韋　磊，劉　銳，高　雪

（1.南京供電公司，江蘇南京210019；2.國(guó)網(wǎng)電力科學(xué)研究院，江蘇南京211106）

?

電力LTE無(wú)線(xiàn)專(zhuān)網(wǎng)安全防護(hù)方案研究

韋磊1，劉銳2，高雪2

（1.南京供電公司，江蘇南京210019；2.國(guó)網(wǎng)電力科學(xué)研究院，江蘇南京211106）

摘要：從分析電力監(jiān)控系統(tǒng)安全防護(hù)要求與所存在的安全威脅出發(fā)，論述了電力監(jiān)控系統(tǒng)安全防護(hù)原則，針對(duì)長(zhǎng)期演進(jìn)（Long Term Evolution，LTE）系統(tǒng)結(jié)構(gòu)及其在電力場(chǎng)景下的部署模式，進(jìn)行了安全風(fēng)險(xiǎn)分析，并進(jìn)一步給出了防護(hù)方法分析，最后從業(yè)務(wù)、LTE網(wǎng)絡(luò)、邊界3個(gè)角度，提出了一套較為完整的電力LTE無(wú)線(xiàn)系統(tǒng)安全防護(hù)方案。方案為電力無(wú)線(xiàn)專(zhuān)網(wǎng)安全防護(hù)體系的建立提供了思路，在未來(lái)LTE網(wǎng)絡(luò)安全策略制定中有一定的應(yīng)用價(jià)值。

關(guān)鍵詞：安全防護(hù)；LTE；電力通信系統(tǒng)

國(guó)網(wǎng)公司 “十二·五”通信網(wǎng)規(guī)劃中首次提出了“電力終端通信接入網(wǎng)”這一概念，標(biāo)志著電力監(jiān)控系統(tǒng)須遵循統(tǒng)籌規(guī)劃、集中建設(shè)的發(fā)展思路，這有利于各電力業(yè)務(wù)間信息資源、通信網(wǎng)絡(luò)的集約管理與環(huán)境共享。然而，電力監(jiān)控系統(tǒng)統(tǒng)一化、信息化的發(fā)展趨勢(shì)使得信息通信系統(tǒng)的安全問(wèn)題凸顯，防范外界對(duì)數(shù)據(jù)網(wǎng)絡(luò)及計(jì)算機(jī)監(jiān)控系統(tǒng)的攻擊，保障電力系統(tǒng)安全穩(wěn)定運(yùn)行日益重要，建立和完善電力監(jiān)控系統(tǒng)安全防護(hù)體系成為配用電通信系統(tǒng)規(guī)劃設(shè)計(jì)中的重要環(huán)節(jié)。

目前所見(jiàn)的相關(guān)研究論著中，研究單一業(yè)務(wù)的信息安全防護(hù)較多，文獻(xiàn)［1-3］均是針對(duì)電力調(diào)度、控制類(lèi)業(yè)務(wù)制定業(yè)務(wù)系統(tǒng)專(zhuān)有安全方案；文獻(xiàn)［4-6］側(cè)重于對(duì)安全防護(hù)策略的論述或設(shè)計(jì)，與電力業(yè)務(wù)結(jié)合并不十分緊密。另外，于2014年實(shí)行的發(fā)改委第14號(hào)令與能源局電監(jiān)安全36號(hào)文，在以往的防護(hù)要求基礎(chǔ)上，有一些新的規(guī)定與調(diào)整，亟需體現(xiàn)到具體方案中去。

通信方式的選擇也是終端通信接入網(wǎng)統(tǒng)一規(guī)劃的一個(gè)關(guān)鍵環(huán)節(jié)。隨著智能電網(wǎng)對(duì)通信的需求日趨完善與多元化，以長(zhǎng)期演進(jìn)（Long Term Evolution，LTE）為代表的新型專(zhuān)網(wǎng)無(wú)線(xiàn)通信技術(shù)在電力通信系統(tǒng)中的應(yīng)用受到越來(lái)越多的關(guān)注。在網(wǎng)絡(luò)安全防護(hù)方面，LTE技術(shù)作為一種無(wú)線(xiàn)通信方式，除具有一般通信網(wǎng)絡(luò)的固有安全問(wèn)題外，在無(wú)線(xiàn)鏈路側(cè)還有一些特有的安全威脅，如偽基站或偽終端的冒充、篡改、竊收、重放等［ 1 ］。文中結(jié)合LTE無(wú)線(xiàn)通信接入網(wǎng)絡(luò)架構(gòu)，在分析電力監(jiān)控系統(tǒng)安全防護(hù)需求的基礎(chǔ)上，提出一套完整的電力LTE無(wú)線(xiàn)專(zhuān)網(wǎng)安全防護(hù)方案。

