基于物聯網技術應用智慧配電房網絡空間安全防護

張劍峰

[摘? ? 要]智慧配電房監控系統目標在于監控、防護配電網的穩定運行，需具備抵御各種攻擊、滲透、非法篡改等各類惡意破壞與攻擊的能力，確保電力監控系統網絡安全受控，并有效避免電網整個系統的安全遭受非法控制。智慧配電房監控系統將前端邊緣感知數據、信息系統、智能終端設備等實現互聯，由于配電房的覆蓋范圍廣，在整體物聯網中組成一個巨大的信息網絡空間。現階段智慧配電房監控系統在逐步鋪開建設，其所涉及的網絡空間安全防護仍需進一步完善、強化，如網絡傳輸通道、各安全區域的安全防護等，文章就智慧配電房網絡空間的防護問題進一步探討。

[關鍵詞]智慧配電房;網絡空間;安全防護;安全分區

[中圖分類號]TM63 [文獻標志碼]A [文章編號]2095–6487（2021）01–0–03

Cyberspace Security Protection of Smart Power Distribution

Room Based on Internet of Things Technology

Zhang Jian-feng

[Abstract]The goal of the intelligent power distribution room monitoring system is to monitor and protect the stable operation of the distribution network. It needs to be able to resist various attacks， infiltrations， illegal tampering and other malicious damage and attacks， and to ensure that the power monitoring system network is securely controlled. And effectively avoid illegal control of the security of the entire system of the power grid. The smart power distribution room monitoring system interconnects front-end edge sensing data， information systems， and smart terminal equipment. Due to the wide coverage of the power distribution room， a huge information network space is formed in the overall Internet of Things. At this stage， the intelligent power distribution room monitoring system is gradually being rolled out， and the cyberspace security protection it involves still needs to be further improved and strengthened， such as network transmission channels and security protection in various safe areas.

[Keywords]smart power distribution room; cyberspace; security protection; security zoning

智慧配電房監控系統目標在于監控、防護配電網的穩定運行，需具備抵御各種攻擊、滲透、非法篡改等各類惡意破壞與攻擊的能力，有效避免電網整個系統的安全遭受非法控制，并杜絕出現的大面積停電。智慧配電房監控系統作為智能配電網建設的支撐平臺，強化智慧配電房數據傳輸的邊界防護，在提升整體網絡空間安全管控，確保智能配電網系統的穩定運行顯得尤為重要。

根據智慧配電房監控系統的需求與邏輯設計，該系統可涉及網絡空間安全防護范圍主要包括：安全區內部防護、傳輸通道、電子數據證書技術、入侵檢測、操作系統、物理安全等等。本文將結合該系統在生產控制大區及管理信息大區等重點安全防護環節進行論述。

1 智慧配電房監控系統組成架構

智慧配電房監控系統主要由邊緣處理層的感知系統（圖1）、網絡傳輸專用通道、系統應用平臺層以及前端應用層等組成。其中，感知層主要涵蓋了數據采集模塊、傳感器、站房內視頻監控等各項數據;網絡層包括智能網關設備、無線接入設備、專用傳輸通道等;平臺層則主要是配電房數據可視化平臺，用于統計、分析以及監控所采集數據，應用層主要為PC端前側用于實時展示監控數據以及接收報警信息。

2 智慧配電房數據傳輸面臨的安全風險

智慧配電房監控系統將前端邊緣感知數據、信息系統、智能終端設備等實現互聯。區域內各配電房覆蓋范圍廣、分布點多，在整體物聯網中組成一個巨大的信息網絡空間。同時，因配電網建初期在專用網絡、安全防護等方面仍存在需進一步完善，為確保該系統的穩定、可靠運行以及保障其所關聯的配電網運行不受影響，結合《電力二次系統安全防護規定》《中國南方電網電力監控系統安全防護技術規范》，需對該系統采取相應的安全防護技術措施及管理手段，確保前端所回流至安全生產大區、信息管理大區的相關數據信息不受到外界篡改和攻擊，保持其完整性及可用性。

綜合上述分析，為有效保障該系統傳輸數據的有效性，避免對電力系統的運行造成影響，結合主網電力監控系統網絡安全的管理經驗，在技術上需劃分安全區域（圖2），設定專用網絡傳輸通道、路由防護、網絡邊界防護、橫向及縱向隔離裝置等。

2.1 安全分區方面

智慧配電房監控系統在其網絡空間安全防護中，將重點加強分區邊界安全防護，提升自身的安全保護能力，并確保與其關聯的其他系統不受到影響。根據《中國南方電網電力監控系統安全防護技術規范》的相關要求以及結合主網電力監控系統的技術經驗，安全區主要劃分為信息管理大區、生產控制大區。同時，為實現生產控制大區與管理信息大區在安全防護上得到有效的隔離，需在所劃分的2個區域之間設定、部署經行業檢測及認證（如：國網實驗驗證中心）的橫向單向安全隔離裝置進行隔離，確保其防護措施達到或接近物理隔離效果，并分別部署防病毒管理中心。

2.1.1 安全生產控制大區

安全生產控制大區既是主網電力也是配電網等網絡監控系統的重要管控環節，通過縱向認證、橫向加密實現數據的傳遞。同時，生產控制大區所使用的縱向網絡需為獨立的網絡通道，并作為整個安全防護的核心重點。

