電力系統在線監測裝置無線傳輸網絡安全分區改造的實施與應用

摘要：為適應電力行業新的網絡安全要求，對在線監測裝置進行了網絡安全分區改造，使用新的APN通道，改變以前不安全的明文傳輸方式，采用國密SM1、SM2、SM3、SM4算法加密傳輸，提高了在線監測裝置網絡的安全性及可靠性。

0? ? 引言

為總體提高在線監測裝置運維的網絡安全水平，持續鞏固“安全分區、網絡專用、橫向隔離、縱向認證”安全基礎，需全面完成安全分區和橫縱向邊界防護改造，強化主機和應用本體安全，落實物理網絡安全措施，實現網絡安全設備運行狀況實時監控及風險預警。

對于采用無線傳輸方式接入主站的電力系統在線監測裝置，從前期設計時的考慮和實際運行的情況方面來分析，明文傳輸的通信方式已經不符合目前行業的網絡安全要求，需要對在線監測裝置進行網絡安全分區改造，以保障電力系統在線監測裝置長期運行網絡的安全性及可靠性，保證電力系統的正常運行。

1? ? 電力系統在線監測裝置無線傳輸分區改造的總體要求

1.1? ? 分區改造的原則與思路

在電力通信保障電網安全穩定的基本原則和建設與現有電力通信專網優勢互補的、立體式的電力通信保障體系的思路指導下，對于使用移動通信的電力系統在線監測裝置，在考慮到網絡安全性后，以開通專用APN通道無線加密方式將其從舊的運行網絡區改接到加密的運行新區。

1.2? ? 改造后通信結構

在線監測通信網絡采用專線對卡通信方式，即主站通過公網專線接入，站端用無線電話卡撥號接入，具體通信結構如圖1所示。

該通信結構采用專線接入部署時費用比卡對卡接入要高一些，但是專線的接入可以大大緩解通信瓶頸帶寬問題，同時專線的通信時延比卡對卡的要低，能保證通信質量。

2? ? 主站端具體改造內容

主站內無線監測接入裝置需加裝加密芯片或加密模塊，站端上傳的數據經過解密后傳輸。加密后能實現網絡安全設備安全狀況實時監控及告警，具備有效監視跨區互聯、非法接入、移動介質違規使用等嚴重安全隱患的能力，具備網絡安全入侵檢測能力;確保電力監控系統邊界網絡安全設備覆蓋完整、策略配置安全有效，實現網絡安全設備國產化。此外，設立安全接入區，服務器通過2G/3G/4G無線網絡接收端與廠站側子站設備2G/3G/4G無線網絡進行加密通信。

2.1? ? 前置機的安全要求

對于采用公網作為通信信道的前置機（公網前置機屬于安全接入區），必須采用電力專用的正反向隔離裝置與自動化系統進行隔離。公網前置機與站端之間通信必須采取認證及加密等安全措施。

2.2? ? 站端在線監測系統接入主站的要求

（1）建立安全接入區：依據網絡安全防護要求，需設立公網安全接入區。

（2）網絡隔離：在安全接入區與調度通信部署電力專用正反向隔離裝置。

（3）無線通信數據加密：對于采用雙向認證加密措施的無線網絡通信，需在安全接入區邊界及變電站網絡邊界部署加密認證網關。其中，站端側無線加密通信網關兼具加密模塊、通信模塊功能。

3? ? 變電站站端分區改造內容

站端業務部分安排站內無線監測裝置切換且經加密模塊加密后，通過無線網絡APN上傳主站，無線網絡通信采用雙向認證加密的措施，需在安全接入區邊界及變電站網絡邊界部署加密認證網關。其中，站端側無線加密通信網關兼具加密模塊、通信模塊功能，模塊電源要求具有ESD保護、EMC保護、防浪涌、防反接、過壓保護、過流保護功能，通信信號需要使用雙天線收發，考慮長遠發展，公網僅在災害及新建變電站通信調試通道時使用，站端無線加密通信網關建成獨立系統。

3.1? ? 裝置改造的配置及具體要求

（1）將站端在線監測裝置無線終端替換為加密無線終端。

（2）向電信部門申請專用的APN通道GD”，把通道信息配置進現場裝置通信模塊中。

（3）向主站申請分配IP地址，捆綁IP到專用物流電信卡上，實現專卡專用，提高通信安全性。

（4）具體配置如表1所示。

改造后的網絡拓撲圖如圖2所示。

（5）安全策略配置如表2所示。

（6）隧道配置如表3所示。

3.2? ? 裝置改造實施步驟

（1）前期準備工作：需要確認所涉及的裝置設備通信方式，取得相關的通信規約，編寫通信文檔。

（2）改造環境及范圍確認：站端在線監測系統現場柜的位置確認，相關電源位置、加密模塊安裝位置確認，安裝電源、相關配線及調試工具確認。

（3）將改造方案報相關部門審核，明確改造中受影響的業務，審核通過后，辦理實施許可手續。

（4）辦理物聯卡，加入專用APN通道，捆綁主站分配的IP地址。

（5）斷開舊在線監測系統現場柜無線終端的電源，退出裝置的通信無線終端。

（6）在線監測系統現場柜處安裝新的無線加密終端。

（7）加密無線安裝SIM卡：在線監測系統現場柜處安裝的無線加密終端中安裝SIM卡。

（8）測試SIM：合上在線監測系統現場柜的電源，查看無線網絡信號強度、查看SIM卡獲取IP地址是否正常。

（9）測試隧道：查看加密證書是否正常、ping通主站采集前置機IP，測試通道狀況。

（10）設備配置及備份：對在線監測裝置IED的配置及數據庫等進行整體維護及備份。

（11）設備配置修改：在線監測裝置IED安裝及啟用通信服務。

（12）業務調試：調試在線監測終端業務，進行主站—站端的聯調。

（13）業務系統功能測試：測試鏈路及通信是否正常，發送及返回數據包是否穩定。

測試拓撲示意圖如圖3所示。

（14）報主站工作完結：設備狀態正常，在線監測系統上傳主站數據正常，觀察30 min，確保系統運行穩定后，報主站改造完結。

4? ? 結語

改造后的在線監測系統的通信方式，是基于IPsec VPN加密隧道通信協議，結合國密SM1、SM2、SM3、SM4算法與4G無線通信，為變電站端在線監測系統提供硬件級動態加密的數據安全通信。該通信方式采用代碼可控的安全操作系統，支持PKI體系的電力數字調度證書，主站與終端雙向設備認證和數據傳輸加密功能，具有安全度高、兼容性強、穩定性好等特點，為電力在線監測系統的網絡安全提供了堅實保障。

[參考文獻]

[1] 闞寶朋.計算機網絡技術基礎[M].北京：高等教育出版社，2015.

[2] 遲恩宇，王東，楊亞洲.網絡安全與防護[M].2版.北京：高等教育出版社，2018.

收稿日期：2021-01-07

作者簡介：梁華（1978—），男，廣東信宜人，電力工程師，長期從事電力系統在線監測裝置運維及技術管理、電力工程現場質量管控相關工作。