1　電力監(jiān)控系統(tǒng)安全防護(hù)原則

電力監(jiān)控系統(tǒng)安全防護(hù)以“安全分區(qū)、網(wǎng)絡(luò)專(zhuān)用、橫向隔離、縱向認(rèn)證”為設(shè)計(jì)原則。安全分區(qū)指對(duì)電力系統(tǒng)業(yè)務(wù)的重要程度及影響電力一次系統(tǒng)的強(qiáng)弱程度進(jìn)行劃分區(qū)域，對(duì)于生產(chǎn)電力及電力生產(chǎn)控制的系統(tǒng)進(jìn)行重點(diǎn)防護(hù)；網(wǎng)絡(luò)專(zhuān)用即按需采用隔離技術(shù)，實(shí)現(xiàn)不同業(yè)務(wù)通信系統(tǒng)的專(zhuān)網(wǎng)專(zhuān)用，為電力調(diào)度數(shù)據(jù)網(wǎng)與電力數(shù)據(jù)通信網(wǎng)提供多層次的防護(hù)；橫向隔離即通過(guò)隔離裝置在不同安全區(qū)之間實(shí)現(xiàn)邏輯或物理橫向隔離；縱向認(rèn)證即采用IP認(rèn)證加密和硬件防火墻等方式實(shí)現(xiàn)各安全區(qū)的縱向安全防護(hù)。安全防護(hù)總體策略如圖1所示。

圖1　電力監(jiān)控系統(tǒng)安全防護(hù)總體策略

電力監(jiān)控系統(tǒng)根據(jù)業(yè)務(wù)的重要程度將安全工作區(qū)劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)，其中生產(chǎn)控制大區(qū)又劃分為實(shí)時(shí)控制區(qū)和非實(shí)時(shí)控制區(qū)。每個(gè)安全區(qū)都有不同的安全等級(jí)和防護(hù)要求。

特別地，于2014年實(shí)行的發(fā)改委第14號(hào)令與能源局電監(jiān)安全36號(hào)文提出了安全接入?yún)^(qū)的概念，規(guī)范了接入網(wǎng)采用無(wú)線(xiàn)專(zhuān)網(wǎng)通信時(shí)安全接入?yún)^(qū)的邊界隔離措施。

依據(jù)上述電力監(jiān)控系統(tǒng)安全分區(qū)模型，根據(jù)國(guó)家政策、電信行業(yè)、電力二次系統(tǒng)安全防護(hù)和經(jīng)驗(yàn)分析，電力通信網(wǎng)安全防護(hù)主要圍繞“防網(wǎng)絡(luò)攻擊、保障數(shù)據(jù)安全”，“防物理?yè)p壞、保障可靠承載業(yè)務(wù)”兩方面目標(biāo)進(jìn)行［2 ］?！胺谰W(wǎng)絡(luò)攻擊、保障數(shù)據(jù)安全”即防止通信網(wǎng)絡(luò)中傳輸、存儲(chǔ)、處理的數(shù)據(jù)信息丟失、泄露或者被篡改；“防物理?yè)p壞，保障可靠承載業(yè)務(wù)”即防止通信網(wǎng)絡(luò)阻塞、中斷、癱瘓，或影響承載業(yè)務(wù)正常運(yùn)行。

2　安全風(fēng)險(xiǎn)及防護(hù)方法分析

2.1安全風(fēng)險(xiǎn)分析

LTE無(wú)線(xiàn)專(zhuān)網(wǎng)作為電力終端通信接入網(wǎng)時(shí)，將承載生產(chǎn)、營(yíng)銷(xiāo)、行政管理等多種電力業(yè)務(wù)數(shù)據(jù)傳輸。若不采取方案進(jìn)行安全防護(hù)，電力LTE無(wú)線(xiàn)專(zhuān)網(wǎng)將面臨多種安全風(fēng)險(xiǎn)，如圖2所示。

