黃東　楊涌

摘要：隨著智能電網(wǎng)的廣泛應用，其相應的通信網(wǎng)絡(luò)安全越來越被人們重視，文章主要對通信安全保護策略實施機制和擴展策略進行研究，智能電網(wǎng)中通信網(wǎng)絡(luò)安全建設(shè)具有借鑒意義。關(guān)鍵詞：智能電網(wǎng)；通信網(wǎng)絡(luò)；安全保護

智能電網(wǎng)集成了電力、控制、信息的大型工程系統(tǒng)，信息化是智能電網(wǎng)最重要的技術(shù)引擎。智能電網(wǎng)與傳統(tǒng)電網(wǎng)相比具有自動運行、預防性維修、自愈能力、停電減少、降低消耗、提高資源利用率和節(jié)省開支等優(yōu)點。智能電網(wǎng)的信息系統(tǒng)模型如圖1所示。

其中：CIS（customer information system）客戶信息系統(tǒng)，而GIS（geographic information system）地理信息系統(tǒng)、AM/FM（Automated Mapping/FacilitiesManagement）自動成圖/設(shè)施管理系統(tǒng)，OMS（OutageManagement Solutions）斷電管理系統(tǒng)和DA（distributionautomation）自動配電系統(tǒng)，以及儀表（meters）等構(gòu)成智能電網(wǎng)的系統(tǒng)結(jié)構(gòu)。覆蓋整個電網(wǎng)的信息交互是實現(xiàn)電力傳輸和使用的高效性、可靠性和安全性的基礎(chǔ)。通信網(wǎng)絡(luò)支持了配電與用電網(wǎng)絡(luò)、輸電網(wǎng)絡(luò)、乃至用電市場的信息交換。

1策略研究

智能電網(wǎng)信息安全性包括信息采集、使用、傳輸?shù)陌踩珕栴}，也要考慮非電力信息的安全性問題，以便智能電網(wǎng)的通信網(wǎng)絡(luò)向其它領(lǐng)域擴展。此外，我國不僅有一般電網(wǎng)安全等級要求，還有大量特殊行業(yè)的用電信息安全問題。作為一個技術(shù)專題，智能電網(wǎng)安全將單列，但通信網(wǎng)絡(luò)設(shè)計中必要將安全性融入其設(shè)備和網(wǎng)絡(luò)的構(gòu)建過程，構(gòu)建安全的通信網(wǎng)絡(luò)。

1.1構(gòu)建縱深的防御體系

智能電網(wǎng)中通信網(wǎng)絡(luò)在采取由點到面的各種安全措施時，在系統(tǒng)整體上還應保證各種安全措施的組合從外到內(nèi)構(gòu)成一個縱深的安全防御體系，保證信息系統(tǒng)整體的安全保護能力。應從通信網(wǎng)絡(luò)、局域網(wǎng)絡(luò)邊界、局域網(wǎng)絡(luò)內(nèi)部、各種業(yè)務(wù)應用平臺等各個層次落實本標準中提到的各種安全措施，形成縱深防御體系。

1.2采取互補的安全措施

智能電網(wǎng)中通信網(wǎng)絡(luò)在將各種安全控制組件集成到特定信息系統(tǒng)中時，應考慮各個安全控制組件的互補性，關(guān)注各個安全控制組件在層面內(nèi)、層面間和功能間產(chǎn)生的連接、交互、依賴、協(xié)調(diào)、協(xié)同等相互關(guān)聯(lián)關(guān)系，保證各個安全控制組件共同綜合作用于信息系統(tǒng)的安全功能上，使得信息系統(tǒng)的整體安全保護能力得以保證。

1.3保證一致的安全強度

在發(fā)生身份鑒別、訪問控制、安全審計、入侵防范、安全標記等行為時，分解到信息系統(tǒng)中的各個層面，在實現(xiàn)各個層面安全功能時，應保證各個層面安全功能實現(xiàn)強度的一致性。應防止某個層面安全功能的減弱導致系統(tǒng)整體安全保護能力在這個安全功能上消弱。如要實現(xiàn)雙因子身份鑒別，則應在各個層面的身份鑒別上均實現(xiàn)雙因子身份鑒別；要實現(xiàn)強制訪問控制，則應保證在各個層面均基于低層操作系統(tǒng)實現(xiàn)強制訪問控制，并保證標記數(shù)據(jù)在整個信息系統(tǒng)內(nèi)部流動時標記的唯一性等。

1.4建立統(tǒng)一的支撐平臺

智能電網(wǎng)中通信網(wǎng)絡(luò)多數(shù)安全功能（如身份鑒別、訪問控制、數(shù)據(jù)完整性、數(shù)據(jù)保密性、抗抵賴等）為了獲得更高的強度，均要基于密碼技術(shù)，為了保證信息系統(tǒng)整體安全防護能力，應建立基于密碼技術(shù)的統(tǒng)一支撐平臺，支持高強度身份鑒別、訪問控制、數(shù)據(jù)完整性、數(shù)據(jù)保密性、抗抵賴等安全功能的實現(xiàn)。

1.5進行集中的安全管理

采取統(tǒng)一安全策略、統(tǒng)一安全管理等要求，為了保證分散于各個層面的安全功能在統(tǒng)一策略的指導下實現(xiàn)，各個安全控制組件在可控情況下發(fā)揮各自的作用，應建立安全管理中心，集中管理信息系統(tǒng)中的各個安全控制組件，支持統(tǒng)一安全管理。

