)的應(yīng)用

◆曾少華

（國網(wǎng)湖南省電力公司信息通信公司 湖南 410002）

國家電網(wǎng)公司信息安全接入平臺是構(gòu)建堅強智能電網(wǎng)信息安全接入的核心基礎(chǔ)防護(hù)設(shè)施。本文首先提出信息內(nèi)外網(wǎng)物理隔離現(xiàn)狀及終端接入的安全風(fēng)險，引出安全接入平臺整體解決方案，重點介紹了安全接入平臺各組成部分的功能及其在湖南省電力公司的應(yīng)用情況。

安全接入平臺；智能電網(wǎng)；解決方案

0 引言

湖南省電力公司信息系統(tǒng)部署在管理信息大區(qū)和生產(chǎn)控制大區(qū)，其中生產(chǎn)控制大區(qū)用以支撐包括電力實時數(shù)據(jù)采集、監(jiān)控、控制系統(tǒng)在內(nèi)的各業(yè)務(wù)系統(tǒng)；管理信息大區(qū)用以支撐公司不涉及國家秘密的企業(yè)管理信息業(yè)務(wù)應(yīng)用，包括公司一體化平臺、八大業(yè)務(wù)應(yīng)用及支持系統(tǒng)正常運營的基礎(chǔ)設(shè)施及桌面終端等。

1 現(xiàn)狀及需求分析

隨著智能電網(wǎng)建設(shè)，對國家電網(wǎng)公司信息安全的機密性、完整性和可用性提出了更高的要求。目前，湖南省電力公司主要業(yè)務(wù)系統(tǒng)（安全生產(chǎn)、營銷等）已逐步采用移動作業(yè)終端通過GPRS/CDMA/3G等無線技術(shù)接入APN專網(wǎng)和公司內(nèi)網(wǎng)進(jìn)行數(shù)據(jù)交換，且接入數(shù)量將會持續(xù)快速增長。

在這種形勢下，如何保證各類分散的接入對象安全、可信地連入電力信息網(wǎng)絡(luò)，同時保證機密數(shù)據(jù)不會遭到泄露，并且實現(xiàn)對接入對象和操作的監(jiān)控與審計，已成為湖南省電力公司智能電網(wǎng)和信息化建設(shè)過程中的迫切需求和需要思考的問題。

2 安全接入平臺解決方案

安全接入平臺總體解決方案如圖1所示，整個平臺分為安全終端層、安全通道層、安全接入層、業(yè)務(wù)訪問層四大組成部分。

圖1 安全接入平臺整體解決方案

安全終端層為各類無線設(shè)備，如 PDA、智能手機、筆記本/臺式機（3G無線網(wǎng)卡）、采集終端、攝像頭等。

安全通道層采用運營商的無線VPDN技術(shù)組建APN專網(wǎng)。

安全接入層包括三類接入網(wǎng)關(guān)、數(shù)據(jù)交換系統(tǒng)、身份認(rèn)證系統(tǒng)和集中監(jiān)管系統(tǒng)，依靠總線進(jìn)行通訊交互，完成認(rèn)證、接入、交換、監(jiān)管、統(tǒng)計等核心功能。

安全接入網(wǎng)關(guān)、采集接入網(wǎng)關(guān)、視頻接入網(wǎng)關(guān)部署在 APN專網(wǎng)的網(wǎng)絡(luò)邊界上，提供 VPN服務(wù)端的安全隧道協(xié)商、加密功能，采用SSLVPN架構(gòu)設(shè)計，進(jìn)行各種終端經(jīng)由安全通道層的安全認(rèn)證、接入，建立雙向加密隧道對應(yīng)用系統(tǒng)數(shù)據(jù)加密，用于各類無線終端的安全接入。

數(shù)據(jù)交換系統(tǒng)部署在網(wǎng)關(guān)之后，實現(xiàn)對終端訪問信息內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)的行為的安全審查，對交換數(shù)據(jù)的內(nèi)容檢查過濾，提供對整個數(shù)據(jù)交換行為的完整審計，包括數(shù)據(jù)來源、交換發(fā)生時間、數(shù)據(jù)交換的目標(biāo)、數(shù)據(jù)交換的內(nèi)容等方面，確保終端對信息內(nèi)網(wǎng)的業(yè)務(wù)的安全訪問。

身份認(rèn)證系統(tǒng)對接入的終端進(jìn)行身份認(rèn)證和識別，接入終端采用數(shù)字證書、用戶名/口令、設(shè)備特征等進(jìn)行身份認(rèn)證，在接入網(wǎng)關(guān)側(cè)對接入終端的數(shù)字證書做安全檢查，實現(xiàn)對各種接入對象如人員、主機、移動終端等的高強度身份認(rèn)證，保障傳輸信息的安全性、完整性和不可抵賴性。