圖2　LTE無(wú)線(xiàn)專(zhuān)網(wǎng)風(fēng)險(xiǎn)分析

LTE無(wú)線(xiàn)通信終端（CPE）側(cè)，在未作安全防護(hù)、隔離等措施的原始LTE系統(tǒng)中，終端通過(guò)無(wú)線(xiàn)專(zhuān)網(wǎng)接入，直接跨接在已物理隔離的2個(gè)信息內(nèi)網(wǎng)上，存在如下安全風(fēng)險(xiǎn)：（1）非法通信終端（偽終端）可能通過(guò)無(wú)線(xiàn)專(zhuān)網(wǎng)入侵公司信息內(nèi)網(wǎng)；（2）非法業(yè)務(wù)終端可能通過(guò)CPE接入公司信息內(nèi)網(wǎng)；（3）在終端和基站的雙向通信過(guò)程中，無(wú)線(xiàn)數(shù)據(jù)或者控制命令可能被非法截獲、篡改、偽造、重放攻擊等；（4）終端共用無(wú)線(xiàn)傳輸資源可能導(dǎo)致信道側(cè)的相互干擾、占用等。

在LTE空口側(cè)，無(wú)線(xiàn)網(wǎng)絡(luò)被用于實(shí)現(xiàn)監(jiān)測(cè)主站、子站和業(yè)務(wù)終端之間的通信，監(jiān)測(cè)數(shù)據(jù)通過(guò)無(wú)線(xiàn)專(zhuān)網(wǎng)等通道明文傳輸可能被非法截獲、篡改，重放攻擊等，存在非法終端接入風(fēng)險(xiǎn)。同時(shí)，無(wú)線(xiàn)網(wǎng)絡(luò)也是跨接在物理隔離的2張信息內(nèi)網(wǎng)之間，同樣會(huì)引起2張網(wǎng)絡(luò)的物理隔離被打破，造成威脅的擴(kuò)散。

2.2防護(hù)方法分析

LTE無(wú)線(xiàn)多業(yè)務(wù)承載網(wǎng)絡(luò)的安全防護(hù)技術(shù)涉及電力業(yè)務(wù)安全防護(hù)、LTE無(wú)線(xiàn)網(wǎng)絡(luò)安全防護(hù)和終端安全防護(hù)3個(gè)方面。電力業(yè)務(wù)安全防護(hù)是指通信網(wǎng)絡(luò)上承載的各類(lèi)生產(chǎn)、營(yíng)銷(xiāo)、物資和管理等電力業(yè)務(wù)涉及的安全防護(hù)技術(shù)，電力業(yè)務(wù)安全需要根據(jù)業(yè)務(wù)種類(lèi)不同，實(shí)施不同安全等級(jí)的安全防護(hù)措施［ 3 ］。如按照國(guó)網(wǎng)公司或行業(yè)標(biāo)準(zhǔn)中的要求，采取無(wú)線(xiàn)接入點(diǎn)名稱(chēng)（APN）和虛擬專(zhuān)用網(wǎng)絡(luò)（VPN）等安全隔離、訪問(wèn)控制、認(rèn)證加密、數(shù)字簽名和基于非對(duì)稱(chēng)密鑰技術(shù)的單向認(rèn)證等安全措施。

LTE無(wú)線(xiàn)網(wǎng)絡(luò)安全防護(hù)主要針對(duì)LTE無(wú)線(xiàn)傳輸協(xié)議在數(shù)據(jù)傳輸時(shí)存在的三重安全隱患：（1）數(shù)據(jù)接收方無(wú)法對(duì)數(shù)據(jù)來(lái)源的身份進(jìn)行準(zhǔn)確確認(rèn)；（2）數(shù)據(jù)接收方無(wú)法對(duì)接收到的數(shù)據(jù)的完整性進(jìn)行確認(rèn)；（3）數(shù)據(jù)的收發(fā)雙方都無(wú)法得知數(shù)據(jù)在傳輸過(guò)程中是否被第三方窺探過(guò)。針對(duì)上述網(wǎng)絡(luò)協(xié)議的安全缺陷，LTE無(wú)線(xiàn)網(wǎng)絡(luò)安全防護(hù)主要采用IP-VPN技術(shù)，安全隧道技術(shù)和Internet 協(xié)議安全性（IPSec）技術(shù)等加以解決。

終端安全防護(hù)是指滿(mǎn)足無(wú)線(xiàn)終端安全性要求的安全防護(hù)技術(shù)或措施，包括：（1）通過(guò)身份認(rèn)證，防止非法終端接入網(wǎng)絡(luò)向基站發(fā)送數(shù)據(jù)；（2）防止偽基站向通信終端發(fā)送非法數(shù)據(jù)，從而威脅到業(yè)務(wù)終端的安全性；（3）保障重要數(shù)據(jù)在無(wú)線(xiàn)鏈路傳輸過(guò)程中的機(jī)密性、完整性，防止非法監(jiān)聽(tīng)和截獲。

