随着配电网工程的深入发展,各种新技术的使用实现了配电网系统的信息化,但是也引入了更多的安全风险,在这种形势下,如何保证各类接入对象安全、可信地连入电力信息网络,已成为配电网建设过程中的迫切需求。本文对配电通信系统的需求进行分析,提出了主站、子站和终端等安全防护措施,同时建议采用有线和无线方式进行纵向安全防护,确立密钥管理原则,可以指导配网通信系统安全防护体系建设。
随着我国经济水平的不断提高及信息化时代的到来,人们的生产生活对电力的需求量也有了显著的提升。在这种环境下就要求电力系统要保证电力供应的质量,确保电力系统的稳定运行,只有这样才能不断满足人们的需求和社会的稳定及经济的稳定发展。配电网主要作用是将从电源或输电网获得的电能直接分配给不同电压等级的用户,是用户直接感受供电服务质量的重要环节。配电自动化是配电网运维管理的重要手段,能够实时监控和操作配电设备状态,提高配电网供电可靠性和供电能力,提升配电网调度、生产和运维管理水平。配网通信系统作为配电网各类信息传输的载体,支撑配电自动化、电能质量监测、分布式电源、用电信息采集及电动汽车充换电等业务。
1 配网通信系统安全防护
配网通信系统安全防护体系重点解决涉及有线和无线通信的安全接入、安全传输、终端自身安全以及身份认证、访问控制、数据过滤、统一监控与审计等六大类问题,并通过建设安全性基础设施,加强安全管理,保障业务应用安全稳定运行,安全防护架构如图1所示。
2 配网通信系统主站安全防护
(1)配电网调度自动化系统与其他系统通信时应采用逻辑隔离防护措施。(2)无论采用何种通信方式,自动化系统主站前置机应采用经国家指定部门认证的安全加固的操作系统,并采取严格的访问控制措施。(3)当采用专网传输通道时,在前置机应配置安全模块(可选取串接配网安全网关、加装加密卡、旁接密码机等方式),对控制命令和参数设置指令进行签名操作,实现子站对主站的身份鉴别与报文完整性保护;对重要子站及终端的通信可采用双向认证加密,实现主站和子站间的双向身份鉴别,确保报文机密性和完整性。(4)当采用公网传输通道时,公网前置机部署于安全接入平台,应采用电力专用的安全接入平台(安全接入网关和安全数据过滤系统)实现对外统一提供接入、认证、访控、加密、代理、交换、过滤等各种安全服务,完成对各种终端安全接入过程的全程控制,另外,公网前置机必须采用电力专用的正反向隔离装置与自动化系统进行隔离。(5)信息安全综合审计是对配网通信系统主站服务器、数据库等提供安全日志采集和分析技术支撑,为信息安全事件的根溯源提供技术手段,实现对信息安全审计数据的自动分析,包括对运维安全审计、业务和数据库安全审计、主机日志安全审计、网络与边界安全审计,并进行信息汇总和关联分析,在配网系统中起到信息安全全面“故障录波”的作用。
3 配网通信系统子站/终端安全防护
(1)子站/终端设备应具有防窃、防火、防破坏等物理安全防护措施。(2)子站/终端设备上可配置安全模块,对来源于主站系统的控制命令和参数设置指令采取安全鉴别和数据完整性验证措施,防范冒充主站对终端进行攻击。为增加安全性,对重要子站/终端可配置具有双向认证加密能力的安全模块,实现主站和子站/终端间的双向身份鉴别和数据加密。(3)配电终端的上行数据应通过安全模块生成摘要,使用对称算法计算校验值,供主站识别数据传输的完整性。从而有效防止系统面临来自网络攻击的风险。(4)配电终端可以借助外置式、嵌入式多种形式的安全模块实现安全防护过程。外置式安全模块适用于早期安装又不支持软件升级的配电终端。新安装的终端建议使用嵌入式安全模块。嵌入式安全模块分为软算法库方式和安全芯片硬件方式(包括DIP、SOP、TF卡、SIM卡等形态)。
4 配网通信系统纵向通信安全防护
配电自动化系统主站与子站/终端的通信方式原则上以光纤通信为主,在各种通讯方式中应优先采用EPON接入方式的光纤技术。对于不具备光纤通信条件的配电终端,采用无线通信方式。
4.1 有线方式
当采用EPON、工业以太网交换机、载波等有线方式通信时,需要考虑通信系统鉴权策略、加密技术等环节。(1)在初始状态和数据通信两个阶段需要采用鉴权策略。在初始状态,ONU需要通过鉴权机制确认其身份,从而决定是否允许该ONU完成注册过程。在数据通信过程中,需进行用户鉴权,确认通信方是否为合法用户。(2)为保证合法用户信息的保密性,应采用加密技术对数据进行保护。应首选国家密码管理局推荐的SM1算法,兼容AES算法和三重搅动加密算法,从而进一步增强接入层设备间的数据传输安全性。每个逻辑链路连接标识应有独立的密钥。(3)将不同的ONU加入不同的VLAN或采用端口隔离特征,实现报文之间的二层隔离。