2通信安全保護策略實施

2.1通信安全

智能電網(wǎng)中通信網(wǎng)絡(luò)應保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要；保證網(wǎng)絡(luò)各個部分的帶寬滿足業(yè)務(wù)高峰期需要；在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進行路由控制建立安全的訪問路徑；繪制完整的網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖，有相應的網(wǎng)絡(luò)配置表，包含設(shè)備IP地址等主要信息，與當前運行情況相符；根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段；對單個系統(tǒng)單獨劃分安全域，系統(tǒng)由獨立子網(wǎng)承載，每個域的網(wǎng)絡(luò)出口應唯一；采用冗余技術(shù)設(shè)計網(wǎng)絡(luò)拓撲結(jié)構(gòu)，提供主要網(wǎng)絡(luò)設(shè)備、通信線路的硬件冗余，避免關(guān)鍵節(jié)點存在單點故障；按照對業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先級別，保證在網(wǎng)絡(luò)發(fā)生擁堵的時候優(yōu)先保障重要業(yè)務(wù)服務(wù)的帶寬。

2.2業(yè)務(wù)類型與邏輯網(wǎng)絡(luò)

根據(jù)業(yè)務(wù)的類型、功能、階段的不同，對智能電網(wǎng)中通信網(wǎng)絡(luò)進行邏輯劃分，不同類型的業(yè)務(wù)之間會存在重要程度、環(huán)境、用戶數(shù)量等方面的差異，這些不同會帶來安全需求和受破壞后的影響程度的差異，例如，支撐信息處理為主的通信網(wǎng)絡(luò)系統(tǒng)，其重要性體現(xiàn)在信息的安全性，而支撐業(yè)務(wù)處理為主的通信網(wǎng)絡(luò)系統(tǒng)，其重要性體現(xiàn)在其所提供服務(wù)的連續(xù)性和穩(wěn)定性。因此，可以按照業(yè)務(wù)類型的不同劃分為不同的邏輯網(wǎng)絡(luò)。

2.3位置與物理網(wǎng)絡(luò)

根據(jù)物理位置的不同，對智能電網(wǎng)中通信網(wǎng)絡(luò)進行物理劃分。由于物理位置的不同，信息系統(tǒng)面臨的安全威脅等級會存在較大差異，不同物理位置之間通信信道的不可信，使不同物理位置的信息系統(tǒng)也不能視為可以互相訪問的一個安全域，即使等級相同可能也需要劃分為不同的信息系統(tǒng)分別加以保護。

3通信網(wǎng)絡(luò)擴展策略研究

3.1建立統(tǒng)一管理性的可維護型網(wǎng)絡(luò)

所構(gòu)建的網(wǎng)絡(luò)不僅需要考慮初期的建設(shè)成本，更重要的是運行維護成本和能力。多信道并行網(wǎng)絡(luò)技術(shù)特征和資產(chǎn)特征差異大，如：移動的無線網(wǎng)絡(luò)和固定的有線網(wǎng)絡(luò)其管理復雜度和方法差異，公司內(nèi)部網(wǎng)絡(luò)和租用的電信網(wǎng)絡(luò)的資產(chǎn)有不同。保障智能電網(wǎng)的信息傳輸能力就必須考慮對通信網(wǎng)絡(luò)控制策略問題，實現(xiàn)可在線維護的通信網(wǎng)絡(luò)也必須考慮統(tǒng)一管理問題，及時發(fā)現(xiàn)、定位、排除故障，進一步支持智能電網(wǎng)的安裝、運行維護。

3.2支持智能電網(wǎng)的多業(yè)務(wù)支持擴展

智能電網(wǎng)在支持配電和用電等基本電力業(yè)務(wù)的同時，進一步考慮其它業(yè)務(wù)支持問題，其重點是通信類業(yè)務(wù)支持，向傳統(tǒng)的電信接入領(lǐng)域滲透。隨著光纖的大規(guī)模鋪設(shè)，通信資源瓶頸將得到徹底解決，提高了多樣化服務(wù)能力。但是，目前的電力公司的通信體制基于公司內(nèi)部私有協(xié)議構(gòu)成，因此目前就需要考慮通用的通信標準兼容問題，尤其是IP網(wǎng)絡(luò)。

應急通信和辦公自動化支持是公司內(nèi)部需要解決的通信類業(yè)務(wù)，其中，重慶市電力系統(tǒng)的應急通信應該考慮到特殊的地貌特征，以無線通信（包括衛(wèi)星通信）為主，應急通信裝備功能上不僅包括一般電信業(yè)務(wù)，也要考慮成為智能電網(wǎng)的應急通信平臺。在IP網(wǎng)絡(luò)化前提下，通信系統(tǒng)應該支持企業(yè)內(nèi)部的話音、數(shù)據(jù)、圖像、多媒體等業(yè)務(wù)。智能家居和物聯(lián)網(wǎng)是智能電網(wǎng)推廣的利器，可以從家庭到小區(qū)用電管理，利用無所不在的電力線等技術(shù)手段構(gòu)成廣泛的物聯(lián)網(wǎng)。