3　電力LTE無(wú)線(xiàn)專(zhuān)網(wǎng)安全防護(hù)方案

3.1總體安全防護(hù)架構(gòu)

安全防護(hù)總體方案依據(jù)“分區(qū)、分級(jí)、分域”的防護(hù)方針，在橫向上，將系統(tǒng)分為生產(chǎn)控制大區(qū)（Ⅰ、Ⅱ區(qū)）與管理信息大區(qū)（Ⅲ、Ⅳ區(qū)），縱向上，分為業(yè)務(wù)終端層、LTE接入層、安全接入層和業(yè)務(wù)層等層面進(jìn)行防護(hù)，以滿(mǎn)足LTE無(wú)線(xiàn)專(zhuān)網(wǎng)系統(tǒng)的安全防護(hù)需求。系統(tǒng)總體防護(hù)框架如圖3所示，業(yè)務(wù)終端層由配用電系統(tǒng)各類(lèi)業(yè)務(wù)采集、檢測(cè)等終端組成，是業(yè)務(wù)數(shù)據(jù)的來(lái)源；LTE接入層即LTE無(wú)線(xiàn)專(zhuān)網(wǎng)系統(tǒng)，包括通信終端、基站、回傳網(wǎng)絡(luò)、核心網(wǎng)幾個(gè)部分；安全接入層即14號(hào)令與36號(hào)文中規(guī)定的，采用無(wú)線(xiàn)或公用通信網(wǎng)絡(luò)接入電力業(yè)務(wù)系統(tǒng)時(shí)所必須設(shè)置的“安全接入?yún)^(qū)”，一般由安全網(wǎng)關(guān)、防火墻等軟硬件設(shè)備構(gòu)成；業(yè)務(wù)層指各電力業(yè)務(wù)系統(tǒng)主站平臺(tái)，是業(yè)務(wù)數(shù)據(jù)的應(yīng)用層處理與控制中心。

按照電力監(jiān)控系統(tǒng)安全防護(hù)要求和終端通信接入網(wǎng)絡(luò)總體架構(gòu)，并根據(jù)國(guó)網(wǎng)公司安全接入平臺(tái)技術(shù)規(guī)范要求，應(yīng)在信息內(nèi)網(wǎng)邊界部署安全接入平臺(tái)，解決非公司信息內(nèi)網(wǎng)區(qū)域的終端以安全專(zhuān)網(wǎng)方式接入信息內(nèi)網(wǎng)的問(wèn)題［ 4 ］。在該方案中，擬采用VPN技術(shù)和數(shù)據(jù)隔離技術(shù)實(shí)現(xiàn)數(shù)據(jù)的安全接入。

根據(jù)整個(gè)電力LTE無(wú)線(xiàn)專(zhuān)網(wǎng)系統(tǒng)的邊界框架，將系統(tǒng)分為邊界（網(wǎng)絡(luò)區(qū)域邊界）、監(jiān)測(cè)系統(tǒng)（服務(wù)器）、LTE通信網(wǎng)絡(luò)、業(yè)務(wù)應(yīng)用等層面進(jìn)行防護(hù)，以滿(mǎn)足電力LTE無(wú)線(xiàn)專(zhuān)網(wǎng)系統(tǒng)的安全防護(hù)需求。各業(yè)務(wù)終端處部署CPE，規(guī)范終端的自身安全防護(hù)問(wèn)題，解決通過(guò)無(wú)線(xiàn)網(wǎng)絡(luò)傳輸數(shù)據(jù)的安全性問(wèn)題。LTE無(wú)線(xiàn)專(zhuān)網(wǎng)系統(tǒng)不改變業(yè)務(wù)終端原有身份認(rèn)證與訪問(wèn)授權(quán)方式，不改變?cè)袑?duì)接入對(duì)象的統(tǒng)一監(jiān)管與審計(jì)，不影響原有業(yè)務(wù)的運(yùn)行。

圖3　LTE無(wú)線(xiàn)專(zhuān)網(wǎng)安全防護(hù)總體架構(gòu)