4.2 无线方式
配网通信系统无线方式包括无线公网和无线专网两种模式。(1)无线公网。无线公网接入模式是电力公司借助电信运营商的无线公共网络传输电力数据。电力公司应对运营商提出安全措施要求,包括:①采用“APN+VPN”或VPDN技术实现无线虚拟通道;②通过认证服务器对接入终端进行身份认证和地址分配;③在主站系统和公共网络采用有线专线+GRE等;④运营商与电力公司传输数据时,通过安全接入平台接入电力公司内网。(2)无线专网。当采用专用无线网络时,应分别针对无线接入层和非接入层采用相应的信息安全措施。无线接入层指从无线通信终端到基站之间的空口传输链路;非接入层指从无线通信终端到无线核心网的链路。无线接入层和非接入层的安全措施应分别独立运作。无线接入层和非接入层所采用的具体安全措施均包含双向鉴权认证、安全性激活、信令和数据的机密性及完整性保护。无线接入层和非接入层的安全措施类似,但应采用不同的密钥以保证各自独立运作。
4.3 各项安全措施要求
(1)鉴权与密钥协商过程:应实现通信两端的双向鉴权,并保障两端密钥达成一致。通信双方在共同持有根密钥的前提下,通过协商过程相互认证对方的合法身份,并计算出后续安全措施所用的密钥。密钥生成算法的输入应包含帧序号或时间戳等信息以确保密钥的时间有效性,防止重放攻击。(2)安全性激活过程:验证通信双方安全模式和加密算法的统一。通信双方通过校验安全模式命令的完整性确认双方具备相同安全模式,协商所要采用的加密算法及完整性校验算法。非接入层的激活应先于无线接入层。(3)信令加密和数据加密过程:应实现通信信令和数据的机密性保护。使用密钥协商过程中生成的加密密钥对信令和数据进行加密传输,保护数据的机密性。所采用的加密算法可选择SM1、ZUC或AES,由安全性激活过程确认。加密信令和数据应使用不同的加密密钥。(4)信令和数据的完整性校验:应实现通信信令和数据的完整性保护。使用密钥协商过程中生成的完整性密钥进行数据完整性校验,保护数据完整性。具体校验方式可选择CRC或MAC,由安全性激活过程确认。信令和数据的校验应使用不同的完整性密钥。
5 配网通信系统密钥管理原则
(1)密钥生成原则:密钥的产生需要在硬件物理介质中产生,密钥的内容不能使用明文方式输出。生成密钥的物理介质需要具有随机数发生器,利用物理噪声源作为种子,可以产生高质量的随机大素数、公钥密钥对和会话密钥。(2)密钥存储原则:安全认证及数据加解密过程需要保证完整性和运行时的保密性。在认证过程中存储介质需要保证可以抵抗如电压、电流在内的能量分析攻击手段。密钥的存储介质及软件需可以抵抗如反汇编、反编译在内的逆向工程攻击手段。密钥存储介质要求具有物理防护措施,避免被攻击者探测,当遭受强力光照、封装被打开等攻击时,敏感数据应进行自毁或完全删除。(3)密钥传递原则:密钥在存储介质间分发时,密钥内容不可以以明文方式出现。主站侧存储介质的传递需要有专人、多人参与。(4)密钥备份原则:系统对密钥的存储需要具有备份机制,当存储介质出现故障时,可以通过恢复措施保证业务系统正常运转。(5)密钥更新原则:密钥应采用周期性更新原则,确保密钥的定期、同步更换。当遇到特殊情况,如怀疑密钥泄漏的情况下,应采用应急密钥更新机制。(6)密钥销毁原则:当业务终端或存储介质结束其生命周期时,需要通过销毁措施将密钥清除。
6 配网通信系统安全评估
(1)应当依据本方案的要求对配网通信系统的总体安全防护水平进行安全评估。安全评估贯穿于配网通信系统的规划、设计、实施、运维和废弃阶段。(2)应当建立二次系统安全评估制度,采取以自评估为主、联合评估为辅的方式,将安全评估纳入电力系统安全评价体系。应当掌握基本的自评估技术和方法,配备必要的评估工具。(3)配网通信系统在投运之前、升级改造之后必须进行安全评估;已投入运行的系统应该定期进行安全评估。评估方案及结果应及时向上级主管部门汇报、备案。(4)参与评估的机构及人员必须稳定、可靠、可控,并与被评估单位签署长期保密协议。对生产控制大区安全评估的所有记录、数据、结果等均不得以任何形式携带出被评估单位,按国家有关要求做好保密工作。
配网通信系统安全评估应严格控制实施风险,确保评估工作不影响配网通信系统的安全稳定运行。评估前制定相应的应急预案,实施过程应符合配网通信系统的相关管理规定。
作者:张勇生 刘春宇 路丽丹 来源:数字技术与应用 2016年8期