智慧配電房監控系統所采集數據需經安全生產控制大區回流至管理信息大區后臺數據處理中心，其所涉及的業務子數據來源包括：配電房電力數據采集和監控、智能感知用戶數據、環境監測、視頻流數據等，數據的傳輸及通信則主要使用配網專用通信光纜或專用APN進行實時傳輸。

安全技術防護方面，由于智慧配電房監控系統涉及開關狀態、用戶電量數據等電力一次、二次系統操作數據，因此數據在傳輸過程中需通過生產控制大區進行加密處理，并實現橫向隔離、縱向認證。同時，通過電子數字認證技術實現高強度的身份認證，確保數據安全傳輸。

（1）橫向隔離。橫向隔離是必不可少的安全防線之一，所采用的技術與主網電力相似，生產控制大區與管理信息大區之間所需的邊界防護主要通過部署專用的橫向單向安全隔離裝置實現。同時，為有效提高生產控制大區內的安全防護能力，該區域內部需部署具有訪問控制功能的防火墻、核心交換機、防病毒管理中心、數據采集與監視控制系統（SCADA）等防護設備，實現邏輯隔離。

結合系統設計以及所采集數據傳輸的方向，所部署的橫向安全隔離裝置需采用正向隔離及反向隔離等2種類型。反向安全隔離裝置主要應用于兩大安全分區數據的單向傳輸，并且作為2個大區之間唯一的傳輸通道。根據設計，反向安全隔離裝置主要用于接收管理信息大區各類數據，并對所接收數據進行簽名驗證、過濾，同時對其有效性進行檢查、處理后，傳遞至生產控制大區內部的數據采集與監視控制系統。

（2）縱向認證。縱向加密認證作為配電網中的縱向防線，技術上主要采取專用密碼算法及認證、加密技術實現數據的遠端傳輸以及實現縱向邊界的安全防護。智慧配電房監控系統需進行一、二次數據以及站房環境數據的實時傳輸，數據需經生產控制大區回流至管理信息大區，為確保所傳輸數據的有效性以及完整性，數據傳輸過程中需進行加密及認證。由此，需在生產控制大區與傳輸網之間的縱向連接處安裝縱向加密認證設備或部署認證網關等相關的硬件防護設備，實現數據傳輸過程中的雙向認證、加密及訪問控制。

2.1.2 管理信息大區

管理信息大區主要用于支撐生產管理及辦公自動化等系統的運行支撐，是生產控制大區以外用于支撐各類信息系統穩定運行的綜合基礎集成平臺，使用對象主要為本單位內部辦公人員。管理信息大區網絡縱向采用電力系統內部數據網，其中用于后臺數據處理及數據存儲的主要為IDC機房專屬局域網，用于前端數據展示及發送故障信息的主要為綜合數據網。同時，管理信息大區內需部署對應的區域邊界防火墻以及用于數據處理與展示的各類服務器、核心交換機等。

智慧配電房監控系統所采集的站房內環境數據雖為實時數據，但根據其實時性、使用對象、主要功能、系統監控場所以及對電力系統的影響程度，該系統部署以管理信息大區為主。技術方面，根據網絡布防要求，智慧配電房監控系統部署所在IDC機房需統一部署主備邊界防火墻、入侵防御系統（IPS）、入侵檢測系統（IDS）、漏洞掃描等安全防護設備。

2.2 網絡通道方面

電力配網通信數據網作為智慧配電房所架設的專用數據網絡，是實現配網自動化的必要前提條件，并且承載在線監控、在線運維等業務功能。電力配網通信數據網需通過專用通道并使用區別于調度數據網、綜合數據網等網絡設備實現獨立組網，技術上需采用MPLS-VPN、安全隧道、PVC、靜態路由等技術搭建。另外，由于前期各區域配電房所涉及面廣、分布點多，建設期并未實現組網，由此在未實現網絡全覆蓋的情況下，需通過第三方運營商的專用光纜通道、5GAPN通道實現數據的傳輸，但需對其設定安全接入區，并部署相應的公網安全防護設備。

技術方面，鑒于智慧配電房所采集數據的重要性，對于網絡中的核心設備以及關鍵節點上的核心設備，需采用雙機主備，按照《電力監控系統安全防護規定》制定相關安全策略，如：禁止使用默認的路由策略、關閉網絡邊界的OSPF路由功能、關閉路由器的源路由功能、設置受信的網絡地址范圍、開啟訪問控制列表、記錄設備日志、封閉空閑的網絡端口等，確保網絡的穩定運行。

同時，智慧配電房所用網絡與其邊界需采用特定的訪問控制策略，邊界網絡和安全防護設備的策略是否按最小權限開放，封堵135、137、138、139、445、3389等高危端口，禁用Telnet、FTP、遠程桌面等高危服務。對于涉及實時控制等重要業務，需通過縱向加密認證裝置或加密認證網實現生產控制大區與管理信息大區的通信。

3 結語

融合“云大物移智”等新一代技術的數字電網建設，是電網發展的必然趨勢，但在網絡信息安全方面同時面臨著極大的考驗。由此，在建設智慧配電房監控系統的過程中，實現電力系統的數字化、信息化運行，其網絡空間安全防護將成為必不可少的一道防線。

參考文獻

[1] 國家電力監管委員會.電力二次系統安全防護規定[J].安全，2005（28）：59.

[2] 中國南方電網電力監控系統安全防護技術規范：Q/CSG1204009-2015[S].