配電自動(dòng)化系統(tǒng)安全防護(hù)技術(shù)研究

高凈凈 徐升榮

摘要：隨著電力自動(dòng)化和通信技術(shù)的發(fā)展，使得配電自動(dòng)化發(fā)展中的相關(guān)問(wèn)題得以解決，配電自動(dòng)化技術(shù)得到了提升。然而，相比與調(diào)度自動(dòng)化系統(tǒng)，配電自動(dòng)化系統(tǒng)很容易受到環(huán)境等各種因素的影響。雖然光纖是較為理想的通信方式，但是配電網(wǎng)設(shè)備的點(diǎn)多面廣，單一方式的光纖通信，會(huì)導(dǎo)致產(chǎn)出和投入的失衡?；诖吮尘跋拢疚闹饕治隽伺潆娮詣?dòng)化系統(tǒng)安全防護(hù)技術(shù)相關(guān)內(nèi)容，可供參考。

關(guān)鍵詞：配電自動(dòng)化;安全防護(hù);技術(shù)

1配電網(wǎng)自動(dòng)化的概述

配電網(wǎng)自動(dòng)化技術(shù)是在計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)、通信技術(shù)和電子技術(shù)的支撐下，對(duì)配電網(wǎng)系統(tǒng)正常運(yùn)行狀態(tài)和事故情況所進(jìn)行的監(jiān)測(cè)、控制、維修和管理，進(jìn)而確保配電網(wǎng)系統(tǒng)安全、穩(wěn)定運(yùn)行的一類電力自動(dòng)化技術(shù)。通過(guò)借助先進(jìn)的自動(dòng)化控制技術(shù)和網(wǎng)絡(luò)技術(shù)等對(duì)配電網(wǎng)的工作狀態(tài)予以實(shí)時(shí)監(jiān)控和管理，不僅能大幅提升配電網(wǎng)系統(tǒng)的綜合性能，而且還能確保配電網(wǎng)系統(tǒng)在故障發(fā)生后迅速恢復(fù)供電?？梢?jiàn)，配電網(wǎng)自動(dòng)化在電力系統(tǒng)中的應(yīng)用對(duì)于與降低電力網(wǎng)絡(luò)管理人員的勞動(dòng)強(qiáng)度、提高電力系統(tǒng)的供電和維修效率具有重要的作用和意義。

2配電自動(dòng)化系統(tǒng)防護(hù)中的安全隱患分析

2.1橫向邊界隱患

根據(jù)配電網(wǎng)數(shù)據(jù)的源端唯一性，數(shù)據(jù)流要與調(diào)度自動(dòng)化系統(tǒng)（EMS）進(jìn)行主網(wǎng)圖模信息交互，與地理信息系統(tǒng)（GIS）進(jìn)行配電網(wǎng)圖模信息交互，與生產(chǎn)管理系統(tǒng)（PMS）進(jìn)行配電網(wǎng)設(shè)備臺(tái)賬信息交互及交互平臺(tái)的故障判斷等。配電自動(dòng)化系統(tǒng)和EMS系統(tǒng)何承偉實(shí)時(shí)控制區(qū)系統(tǒng)（I區(qū)）;PMS和GIS系統(tǒng)及配網(wǎng)搶修指揮平臺(tái)稱為生產(chǎn)管理區(qū)系統(tǒng)（III區(qū)）;攻擊在III區(qū)在不受保護(hù)的情況下很容易進(jìn)行I區(qū)的攻擊，從而引起信息交互的橫向邊界安全問(wèn)題。

2.2縱向邊界隱患

配電自動(dòng)化系統(tǒng)的縱向通信主要是主站與配電自動(dòng)化終端之間的通信，其形成了縱向的數(shù)據(jù)流。由于配電自動(dòng)化系統(tǒng)的通信條件受到諸多因素的影響（如部分配電站房不具備光纖鋪設(shè)條件、市中心配電站房鋪設(shè)光纖成本過(guò)高等），配電自動(dòng)化系統(tǒng)在采用光纖通信的同時(shí)必須輔以其他的通信方式（如載波和無(wú)線通信方式）。其中，以租用移動(dòng)、聯(lián)通等通信運(yùn)營(yíng)商的無(wú)線通信網(wǎng)絡(luò)應(yīng)用最為廣泛。但如果沒(méi)有對(duì)縱向邊界進(jìn)行防護(hù)，只要l張移動(dòng)、聯(lián)通等通信運(yùn)營(yíng)商的SIM卡就可以直接與配電自動(dòng)化主站進(jìn)行通信，通過(guò)主站系統(tǒng)非法實(shí)現(xiàn)對(duì)配電一次設(shè)備的遠(yuǎn)方控制功能，這樣就出現(xiàn)了縱向邊界的安全隱患。

3配電自動(dòng)化系統(tǒng)安全防護(hù)總體原則

3.1安全分區(qū)