集中監(jiān)管系統(tǒng)實現(xiàn)對安全接入平臺有效的管控流程和機制，實現(xiàn)對安全接入平臺中的各類接入終端、網(wǎng)絡(luò)通道、應(yīng)用系統(tǒng)的全面的監(jiān)測、分析、評估。監(jiān)管管理模塊采用圖形化的展現(xiàn)形式，直觀的反應(yīng)當(dāng)前平臺的運行情況，實現(xiàn)對各類接入終端的接入管理。

3 業(yè)務(wù)應(yīng)用情況

安全接入平臺投入運行后，湖南省電力公司移動作業(yè)平臺、用電信息采集、輸電線路狀態(tài)在線監(jiān)測等系統(tǒng)陸續(xù)完成系統(tǒng)升級改造，以適應(yīng)安全接入平臺接入要求。截止2017年5月底，已接入移動作業(yè)終端600多臺、用電信息采集終端30多萬臺等。

3.1 移動作業(yè)平臺

用于移動作業(yè)的PDA、筆記本等移動終端的安全接入主要包括適應(yīng)安全接入平臺的建設(shè)和移動作業(yè)終端的安全改造。移動作業(yè)終端與安全接入平臺間建立加密隧道傳輸數(shù)據(jù)[1]，同時安全接入平臺制定終端訪問控制策略，并對訪問作安全審計[2]，可以有效的抵御安全風(fēng)險。

2013年，移動作業(yè)平臺處于試點推廣階段，株洲電業(yè)局、超高壓管理局作為試點單位，已接入終端200多臺。2016年至今，移動作業(yè)平臺已升級到PMS2.0階段，完成全省十四個電業(yè)局的推廣應(yīng)用，已接入終端600多臺。

3.2 用電信息采集

基于無線公網(wǎng)的用電信息采集系統(tǒng)的數(shù)據(jù)傳輸處于公共網(wǎng)絡(luò)環(huán)境中，面臨著監(jiān)測數(shù)據(jù)被竊聽、被篡改、傳輸錯誤等問題[3]。按照用電信息采集系統(tǒng)的總體架構(gòu)，并根據(jù)國網(wǎng)公司智能電網(wǎng)信息安全防護(hù)總體方案要求，用電信息采集系統(tǒng)應(yīng)采用專用的APN網(wǎng)絡(luò)，并為終端分配帳號和密碼進(jìn)行認(rèn)證。

用電信息采集終端上應(yīng)安裝公司統(tǒng)一部署的數(shù)字證書，對終端進(jìn)行認(rèn)證、訪問控制和信息加密傳輸，實現(xiàn)主站對終端、終端對主站的雙重認(rèn)證。

2012年7月份，用電信息采集完成全省14個電業(yè)局采集終端接入；截止2017年5月份，集中式用電信息采集系統(tǒng)中共有在線采集終端30萬多臺，采集成功率為99.4%。

4 結(jié)束語智能電網(wǎng)的實現(xiàn)主要是通過終端傳感器將用戶之間、用戶和電網(wǎng)公司之間形成即時連接的網(wǎng)絡(luò)互動，從而實現(xiàn)數(shù)據(jù)讀取的實時、高速、雙向的效果，整體性地提高電網(wǎng)的綜合效率。國網(wǎng)公司智能電網(wǎng)將覆蓋智能電網(wǎng)發(fā)電、輸電、變電、配電、用電等各個環(huán)節(jié)，發(fā)電機/電動機狀態(tài)監(jiān)測、輸電線路在線監(jiān)測、電氣設(shè)備狀態(tài)監(jiān)測、變壓器狀態(tài)監(jiān)測、電力設(shè)施全方位防護(hù)及保電支撐、配電智能巡檢、電動汽車信息平臺等業(yè)務(wù)系統(tǒng)正處于研發(fā)之中，將陸續(xù)接入安全接入平臺。

隨著國網(wǎng)公司智能電網(wǎng)的發(fā)展，安全接入平臺將會起著愈加重要的作用，它對流經(jīng)數(shù)據(jù)進(jìn)行加密、認(rèn)證，以確保終端傳感器采集的數(shù)據(jù)安全可靠地傳送到公司內(nèi)網(wǎng)核心業(yè)務(wù)應(yīng)用，抵御外來安全威脅，為“堅強”智能電網(wǎng)安全可靠運行提供有力保障。

[1] 彭國軍，邵玉如．移動智能終端安全威脅分析與防護(hù)研究[J]，2012．

[2] 方明偉．基于可信計算的移動智能終端安全技術(shù)研究[D]，2012．

[3] 汪坤，何桂立，馬鑫．智能終端安全現(xiàn)狀及發(fā)展趨勢[M]，2012．

[4] 錢煜明．企業(yè)移動設(shè)備管理技術(shù)[J]，2013．