3.2業(yè)務(wù)安全防護(hù)措施

電力業(yè)務(wù)安全防護(hù)措施針對(duì)不同大區(qū)的業(yè)務(wù)特點(diǎn)和安全防護(hù)要求，采用的業(yè)務(wù)安全措施也不盡相同?？傮w來(lái)說(shuō)，統(tǒng)一承載不同業(yè)務(wù)的通信網(wǎng)絡(luò)應(yīng)遵循如下安全防護(hù)措施。

（1）業(yè)務(wù)主站側(cè)安全防護(hù)。不同大區(qū)業(yè)務(wù)系統(tǒng)間應(yīng)采用物理隔離防護(hù)措施，系統(tǒng)間需安裝安全隔離裝置。業(yè)務(wù)系統(tǒng)主站前置機(jī)應(yīng)采用經(jīng)國(guó)家指定部門(mén)認(rèn)證的安全加固的操作系統(tǒng)，并采取嚴(yán)格的訪問(wèn)控制措施。接入網(wǎng)采用電力有線(xiàn)專(zhuān)網(wǎng)時(shí)，其前置機(jī)應(yīng)配置安全模塊；當(dāng)采用無(wú)線(xiàn)通信技術(shù)、電力企業(yè)數(shù)據(jù)網(wǎng)或公用數(shù)據(jù)網(wǎng)時(shí)，接入網(wǎng)與主站業(yè)務(wù)系統(tǒng)間需設(shè)立“安全接入?yún)^(qū)”，安全接入?yún)^(qū)由單向認(rèn)證模塊、通信前置機(jī)及正反向隔離裝置組成。

（2）業(yè)務(wù)子站及終端側(cè)安全防護(hù)。終端設(shè)備上可配置安全模塊，對(duì)來(lái)源于主站系統(tǒng)的控制命令和參數(shù)設(shè)置指令采取安全鑒別和數(shù)據(jù)完整性驗(yàn)證措施，防范冒充主站對(duì)終端進(jìn)行攻擊。為增加安全性，可配置具有雙向認(rèn)證加密能力的安全模塊，實(shí)現(xiàn)主站和子站終端間的雙向身份鑒別和數(shù)據(jù)加密。

終端的上行數(shù)據(jù)應(yīng)通過(guò)安全模塊生成摘要，使用對(duì)稱(chēng)算法計(jì)算相關(guān)的校驗(yàn)值，供主站識(shí)別數(shù)據(jù)傳輸?shù)耐暾?，從而有效防止系統(tǒng)面臨來(lái)自網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。

終端可以借助外置式、嵌入式等多種形式的安全模塊實(shí)現(xiàn)安全防護(hù)過(guò)程。外置式安全模塊適用于早期安裝又不支持軟件升級(jí)的終端；新安裝的終端建議使用嵌入式安全模塊，具體分為軟算法庫(kù)方式和安全芯片硬件方式（包括DIP、SOP、TF卡、SIM卡等形態(tài)）。電力業(yè)務(wù)信息安全防護(hù)體系如圖4所示。

由于生產(chǎn)控制大區(qū)的電力業(yè)務(wù)較信息管理大區(qū)的業(yè)務(wù)安全等級(jí)高［ 5 ］，下文以Ⅰ區(qū)配電自動(dòng)化業(yè)務(wù)為例具體介紹電力業(yè)務(wù)的安全防護(hù)措施。

配電自動(dòng)化業(yè)務(wù)的信息安全防護(hù)系統(tǒng)涉及到的安全防護(hù)裝置有防火墻、正/反向隔離裝置、主站及終端安全模塊等。

圖4　電力業(yè)務(wù)信息安全防護(hù)示意圖

當(dāng)配電網(wǎng)調(diào)度自動(dòng)化系統(tǒng)與同一大區(qū)其他系統(tǒng)信息交互時(shí)，采用防火墻等邏輯隔離防護(hù)措施；當(dāng)其與信息管理大區(qū)其他系統(tǒng)信息交互時(shí)，采用正/反向隔離裝置進(jìn)行物理隔離防護(hù)。