配電自動(dòng)化系統(tǒng)根據(jù)設(shè)備和網(wǎng)絡(luò)應(yīng)用可以分為生產(chǎn)控制大區(qū)（實(shí)時(shí)控制區(qū)、實(shí)時(shí)非控制區(qū)）和管理信息大區(qū)，安全管理員必須對(duì)這些分區(qū)進(jìn)行嚴(yán)格的劃分。

3.2網(wǎng)絡(luò)專用

電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)必須使用與外界獨(dú)立的網(wǎng)絡(luò)設(shè)備組網(wǎng)，在物理層面上實(shí)現(xiàn)電力企業(yè)網(wǎng)絡(luò)與因特網(wǎng)的安全隔離。電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)通過(guò)邏輯隔離劃分為實(shí)時(shí)子網(wǎng)和非實(shí)時(shí)子網(wǎng)，分別連接安全I(xiàn)區(qū)和安全Ⅱ區(qū)，從而達(dá)到專網(wǎng)專用的目的。

3.3橫向隔離

橫向隔離主要應(yīng)用于業(yè)務(wù)系統(tǒng)的橫向通信隔離。其中，實(shí)時(shí)控制區(qū)（I區(qū)）與實(shí)時(shí)非控制區(qū)（Ⅱ區(qū)）之間的通信必須采用國(guó)產(chǎn)硬件防火墻進(jìn)行邏輯隔離;生產(chǎn)控制大區(qū)與管理信息大區(qū)之間的通信必須采用已通過(guò)相關(guān)部門認(rèn)證的電力專用橫向單向（正向和反向）隔離裝置進(jìn)行物理隔離。

3.4縱向認(rèn)證

縱向認(rèn)證主要應(yīng)用于業(yè)務(wù)系統(tǒng)的縱向通信，其縱向邊界訪問(wèn)控制須采用硬件防火墻實(shí)現(xiàn)邏輯隔離，其數(shù)據(jù)通信也必須通過(guò)縱向加密認(rèn)證裝置對(duì)數(shù)據(jù)包進(jìn)行簽名加密，實(shí)現(xiàn)調(diào)度數(shù)據(jù)網(wǎng)傳輸保密及訪問(wèn)控制功能。

4配電自動(dòng)化系統(tǒng)的安全防護(hù)措施分析

4.1子站及終端的安全防護(hù)

在配電自動(dòng)化子站及終端上進(jìn)行安全模塊的配置，或者在它們與主站的邊界處進(jìn)行縱向加密裝置安裝。借此來(lái)實(shí)現(xiàn)主站系統(tǒng)下發(fā)的報(bào)文安全控制、鑒別和數(shù)據(jù)校驗(yàn)，防止一些非法命令的遠(yuǎn)程操控。

4.2縱向通信的安全防護(hù)

（1）縱向通信鏈路的安全防護(hù)。配電自動(dòng)化系統(tǒng)的縱向鏈路指的是配電自動(dòng)化主站系統(tǒng)、子站、終端之間的通信連接，以光纖、載波、無(wú)線等通信為主。光纖與載波通信方式的接入點(diǎn)主要以固定點(diǎn)的形式存在于變電站、開(kāi)閉所及專用機(jī)房等。當(dāng)選用無(wú)線網(wǎng)絡(luò)進(jìn)行縱向通信時(shí)，相應(yīng)的非法入侵防護(hù)則需要加以技術(shù)手段的處理。通過(guò)要求通信運(yùn)營(yíng)商以APN+VPN或者VPDN技術(shù)進(jìn)行無(wú)限虛擬的專用通道設(shè)定，實(shí)現(xiàn)專網(wǎng)專用。具體操作來(lái)看，主要是以無(wú)線終端執(zhí)行GPRS接入，再借助SGSN形成一條邏輯專用鏈路。在無(wú)線終端啟動(dòng)PDP激活需要繼續(xù)寧APN接入，并以固定IP地址的形式實(shí)現(xiàn)IP數(shù)據(jù)通過(guò)GPRS與主站路由器之間的GRE隧道路由出去，近而完成物理鏈路的安全通信。

（2）縱向通信規(guī)約的安全防護(hù)。主站系統(tǒng)以私鑰進(jìn)行報(bào)文和時(shí)間的簽名，并加入到標(biāo)準(zhǔn)通信規(guī)約中，形成復(fù)合型的命令報(bào)文。終端對(duì)接收的報(bào)文以預(yù)裝的主站公鑰進(jìn)行驗(yàn)證，并進(jìn)行時(shí)間戳驗(yàn)證，驗(yàn)證通過(guò)即可執(zhí)行。在下行報(bào)文的數(shù)據(jù)控制時(shí)，在進(jìn)行抗重復(fù)機(jī)制、完整性保護(hù)、主站身份鑒別等基礎(chǔ)上，還可加以復(fù)合報(bào)文的控制和時(shí)間戳的加密來(lái)提升數(shù)據(jù)傳輸?shù)陌踩?。這種加密同樣適用于遙測(cè)量和遙信良等的報(bào)文加密。在未進(jìn)行加密裝置或模板的安裝的終端，嚴(yán)禁主站進(jìn)行訪問(wèn)控制。