安全接入?yún)^(qū)位于主站側(cè)與接入網(wǎng)側(cè)之間，主要包括通信前置機(jī)、安全接入網(wǎng)關(guān)、安全審計(jì)等，當(dāng)采用LTE無(wú)線(xiàn)專(zhuān)網(wǎng)接入時(shí)，還包括終端身份識(shí)別服務(wù)器（AAA）、安全監(jiān)測(cè)系統(tǒng)（可選）等。當(dāng)采用無(wú)線(xiàn)專(zhuān)網(wǎng)及公網(wǎng)傳輸通道時(shí)，前置機(jī)應(yīng)配置安全模塊（可選取串接配網(wǎng)安全網(wǎng)關(guān)、加裝加密卡、旁接密碼機(jī)等方式），對(duì)控制命令和參數(shù)設(shè)置指令進(jìn)行簽名操作，實(shí)現(xiàn)子站對(duì)主站的身份鑒別與報(bào)文完整性保護(hù)；對(duì)重要子站及終端的通信可采用雙向認(rèn)證加密，實(shí)現(xiàn)主站和子站間的雙向身份鑒別，確保報(bào)文機(jī)密性和完整性。

信息安全綜合審計(jì)是對(duì)配電通信網(wǎng)主站服務(wù)器、數(shù)據(jù)庫(kù)等提供安全日志采集和分析技術(shù)支撐，為信息安全事件的追根溯源提供技術(shù)手段，實(shí)現(xiàn)對(duì)信息安全審計(jì)數(shù)據(jù)的自動(dòng)分析，包括對(duì)運(yùn)維安全審計(jì)、業(yè)務(wù)和數(shù)據(jù)庫(kù)安全審計(jì)、主機(jī)日志安全審計(jì)、網(wǎng)絡(luò)與邊界安全審計(jì)，并進(jìn)行信息匯總和關(guān)聯(lián)分析，在配網(wǎng)系統(tǒng)中起到信息安全全面“故障錄波”的作用。

3.3LTE網(wǎng)絡(luò)安全防護(hù)措施

LTE無(wú)線(xiàn)通信系統(tǒng)自身已具備完善的安全防護(hù)措施。但針對(duì)電力多業(yè)務(wù)統(tǒng)一承載這一特殊應(yīng)用場(chǎng)景，還需引進(jìn)IPSec VPN技術(shù)防護(hù)措施。

LTE系統(tǒng)分為用戶(hù)設(shè)備、基站和核心網(wǎng)3個(gè)部分。用戶(hù)設(shè)備和基站之間的通道叫做空中接口，基站和核心網(wǎng)之間的通道叫做回傳網(wǎng)絡(luò)。LTE無(wú)線(xiàn)網(wǎng)絡(luò)的VPN安全防護(hù)分為空中接口安全防護(hù)和回傳網(wǎng)絡(luò)安全防護(hù)兩部分，如圖5所示。

圖5　無(wú)線(xiàn)網(wǎng)絡(luò)安全防護(hù)措施

3.3.1空中接口安全防護(hù)

空中接口安全防護(hù)措施用于保證CPE安全接入業(yè)務(wù)，防止空口攻擊。具體包括：

（1）頻率隔離，采用不同接入頻率對(duì)生產(chǎn)終端和管理終端物理隔離；

（2）CPE身份保護(hù)：采用臨時(shí)身份標(biāo)識(shí)機(jī)制，保護(hù)用戶(hù)隱私；

（3）網(wǎng)絡(luò)認(rèn)證，保證用戶(hù)所訪問(wèn)的網(wǎng)絡(luò)是合法（授權(quán)）網(wǎng)絡(luò)；

（4）CPE認(rèn)證，保證只有合法用戶(hù)才能接入網(wǎng)絡(luò)，防止偽終端接入；

（5）空口數(shù)據(jù)/信令加密保護(hù)，信令的完整性保護(hù)。

3.3.2回傳網(wǎng)絡(luò)安全防護(hù)措施

回傳網(wǎng)絡(luò)安全傳輸方案如圖6所示。3GPP標(biāo)準(zhǔn)建議eNodeB（LTE基站）的基站與核心網(wǎng)之間（S1）接口、基站與基站之間（X2）接口信令數(shù)據(jù)通過(guò)IPSec傳輸，于是將產(chǎn)生大量IPSec隧道。而在實(shí)際LTE網(wǎng)絡(luò)部署中，X2接口流量可以通過(guò)網(wǎng)關(guān)節(jié)點(diǎn)轉(zhuǎn)發(fā)，從而減少I(mǎi)PSec隧道數(shù)量，以降低設(shè)備處理負(fù)擔(dān)。

圖6　針對(duì)回傳網(wǎng)絡(luò)的防護(hù)策略

LTE系統(tǒng)的回傳網(wǎng)絡(luò)采用不同光纖通道，對(duì)生產(chǎn)大區(qū)和管理大區(qū)的業(yè)務(wù)進(jìn)行物理隔離。LTE網(wǎng)絡(luò)安全傳輸技術(shù)可以應(yīng)用IPSec VPN，在基站和基站之間建立IPSec隧道，采用CA雙向認(rèn)證。而基站間的信令交互通過(guò)網(wǎng)關(guān)節(jié)點(diǎn)轉(zhuǎn)發(fā)，以更加安全可靠的物理隔離方式取代VPN隔離方式，提高了系統(tǒng)的安全性。

3.4邊界安全防護(hù)措施

網(wǎng)絡(luò)邊界是內(nèi)部網(wǎng)絡(luò)與外部接入網(wǎng)絡(luò)之間的連接部分，在文中外部接入網(wǎng)絡(luò)為L(zhǎng)TE無(wú)線(xiàn)專(zhuān)網(wǎng)系統(tǒng)，邊界處設(shè)備為L(zhǎng)TE核心網(wǎng)。網(wǎng)絡(luò)邊界設(shè)備一般包括防火墻、安全網(wǎng)關(guān)等。邊界安全防護(hù)關(guān)注如何對(duì)進(jìn)出該邊界的數(shù)據(jù)流進(jìn)行有效監(jiān)測(cè)和控制。電力LTE無(wú)線(xiàn)專(zhuān)網(wǎng)系統(tǒng)邊界防護(hù)如圖7所示。

圖7　針對(duì)邊界的防護(hù)策略

（1）防火墻，在LTE專(zhuān)網(wǎng)網(wǎng)絡(luò)邊界和外部網(wǎng)絡(luò)的互聯(lián)互通接口都要通過(guò)防火墻接入內(nèi)部網(wǎng)絡(luò)。防火墻應(yīng)制定嚴(yán)格的訪問(wèn)策略實(shí)現(xiàn)專(zhuān)網(wǎng)域至網(wǎng)絡(luò)邊界域的訪問(wèn)控制。

（2）安全網(wǎng)關(guān)，在LTE專(zhuān)網(wǎng)網(wǎng)絡(luò)邊界部署通信安全網(wǎng)關(guān)，對(duì)終端進(jìn)行身份認(rèn)證，對(duì)通信進(jìn)行基于隧道的加解密，針對(duì)源地址制定訪問(wèn)控制（ACL），禁止不同APN業(yè)務(wù)互訪。

（3）安全防御，通信安全網(wǎng)關(guān)集成抗拒絕服務(wù)模塊，識(shí)別攻擊流和正常流，有效阻斷攻擊流，同時(shí)保證正常流通過(guò)，避免對(duì)正常流產(chǎn)生拒絕服務(wù)；防火墻集成防惡意代碼攻擊模塊防御惡意代碼攻擊。

4　應(yīng)用實(shí)例

上述安全防護(hù)方案在南京市溧水區(qū)LTE試點(diǎn)建設(shè)中進(jìn)行了應(yīng)用實(shí)踐。具體措施如下。

（1）業(yè)務(wù)信源加密：解決端到端應(yīng)用層的業(yè)務(wù)數(shù)據(jù)加密問(wèn)題。采用集成有安全加密認(rèn)證模塊的LTE可信終端設(shè)備CPE，實(shí)現(xiàn)端到端的數(shù)據(jù)加密。信源解密在主站各類(lèi)業(yè)務(wù)應(yīng)用服務(wù)器完成。

（2）接入層信道加密：解決接入層通信網(wǎng)絡(luò)數(shù)據(jù)安全問(wèn)題。CPE完成信道加密，信道解密在LTE核心網(wǎng)完成。加密算法采用電力系統(tǒng)要求的國(guó)密算法。

（3）身份認(rèn)證：CPE終端內(nèi)置USIM卡，通過(guò)身份標(biāo)識(shí)防止非法用戶(hù)接入。

（4）物理隔離：由于試點(diǎn)接入了配電自動(dòng)化、用電信息采集、視頻監(jiān)控、智能家居、輸電線(xiàn)路狀態(tài)監(jiān)測(cè)、負(fù)荷控制等不同安全大區(qū)的業(yè)務(wù)，采用基站處理單元（BBU）雙板卡，以實(shí)現(xiàn)基站側(cè)物理隔離。

（5）IPsec隧道加密：確保LTE回傳網(wǎng)絡(luò)的安全可靠性。

（6）安全接入?yún)^(qū)：針對(duì)LTE無(wú)線(xiàn)專(zhuān)網(wǎng)設(shè)立的安全接入?yún)^(qū)。由正反向隔離裝置、前置機(jī)、安全接入網(wǎng)關(guān)構(gòu)成。