4.3主站的安全防護(hù)

在配電自動(dòng)化系統(tǒng)的主站及終端通信的連接上，自動(dòng)化主站系統(tǒng)前置機(jī)必須經(jīng)過(guò)國(guó)家制定部門任何的安全加固操作系統(tǒng)。通信必須以調(diào)度數(shù)字證書的非對(duì)稱加密算法來(lái)控制完成報(bào)文的單項(xiàng)認(rèn)真和報(bào)文的完整性認(rèn)證。配電自動(dòng)化系統(tǒng)中常用的加密算法為160bit以上的橢圓曲線密碼體制和1024bit以上的RSA算法。且以RSA算法為主，也就是通過(guò)不同的加密及解密密鑰，事先生成一對(duì)RSA密鑰，加密為公開(kāi)的，解密是秘密的。并以簽名形式對(duì)主站前置部分和終端通信邊界處配置進(jìn)行縱向加密。實(shí)現(xiàn)子站和終端對(duì)主站的行文安全性和完整性保護(hù)。

4.4橫向的邊界安全保護(hù)

在橫向邊界的各配電相關(guān)系統(tǒng)，分布在安全的I區(qū)和III區(qū)形成較大的安全區(qū)數(shù)據(jù)流，這部分區(qū)域必須通過(guò)物理隔壁裝置進(jìn)行橫向邊界的安全防護(hù)。并以數(shù)據(jù)流方向進(jìn)行正向和反向的物理隔離裝置配置。這既能夠滿足信息交互的需求，又能夠符合整體的安全防護(hù)規(guī)定，確保系統(tǒng)的性能安全性。

5結(jié)語(yǔ)

總之，配電自動(dòng)化系統(tǒng)的技術(shù)支撐是相對(duì)復(fù)雜的。一方面，橫向上的配電系統(tǒng)與多個(gè)系統(tǒng)之間存在信息交互，例如安全I(xiàn)區(qū)和III區(qū)。另一方面，在由多種通信方式并存的調(diào)度業(yè)務(wù)技術(shù)支撐平臺(tái)上的安全性也影響到電力系統(tǒng)。因此，一方面要通過(guò)技術(shù)手段對(duì)整個(gè)系統(tǒng)硬件及軟件進(jìn)行安全加固;另一方面，也要通過(guò)管理手段對(duì)其接入的相關(guān)系統(tǒng)、終端設(shè)備及通信鏈路進(jìn)行有效審核接人管理。隨著配電自動(dòng)化系統(tǒng)的不斷發(fā)展，其安全防護(hù)技術(shù)同樣需要不斷更新完善，以確保電力系統(tǒng)的安全、穩(wěn)定、經(jīng)濟(jì)運(yùn)行。

參考文獻(xiàn)

[1]陳璐.配電自動(dòng)化系統(tǒng)安全防護(hù)技術(shù)[J].電力安全技術(shù)，2016.

[2]時(shí)金媛，趙仰東，蘇標(biāo)龍，劉健，劉新新，雷波.配電自動(dòng)化系統(tǒng)饋線自動(dòng)化可靠性提升關(guān)鍵技術(shù)分析與實(shí)現(xiàn)[J].供用電，2014.

[3]閆江毓，席明湘，任赟.配電自動(dòng)化系統(tǒng)安全防護(hù)措施研究[J].警察技術(shù)，2014.

[4]王偉廣.電力系統(tǒng)配電自動(dòng)化建設(shè)研究[J].建筑工程技術(shù)與設(shè)計(jì)，2017，（8）：2118.

[5]左高，方金國(guó)，向馳，等.配電自動(dòng)化終端設(shè)備中信息安全加密模塊設(shè)計(jì)[J].電力系統(tǒng)自動(dòng)化，2016，（19）：134-138.

[6]黃波.配電自動(dòng)化系統(tǒng)建設(shè)中的關(guān)鍵問(wèn)題與實(shí)施方法[J].環(huán)球市場(chǎng)信息導(dǎo)報(bào)，2016，（45）：113.

作者簡(jiǎn)介：高凈凈（1996.12—），性別：女;籍貫：山西大同;民族：漢;學(xué)歷：大學(xué)本科;職務(wù)：電力調(diào)度自動(dòng)化維護(hù)員;單位：國(guó)網(wǎng)江蘇省電力有限公司泗陽(yáng)縣供電分公司;

徐升榮（1990.09—），性別：男;籍貫：江蘇泗陽(yáng);民族：漢;學(xué)歷：碩士研究生;職務(wù)：配電調(diào)度員;單位：國(guó)網(wǎng)江蘇省電力有限公司泗陽(yáng)縣供電分公司;