溧水區(qū)LTE試點(diǎn)應(yīng)用工程檢驗(yàn)了該安全防護(hù)方案可行性。系統(tǒng)運(yùn)行至今，安全防護(hù)效果良好，有效防止了偽基站、偽終端的接入及不同安全大區(qū)之間的信息滲透，安全防護(hù)體系具有較高的可靠性。

5　結(jié)束語(yǔ)

結(jié)合電力監(jiān)控系統(tǒng)安全防護(hù)基本原則與配用電場(chǎng)景下的LTE無(wú)線(xiàn)專(zhuān)網(wǎng)架構(gòu)，在分析了安全風(fēng)險(xiǎn)與防護(hù)方法的基礎(chǔ)上，提出了一套較為完整的針對(duì)電力LTE無(wú)線(xiàn)接入專(zhuān)網(wǎng)的安全防護(hù)解決方案，重點(diǎn)解決涉及無(wú)線(xiàn)通信的安全接入、安全傳輸、終端自身安全以及身份認(rèn)證、訪問(wèn)控制、數(shù)據(jù)過(guò)濾、統(tǒng)一監(jiān)控與審計(jì)等六大類(lèi)問(wèn)題。在解決了面向多業(yè)務(wù)的LTE無(wú)線(xiàn)網(wǎng)絡(luò)安全防護(hù)問(wèn)題后，下一步研究方向?yàn)長(zhǎng)TE無(wú)線(xiàn)專(zhuān)網(wǎng)所承載業(yè)務(wù)的QoS保障策略。

參考文獻(xiàn)：

［1］ 岳宏亮，陳鵬良，樓書(shū)氫. 地區(qū)電網(wǎng)控制中心二次系統(tǒng)安全防護(hù)策略分析［J］. 中國(guó)電力教育，2014（33）：180-186.

［2］ 周小燕，楊宏宇，崔恒志，等. 地區(qū)電力調(diào)度中心二次系統(tǒng)安全防護(hù)［J］. 江蘇電機(jī)工程，2005，24（2）：50-52.

［3］ 焦 偉. 電力調(diào)度自動(dòng)化網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的研究與實(shí)現(xiàn)［D］.北京：華北電力大學(xué)，2014.

［4］ 袁 慧. 面向用戶(hù)準(zhǔn)入控制的信息安全統(tǒng)一威脅防御管理［J］.電力信息與通信技術(shù)，2015，9（11）：102-105.

［5］ 周 寧. 重慶電網(wǎng)二次系統(tǒng)安全防護(hù)體系結(jié)構(gòu)及關(guān)鍵技術(shù)研究［D］. 重慶：重慶大學(xué)，2005.

［6］ 李文武，游文霞，王先培. 電力系統(tǒng)信息安全研究綜述［J］. 電力系統(tǒng)保護(hù)與控制，2011，10（39）：140-147.

韋磊（1982），男，江蘇南京人，高級(jí)工程師，從事電力系統(tǒng)信息通信研究與管理工作；

劉銳（1981），男，安徽合肥人，工程師，從事電力系統(tǒng)通信技術(shù)研究工作；

高雪（1988），女，江蘇連云港人，助理工程師，從事電力系統(tǒng)通信技術(shù)研究工作。

Research on Security Protection Solution to LTE Power Wireless Private Network

WEI Lei1， LIU Rui2， GAO Xue2
（1. Nanjing Power Supply Company， Nanjing 210019， China；2.State Grid Electric Power Research Institute， Nanjing 211106， China）

Abstract：This paper discusses the security protection principle of electric power monitoring system through analyzing the requirements of security protection and the existing security threats in electric power monitoring system. According to the structure of LTE system and its deployment pattern in electric power area， the protection methods are analyzed by using safety risk analysis. At the end， from the point of views of business side， LTE messing and boundary， a fully protective solution to LTE wireless system in electrical area is proposed. This solution provides ideas for establishing security protection system of special wireless network in electric power area， and it is certainly valuable to developing security strategy for LTE network in the future.

Key words：security protection； LTE； electric power communication system

中圖分類(lèi)號(hào)：TM769

文獻(xiàn)標(biāo)志碼：A

文章編號(hào)：1009-0665（2016）03-0029-05

作者簡(jiǎn)介：

收稿日期：2015 -12-24；修回日期：2016-02-23